Suvestinė
"Microsoft" išleido "Windows" naujinimą, kad spręstų atpažinimo ženklo kartomo atakos pažeidžiamumą "Active Directory" susiejimo tarnyba (AD FS), kaip aprašyta CVE-2023-35348. Šį naujinimą įdiegė "Windows" naujinimai, išleisti 2023 m. liepos 11 d. arba vėliau. Pagal numatytuosius parametrus šis naujinimas yra išjungtas. Norėdami įgalinti naujinimą, turite sukonfigūruoti EnforceNonceInJWT parametrą.
Daugiau informacijos
Šis naujinimas pristato naują parametrą įgalinti "Nonce " tikrinimą iš "JSON Web Token" (JWT) patvirtinimo JWT vartotojo autentifikavimo metu.
Šiame straipsnyje aprašoma, kaip įgalinti parametrą ir pateikiama informacija apie AD FS serveriuose užregistruotus įvykius palaikomoms parametro reikšmėms.
EnforceNonceInJWT parametras
ADFS serveryje administratorius gali sukonfigūruoti EnforceNonceInJWT, kad jis veiktų vienu iš šių režimų:
-
Nėra (numatytoji reikšmė): Naudojama sekti, ar kada nors buvo pakeista "EnforceNonceInJWT " parametro reikšmė. Administratorius negali nustatyti šios reikšmės. ADFS serveris patikrina netesį tik tada, kai jis yra JWT teiginyje, bet neįjungia jo buvimo būsenos.
-
Išjungta: Ši reikšmė gali būti nustatyta, kad būtų galima išjungti pataisą, jei kilo problemų, susijusių su numatytąja reikšme, arba ją įgalinant.
-
Įjungtas: Įgalina EnforceNonceInJWT parametrą. ADFS serveris įgalina, kad "Nonce " yra JWT teiginyje ir jis taip pat galioja, kai tenkinamos tam tikros sąlygos.
"EnforceNonceInJWT " režimus gali pakeisti AD FS serverio administratorius, naudodamas šias "PowerShell" komandas:
-
Įgalinti EnforceNonceInJWT:
Set-AdfsProperties - EnforceNonceInJWT Enabled -
Išjungti EnforceNonceInJWT:
Set-AdfsProperties - EnforceNonceInJWT išjungta -
Patikrinkite parametro EnforceNonceInJWT būseną:
Administratorius gali paleisti Get-AdfsProperties , kad patikrintų dabartinį EnforceNonceInJWT parametrą. Grąžinta EnforceNonceInJWT reikšmė atitiks sukonfigūruotą režimą.
Užregistruoti įvykiai
Įdiegus "Windows" naujinimus, išleistus 2023 m. liepos 11 d. arba vėliau, AD FS serveryje gali būti registruojami šie įvykiai:
Pastaba 187 įvykis užregistruojamas, kai AD FS serveris gauna užklausą, kurioje nėra "Nonce " JWT teiginyje, o EnforceNonceInJWT nustatyta kaip Nėra arba Išjungta.
Šaltinis: AD FS
Lygio: Įspėjimas
ID: 187
Pranešimą: AD FS serveris gavo JWT atpažinimo ženklą be apribojimo ir buvo priimtas pagal dabartinį EnforceNonceInJWT konfigūracijos parametrą. Tačiau jis nurodo, kad kenkėjiškas klientas gali pakartoti JWT atpažinimo ženklą arba galimybę, kad klientas nėra pataisytas naujausiomis "Windows Naujinimai". Pataisę klientus su naujausia "Windows" Naujinimai, būtinai atnaujinkite parametrą EnforceNonceInJWT, kad būtų atmesti visi tokie JWT atpažinimo ženklus. Daugiau informacijos apie tai žr. https://go.microsoft.com/fwlink/?linkid=2238156.
Pastaba Įvykis 188 užregistruojamas naudojant kiekvieną AD FS tarnybą, kai EnforceNonceInJWT nustatyta kaip Nėra arba Išjungta.
Šaltinis: AD FS
Lygio: Klaida
ID: 188
Pranešimą: AD FS serveris nesukonfigūruotas atmesti JWT atpažinimo ženklų, kurie neturi teiginio. Atitinkamas parametras (EnforceNonceInJWT) turi būti įgalintas dėl saugos priežasčių, užtikrindamas, kad visi klientai būtų pataisyti naujausiais "Windows" Naujinimai. Įvykis 187 nurodo atvejus, kai AD FS gavo tokius atpažinimo ženklus ir priėmė dėl dabartinio "EnforceNonceInJWT" parametro. Daugiau informacijos apie tai žr. https://go.microsoft.com/fwlink/?linkid=2238156.
Imtis veiksmų
Įdiekite "Windows" naujinimus, išleistus 2023 m. liepos 11 d. arba vėliau visuose ūkio AD FS serveriuose. Tada įgalinkite parametrą vykdydami šią "PowerShell" komandą ūkio pirminiame AD FS serveryje:
Set-AdfsProperties – įgalinta "EnforceNonceInJWT"
Svarbu Galite matyti autentifikavimo klaidas tam tikruose scenarijuose, kai yra klientų, kurie nėra atnaujinti ir siųsti JWT autentifikavimo užklausas AD FS serveriui. Tokiais atvejais rekomenduojame atnaujinti visus klientus įdiegiant "Windows" naujinimą, išleistą 2023 m. liepos 11 d. arba vėliau. Arba administratorius gali išjungti EnforceNonceInJWT parametrą ir stebėti AD FS serverius, kad būtų galima registruoti 187 įvykį, kad nustatytų galimas užklausas, kurios gali būti atmestos, kai EnforceNonceInJWT nustatyta kaip Įgalinta. Patvirtinus, kad nėra 187 įvykio AD FS serveriuose per nustatytą laikotarpį, parametras EnforceNonceInJWT turi būti atnaujintas į Įgalinta.