Rezumat
Microsoft a lansat o actualizare Windows pentru a trata o vulnerabilitate de atac la reluarea simbolului în Active Directory Federation Services (AD FS), așa cum este descris în CVE-2023-35348. Această actualizare este instalată de actualizările Windows lansate pe sau după 11 iulie 2023. În mod implicit, această actualizare este dezactivată. Pentru a activa actualizarea, trebuie să configurați setarea EnforceNonceInJWT .
Mai multe informații
Această actualizare introduce o nouă setare pentru a permite validarea lui Nonce din afirmația JSON Web Token (JWT) în timpul autentificării utilizatorului JWT.
Acest articol descrie cum să activați setarea și oferă detalii despre Evenimentele înregistrate pe serverele AD FS pentru valorile acceptate ale setării.
Setare EnforceNonceInJWT
EnforceNonceInJWT poate fi configurat de un administrator pe un server ADFS pentru a rula într-unul dintre următoarele moduri:
-
Fără (Valoare implicită): Se utilizează pentru a urmări dacă valoarea setării EnforceNonceInJWT a fost modificată vreodată. Este posibil ca această valoare să nu fie setată de un administrator. Serverul ADFS validează nonce numai atunci când este prezent în afirmația JWT, dar nu impune prezența acestuia.
-
Dezactivat: Această valoare poate fi setată pentru a dezactiva remedierea, dacă există probleme întâlnite cu valoarea implicită sau cu publicarea activării acesteia.
-
Activat: Activează setarea EnforceNonceInJWT . Serverul ADFS impune faptul că Nonce este prezent în afirmația JWT și, de asemenea, este valid atunci când sunt îndeplinite anumite condiții.
Modurile EnforceNonceInJWT pot fi modificate de un administrator pe un server AD FS, utilizând următoarele comenzi PowerShell:
-
Activare EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT activat -
Dezactivare EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT dezactivat -
Verificați starea setării EnforceNonceInJWT:
Un administrator poate rula Get-AdfsProperties pentru a verifica setarea enforceNonceInJWT curentă. Valoarea EnforceNonceInJWT returnată se va potrivi cu modul configurat.
Evenimente înregistrate în jurnal
Următoarele evenimente pot fi înregistrate pe un server AD FS după ce sunt instalate actualizările Windows lansate la sau după 11 iulie 2023:
Notă Evenimentul 187 este înregistrat de fiecare dată când serverul AD FS primește o solicitare care nu conține Nonce în aserțiunea JWT și EnforceNonceInJWT este setată la Fără sau Dezactivat.
Sursă: AD FS
Nivel: Avertisment
ID: 187
Mesaj: Serverul AD FS a primit un simbol JWT fără nonce în afirmație și a fost acceptat pe baza setării curente de configurare a EnforceNonceInJWT. Cu toate acestea, indică o reluare potențială a simbolului JWT de către un client rău intenționat sau posibilitatea ca clientul să nu fie corectat cu cele mai recente Actualizări Windows. Asigurați-vă că actualizați setarea EnforceNonceInJWT pentru a respinge toate aceste tokenuri JWT după corecționarea clienților cu cele mai recente Actualizări Windows. Pentru mai multe informații despre acest lucru, consultați https://go.microsoft.com/fwlink/?linkid=2238156.
Notă Evenimentul 188 este înregistrat cu fiecare pornire a serviciului AD FS atunci când EnforceNonceInJWT este setat la Fără sau Dezactivat.
Sursă: AD FS
Nivel: Eroare
ID: 188
Mesaj: Serverul AD FS nu este configurat să respingă simbolurile JWT care nu au avut nicio țeavă în afirmație. Setarea corespunzătoare (EnforceNonceInJWT) ar trebui să fie activată din motive de securitate după ce vă asigurați că toți clienții beneficiază de corecții cu cea mai recentă Actualizări Windows. Evenimentul 187 indică instanțele în care AD FS a primit astfel de tokenuri și a fost acceptat din cauza setării curente EnforceNonceInJWT. Pentru mai multe informații despre acest lucru, consultați https://go.microsoft.com/fwlink/?linkid=2238156.
Luați măsuri
Instalați actualizăriLe Windows lansate la sau după 11 iulie 2023 pe toate serverele AD FS din fermă. Apoi activați setarea rulând următoarea comandă PowerShell pe serverul AD FS principal al fermei:
Set-AdfsProperties -EnforceNonceInJWT activat
Important Este posibil să vedeți erori de autentificare în anumite scenarii atunci când există clienți care nu sunt actualizați și să trimiteți solicitări de autentificare JWT la serverul AD FS. În astfel de cazuri, vă recomandăm să actualizați toți clienții, instalând actualizarea Windows lansată pe sau după 11 iulie 2023. Ca alternativă, un administrator poate să dezactiveze setarea EnforceNonceInJWT și să monitorizeze serverele AD FS pentru înregistrarea în jurnal a evenimentului 187, pentru a identifica solicitările potențiale care ar putea fi respinse atunci când EnforceNonceInJWT este setat la Activat. După ce confirmați absența Evenimentului 187 pe serverele AD FS pentru o perioadă de timp definită, setarea EnforceNonceInJWT trebuie actualizată la Activat.
