Kopsavilkums
Microsoft ir izlaidusi Windows atjauninājumu, lai novērstu marķieri, atkārtoti parādīt ievainojamību programmā Active Directory federācijas pakalpojums (AD FS), kā aprakstīts CVE-2023-35348. Šo atjauninājumu instalē Windows atjauninājumi, kas izlaisti 2023. gada 11. jūlijā vai pēc tam. Pēc noklusējuma šis atjauninājums ir atspējots. Lai iespējotu atjauninājumu, ir jākonfigurē iestatījums EnforceNonceInJWT .
Papildinformācija
Šis atjauninājums ievieš jaunu iestatījumu, lai JWT lietotāja autentifikācijas laikā iespējotu Nonce no JSON tīmekļa pilnvaru ( JWT) apgalvojumu.
Šajā rakstā aprakstīts, kā iespējot šo iestatījumu, un sniegta detalizēta informācija par notikumiem, kas reģistrēti AD FS serveros atbalstītajām iestatījuma vērtībām.
EnforceNonceInJWT iestatījums
EnforceNonceInJWT var konfigurēt ADFS servera administrators, lai tas izpildītu vienā no šiem režīmiem:
-
Nav (noklusējuma vērtība): šī vērtība tiek izmantota, lai izsekotu, ja ir mainīta iestatījuma EnforceNonceInJWT vērtība. Šo vērtību nevar iestatīt administrators. ADFS serveris validē to tikai tad, ja tas ir JWT apgalvojumu, bet neievieš tā klātbūtni.
-
Atspējošanas: Šī vērtība var būt iestatīta, lai atspējotu labojumu, ja rodas problēmas ar noklusējuma vērtību vai publicējiet tā iespējošanu.
-
Iespējots: Iespējo iestatījumu EnforceNonceInJWT . ADFS serveris ieviesīs, ka Nonce ir spēkā JWT apgalvojumu, un tas ir derīgs arī tad, ja tiek izpildīti konkrēti nosacījumi.
Ad FS servera administrators var mainīt režīmu EnforceNonceInJWT , izmantojot šādas PowerShell komandas:
-
Enable EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Enabled -
Atspējojiet EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Disabled -
Pārbaudiet iestatījuma EnforceNonceInJWT statusu:
Administrators var palaist Get-AdfsProperties , lai pārbaudītu pašreizējo iestatījumu EnforceNonceInJWT . Atgrieztā vērtība EnforceNonceInJWT atbildīs konfigurētajā režīmā.
Reģistrētie notikumi
Pēc 2023. gada 11. jūlija Windows atjauninājumu instalēšanas vai pēc 2023. gada 11. jūlija ir iespējams reģistrēt AD FS serverī šādus notikumus:
Piezīme Notikums 187 tiek reģistrēts ikreiz, kad AD FS serveris saņem pieprasījumu, kas nesatur Nonce JWT apgalvojumu un EnforceNonceInJWT ir iestatīts kā Nav vai Atspējots.
Avots: AD FS
Līmenis: Brīdinājums
ID: 187
Ziņojums: AD FS serveris saņēma JWT pilnvaru bez nonces laukā, un tas tika pieņemts atbilstoši pašreizējam EnforceNonceInJWT konfigurācijas iestatījumam. Tomēr tas norāda uz potenciālo JWT marķiera parādīšanu, ko veic ļaunprātīgs klients, vai iespējamību, ka klientam netiek veikts ielāps, izmantojot jaunāko Windows Atjauninājumi. Lūdzu, atjauniniet iestatījumu EnforceNonceInJWT, lai noraidītu visus šādus JWT marķierus pēc klienta ielāpšanas ar jaunāko Windows Atjauninājumi. Papildinformāciju par to skatiet rakstā https://go.microsoft.com/fwlink/?linkid=2238156.
Piezīme Notikums 188 tiek reģistrēts ar katru AD FS pakalpojumu sākas, kad Ir iestatīta vērtība EnforceNonceInJWT kā Nav vai Atspējota.
Avots: AD FS
Līmenis: Kļūda
ID: 188
Ziņojums: AD FS serveris nav konfigurēts noraidīt JWT marķierus, kuriem nav nonces attiecībā pret apgalvojumu. Drošības apsvērumu dēļ atbilstošais iestatījums (EnforceNonceInJWT) ir jāiespējo pēc tam, kad esat pārliecināts, ka visiem klientiem ir ielāpi ar jaunāko Windows Atjauninājumi. Notikums 187 norāda instances, kurās AD FS saņēma šādus marķierus un akceptējis, jo pašreizējais iestatījums EnforceNonceInJWT. Papildinformāciju par to skatiet rakstā https://go.microsoft.com/fwlink/?linkid=2238156.
Rīcība
Instalējiet Windows atjauninājumus, kas izlaisti pēc 2023. gada 11. jūlija visos AD FS fermas serveros. Pēc tam iespējojiet šo iestatījumu, fermas primārajā AD FS serverī izpildot šādu PowerShell komandu:
Set-AdfsProperties -EnforceNonceInJWT Enabled
Svarīgi Noteiktos scenārijos var tikt rādītas autentifikācijas kļūmes, ja klienti nav atjaunināti, un nosūtīt JWT autentifikācijas pieprasījumus AD FS serverim. Šādā gadījumā mēs iesakām atjaunināt visus klientus, instalējot 2023. gada 11. jūlijā vai pēc 2023. gada 11. jūlija izlaisto Windows atjauninājumu. Vai arī administrators var atspējot iestatījumu EnforceNonceInJWT un pārraudzīt AD FS serverus notikuma 187 reģistrēšanai, lai noteiktu potenciālos pieprasījumus, kurus var noraidīt, ja Ir iespējots EnforceNonceInJWT. Pēc tam, kad būs apstiprināts, ka AD FS serveros nav notikuma 187 noteiktā laika periodā, iestatījums EnforceNonceInJWT ir jāatjaunina uz Enabled.