Sammanfattning
Microsoft har släppt en Windows-uppdatering för att åtgärda en säkerhetsrisk för uppspelning av token i Active Directory Federation Services (AD FS) (AD FS) enligt beskrivningen i CVE-2023-35348. Den här uppdateringen installeras av Windows-uppdateringar som släpptes 11 juli 2023 eller senare. Som standard är den här uppdateringen inaktiverad. Om du vill aktivera uppdateringen måste du konfigurera inställningen EnforceNonceInJWT .
Mer information
Den här uppdateringen introducerar en ny inställning för att aktivera verifiering av Nonce från JSON-webbtoken (JWT) under JWT-användarautentisering.
I den här artikeln beskrivs hur du aktiverar inställningen och innehåller information om händelser som loggats på AD FS-servrar för de värden som stöds av inställningen.
EnforceNonceInJWT-inställning
EnforceNonceInJWT kan konfigureras av en administratör på en ADFS-server för att köras i något av följande lägen:
-
Inget (standardvärde): Det här används för att spåra om värdet för EnforceNonceInJWT-inställningen någonsin har ändrats. Det här värdet kanske inte anges av en administratör. ADFS-servern verifierar nonce endast när den finns i JWT-påståendet, men tillämpar inte förekomsten av den.
-
Inaktiverad: Det här värdet kan anges för att inaktivera korrigeringen, om det uppstår problem med standardvärdet eller inlägg som aktiverar den.
-
Aktiverat: Aktiverar inställningen EnforceNonceInJWT . ADFS-servern tillämpar att Nonce finns med i JWT-påståendet och att det även är giltigt när vissa villkor uppfylls.
EnforceNonceInJWT-lägen kan ändras av en administratör på en AD FS-server med följande PowerShell-kommandon:
-
Aktivera EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Enabled -
Inaktivera EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Disabled -
Kontrollera status för inställningen EnforceNonceInJWT:
En administratör kan köra Get-AdfsProperties för att kontrollera den aktuella EnforceNonceInJWT-inställningen . Värdet EnforceNonceInJWT som returneras matchar det konfigurerade läget.
Händelser loggade
Följande händelser kan loggas på en AD FS-server när Windows-uppdateringarna som släpptes den 11 juli 2023 eller senare har installerats:
Obs! Händelse 187 loggas när AD FS-servern tar emot en begäran som inte innehåller Nonce i JWT-påstående och EnforceNonceInJWT är inställd på Antingen Ingen eller Inaktiverad.
Källkod: AD FS
Nivå: Varning
ID: 187
Meddelande: AD FS-servern tog emot en JWT-token utan nonce i påståendet och den accepterades baserat på den aktuella konfigurationsinställningen för EnforceNonceInJWT. Det indikerar dock en potentiell uppspelning av JWT-token av en skadlig klient eller möjligheten att klienten inte korrigeras med den senaste Windows-Uppdateringar. Uppdatera inställningen EnforceNonceInJWT så att alla sådana JWT-tokens ignoreras när klienterna har korrigerats med de senaste Windows-Uppdateringar. Mer information om detta finns i https://go.microsoft.com/fwlink/?linkid=2238156.
Obs! Händelse 188 loggas med varje AD FS-tjänststart när EnforceNonceInJWT är inställd på Antingen Ingen eller Inaktiverad.
Källkod: AD FS
Nivå: Fel
ID: 188
Meddelande: AD FS-servern är inte konfigurerad för att avvisa JWT-token som inte hade någon nonce i påståendet. Motsvarande inställning (EnforceNonceInJWT) ska aktiveras av säkerhetsskäl när du har kontrollerat att alla klienter har korrigerats med den senaste Windows-Uppdateringar. Händelsen 187 anger de instanser där AD FS tog emot sådana token och accepterades på grund av den aktuella inställningen för EnforceNonceInJWT. Mer information om detta finns i https://go.microsoft.com/fwlink/?linkid=2238156.
Vidta åtgärder
Installera Windows-uppdateringar som släpptes 11 juli 2023 eller senare på alla AD FS-servrar i servergruppen. Aktivera sedan inställningen genom att köra följande PowerShell-kommando på servergruppens primära AD FS-server:
Set-AdfsProperties -EnforceNonceInJWT Enabled
Viktigt! Du kan se autentiseringsfel i vissa scenarier när det finns klienter som inte uppdateras och skickar JWT-autentiseringsbegäranden till AD FS-servern. I sådana fall rekommenderar vi att du uppdaterar alla klienter genom att installera Windows-uppdateringen som släpptes 11 juli 2023 eller senare. Alternativt kan en administratör inaktivera inställningen EnforceNonceInJWT och övervaka AD FS-servrarna för loggning av händelse 187 för att identifiera potentiella begäranden som kan avvisas när EnforceNonceInJWT är aktiverat. När du har bekräftat att händelse 187 saknas på AD FS-servrar under en angiven tidsperiod måste inställningen EnforceNonceInJWT uppdateras till Aktiverad.