Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

Oppsummering

Microsoft har gitt ut en Windows-oppdatering for å løse et sikkerhetsproblem for tokenavspilling av angrep i Active Directory Federation Services (AD FS) som beskrevet i CVE-2023-35348. Denne oppdateringen installeres av Windows-oppdateringer utgitt på eller etter 11. juli 2023. Som standard er denne oppdateringen installert deaktivert. Hvis du vil aktivere oppdateringen, må du konfigurere EnforceNonceInJWT-innstillingen .

Mer informasjon

Denne oppdateringen introduserer en ny innstilling for å aktivere validering av Nonce fra JSON Web Token (JWT)-deklarasjonen under JWT-brukergodkjenning.

Denne artikkelen beskriver hvordan du aktiverer innstillingen og gir detaljer om hendelser som er logget på AD FS-servere for støttede verdier for innstillingen.

EnforceNonceInJWT-innstilling

EnforceNonceInJWT kan konfigureres av en administrator på en ADFS-server til å kjøre i én av følgende moduser:

  • Ingen (standardverdi): Dette brukes til å spore om innstillingsverdien EnforceNonceInJWT ble endret. Denne verdien kan ikke angis av en administrator. ADFS-serveren validerer nonce bare når den finnes i JWT-deklarasjonen, men håndhever ikke tilstedeværelsen av den.

  • Deaktivert: Denne verdien kan angis for å deaktivere løsningen, hvis det oppstår problemer med standardverdien eller innlegget som aktiverer den.

  • Aktivert: Aktiverer EnforceNonceInJWT-innstillingen . ADFS-serveren fremtvinger at Nonce finnes i JWT-deklarasjonen, og den er også gyldig når visse betingelser er oppfylt.

EnforceNonceInJWT-moduser kan endres av en administrator på en AD FS-server ved hjelp av følgende PowerShell-kommandoer:

  • Aktiver EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT aktivert

  • Deaktiver EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT deaktivert

  • Kontroller statusen for EnforceNonceInJWT-innstillingen:

    En administrator kan kjøre Get-AdfsProperties for å kontrollere gjeldende EnforceNonceInJWT-innstillingEnforceNonceInJWT-verdien som returneres, samsvarer med konfigurert modus.

Hendelser som er logget

Følgende hendelser kan være logget på en AD FS-server etter at Windows-oppdateringene ble utgitt 11. juli 2023 er installert:

Obs!   Hendelse 187 logges når AD FS-serveren mottar en forespørsel som ikke inneholder Nonce i JWT-deklarasjon, og EnforceNonceInJWT er satt til Ingen ellerDeaktivert.

Kilde: AD FS  

Nivå: Advarsel 

ID: 187 

Melding: AD FS-server mottok et JWT-token uten å være i deklarasjonen, og den ble godtatt basert på gjeldende konfigurasjonsinnstilling for EnforceNonceInJWT. Det indikerer imidlertid en potensiell reprise av JWT-tokenet av en ondsinnet klient eller muligheten for at klienten ikke er oppdatert med nyeste Windows-Oppdateringer. Pass på å oppdatere EnforceNonceInJWT-innstillingen for å avvise alle slike JWT-tokener etter oppdatering av klientene med nyeste Windows Oppdateringer. Hvis du vil ha mer informasjon om dette, kan du se https://go.microsoft.com/fwlink/?linkid=2238156.

Obs!   Hendelse 188 logges med hver AD FS-tjeneste som starter når EnforceNonceInJWT er satt til Ingen eller Deaktivert.

Kilde: AD FS  

Nivå: Feil 

ID: 188 

Melding: AD FS-serveren er ikke konfigurert til å avvise JWT-tokener som ikke hadde noe i deklarasjonen. Den tilsvarende innstillingen (EnforceNonceInJWT) bør aktiveres av sikkerhetsårsaker etter at du har sørget for at alle klientene er oppdatert med den nyeste Windows-Oppdateringer. Hendelsen 187 angir forekomstene der AD FS mottok slike tokener og godtok på grunn av gjeldende innstilling for EnforceNonceInJWT. Hvis du vil ha mer informasjon om dette, kan du se https://go.microsoft.com/fwlink/?linkid=2238156.

Utfør handling

Installer Windows-oppdateringer utgitt 11. juli 2023 på alle AD FS-servere i farmen. Deretter aktiverer du innstillingen ved å kjøre følgende PowerShell-kommando på den primære AD FS-serveren for farmen:

Set-AdfsProperties –EnforceNonceInJWT aktivert

Viktig!   Du kan se godkjenningsfeil i enkelte scenarioer når det er klienter som ikke er oppdatert, og sender JWT-godkjenningsforespørsler til AD FS-serveren. I slike tilfeller anbefaler vi at du oppdaterer alle klienter ved å installere Windows-oppdateringen som ble utgitt 11. juli 2023. Alternativt kan en administrator deaktivere EnforceNonceInJWT-innstillingen og overvåke AD FS-serverne for logging av hendelse 187 for å identifisere potensielle forespørsler som kan bli avvist når EnforceNonceInJWT er satt til Aktivert. Når du har bekreftet fraværet av hendelse 187 på AD FS-servere for en definert tidsperiode, må EnforceNonceInJWT-innstillingen oppdateres til Aktivert.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×