Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

Riassunto

Microsoft ha rilasciato un aggiornamento di Windows per risolvere una vulnerabilità di attacco di replica token in Active Directory Federation Services (AD FS), come descritto in CVE-2023-35348. Questo aggiornamento viene installato dagli aggiornamenti di Windows rilasciati dopo l'11 luglio 2023 incluso. Per impostazione predefinita, questo aggiornamento è disabilitato. Per abilitare l'aggiornamento, è necessario configurare l'impostazione EnforceNonceInJWT .

Altre informazioni

Questo aggiornamento introduce una nuova impostazione per abilitare la convalida di nonce dall'asserzione JSON Web Token (JWT) durante l'autenticazione utente JWT.

Questo articolo descrive come abilitare l'impostazione e fornisce i dettagli degli eventi connessi ai server AD FS per i valori supportati dell'impostazione.

Impostazione EnforceNonceInJWT

EnforceNonceInJWT può essere configurato da un amministratore su un server ADFS per l'esecuzione in una delle seguenti modalità:

  • Nessuno (valore predefinito): viene usato per tenere traccia se il valore dell'impostazione EnforceNonceInJWT è stato modificato. Questo valore potrebbe non essere impostato da un amministratore. Il server ADFS convalida il nonce solo quando è presente nell'asserzione JWT, ma non ne impone la presenza.

  • Disabili: Questo valore può essere impostato per disabilitare la correzione, se si verificano problemi con il valore predefinito o dopo l'abilitazione.

  • Abilitato: Abilita l'impostazione EnforceNonceInJWT . Il server ADFS impone che Nonce sia presente nell'asserzione JWT ed è valido anche quando vengono soddisfatte determinate condizioni.

La modalità EnforceNonceInJWT può essere modificata da un amministratore in un server AD FS utilizzando i comandi di PowerShell seguenti:

  • Abilita EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Abilitato

  • Disabilitare EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Disabilitato

  • Controllare lo stato dell'impostazione EnforceNonceInJWT:

    Un amministratore può eseguire Get-AdfsProperties per controllare l'impostazione corrente di EnforceNonceInJWT . Il valore EnforceNonceInJWT restituito corrisponderà alla modalità configurata.

Eventi registrati

Gli eventi seguenti possono essere registrati in un server AD FS dopo l'installazione degli aggiornamenti di Windows rilasciati l'11 luglio 2023 o successivamente:

Nota L'evento 187 viene registrato ogni volta che il server AD FS riceve una richiesta che non contiene Nonce nell'asserzione JWT e EnforceNonceInJWT è impostato su Nessuno o Disabilitato.

Fonte: AD FS  

Livello: Attenzione 

ID: 187 

Messaggio: Il server AD FS ha ricevuto un token JWT senza nonce nell'asserzione ed è stato accettato in base all'impostazione di configurazione corrente di EnforceNonceInJWT. Tuttavia, indica una potenziale riproduzione del token JWT da parte di un client dannoso o la possibilità che al client non sia applicata la patch con l'ultima versione di Windows Aggiornamenti. Assicurarsi di aggiornare l'impostazione EnforceNonceInJWT per rifiutare tutti questi token JWT dopo aver applicato la patch ai client con l'ultima versione di Windows Aggiornamenti. Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2238156.

Nota L'evento 188 viene registrato con ogni servizio AD FS avviato quando EnforceNonceInJWT è impostato su Nessuno o Disabilitato.

Fonte: AD FS  

Livello: Errore 

ID: 188 

Messaggio: Il server AD FS non è configurato per rifiutare i token JWT che non avevano alcun dato nell'asserzione. L'impostazione corrispondente (EnforceNonceInJWT) deve essere abilitata per motivi di sicurezza dopo aver verificato che tutti i client siano stati aggiornati con l'ultima versione di Windows Aggiornamenti. L'evento 187 indica le istanze in cui AD FS ha ricevuto tali token e accettato a causa dell'impostazione corrente di EnforceNonceInJWT. Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2238156.

Intervenire

Installare gli aggiornamenti di Windows rilasciati dopo l'11 luglio 2023 in tutti i server AD FS della farm. Abilitare quindi l'impostazione eseguendo il comando di PowerShell seguente nel server AD FS primario della farm:

Set-AdfsProperties -EnforceNonceInJWT abilitato

Importante In alcuni scenari è possibile che si verifichino errori di autenticazione quando sono presenti client non aggiornati e si inviano richieste di autenticazione JWT al server AD FS. In questi casi, è consigliabile aggiornare tutti i client installando l'aggiornamento di Windows rilasciato in data 11 luglio 2023 o successivamente. In alternativa, un amministratore può disabilitare l'impostazione EnforceNonceInJWT e monitorare i server AD FS per la registrazione dell'evento 187 per identificare le potenziali richieste che potrebbero essere rifiutate quando EnforceNonceInJWT è impostato su Abilitato. Dopo aver verificato l'assenza dell'evento 187 sui server AD FS per un determinato periodo di tempo, l'impostazione EnforceNonceInJWT deve essere aggiornata su Abilitato.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×