Vpišite se z Microsoftovim
Vpišite se ali ustvarite račun.
Pozdravljeni,
Izberite drug račun.
Imate več računov
Izberite račun, s katerim se želite vpisati.

Povzetek

Microsoft je izdal posodobitev sistema Windows, ki odpravlja ranljivost zaradi vnovičnega predvajanja žetona v sistemu storitve ADFS (AD FS), kot je opisano v CVE-2023-35348. To posodobitev namestijo posodobitve sistema Windows, izdane 11. julija 2023 ali po tem. Ta posodobitev je privzeto nameščena onemogočena. Če želite omogočiti posodobitev, morate konfigurirati nastavitev EnforceNonceInJWT .

Več informacij

Ta posodobitev uvaja novo nastavitev, ki omogoča preverjanje pristnosti » Nonce « iz izjave JSON Web Token (JWT) med preverjanjem pristnosti uporabnika JWT.

V tem članku je opisano, kako omogočite nastavitev in v njem najdete podrobnosti o dogodkih, prijavljenih v strežnike AD FS, za podprte vrednosti nastavitve.

Nastavitev EnforceNonceInJWT

EnforceNonceInJWT lahko skrbnik v strežniku ADFS konfigurira tako, da se izvaja v enem od teh načinov:

  • Brez (privzeta vrednost): S to vrednostjo sledite, če je bila vrednost nastavitve EnforceNonceInJWT kdaj spremenjena. Te vrednosti morda ne bo nastavil skrbnik. Strežnik ADFS preveri, ali ni prisotna, le če je prisotna v izjavi JWT, vendar ne vsili prisotnosti.

  • Onemogočen: To vrednost lahko nastavite, da onemogočite popravek, če pride do težav z vrednostjo Privzeto ali objavo, ki jo omogoča.

  • Omogočeno: Omogoča nastavitev EnforceNonceInJWT . Strežnik ADFS vsili, da je nonce prisotna v izjavi JWT, in je veljaven tudi, ko so izpolnjeni določeni pogoji.

Načine EnforceNonceInJWT lahko spremeni skrbnik v strežniku AD FS tako, da uporabi te ukaze ogrodja PowerShell:

  • Omogoči EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Enabled

  • Onemogoči EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Disabled

  • Preverite stanje nastavitve EnforceNonceInJWT:

    Skrbnik lahko zažene »Get-AdfsProperties «, da preveri trenutno nastavitev EnforceNonceInJWTVrnjena vrednost EnforceNonceInJWT se bo ujemala s konfiguriranim načinom.

Zabeleženi dogodki

Naslednji dogodki so lahko prijavljeni v strežnik AD FS po namestitvi posodobitev sistema Windows, izdanih 11. julija 2023 ali po tem:

Opomba Dogodek 187 je zabeležen vsakič, ko strežnik AD FS prejme zahtevo, ki ne vsebuje argumenta Nonce v izjavi JWT, pri tem pa je vrednost EnforceNonceInJWT nastavljena na Brez ali Onemogočeno.

Vir: ADFS  

Ravni: Opozorilo 

ID: 187 

Sporočilo: Strežnik AD FS je prejel žeton JWT brez napake v izjavi, sprejet pa je bil na podlagi trenutne nastavitve konfiguracije za EnforceNonceInJWT. Vendar pa označuje morebitno ponovno predvajanje žetona JWT, ki ga zlonamerni odjemalec, ali možnost, da odjemalec ni popraviti z najnovejšimi Windows Posodobitve. Ne pozabite posodobiti nastavitve EnforceNonceInJWT, da zavrnete vse takšne žetone JWT po popravljanju odjemalcev z najnovejšo posodobitvijo sistema Windows Posodobitve. Če želite več informacij o tem, glejte https://go.microsoft.com/fwlink/?linkid=2238156.

Opomba Dogodek 188 je zabeležen z vsako storitvijo AD FS, ki se zažene, ko je enforceNonceInJWT nastavljena na Brez ali Onemogočeno.

Vir: ADFS  

Ravni: Napaka 

ID: 188 

Sporočilo: Strežnik AD FS ni konfiguriran tako, da zavrača žetone JWT, ki v izjavi niso bili brez žetonov. Ustrezna nastavitev (EnforceNonceInJWT) mora biti omogočena iz varnostnih razlogov, potem ko se prepričate, da so vsi odjemalci prilagojeni z najnovejšo posodobitvijo sistema Windows Posodobitve. Dogodek 187 označuje primerke, ko so STORITVE ADFS prejele takšne žetone in jih sprejele zaradi trenutne nastavitve EnforceNonceInJWT. Če želite več informacij o tem, glejte https://go.microsoft.com/fwlink/?linkid=2238156.

Ukrepajte

Namestite posodobitve sistema Windows, izdane 11. julija 2023 ali po tem, v vse strežnike AD FS gruče. Nato omogočite nastavitev tako, da v primarnem strežniku AD FS gruče zaženete ta ukaz PowerShell:

Set-AdfsProperties -EnforceNonceInJWT Enabled

Pomembno V nekaterih primerih lahko pride do napak pri preverjanju pristnosti, ko obstajajo odjemalci, ki niso posodobljeni, in pošljete zahteve za preverjanje pristnosti JWT v strežnik AD FS. V takih primerih priporočamo, da posodobite vse odjemalce tako, da namestite posodobitev sistema Windows, izdano 11. julija 2023 ali po tem juliju. Skrbnik lahko tudi onemogoči nastavitev EnforceNonceInJWT in nadzoruje strežnike AD FS za pisanje dnevnika dogodka 187, da prepozna morebitne zahteve, ki bi jih bilo mogoče zavrniti, ko je vrednost EnforceNonceInJWT nastavljena na Omogočeno. Ko potrdite odsotnost dogodka 187 v strežnikih AD FS za določeno časovno obdobje, je treba nastavitev EnforceNonceInJWT posodobiti na Omogočeno.

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Odkrijte Skupnost

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.

Vprašajte Microsoftovo skupnost

Microsoftova tehnična skupnost

Preskuševalci sistema Windows

Preskuševalci storitve Microsoft 365

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?
Če pritisnete »Pošlji«, bomo vaše povratne informacije uporabili za izboljšanje Microsoftovih izdelkov in storitev. Vaš skrbnik za IT bo lahko zbiral te podatke. Izjavi o zasebnosti.

Zahvaljujemo se vam za povratne informacije.

×