Kirjaudu sisään Microsoft-tilillä
Kirjaudu sisään tai luo tili.
Hei,
Käytä toista tiliä.
Sinulla on useita tilejä
Valitse tili, jolla haluat kirjautua sisään.

Yhteenveto

Microsoft on julkaissut Windows-päivityksen, joka korjaa Active Directory -liittoutumispalvelut (AD FS) -haavoittuvuutta tunnuksen toistohyökkäyksen haavoittuvuuden CVE-2023-35348 kuvatulla tavalla. Tämän päivityksen asentavat 11. heinäkuuta 2023 tai sen jälkeen julkaistut Windows-päivitykset. Tämä päivitys on oletusarvoisesti poistettu käytöstä. Jos haluat ottaa päivityksen käyttöön, sinun on määritettävä EnforceNonceInJWT-asetus .

Lisätietoja

Tämä päivitys sisältää uuden asetuksen, joka mahdollistaa Noncen kelpoisuuden tarkistamisen JSON Web Token (JWT) - todennuksen avulla JWT-käyttäjän todennuksen aikana.

Tässä artikkelissa kerrotaan, miten asetus otetaan käyttöön, ja annetaan AD FS -palvelimiin kirjautuneiden tapahtumien tiedot asetuksen tuetuista arvoista.

PakotaNonceInJWT-asetus

ADFS-palvelimen järjestelmänvalvoja voi määrittää EnforceNonceInJWT:n toimimaan jossakin seuraavista tiluksista:

  • Ei mitään (oletusarvo): Tätä käytetään seuraamaan , onko EnforceNonceInJWT-asetusarvoa koskaan muutettu. Järjestelmänvalvoja ei ehkä määritä tätä arvoa. ADFS-palvelin tarkistaa noncen vain silloin, kun se on JWT-väitteessä, mutta ei pakota sen läsnäoloa.

  • Poistettu käytöstä: Tämä arvo voidaan määrittää, jotta korjaus voidaan poistaa käytöstä, jos oletusarvon tai julkaisun käyttöönotossa ilmenee ongelmia.

  • Käytössä: Ottaa käyttöön PakotaNonceInJWT-asetuksen . ADFS-palvelin pakottaa, että Nonce on JWT-väitteessä ja että se on kelvollinen myös tiettyjen ehtojen täyttyessä.

AD FS -palvelimen järjestelmänvalvoja voi muuttaa EnforceNonceInJWT-tiloja seuraavien PowerShell-komentojen avulla:

  • Ota käyttöön PakotaNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Käytössä

  • Poista PakotaNonceInJWT käytöstä:

    Set-AdfsProperties -EnforceNonceInJWT Disabled

  • Tarkista PakotaNonceInJWT-asetuksen tila:

    Järjestelmänvalvoja voi suorittaa Get-AdfsProperties-toiminnon tarkistaakseen nykyisen EnforceNonceInJWT-asetuksenPalautettu EnforceNonceInJWT-arvo vastaa määritettyä tilaa.

Kirjatut tapahtumat

Seuraavat tapahtumat voidaan kirjata AD FS -palvelimeen sen jälkeen, kun 11. heinäkuuta 2023 tai sen jälkeen julkaistut Windows-päivitykset on asennettu:

Huomautus Tapahtuma 187 kirjataan lokiin aina, kun AD FS -palvelin vastaanottaa pyynnön, joka ei sisällä Noncea JWT-väitteessä, ja EnforceNonceInJWT-asetuksena on Ei mitään tai Ei käytössä.

Lähde: AD FS  

Tasolla: Varoitus 

Tunnus: 187 

Viesti: AD FS -palvelin sai JWT-tunnuksen ilman noncea väitteessä, ja se hyväksyttiin EnforceNonceInJWT:n nykyisen määritysasetuksen perusteella. Se kuitenkin ilmaisee haitallisen asiakkaan JWT-tunnuksen mahdollisen toiston tai mahdollisuuden, että asiakasta ei ole korjattu uusimmilla Windows-Päivitykset. Päivitä PakotaNonceInJWT-asetus hylkäämään kaikki tällaiset JWT-tunnukset, kun olet korjannut asiakkaat uusimmilla Windows-Päivitykset. Lisätietoja on ohjeaiheessa https://go.microsoft.com/fwlink/?linkid=2238156.

Huomautus Tapahtuma 188 kirjataan jokaisen AD FS -palvelun käynnistyksen yhteydessä, kun EnforceNonceInJWT-asetuksena on Ei mitään tai Ei käytössä.

Lähde: AD FS  

Tasolla: Virhe 

TUNNUS: 188 

Viesti: AD FS -palvelinta ei ole määritetty hylkäämään JWT-tunnuksia, joilla ei ollut noncea väitteessä. Vastaava asetus (EnforceNonceInJWT) tulee ottaa käyttöön tietoturvasyistä sen jälkeen, kun se on varmistanut, että kaikkiin asiakkaisiin on asennettu uusin Windows-Päivitykset. Tapahtuma 187 ilmaisee esiintymät, joissa AD FS on vastaanottanut tällaiset tunnukset ja hyväksynyt ne EnforceNonceInJWT-asetuksen nykyisen asetuksen vuoksi. Lisätietoja on ohjeaiheessa https://go.microsoft.com/fwlink/?linkid=2238156.

Toimi

Asenna 11. heinäkuuta 2023 tai sen jälkeen julkaistut Windows-päivitykset kaikkiin klusterin AD FS -palvelimiin. Ota sitten asetus käyttöön suorittamalla seuraava PowerShell-komento klusterin ensisijaisessa AD FS -palvelimessa:

Set-AdfsProperties -EnforceNonceInJWT käytössä

Tärkeää Todennusvirheitä voi ilmetä tietyissä tilanteissa, kun on asiakkaita, joita ei päivitetä, ja voit lähettää JWT-todennuspyyntöjä AD FS -palvelimeen. Tällaisissa tapauksissa suosittelemme päivittämään kaikki asiakkaat asentamalla 11. heinäkuuta 2023 tai sen jälkeen julkaistun Windows-päivityksen. Järjestelmänvalvoja voi myös poistaa EnforceNonceInJWT-asetuksen käytöstä ja valvoa AD FS -palvelimia tapahtuman 187 kirjaamista varten tunnistaakseen mahdolliset pyynnöt, jotka voidaan hylätä , kun EnforceNonceInJWT-asetuksena on Käytössä. Kun olet vahvistanut, että tapahtuma 187 ei ole ollut AD FS -palvelimissa määritetyn ajanjakson ajan, EnforceNonceInJWT-asetus on päivitettävä käyttöön.

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu Yhteisö

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.

Kysy Microsoftin yhteisöltä

Microsoft Tech Community -verkosto

Windows Insider -käyttäjät

Microsoft 365 Insider -jäsenet

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?
Kun valitset Lähetä, palautettasi käytetään Microsoftin tuotteiden ja palveluiden parantamiseen. IT-järjestelmänvalvojasi voi kerätä nämä tiedot. Tietosuojatiedot.

Kiitos palautteesta!

×