Podsumowanie
Firma Microsoft wydała aktualizację systemu Windows, aby rozwiązać problem luki w ataku podczas odtwarzania tokenu w usłudze Active Directory Federation Services (AD FS), zgodnie z opisem w cve-2023-35348. Ta aktualizacja jest instalowana przez aktualizacje systemu Windows wydane 11 lipca 2023 r. lub później. Ta aktualizacja jest domyślnie zainstalowana wyłączona. Aby włączyć aktualizację, należy skonfigurować ustawienie EnforceNonceInJWT .
Więcej informacji
Ta aktualizacja wprowadza nowe ustawienie, aby włączyć sprawdzanie poprawności nonce z JSON Web Token (JWT) podczas uwierzytelniania użytkownika JWT.
W tym artykule opisano, jak włączyć to ustawienie i podano szczegółowe informacje o zdarzeniach rejestrowanych na serwerach usług AD FS dla obsługiwanych wartości tego ustawienia.
Ustawienie EnforceNonceInJWT
Polecenie EnforceNonceInJWT może zostać skonfigurowane przez administratora na serwerze usług ADFS do uruchamiania w jednym z następujących trybów:
-
Brak (wartość domyślna): służy do śledzenia, czy wartość ustawienia EnforceNonceInJWT została kiedykolwiek zmieniona. Ta wartość może nie być ustawiana przez administratora. Serwer usług ADFS sprawdza poprawność nie tylko wtedy, gdy jest obecny w atwierdzeniu JWT, ale nie wymusza jego obecności.
-
Wyłączone: Tę wartość można ustawić w celu wyłączenia poprawki, jeśli występują problemy z wartością domyślną lub wpisem, który ją włącza.
-
Włączone: Włącza ustawienie EnforceNonceInJWT . Serwer usług ADFS wymusza, że klauzula Nonce jest obecna w atwierdzeniu JWT i jest również prawidłowa, gdy zostaną spełnione określone warunki.
Tryby EnforceNonceInJWT mogą zostać zmienione przez administratora na serwerze usług AD FS przy użyciu następujących poleceń programu PowerShell:
-
Włącz funkcję EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Enabled -
Wyłącz funkcję EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Disabled -
Sprawdź stan ustawienia EnforceNonceInJWT:
Administrator może uruchomić get-adfsProperties , aby sprawdzić bieżące ustawienie EnforceNonceInJWT . Zwrócona wartość EnforceNonceInJWT będzie zgodna ze skonfigurowanym trybem.
Zarejestrowane zdarzenia
Następujące zdarzenia mogą być rejestrowane na serwerze usług AD FS po zainstalowaniu aktualizacji systemu Windows w okresie od 11 lipca 2023 r.:
Uwaga Zdarzenie 187 jest rejestrowane za każdym razem, gdy serwer AD FS otrzymuje żądanie, które nie zawiera elementu Nonce w stwierdzeniu JWT, a wartość EnforceNonceInJWT jest ustawiona na Wartość Brak lub Wyłączone.
Źródła: AD FS
Poziom: Ostrzeżenie
Identyfikator: 187
Komunikat: Serwer usług AD FS otrzymał token JWT bez nonce w stwierdzeniu i został zaakceptowany na podstawie bieżącego ustawienia konfiguracji EnforceNonceInJWT. Jednak wskazuje potencjalne ponowne odtworzenie tokenu JWT przez złośliwego klienta lub możliwość, że klient nie został poprawiony za pomocą najnowszej wersji systemu Windows Aktualizacje. Pamiętaj, aby zaktualizować ustawienie EnforceNonceInJWT, aby odrzucić wszystkie takie tokeny JWT po poprawce klientów przy użyciu najnowszej Aktualizacje Systemu Windows. Aby uzyskać więcej informacji na ten temat, zobacz https://go.microsoft.com/fwlink/?linkid=2238156.
Uwaga Zdarzenie 188 jest rejestrowane przy każdym uruchomieniu usługi AD FS, gdy w ustawieniu EnforceNonceInJWT jest ustawiona wartość Brak lub Wyłączone.
Źródła: AD FS
Poziom: Błąd
Identyfikator: 188
Komunikat: Serwer AD FS nie jest skonfigurowany do odrzucania tokenów JWT, które nie miały nonce w stwierdzeniu. Odpowiednie ustawienie (EnforceNonceInJWT) powinno zostać włączone ze względów bezpieczeństwa po upewnieniu się, że wszyscy klienci są załatani najnowszymi Aktualizacje systemu Windows. Zdarzenie 187 wskazuje wystąpienia, w których usługa AD FS otrzymała takie tokeny i została zaakceptowana z powodu bieżącego ustawienia EnforceNonceInJWT. Aby uzyskać więcej informacji na ten temat, zobacz https://go.microsoft.com/fwlink/?linkid=2238156.
Podejmij działanie
Zainstaluj aktualizacje systemu Windows wydane 11 lipca 2023 r. lub później na wszystkich serwerach usług AD FS w farmie. Następnie włącz to ustawienie, uruchamiając następujące polecenie programu PowerShell na podstawowym serwerze usług AD FS farmy:
Set-AdfsProperties -EnforceNonceInJWT włączony
Ważne W niektórych scenariuszach mogą wystąpić błędy uwierzytelniania, jeśli istnieją klienci, którzy nie są aktualizowani, i wysyłanie żądań uwierzytelniania JWT do serwera usługi AD FS. W takich przypadkach zalecamy zaktualizowanie wszystkich klientów przez zainstalowanie aktualizacji systemu Windows wydanej 11 lipca 2023 r. lub później. Administrator może również wyłączyć ustawienie EnforceNonceInJWT i monitorować serwery usług AD FS pod kątem rejestrowania zdarzenia 187 w celu zidentyfikowania potencjalnych żądań, które mogą zostać odrzucone, gdy ustawienie EnforceNonceInJWT ma wartość Włączone. Po potwierdzeniu braku zdarzenia 187 na serwerach usług AD FS przez określony czas ustawienie EnforceNonceInJWT musi zostać zaktualizowane do pozycji Włączone.
