Prijavite se pomoću Microsofta
Prijavi se ili izradi račun.
Zdravo,
Odaberite drugi račun.
Imate više računa
Odaberite račun putem kojeg se želite prijaviti.

Sažetak

Microsoft je objavio ažuriranje sustava Windows radi rješavanja ranjivosti napada ponovne reprodukcije tokena u sustavu Active Directory Federation Services (AD FS) kao što je opisano u članku CVE-2023-35348. Ovo ažuriranje instaliraju ažuriranja sustava Windows objavljena 11. srpnja 2023. ili kasnije. Ovo je ažuriranje po zadanom onemogućeno. Da biste omogućili ažuriranje, morate konfigurirati postavku EnforceNonceInJWT .

Dodatne informacije

Ovo ažuriranje uvodi novu postavku za omogućivanje provjere valjanosti aplikacije Nonce iz tvrdnje JSON web-tokena (JWT) tijekom JWT provjere autentičnosti korisnika.

U ovom se članku opisuje kako omogućiti postavku i pronaći pojedinosti o događajima prijavljenima na poslužiteljima servisa AD FS za podržane vrijednosti postavke.

Postavka EnforceNonceInJWT

Administrator na ADFS poslužitelju može konfigurirati EnforceNonceInJWT tako da se izvodi u jednom od sljedećih načina rada:

  • Ništa (zadana vrijednost): koristi se za praćenje je li vrijednost postavke EnforceNonceInJWT ikad promijenjena. Administrator ne može postaviti tu vrijednost. ADFS poslužitelj provjerava valjanost čvora samo kada je prisutan u JWT tvrdnji, ali ne nameće njezinu prisutnost.

  • Onemogućen: Ta se vrijednost može postaviti da bi se onemogućio popravak, ako postoje problemi sa zadanom vrijednošću ili objavom koja je omogućuje.

  • Omogućen: Omogućuje postavku EnforceNonceInJWT . ADFS poslužitelj nameće da je Nonce prisutan u tvrdnji JWT-a i da je valjan i kada se zadime određeni uvjeti.

Administrator može promijeniti način rada EnforceNonceInJWT na poslužitelju AD FS pomoću sljedećih naredbi komponente PowerShell:

  • Omogući EnforceNonceInJWT:

    Omogućeno Set-AdfsProperties -EnforceNonceInJWT

  • Onemogući EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT disabled

  • Provjerite status postavke EnforceNonceInJWT:

    Administrator može pokrenuti Get-AdfsProperties da bi provjerio trenutnu postavku EnforceNonceInJWTVraćena vrijednost EnforceNonceInJWT podudarat će se s konfiguriranim načinom rada.

Zabilježeni događaji

Nakon instalacije ažuriranja sustava Windows objavljenih 11. srpnja 2023. na poslužitelju AD FS mogu se zapisati sljedeći događaji:

Napomena Događaj 187 bilježi se svaki put kada AD FS poslužitelj primi zahtjev koji ne sadrži Nonce u tvrdnji JWT i EnforceNonceInJWT postavljen je na Ništa ili Onemogućeno.

Izvor: AD FS  

Razini: Upozorenje 

Cijena: 2000.000 KN 

Poruku: AD FS poslužitelj je primio JWT token bez iščeznuće i prihvaćen je na temelju trenutne konfiguracijske postavke enforceNonceInJWT. No to upućuje na moguću ponovnu reprodukciju JWT tokena od strane zlonamjernog klijenta ili mogućnost da klijent nije zakrpan s najnovijim windows Ažuriranja. Obavezno ažurirajte postavku EnforceNonceInJWT da biste odbacili sve takve JWT tokene nakon zakrpe klijenata najnovijim windows Ažuriranja. Dodatne informacije o tome potražite u članku https://go.microsoft.com/fwlink/?linkid=2238156.

Napomena Događaj 188 bilježi se svakim pokretanjem servisa AD FS kada je Mogućnost EnforceNonceInJWT postavljena na Ništa iliOnemogućeno.

Izvor: AD FS  

Razini: Pogreška 

Cijena: 2000.000 KN 

Poruku: AD FS poslužitelj nije konfiguriran za odbacivanje JWT tokena koji nisu imali čvor u tvrdnji. Odgovarajuća postavka (EnforceNonceInJWT) trebala bi biti omogućena iz sigurnosnih razloga nakon što se provjeri jesu li svi klijenti zakrpati s najnovijim sustavom Windows Ažuriranja. Događaj 187 označava instance u kojima je AD FS primio takve tokene i prihvatio zbog trenutne postavke EnforceNonceInJWT. Dodatne informacije o tome potražite u članku https://go.microsoft.com/fwlink/?linkid=2238156.

Akcija

Instalirajte ažuriranja sustava Windows objavljena 11. srpnja 2023. ili kasnije na svim poslužiteljima AD FS farme. Zatim omogućite postavku pokretanjem sljedeće naredbe powershell na primarnom ad FS poslužitelju farme:

Set-AdfsProperties -EnforceNonceInJWT Enabled

Važno U određenim scenarijima može se pojaviti neuspješna provjera autentičnosti kada postoje klijenti koji nisu ažurirani i slanje zahtjeva za provjeru autentičnosti JWT-a poslužitelju AD FS. U takvim slučajevima preporučujemo ažuriranje svih klijenata instaliranjem ažuriranja sustava Windows objavljenog 11. srpnja 2023. ili kasnije. Osim toga, administrator može onemogućiti postavku EnforceNonceInJWT i nadzirati poslužitelje AD FS za zapisivanje događaja 187 radi prepoznavanja potencijalnih zahtjeva koji bi se mogli odbaciti kada je Postavka EnforceNonceInJWT postavljena na Omogućeno. Nakon potvrde odsutnosti događaja 187 na poslužiteljima AD FS za određeno vremensko razdoblje, postavka EnforceNonceInJWT mora se ažurirati na Omogućeno.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Otkrijte Zajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?
Ako pritisnete Pošalji, vaše će se povratne informacije iskoristiti za poboljšanje Microsoftovih proizvoda i usluga. Vaš će IT administrator moći prikupiti te podatke. Izjava o zaštiti privatnosti.

Hvala vam na povratnim informacijama!

×