Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

Resumo

A Microsoft lançou uma atualização do Windows para resolver uma vulnerabilidade de ataque de repetição de tokens no Serviços de Federação do Active Directory (AD FS) (AD FS), conforme descrito em CVE-2023-35348. Esta atualização é instalada pelas atualizações do Windows lançadas a 11 de julho de 2023 ou depois de 11 de julho de 2023. Por predefinição, esta atualização está instalada desativada. Para ativar a atualização, tem de configurar a definição EnforceNonceInJWT .

Mais informações

Esta atualização apresenta uma nova definição para ativar a validação do Nonce a partir da asserção JSON Web Token (JWT) durante a autenticação de utilizador JWT.

Este artigo descreve como ativar a definição e fornece detalhes dos Eventos registados nos servidores do AD FS para os valores suportados da definição.

Definição EnforceNonceInJWT

EnforceNonceInJWT pode ser configurado por um Administrador num servidor ADFS para ser executado num dos seguintes modos:

  • Nenhum (Valor predefinido): é utilizado para controlar se o valor de definição EnforceNonceInJWT foi alguma vez alterado. Este valor pode não ser definido por um Administrador. O servidor ADFS valida o nonce apenas quando está presente na asserção JWT, mas não impõe a sua presença.

  • Desativado: Este valor pode ser definido para desativar a correção, se forem encontrados problemas com o valor Predefinido ou a mensagem que o ativa.

  • Ativado: Ativa a definição EnforceNonceInJWT . O servidor ADFS impõe que Nonce está presente na asserção JWT e também é válido quando determinadas condições são cumpridas.

Os modos EnforceNonceInJWT podem ser alterados por um administrador num servidor do AD FS através dos seguintes comandos do PowerShell:

  • Ativar EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Ativado

  • Desative EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Disabled

  • Verifique o estado da definição EnforceNonceInJWT:

    Um administrador pode executar Get-AdfsProperties para verificar a definição atual EnforceNonceInJWT . O valor EnforceNonceInJWT devolvido corresponderá ao modo configurado.

Eventos registados

Os seguintes eventos podem ser registados num servidor do AD FS após a instalação das atualizações do Windows em ou depois de 11 de julho de 2023:

Nota O Evento 187 é registado sempre que o servidor do AD FS recebe um pedido que não contém Nonce na asserção JWT e EnforceNonceInJWT está definido como Nenhum ou Desativado.

Origem: AD FS  

Nível: Aviso 

ID: 187 

Mensagem: O servidor do AD FS recebeu um token JWT sem nonce na asserção e foi aceite com base na definição de configuração atual de EnforceNonceInJWT. No entanto, indica uma potencial repetição do token JWT por um cliente malicioso ou a possibilidade de o cliente não ser corrigido com a Atualizações mais recente do Windows. Certifique-se de que atualiza a definição EnforceNonceInJWT para rejeitar todos esses tokens JWT depois de aplicar patches aos clientes com o Windows Atualizações mais recente. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2238156.

Nota O evento 188 é registado com todos os serviços do AD FS iniciados quando EnforceNonceInJWT está definido como Nenhum ou Desativado.

Origem: AD FS  

Nível: Erro 

ID: 188 

Mensagem: O servidor do AD FS não está configurado para rejeitar tokens JWT que não tinham nonce na asserção. A definição correspondente (EnforceNonceInJWT) deve ser ativada por motivos de segurança depois de se certificar de que todos os clientes são corrigidos com a Atualizações mais recente do Windows. O evento 187 indica as instâncias em que o AD FS recebeu esses tokens e aceitou devido à definição atual de EnforceNonceInJWT. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2238156.

Tomar medidas

Instale as atualizações do Windows lançadas em ou depois de 11 de julho de 2023 em todos os servidores do AD FS do farm. Em seguida, ative a definição ao executar o seguinte comando do PowerShell no servidor primário do AD FS do farm:

Set-AdfsProperties -EnforceNonceInJWT Ativado

Importante Poderá ver falhas de autenticação em determinados cenários quando existem clientes que não são atualizados e enviam pedidos de autenticação JWT para o servidor do AD FS. Nestes casos, recomendamos que atualize todos os clientes ao instalar a atualização do Windows disponibilizada a 11 de julho de 2023 ou posterior. Em alternativa, um administrador pode desativar a definição EnforceNonceInJWT e monitorizar os servidores do AD FS para o registo do Evento 187 para identificar potenciais pedidos que podem ser rejeitados quando EnforceNonceInJWT está definido como Ativado. Depois de confirmar a ausência do Evento 187 nos servidores do AD FS durante um período de tempo definido, a definição EnforceNonceInJWT tem de ser atualizada para Ativado.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×