Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

Kopsavilkums

Microsoft ir izlaidusi Windows atjauninājumu, lai novērstu marķieri, atkārtoti parādīt ievainojamību programmā Active Directory federācijas pakalpojums (AD FS), kā aprakstīts CVE-2023-35348. Šo atjauninājumu instalē Windows atjauninājumi, kas izlaisti 2023. gada 11. jūlijā vai pēc tam. Pēc noklusējuma šis atjauninājums ir atspējots. Lai iespējotu atjauninājumu, ir jākonfigurē iestatījums EnforceNonceInJWT .

Papildinformācija

Šis atjauninājums ievieš jaunu iestatījumu, lai JWT lietotāja autentifikācijas laikā iespējotu Nonce no JSON tīmekļa pilnvaru ( JWT) apgalvojumu.

Šajā rakstā aprakstīts, kā iespējot šo iestatījumu, un sniegta detalizēta informācija par notikumiem, kas reģistrēti AD FS serveros atbalstītajām iestatījuma vērtībām.

EnforceNonceInJWT iestatījums

EnforceNonceInJWT var konfigurēt ADFS servera administrators, lai tas izpildītu vienā no šiem režīmiem:

  • Nav (noklusējuma vērtība): šī vērtība tiek izmantota, lai izsekotu, ja ir mainīta iestatījuma EnforceNonceInJWT vērtība. Šo vērtību nevar iestatīt administrators. ADFS serveris validē to tikai tad, ja tas ir JWT apgalvojumu, bet neievieš tā klātbūtni.

  • Atspējošanas: Šī vērtība var būt iestatīta, lai atspējotu labojumu, ja rodas problēmas ar noklusējuma vērtību vai publicējiet tā iespējošanu.

  • Iespējots: Iespējo iestatījumu EnforceNonceInJWT . ADFS serveris ieviesīs, ka Nonce ir spēkā JWT apgalvojumu, un tas ir derīgs arī tad, ja tiek izpildīti konkrēti nosacījumi.

Ad FS servera administrators var mainīt režīmu EnforceNonceInJWT , izmantojot šādas PowerShell komandas:

  • Enable EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Enabled

  • Atspējojiet EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Disabled

  • Pārbaudiet iestatījuma EnforceNonceInJWT statusu:

    Administrators var palaist Get-AdfsProperties , lai pārbaudītu pašreizējo iestatījumu EnforceNonceInJWTAtgrieztā vērtība EnforceNonceInJWT atbildīs konfigurētajā režīmā.

Reģistrētie notikumi

Pēc 2023. gada 11. jūlija Windows atjauninājumu instalēšanas vai pēc 2023. gada 11. jūlija ir iespējams reģistrēt AD FS serverī šādus notikumus:

Piezīme Notikums 187 tiek reģistrēts ikreiz, kad AD FS serveris saņem pieprasījumu, kas nesatur Nonce JWT apgalvojumu un EnforceNonceInJWT ir iestatīts kā Nav vai Atspējots.

Avots: AD FS  

Līmenis: Brīdinājums 

ID: 187 

Ziņojums: AD FS serveris saņēma JWT pilnvaru bez nonces laukā, un tas tika pieņemts atbilstoši pašreizējam EnforceNonceInJWT konfigurācijas iestatījumam. Tomēr tas norāda uz potenciālo JWT marķiera parādīšanu, ko veic ļaunprātīgs klients, vai iespējamību, ka klientam netiek veikts ielāps, izmantojot jaunāko Windows Atjauninājumi. Lūdzu, atjauniniet iestatījumu EnforceNonceInJWT, lai noraidītu visus šādus JWT marķierus pēc klienta ielāpšanas ar jaunāko Windows Atjauninājumi. Papildinformāciju par to skatiet rakstā https://go.microsoft.com/fwlink/?linkid=2238156.

Piezīme Notikums 188 tiek reģistrēts ar katru AD FS pakalpojumu sākas, kad Ir iestatīta vērtība EnforceNonceInJWTNav vai Atspējota.

Avots: AD FS  

Līmenis: Kļūda 

ID: 188 

Ziņojums: AD FS serveris nav konfigurēts noraidīt JWT marķierus, kuriem nav nonces attiecībā pret apgalvojumu. Drošības apsvērumu dēļ atbilstošais iestatījums (EnforceNonceInJWT) ir jāiespējo pēc tam, kad esat pārliecināts, ka visiem klientiem ir ielāpi ar jaunāko Windows Atjauninājumi. Notikums 187 norāda instances, kurās AD FS saņēma šādus marķierus un akceptējis, jo pašreizējais iestatījums EnforceNonceInJWT. Papildinformāciju par to skatiet rakstā https://go.microsoft.com/fwlink/?linkid=2238156.

Rīcība

Instalējiet Windows atjauninājumus, kas izlaisti pēc 2023. gada 11. jūlija visos AD FS fermas serveros. Pēc tam iespējojiet šo iestatījumu, fermas primārajā AD FS serverī izpildot šādu PowerShell komandu:

Set-AdfsProperties -EnforceNonceInJWT Enabled

Svarīgi Noteiktos scenārijos var tikt rādītas autentifikācijas kļūmes, ja klienti nav atjaunināti, un nosūtīt JWT autentifikācijas pieprasījumus AD FS serverim. Šādā gadījumā mēs iesakām atjaunināt visus klientus, instalējot 2023. gada 11. jūlijā vai pēc 2023. gada 11. jūlija izlaisto Windows atjauninājumu. Vai arī administrators var atspējot iestatījumu EnforceNonceInJWT un pārraudzīt AD FS serverus notikuma 187 reģistrēšanai, lai noteiktu potenciālos pieprasījumus, kurus var noraidīt, ja Ir iespējots EnforceNonceInJWT. Pēc tam, kad būs apstiprināts, ka AD FS serveros nav notikuma 187 noteiktā laika periodā, iestatījums EnforceNonceInJWT ir jāatjaunina uz Enabled.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×