Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Samenvatting

Microsoft heeft een Windows-update uitgebracht voor het oplossen van een kwetsbaarheid voor het opnieuw afspelen van tokens in Active Directory Federation Services (AD FS), zoals beschreven in CVE-2023-35348. Deze update wordt geïnstalleerd door Windows-updates die zijn uitgebracht op of na 11 juli 2023. Deze update is standaard uitgeschakeld. Als u de update wilt inschakelen, moet u de instelling EnforceNonceInJWT configureren.

Meer informatie

Deze update introduceert een nieuwe instelling voor het inschakelen van de validatie van Nonce vanuit de JSON Web Token -assertie (JWT) tijdens JWT-gebruikersverificatie.

In dit artikel wordt beschreven hoe u de instelling inschakelt en vindt u details van gebeurtenissen die zijn geregistreerd op AD FS-servers voor de ondersteunde waarden van de instelling.

Instelling EnforceNonceInJWT

EnforceNonceInJWT kan worden geconfigureerd door een beheerder op een ADFS-server om te worden uitgevoerd in een van de volgende modi:

  • Geen (standaardwaarde): dit wordt gebruikt om bij te houden of de instellingswaarde EnforceNonceInJWT ooit is gewijzigd. Deze waarde kan niet worden ingesteld door een beheerder. ADFS-server valideert de nonce alleen wanneer deze aanwezig is in de JWT-assertie, maar dwingt de aanwezigheid ervan niet af.

  • Handicap: Deze waarde kan worden ingesteld om de oplossing uit te schakelen, als er problemen zijn opgetreden met de standaardwaarde of de post die deze inschakelt.

  • Ingeschakeld: Schakelt de instelling EnforceNonceInJWT in. ADFS-server dwingt af dat Nonce aanwezig is in de JWT-assertie en het is ook geldig wanneer aan bepaalde voorwaarden wordt voldaan.

EnforceNonceInJWT-modi kunnen worden gewijzigd door een beheerder op een AD FS-server met behulp van de volgende PowerShell-opdrachten:

  • EnforceNonceInJWT inschakelen:

    Set-AdfsProperties -EnforceNonceInJWT enabled

  • EnforceNonceInJWT uitschakelen:

    Set-AdfsProperties -EnforceNonceInJWT disabled

  • Controleer de status van de instelling EnforceNonceInJWT:

    Een beheerder kan Get-AdfsProperties uitvoeren om de huidige instelling EnforceNonceInJWT te controleren. De geretourneerde waarde EnforceNonceInJWT komt overeen met de geconfigureerde modus.

Gebeurtenissen vastgelegd

De volgende gebeurtenissen kunnen worden geregistreerd op een AD FS-server nadat de Windows-updates die zijn uitgebracht op of na 11 juli 2023 zijn geïnstalleerd:

Opmerking Gebeurtenis 187 wordt geregistreerd wanneer de AD FS-server een aanvraag ontvangt die geen Nonce in JWT-assertie bevat en EnforceNonceInJWT is ingesteld op Geen of Uitgeschakeld.

Bron: AD FS  

Niveau: Waarschuwing 

Id: 187 

Bericht: AD FS-server heeft een JWT-token zonder nonce in de assertie ontvangen en het is geaccepteerd op basis van de huidige configuratie-instelling van EnforceNonceInJWT. Het duidt echter op een mogelijke herhaling van het JWT-token door een schadelijke client of de mogelijkheid dat de client niet is gepatcht met de meest recente Windows-Updates. Zorg ervoor dat u de instelling EnforceNonceInJWT bijwerkt om al deze JWT-tokens te weigeren na het patchen van de clients met de meest recente Windows-Updates. Zie https://go.microsoft.com/fwlink/?linkid=2238156 voor meer informatie hierover.

Opmerking Gebeurtenis 188 wordt geregistreerd bij het starten van elke AD FS-service wanneer EnforceNonceInJWT is ingesteld op Geen of Uitgeschakeld.

Bron: AD FS  

Niveau: Fout 

Id: 188 

Bericht: AD FS-server is niet geconfigureerd om JWT-tokens te weigeren die geen nonce in de assertie hebben. De bijbehorende instelling (EnforceNonceInJWT) moet om veiligheidsredenen worden ingeschakeld nadat u ervoor hebt gezorgd dat alle clients zijn gepatcht met de nieuwste Windows Updates. De gebeurtenis 187 geeft de exemplaren aan waarbij AD FS dergelijke tokens heeft ontvangen en geaccepteerd vanwege de huidige instelling van EnforceNonceInJWT. Zie https://go.microsoft.com/fwlink/?linkid=2238156 voor meer informatie hierover.

Actie ondernemen

Installeer Windows-updates die zijn uitgebracht op of na 11 juli 2023 op alle AD FS-servers van de farm. Schakel vervolgens de instelling in door de volgende PowerShell-opdracht uit te voeren op de primaire AD FS-server van de farm:

Set-AdfsProperties - EnforceNonceInJWT enabled

Belangrijk U ziet mogelijk verificatiefouten in bepaalde scenario's wanneer er clients zijn die niet zijn bijgewerkt en JWT-verificatieaanvragen verzenden naar de AD FS-server. In dergelijke gevallen raden we u aan alle clients bij te werken door de Windows-update te installeren die is uitgebracht op of na 11 juli 2023. Een beheerder kan ook de instelling EnforceNonceInJWT uitschakelen en de AD FS-servers controleren op de logboekregistratie van gebeurtenis 187 om mogelijke aanvragen te identificeren die kunnen worden geweigerd wanneer EnforceNonceInJWT is ingesteld op Ingeschakeld. Nadat u hebt bevestigd dat gebeurtenis 187 gedurende een bepaalde periode niet aanwezig is op AD FS-servers, moet de instelling EnforceNonceInJWT worden bijgewerkt naar Ingeschakeld.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×