Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

Zhrnutie

Spoločnosť Microsoft vydala aktualizáciu windowsu na riešenie zraniteľnosti útoku prehrávania tokenov v službe Active Directory Federation Services (ADFS) (AD FS), ako je popísané v CVE-2023-35348. Táto aktualizácia je nainštalovaná aktualizáciami Windowsu vydanými 11. júla 2023 alebo po tomto dátume. Táto aktualizácia je predvolene nainštalovaná ako vypnutá. Ak chcete povoliť aktualizáciu, musíte nakonfigurovať nastavenie EnforceNonceInJWT .

Ďalšie informácie

Táto aktualizácia predstavuje nové nastavenie na povolenie overenia hodnoty Nonce z kontrolného výrazu JSON Web Token (JWT) počas overovania používateľa JWT.

Tento článok popisuje, ako povoliť nastavenie a poskytuje podrobnosti o udalostiach prihlásených na serveroch ADFS pre podporované hodnoty nastavenia.

Nastavenie EnforceNonceInJWT

EnforceNonceInJWT môže správca na serveri ADFS nakonfigurovať tak, aby sa spustil v niektorom z nasledujúcich režimov:

  • Žiadne (predvolená hodnota): Používa sa na sledovanie toho, či sa niekedy zmenila hodnota nastavenia EnforceNonceInJWT . Túto hodnotu nemusí nastaviť správca. Server ADFS overí nonce iba vtedy, keď sa nachádza v tvrdení JWT, ale nevynucuje jeho prítomnosť.

  • Telesne: Táto hodnota môže byť nastavená tak, aby sa oprava vypla, ak sa vyskytli nejaké problémy s predvolenou hodnotou alebo po jej povolení.

  • Povolené: Povolí nastavenie EnforceNonceInJWT . Server ADFS vynucuje, že hodnota Nonce sa nachádza v tvrdení JWT a je platná aj vtedy, keď sú splnené určité podmienky.

Správca servera AD FS môže zmeniť režimy EnforceNonceInJWT pomocou nasledujúcich príkazov prostredia PowerShell:

  • Povoliť EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT enabled

  • Zakázať EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Disabled

  • Skontrolujte stav nastavenia EnforceNonceInJWT:

    Správca môže spustiť get-AdfsProperties a skontrolovať aktuálne nastavenie EnforceNonceInJWT . Vrátená hodnota EnforceNonceInJWT sa bude zhodovať s nakonfigurovaným režimom.

Zaznamenané udalosti

Po nainštalovaní aktualizácií Windowsu vydaných 11. júla 2023 alebo po ich nainštalovaní sa môžu na serveri AD FS prihlásiť tieto udalosti:

Poznámka Udalosť 187 sa zapisuje do denníka vždy, keď server AD FS prijme požiadavku, ktorá neobsahuje nonce v tvrdení JWT a vlastnosť EnforceNonceInJWT je nastavená na možnosť Žiadne alebo Zakázané.

Zdrojový: AD FS  

Úrovni: Upozornenie 

IDENTIFIKÁCIA: 187 

Správu: Server AD FS prijal token JWT bez nonce v tvrdení a bol prijatý na základe aktuálneho nastavenia konfigurácie enforceNonceInJWT. Označuje však možné prehratie tokenu JWT škodlivým klientom alebo možnosť, že klient nie je opravený najnovšími Aktualizácie systému Windows. Uistite sa, že aktualizovať EnforceNonceInJWT nastavenie odmietnuť všetky tieto JWT tokeny po oprave klientov s najnovšími Windows Aktualizácie. Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?linkid=2238156.

Poznámka Udalosť 188 sa zapisuje do denníka s každou službou AD FS, keď je vlastnosť EnforceNonceInJWT nastavená na možnosť Žiadne alebo Zakázané.

Zdrojový: AD FS  

Úrovni: Chyba 

IDENTIFIKÁCIA: 188 

Správu: Server AD FS nie je nakonfigurovaný tak, aby odmietol tokeny JWT, ktoré nemali v tvrdení nezhodu. Príslušné nastavenie (EnforceNonceInJWT) by malo byť povolené z bezpečnostných dôvodov po tom, čo sa uistite, že všetci klienti sú opravení najnovšími Aktualizácie windowsu. Udalosť 187 označuje inštancie, kde AD FS prijal tieto tokeny a prijal v dôsledku aktuálneho nastavenia EnforceNonceInJWT. Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?linkid=2238156.

Vykonanie akcie

Nainštalujte aktualizácie Windowsu vydané 11. júla 2023 alebo po ich vydaní na všetkých serveroch ADFS farmy. Potom povoľte nastavenie spustením nasledujúceho príkazu prostredia PowerShell na primárnom serveri ADFS farmy:

Set-AdfsProperties -EnforceNonceInJWT Enabled

Dôležité V niektorých scenároch sa môžu vyskytnúť zlyhania overenia, ak existujú klienti, ktorí nie sú aktualizovaní, a odosielajú požiadavky na overovanie JWT na server AD FS. V takýchto prípadoch odporúčame aktualizovať všetkých klientov inštaláciou aktualizácie Windowsu vydanej 11. júla 2023 alebo po jej skončení. Prípadne môže správca vypnúť nastavenie EnforceNonceInJWT a monitorovať servery AD FS na zapisovanie udalosti 187 do denníka, aby identifikoval potenciálne požiadavky, ktoré by mohli byť odmietnuté, keď je vlastnosť EnforceNonceInJWTnastavená na možnosť Povolené. Po potvrdení absencie udalosti 187 na serveroch AD FS na definované časové obdobie musí byť nastavenie EnforceNonceInJWT aktualizované na hodnotu Povolené.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×