Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Sammanfattning

Microsoft har släppt en Windows-uppdatering för att åtgärda en säkerhetsrisk för uppspelning av token i Active Directory Federation Services (AD FS) (AD FS) enligt beskrivningen i CVE-2023-35348. Den här uppdateringen installeras av Windows-uppdateringar som släpptes 11 juli 2023 eller senare. Som standard är den här uppdateringen inaktiverad. Om du vill aktivera uppdateringen måste du konfigurera inställningen EnforceNonceInJWT .

Mer information

Den här uppdateringen introducerar en ny inställning för att aktivera verifiering av Nonce från JSON-webbtoken (JWT) under JWT-användarautentisering.

I den här artikeln beskrivs hur du aktiverar inställningen och innehåller information om händelser som loggats på AD FS-servrar för de värden som stöds av inställningen.

EnforceNonceInJWT-inställning

EnforceNonceInJWT kan konfigureras av en administratör på en ADFS-server för att köras i något av följande lägen:

  • Inget (standardvärde): Det här används för att spåra om värdet för EnforceNonceInJWT-inställningen någonsin har ändrats. Det här värdet kanske inte anges av en administratör. ADFS-servern verifierar nonce endast när den finns i JWT-påståendet, men tillämpar inte förekomsten av den.

  • Inaktiverad: Det här värdet kan anges för att inaktivera korrigeringen, om det uppstår problem med standardvärdet eller inlägg som aktiverar den.

  • Aktiverat: Aktiverar inställningen EnforceNonceInJWT . ADFS-servern tillämpar att Nonce finns med i JWT-påståendet och att det även är giltigt när vissa villkor uppfylls.

EnforceNonceInJWT-lägen kan ändras av en administratör på en AD FS-server med följande PowerShell-kommandon:

  • Aktivera EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Enabled

  • Inaktivera EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Disabled

  • Kontrollera status för inställningen EnforceNonceInJWT:

    En administratör kan köra Get-AdfsProperties för att kontrollera den aktuella EnforceNonceInJWT-inställningen . Värdet EnforceNonceInJWT som returneras matchar det konfigurerade läget.

Händelser loggade

Följande händelser kan loggas på en AD FS-server när Windows-uppdateringarna som släpptes den 11 juli 2023 eller senare har installerats:

Obs! Händelse 187 loggas när AD FS-servern tar emot en begäran som inte innehåller Nonce i JWT-påstående och EnforceNonceInJWT är inställd på Antingen Ingen eller Inaktiverad.

Källkod: AD FS  

Nivå: Varning 

ID: 187 

Meddelande: AD FS-servern tog emot en JWT-token utan nonce i påståendet och den accepterades baserat på den aktuella konfigurationsinställningen för EnforceNonceInJWT. Det indikerar dock en potentiell uppspelning av JWT-token av en skadlig klient eller möjligheten att klienten inte korrigeras med den senaste Windows-Uppdateringar. Uppdatera inställningen EnforceNonceInJWT så att alla sådana JWT-tokens ignoreras när klienterna har korrigerats med de senaste Windows-Uppdateringar. Mer information om detta finns i https://go.microsoft.com/fwlink/?linkid=2238156.

Obs! Händelse 188 loggas med varje AD FS-tjänststart när EnforceNonceInJWT är inställd på Antingen Ingen eller Inaktiverad.

Källkod: AD FS  

Nivå: Fel 

ID: 188 

Meddelande: AD FS-servern är inte konfigurerad för att avvisa JWT-token som inte hade någon nonce i påståendet. Motsvarande inställning (EnforceNonceInJWT) ska aktiveras av säkerhetsskäl när du har kontrollerat att alla klienter har korrigerats med den senaste Windows-Uppdateringar. Händelsen 187 anger de instanser där AD FS tog emot sådana token och accepterades på grund av den aktuella inställningen för EnforceNonceInJWT. Mer information om detta finns i https://go.microsoft.com/fwlink/?linkid=2238156.

Vidta åtgärder

Installera Windows-uppdateringar som släpptes 11 juli 2023 eller senare på alla AD FS-servrar i servergruppen. Aktivera sedan inställningen genom att köra följande PowerShell-kommando på servergruppens primära AD FS-server:

Set-AdfsProperties -EnforceNonceInJWT Enabled

Viktigt! Du kan se autentiseringsfel i vissa scenarier när det finns klienter som inte uppdateras och skickar JWT-autentiseringsbegäranden till AD FS-servern. I sådana fall rekommenderar vi att du uppdaterar alla klienter genom att installera Windows-uppdateringen som släpptes 11 juli 2023 eller senare. Alternativt kan en administratör inaktivera inställningen EnforceNonceInJWT och övervaka AD FS-servrarna för loggning av händelse 187 för att identifiera potentiella begäranden som kan avvisas när EnforceNonceInJWT är aktiverat. När du har bekräftat att händelse 187 saknas på AD FS-servrar under en angiven tidsperiod måste inställningen EnforceNonceInJWT uppdateras till Aktiverad.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×