Összefoglalás
A Microsoft kiadott egy Windows-frissítést, amely a CVE-2023-35348 jelű CVE-2023-35348-as verzióban leírt módon kezeli a jogkivonatok visszajátszására vonatkozó támadási biztonsági rést a Active Directory összevonási szolgáltatások (AD FS) (AD FS) rendszerben. Ezt a frissítést a 2023. július 11-én vagy azt követően kiadott Windows-frissítések telepítik. Alapértelmezés szerint ez a frissítés le van tiltva. A frissítés engedélyezéséhez konfigurálnia kell az EnforceNonceInJWT beállítást.
További információ
Ez a frissítés egy új beállítást vezet be, amely lehetővé teszi a Nonce érvényesítését a JSON webes jogkivonatból (JWT) a JWT felhasználói hitelesítés során.
Ez a cikk bemutatja, hogyan engedélyezheti a beállítást, és ismerteti az AD FS-kiszolgálókon naplózott események részleteit a beállítás támogatott értékeihez.
EnforceNonceInJWT beállítás
Az EnforceNonceInJWT-t egy rendszergazda konfigurálhatja egy ADFS-kiszolgálón az alábbi módok egyikének futtatására:
-
Nincs (alapértelmezett érték): Ez annak nyomon követésére szolgál, hogy az EnforceNonceInJWT beállítás értéke valaha is módosult-e. Előfordulhat, hogy a rendszergazda nem állítja be ezt az értéket. Az ADFS-kiszolgáló csak akkor érvényesíti a nem elemet, ha szerepel a JWT-helyességi feltételben, de nem kényszeríti ki annak jelenlétét.
-
Tiltva: Ezt az értéket beállíthatja a javítás letiltásához, ha bármilyen probléma merült fel az Alapértelmezett értékkel vagy az engedélyezés után.
-
Engedélyezve: Engedélyezi az EnforceNonceInJWT beállítást. Az ADFS-kiszolgáló kikényszeríti, hogy a Nonce szerepel a JWT-helyességi feltételben, és bizonyos feltételek teljesülése esetén is érvényes.
Az EnforceNonceInJWT módokat egy rendszergazda módosíthatja egy AD FS-kiszolgálón az alábbi PowerShell-parancsokkal:
-
Az EnforceNonceInJWT engedélyezése:
Set-AdfsProperties -EnforceNonceInJWT engedélyezve -
Az EnforceNonceInJWT letiltása:
Set-AdfsProperties -EnforceNonceInJWT disabled -
Ellenőrizze az EnforceNonceInJWT beállítás állapotát:
Egy rendszergazda futtathatja a Get-AdfsProperties parancsot az enforceNonceInJWT aktuális beállításának ellenőrzéséhez. A visszaadott EnforceNonceInJWT érték megegyezik a konfigurált móddal.
Naplózott események
A következő események naplózhatók egy AD FS-kiszolgálón a 2023. július 11-én vagy azt követően kiadott Windows-frissítések telepítése után:
Megjegyzés A rendszer minden alkalommal naplózza a 187-as eseményt, amikor az AD FS-kiszolgáló olyan kérést kap, amely nem tartalmaz Nonce-t a JWT-helyességi feltételben, és az EnforceNonceInJWT értéke Nincs vagy Letiltva.
Forrás: AD FS
Szinten: Figyelmeztetés
Azonosító: 187
Üzenetet: Az AD FS-kiszolgáló egy JWT-jogkivonatot kapott, amely nem szerepel a helyességi feltételben, és az EnforceNonceInJWT aktuális konfigurációs beállítása alapján lett elfogadva. Ez azonban azt jelzi, hogy egy rosszindulatú ügyfél esetleg visszajátssza a JWT-jogkivonatot, vagy azt a lehetőséget, hogy az ügyfél nincs javítva a legújabb Windows Frissítések. Frissítse az EnforceNonceInJWT beállítást, hogy az összes ilyen JWT-jogkivonatot elutasítsa az ügyfelek legújabb Windows Frissítések való javítása után. Erről további információt a https://go.microsoft.com/fwlink/?linkid=2238156 című témakörben talál.
Megjegyzés A rendszer minden AD FS-szolgáltatás indításával naplózza a 188- os eseményt, ha az EnforceNonceInJWT értéke Nincs vagy Letiltva.
Forrás: AD FS
Szinten: Hiba
Azonosító: 188
Üzenetet: Az AD FS-kiszolgáló nincs konfigurálva arra, hogy elutasítsa azokat a JWT-jogkivonatokat, amelyek nem rendelkeztek a helyességi feltételben nem szereplő JWT-jogkivonatokkal. A megfelelő beállítást (EnforceNonceInJWT) biztonsági okokból engedélyezni kell, miután meggyőződött arról, hogy az összes ügyfél a legújabb Windows Frissítések van javítva. A 187-s esemény jelzi azokat a példányokat, ahol az AD FS ilyen jogkivonatokat kapott, és az EnforceNonceInJWT jelenlegi beállítása miatt fogadták el. Erről további információt a https://go.microsoft.com/fwlink/?linkid=2238156 című témakörben talál.
Művelet végrehajtása
Telepítse a 2023. július 11-én vagy azt követően kiadott Windows-frissítéseket a farm összes AD FS-kiszolgálójára. Ezután engedélyezze a beállítást a következő PowerShell-parancs futtatásával a farm elsődleges AD FS-kiszolgálóján:
Set-AdfsProperties -EnforceNonceInJWT engedélyezve
Fontos Bizonyos esetekben hitelesítési hibákat tapasztalhat, ha vannak olyan ügyfelek, amelyek nincsenek frissítve, és JWT-hitelesítési kéréseket küldenek az AD FS-kiszolgálónak. Ilyen esetekben azt javasoljuk, hogy frissítse az összes ügyfelet a 2023. július 11-én vagy azt követően kiadott Windows-frissítés telepítésével. Másik lehetőségként a rendszergazda letilthatja az EnforceNonceInJWT beállítást, és figyelheti az AD FS-kiszolgálókat a 187-es esemény naplózásához, hogy azonosítsa azokat a lehetséges kéréseket, amelyek elutasíthatók, ha az EnforceNonceInJWTengedélyezve értékre van állítva. Miután meggyőződik arról, hogy az AD FS-kiszolgálókon egy meghatározott ideig nem volt 187-s esemény, az EnforceNonceInJWT beállítást Engedélyezve értékre kell frissíteni.