Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

Resumo

A Microsoft lançou uma atualização do Windows para resolver uma vulnerabilidade de ataque de replay de token no AD FS (Serviços de Federação do Active Directory (AD FS)), conforme descrito no CVE-2023-35348. Essa atualização é instalada pelas atualizações do Windows lançadas em ou após 11 de julho de 2023. Por padrão, essa atualização está instalada desabilitada. Para habilitar a atualização, você deve configurar a configuração EnforceNonceInJWT .

Mais informações

Esta atualização apresenta uma nova configuração para habilitar a validação do Nonce da declaração JSON Web Token (JWT) durante a autenticação do usuário JWT.

Este artigo descreve como habilitar a configuração e fornece detalhes de Eventos registrados em servidores do AD FS para os valores com suporte da configuração.

Configuração EnforceNonceInJWT

EnforceNonceInJWT pode ser configurado por um administrador em um servidor do ADFS para ser executado em um dos seguintes modos:

  • Nenhum (valor padrão): isso é usado para rastrear se o valor de configuração EnforceNonceInJWT foi alterado. Esse valor pode não ser definido por um Administrador. O servidor ADFS valida o nó somente quando ele está presente na declaração JWT, mas não impõe a presença dele.

  • Desativado: Esse valor poderá ser definido para desabilitar a correção, se houver algum problema encontrado com o valor padrão ou a postagem habilitando-a.

  • Habilitado: Habilita a configuração EnforceNonceInJWT . O servidor ADFS impõe que o Nonce esteja presente na declaração JWT e também é válido quando determinadas condições são atendidas.

Os modos EnforceNonceInJWT podem ser alterados por um administrador em um servidor do AD FS usando os seguintes comandos do PowerShell:

  • Habilitar EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Habilitado

  • Desabilitar EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Disabled

  • Verifique o status da configuração EnforceNonceInJWT:

    Um administrador pode executar Get-AdfsProperties para marcar a configuração atual EnforceNonceInJWT. O valor EnforceNonceInJWT retornado corresponderá ao modo configurado.

Eventos registrados

Os eventos a seguir podem ser registrados em um servidor do AD FS depois que as atualizações do Windows lançadas em ou após 11 de julho de 2023 forem instaladas:

Observação O evento 187 é registrado sempre que o servidor AD FS recebe uma solicitação que não contém Nonce na declaração JWT e EnforceNonceInJWT é definido como Nenhum ou Desabilitado.

Fonte: local  

Nível: Aviso 

ID: 187 

Mensagem: O servidor AD FS recebeu um token JWT sem nonce na declaração e ele foi aceito com base na configuração atual de EnforceNonceInJWT. No entanto, ele indica um possível replay do token JWT por um cliente mal-intencionado ou a possibilidade de que o cliente não seja corrigido com o windows Atualizações mais recente. Atualize a configuração EnforceNonceInJWT para rejeitar todos esses tokens JWT depois de corrigir os clientes com o Windows Atualizações mais recente. Para obter mais informações sobre isso, consulte https://go.microsoft.com/fwlink/?linkid=2238156.

Observação O evento 188 é registrado em cada início de serviço do AD FS quando EnforceNonceInJWT é definido como Nenhum ou Desabilitado.

Fonte: local  

Nível: Erro 

ID: 188 

Mensagem: O servidor AD FS não está configurado para rejeitar tokens JWT que não tinham nonce na declaração. A configuração correspondente (EnforceNonceInJWT) deve ser habilitada por motivos de segurança depois de garantir que todos os clientes sejam corrigidos com o windows Atualizações mais recente. O evento 187 indica as instâncias em que o AD FS recebeu esses tokens e aceito devido à configuração atual de EnforceNonceInJWT. Para obter mais informações sobre isso, consulte https://go.microsoft.com/fwlink/?linkid=2238156.

Tome medidas

Instale atualizações do Windows lançadas em ou após 11 de julho de 2023 em todos os servidores do AD FS do farm. Em seguida, habilite a configuração executando o seguinte comando do PowerShell no servidor AD FS primário do farm:

Set-AdfsProperties -EnforceNonceInJWT Habilitado

Importante Você pode ver falhas de autenticação em determinados cenários quando há clientes que não são atualizados e enviam solicitações de autenticação JWT para o servidor AD FS. Nesses casos, recomendamos atualizar todos os clientes instalando a atualização do Windows lançada em ou após 11 de julho de 2023. Como alternativa, um administrador pode desabilitar a configuração EnforceNonceInJWT e monitorar os servidores do AD FS para o log do Evento 187 para identificar possíveis solicitações que podem ser rejeitadas quando EnforceNonceInJWT estiver definido como Habilitado. Depois de confirmar a ausência do Evento 187 em servidores do AD FS por um período de tempo definido, a configuração EnforceNonceInJWT deve ser atualizada para Habilitada.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×