Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Rezime

Microsoft je objavio Ispravku za Windows koja rešava ranjivost ponovnog reprodukovanje napada tokena u sistemu Active Directory usluge za ujedinjavanje (AD FS) kao što je opisano u verzijama CVE-2023-35348. Ispravke za Windows su instalirane 11. jula 2023. ili posle ove ispravke. Ova ispravka je podrazumevano onemogućena. Da biste omogućili ažuriranje, morate konfigurisati postavku EnforceNonceInJWT .

Više informacija

Ova ispravka uvodi novu postavku za omogućavanje provere valjanosti usluge Nonce iz JSON potvrde veb tokena (JWT) tokom JWT potvrde identiteta korisnika.

Ovaj članak opisuje kako da omogućite postavku i pruža detalje događaja prijavljenih na AD FS serverima za podržane vrednosti postavke.

Postavka "NametniNonceInJWT"

Administrator na ADFS serveru može da konfiguriše svojstvo "EnforceNonceInJWT" tako da se pokreće u jednom od sledećih režima:

  • Nijedno (podrazumevana vrednost): Koristi se za praćenje da li je ikada promenjena vrednost postavke EnforceNonceInJWT . Administrator ne može da podesi ovu vrednost. ADFS server proverava neodgovaranje samo kada je prisutan u JWT potvrdama, ali ne nameće njegovo prisustvo.

  • Onemogućen: Ova vrednost može biti postavljena da bi se onemogućilo rešenje ako postoje problemi sa podrazumevanom vrednošću ili ako je objavljena poruka koja je omogućava.

  • Omogućen: Omogućava postavku EnforceNonceInJWT . ADFS server nameće da je svojstvo "Nonce " prisutno u JWT potvrdi i da je važeće i kada se ispune određeni uslovi.

Administrator na AD FS serveru može da promeni nametanjeNonceInJWT režima pomoću sledećih PowerShell komandi:

  • Omogući EnforceNonceInJwt:

    Set-AdfsProperties -EnforceNonceInJWT omogućeno

  • Onemogućavanje funkcije EnforceNonceInjwt:

    Set-AdfsProperties -EnforceNonceInJWT onemogućeno

  • Proverite status postavke EnforceNonceInJWT:

    Administrator može da pokrene Get-AdfsProperties da bi proverio trenutnu postavku EnforceNonceInJWTVraćena vrednost EnforceNonceInJWT podudaraće se sa konfigurisanim režimom.

Evidentirani događaji

Sledeći događaji mogu biti prijavljeni na AD FS serveru nakon instalacije Ispravki za Windows objavljene 11. jula 2023. ili posle njih:

Beleške Događaj 187 se evidentira svaki put kada AD FS server primi zahtev koji ne sadrži argument "Nonce" u JWT potvrdama, a Nametni InJWT je postavljen na nijedno ili onemogućeno.

Izvor: AD FS  

Nivo: Upozorenje 

ID: 187 

Poruku: AD FS server je primio JWT token bez ikakve potvrde i prihvaćen je na osnovu trenutne postavke konfiguracije funkcije EnforceNonceInJWT. Međutim, on ukazuje na potencijalno ponovno reprodukovanje JWT tokena zlonamernog klijenta ili mogućnost da klijent nije zakrvljen najnovijim Windows Novosti. Obavezno ažurirajte postavku EnforceNonceInJWT da biste odbili sve takve JWT tokene nakon što ste zakrpili klijente najnovijim Windows Novosti. Dodatne informacije o tome potražite u članku https://go.microsoft.com/fwlink/?linkid=2238156.

Beleške Događaj 188 se evidentira pri svakom pokretanju AD FS usluge kada je postavka EnforceNonceInJWT postavljena na Nijedno ili Onemogućeno.

Izvor: AD FS  

Nivo: Greška 

ID: 188 

Poruku: AD FS server nije konfigurisan da odbija JWT tokene koji nisu imali nijedan znak u potvrdama. Odgovarajuća postavka (EnforceNonceInJWT) trebalo bi da bude omogućena iz bezbednosnih razloga, nakon što se uverite da su svi klijenti zakrpili najnovijim Windows Novosti. Događaj 187 ukazuje na instance u kojima je AD FS primio takve tokene i prihvatio ih zbog trenutne postavke Funkcije EnforceNonceInJWT. Dodatne informacije o tome potražite u članku https://go.microsoft.com/fwlink/?linkid=2238156.

Preduzimanje radnje

Instalirajte Ispravke za Windows objavljene 11. jula 2023. na svim AD FS serverima farme ili posle toga. Zatim omogućite postavku tako što ćete pokrenuti sledeću PowerShell komandu na primarnom AD FS serveru farme:

Set-AdfsProperties -EnforceNonceInJWT omogućeno

Vaћno Možete da vidite greške u potvrdi identiteta u određenim scenarijima kada postoje klijenti koji nisu ažurirani i pošaljete JWT zahteve za potvrdu identiteta AD FS serveru. U takvim slučajevima, preporučujemo da ažurirate sve klijente tako što ćete instalirati Windows ispravku objavljenu 11. jula 2023. ili posle toga. Druga mogućnost je da administrator onemogući postavku EnforceNonceInJWT i nadgleda AD FS servere za evidentiranje događaja 187 da bi identifikovao potencijalne zahteve koji mogu biti odbijeni kada je postavka EnforceNonceInJWT postavljena na omogućeno. Kada potvrdite odsustvo događaja 187 na AD FS serverima tokom definisanog vremenskog perioda, postavka EnforceNonceInJWT mora da se ažurira na Omogućeno.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×