Microsoft로 로그인
로그인하거나 계정을 만듭니다.
안녕하세요.
다른 계정을 선택합니다.
계정이 여러 개 있음
로그인할 계정을 선택합니다.

요약

Microsoft는 CVE-2023-35348에 설명된 대로 Active Directory Federation Services(AD FS)의 토큰 재생 공격 취약성을 해결하기 위한 Windows 업데이트를 릴리스했습니다. 이 업데이트는 2023년 7월 11일 또는 그 이후에 릴리스된 Windows 업데이트에 의해 설치됩니다. 기본적으로 이 업데이트는 사용하지 않도록 설치됩니다. 업데이트를 사용하도록 설정하려면 EnforceNonceInJWT 설정을 구성해야 합니다.

자세한 내용

이 업데이트는 JWT 사용자 인증 중에 JWT(JSON 웹 토큰) 어설션에서 Nonce의 유효성을 검사할 수 있도록 하는 새로운 설정을 도입했습니다.

이 문서에서는 설정을 사용하도록 설정하는 방법을 설명하고 AD FS 서버에 기록된 이벤트의 세부 정보를 설정의 지원되는 값에 대해 제공합니다.

EnforceNonceInJWT 설정

EnforceNonceInJWT 는 ADFS 서버의 관리자가 다음 모드 중 하나로 실행하도록 구성할 수 있습니다.

  • 없음 (기본값): EnforceNonceInJWT 설정 값이 변경되었는지 추적하는 데 사용됩니다. 이 값은 관리자가 설정할 수 없습니다. ADFS 서버는 JWT 어설션에 있는 경우에만 nonce의 유효성을 검사하지만 존재하지는 않습니다.

  • 비활성화: 이 값은 수정을 사용하지 않도록 설정하기 위해 설정될 수 있습니다. 기본값 또는 게시물 사용과 관련된 문제가 있는 경우 수정을 사용하지 않도록 설정할 수 있습니다.

  • 사용: EnforceNonceInJWT 설정을 사용하도록 설정합니다. ADFS 서버는 Nonce 가 JWT 어설션에 있으며 특정 조건이 충족될 때도 유효합니다.

다음 PowerShell 명령을 사용하여 AD FS 서버의 관리자가 EnforceNonceInJWT 모드를 변경할 수 있습니다.

  • EnforceNonceInJWT 사용:

    Set-AdfsProperties -EnforceNonceInJWT 사용

  • EnforceNonceInJWT 사용 안 함:

    Set-AdfsProperties -EnforceNonceInJWT 사용 안 함

  • EnforceNonceInJWT 설정

    의 상태 확인합니다. 관리자는 Get-AdfsProperties를 실행하여 현재 EnforceNonceInJWT 설정을 검사 수 있습니다. 반환된 EnforceNonceInJWT 값은 구성된 모드와 일치합니다.

기록된 이벤트

다음 이벤트는 2023년 7월 11일 또는 그 이후에 릴리스된 Windows 업데이트가 설치된 후 AD FS 서버에 기록될 수 있습니다.

참고 이벤트 187은 AD FS 서버가 JWT 어설션에 Nonce 를 포함하지 않는 요청을 수신하고 EnforceNonceInJWTNone 또는 Disabled로 설정될 때마다 기록됩니다.

소스: AD FS  

수준: 경고 

ID: 187 

메시지: AD FS 서버는 어설션에서 nonce 없이 JWT 토큰을 받았으며 EnforceNonceInJWT의 현재 구성 설정에 따라 수락되었습니다. 그러나 악의적인 클라이언트가 JWT 토큰을 재생할 수 있거나 클라이언트가 최신 Windows 업데이트 패치되지 않을 가능성을 나타냅니다. 최신 Windows 업데이트 클라이언트를 패치한 후 이러한 모든 JWT 토큰을 거부하도록 EnforceNonceInJWT 설정을 업데이트해야 합니다. 이에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2238156 참조하세요.

참고 이벤트 188은 EnforceNonceInJWTNone 또는 Disabled로 설정된 경우 모든 AD FS 서비스가 시작될 때마다 기록됩니다.

소스: AD FS  

수준: Error 

ID: 188 

메시지: AD FS 서버는 어설션에 nonce가 없는 JWT 토큰을 거부하도록 구성되지 않았습니다. 모든 클라이언트가 최신 Windows 업데이트 패치되었는지 확인한 후 보안상의 이유로 해당 설정(EnforceNonceInJWT)을 사용하도록 설정해야 합니다. 이벤트 187은 AD FS가 이러한 토큰을 수신하고 현재 EnforceNonceInJWT 설정으로 인해 수락된 인스턴스를 나타냅니다. 이에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2238156 참조하세요.

조치 취하기

팜의 모든 AD FS 서버에 2023년 7월 11일 또는 그 이후에 릴리스된 Windows 업데이트를 설치합니다. 그런 다음 팜의 기본 AD FS 서버에서 다음 PowerShell 명령을 실행하여 설정을 사용하도록 설정합니다.

Set-AdfsProperties -EnforceNonceInJWT 사용

중요 업데이트되지 않은 클라이언트가 있고 JWT 인증 요청을 AD FS 서버로 보내는 경우 특정 시나리오에서 인증 오류가 발생할 수 있습니다. 이러한 경우 2023년 7월 11일 또는 그 이후에 릴리스된 Windows 업데이트를 설치하여 모든 클라이언트를 업데이트하는 것이 좋습니다. 또는 관리자가 EnforceNonceInJWT 설정을 사용하지 않도록 설정하고 이벤트 187 로깅에 대한 AD FS 서버를 모니터링하여 EnforceNonceInJWT 가 사용으로 설정된 경우 거부될 수 있는 잠재적 요청을 식별할 수 있습니다. 정의된 기간 동안 AD FS 서버에 이벤트 187이 없음을 확인한 후 EnforceNonceInJWT 설정을 사용으로 업데이트해야 합니다.

Facebook LinkedIn 전자 메일
RSS 피드 구독

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

검색 커뮤니티

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.

Microsoft 커뮤니티에 질문하기

Microsoft Tech Community

Windows 참가자

Microsoft 365 참가자

이 정보가 유용한가요?

언어 품질에 얼마나 만족하시나요?
사용 경험에 어떠한 영향을 주었나요?
제출을 누르면 피드백이 Microsoft 제품과 서비스를 개선하는 데 사용됩니다. IT 관리자는 이 데이터를 수집할 수 있습니다. 개인정보처리방침

의견 주셔서 감사합니다!

×