Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Suvestinė

"Microsoft" išleido "Windows" naujinimą, kad spręstų atpažinimo ženklo kartomo atakos pažeidžiamumą "Active Directory" susiejimo tarnyba (AD FS), kaip aprašyta CVE-2023-35348. Šį naujinimą įdiegė "Windows" naujinimai, išleisti 2023 m. liepos 11 d. arba vėliau. Pagal numatytuosius parametrus šis naujinimas yra išjungtas. Norėdami įgalinti naujinimą, turite sukonfigūruoti EnforceNonceInJWT parametrą.

Daugiau informacijos

Šis naujinimas pristato naują parametrą įgalinti "Nonce " tikrinimą iš "JSON Web Token" (JWT) patvirtinimo JWT vartotojo autentifikavimo metu.

Šiame straipsnyje aprašoma, kaip įgalinti parametrą ir pateikiama informacija apie AD FS serveriuose užregistruotus įvykius palaikomoms parametro reikšmėms.

EnforceNonceInJWT parametras

ADFS serveryje administratorius gali sukonfigūruoti EnforceNonceInJWT, kad jis veiktų vienu iš šių režimų:

  • Nėra (numatytoji reikšmė): Naudojama sekti, ar kada nors buvo pakeista "EnforceNonceInJWT " parametro reikšmė. Administratorius negali nustatyti šios reikšmės. ADFS serveris patikrina netesį tik tada, kai jis yra JWT teiginyje, bet neįjungia jo buvimo būsenos.

  • Išjungta: Ši reikšmė gali būti nustatyta, kad būtų galima išjungti pataisą, jei kilo problemų, susijusių su numatytąja reikšme, arba ją įgalinant.

  • Įjungtas: Įgalina EnforceNonceInJWT parametrą. ADFS serveris įgalina, kad "Nonce " yra JWT teiginyje ir jis taip pat galioja, kai tenkinamos tam tikros sąlygos.

"EnforceNonceInJWT " režimus gali pakeisti AD FS serverio administratorius, naudodamas šias "PowerShell" komandas:

  • Įgalinti EnforceNonceInJWT:

    Set-AdfsProperties - EnforceNonceInJWT Enabled

  • Išjungti EnforceNonceInJWT:

    Set-AdfsProperties - EnforceNonceInJWT išjungta

  • Patikrinkite parametro EnforceNonceInJWT būseną:

    Administratorius gali paleisti Get-AdfsProperties , kad patikrintų dabartinį EnforceNonceInJWT parametrą. Grąžinta EnforceNonceInJWT reikšmė atitiks sukonfigūruotą režimą.

Užregistruoti įvykiai

Įdiegus "Windows" naujinimus, išleistus 2023 m. liepos 11 d. arba vėliau, AD FS serveryje gali būti registruojami šie įvykiai:

Pastaba 187 įvykis užregistruojamas, kai AD FS serveris gauna užklausą, kurioje nėra "Nonce " JWT teiginyje, o EnforceNonceInJWT nustatyta kaip Nėra arba Išjungta.

Šaltinis: AD FS  

Lygio: Įspėjimas 

ID: 187 

Pranešimą: AD FS serveris gavo JWT atpažinimo ženklą be apribojimo ir buvo priimtas pagal dabartinį EnforceNonceInJWT konfigūracijos parametrą. Tačiau jis nurodo, kad kenkėjiškas klientas gali pakartoti JWT atpažinimo ženklą arba galimybę, kad klientas nėra pataisytas naujausiomis "Windows Naujinimai". Pataisę klientus su naujausia "Windows" Naujinimai, būtinai atnaujinkite parametrą EnforceNonceInJWT, kad būtų atmesti visi tokie JWT atpažinimo ženklus. Daugiau informacijos apie tai žr. https://go.microsoft.com/fwlink/?linkid=2238156.

Pastaba Įvykis 188 užregistruojamas naudojant kiekvieną AD FS tarnybą, kai EnforceNonceInJWT nustatyta kaip Nėra arba Išjungta.

Šaltinis: AD FS  

Lygio: Klaida 

ID: 188 

Pranešimą: AD FS serveris nesukonfigūruotas atmesti JWT atpažinimo ženklų, kurie neturi teiginio. Atitinkamas parametras (EnforceNonceInJWT) turi būti įgalintas dėl saugos priežasčių, užtikrindamas, kad visi klientai būtų pataisyti naujausiais "Windows" Naujinimai. Įvykis 187 nurodo atvejus, kai AD FS gavo tokius atpažinimo ženklus ir priėmė dėl dabartinio "EnforceNonceInJWT" parametro. Daugiau informacijos apie tai žr. https://go.microsoft.com/fwlink/?linkid=2238156.

Imtis veiksmų

Įdiekite "Windows" naujinimus, išleistus 2023 m. liepos 11 d. arba vėliau visuose ūkio AD FS serveriuose. Tada įgalinkite parametrą vykdydami šią "PowerShell" komandą ūkio pirminiame AD FS serveryje:

Set-AdfsProperties – įgalinta "EnforceNonceInJWT"

Svarbu Galite matyti autentifikavimo klaidas tam tikruose scenarijuose, kai yra klientų, kurie nėra atnaujinti ir siųsti JWT autentifikavimo užklausas AD FS serveriui. Tokiais atvejais rekomenduojame atnaujinti visus klientus įdiegiant "Windows" naujinimą, išleistą 2023 m. liepos 11 d. arba vėliau. Arba administratorius gali išjungti EnforceNonceInJWT parametrą ir stebėti AD FS serverius, kad būtų galima registruoti 187 įvykį, kad nustatytų galimas užklausas, kurios gali būti atmestos, kai EnforceNonceInJWT nustatyta kaip Įgalinta. Patvirtinus, kad nėra 187 įvykio AD FS serveriuose per nustatytą laikotarpį, parametras EnforceNonceInJWT turi būti atnaujintas į Įgalinta.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×