บทสรุป
Microsoft ได้เผยแพร่การอัปเดต Windows เพื่อแก้ไขช่องโหว่ของการโจมตีการเล่นโทเค็นซ้ําใน บริการการเข้าใช้งานเว็บรวมของ Active Directory (AD FS) ตามที่อธิบายไว้ใน CVE-2023-35348 การอัปเดตนี้ได้รับการติดตั้งโดยการอัปเดต Windows ที่เผยแพร่ในวันที่ 11 กรกฎาคม 2023 หรือหลังจากนั้น ตามค่าเริ่มต้น การอัปเดตนี้จะถูกปิดใช้งาน เมื่อต้องการเปิดใช้งานการอัปเดต คุณต้องกําหนดค่าการตั้งค่า EnforceNonceInJWT
ข้อมูลเพิ่มเติม
การอัปเดตนี้แนะนําการตั้งค่าใหม่เพื่อเปิดใช้งานการตรวจสอบความถูกต้อง Nonce จากการยืนยัน JSON Web Token (JWT) ระหว่างการรับรองความถูกต้องของผู้ใช้ JWT
บทความนี้อธิบายวิธีการเปิดใช้งานการตั้งค่า และแสดงรายละเอียดของเหตุการณ์ที่บันทึกไว้บนเซิร์ฟเวอร์ AD FS สําหรับค่าที่ได้รับการสนับสนุนของการตั้งค่า
การตั้งค่า EnforceNonceInJWT
EnforceNonceInJWT อาจได้รับการกําหนดค่าโดยผู้ดูแลระบบบนเซิร์ฟเวอร์ ADFS เพื่อเรียกใช้ในโหมดใดโหมดหนึ่งต่อไปนี้:
-
ไม่มี (ค่าเริ่มต้น): ใช้เพื่อติดตามถ้าค่าการตั้งค่า EnforceNonceInJWT มีการเปลี่ยนแปลง ผู้ดูแลระบบอาจไม่สามารถตั้งค่านี้ได้ เซิร์ฟเวอร์ ADFS จะตรวจสอบความถูกต้องของ n เพียงครั้งเดียวเมื่อมีอยู่ในการยืนยัน JWT แต่ไม่ได้บังคับใช้การมีอยู่ของเซิร์ฟเวอร์
-
ปิด: ค่านี้อาจถูกตั้งค่าเพื่อปิดใช้งานการแก้ไข ถ้ามีปัญหาใดๆ ที่พบกับค่าเริ่มต้นหรือโพสต์การเปิดใช้งาน
-
เปิด: เปิดใช้งานการตั้งค่า EnforceNonceInJWT เซิร์ฟเวอร์ ADFS บังคับใช้ว่า Nonce มีอยู่ในการยืนยัน JWT และยังใช้ได้เมื่อเป็นไปตามเงื่อนไขบางอย่าง
โหมด EnforceNonceInJWT อาจเปลี่ยนแปลงได้โดยผู้ดูแลระบบบนเซิร์ฟเวอร์ AD FS โดยใช้คําสั่ง PowerShell ต่อไปนี้:
-
เปิดใช้งาน EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Enabled -
ปิดใช้งาน EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Disabled -
ตรวจสอบสถานะของการตั้งค่า EnforceNonceInJWT:
ผู้ดูแลระบบอาจเรียกใช้ Get-AdfsProperties เพื่อตรวจสอบการตั้งค่า EnforceNonceInJWT ปัจจุบัน ค่า EnforceNonceInJWT ที่ส่งกลับจะตรงกับโหมดที่กําหนดค่าไว้
บันทึกเหตุการณ์แล้ว
เหตุการณ์ต่อไปนี้อาจถูกบันทึกบนเซิร์ฟเวอร์ AD FS หลังจากติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่หรือหลังจากวันที่ 11 กรกฎาคม 2023:
หมายเหตุ เหตุการณ์ 187 ถูกบันทึกเมื่อใดก็ตามที่เซิร์ฟเวอร์ AD FS ได้รับคําขอที่ไม่มี Nonce ในการยืนยัน JWT และ EnforceNonceInJWT ถูกตั้งค่าเป็น ไม่มี หรือ ปิดใช้งาน
แหล่ง: AD FS
ระดับ: คำเตือน
รหัส: 187
ข้อความ: เซิร์ฟเวอร์ AD FS ได้รับโทเค็น JWT โดยไม่มีหนึ่งครั้งในการยืนยัน และได้รับการยอมรับตามการตั้งค่าการกําหนดค่าปัจจุบันของ EnforceNonceInJWT อย่างไรก็ตาม โปรแกรมระบุถึงการเล่นซ้ําที่อาจเกิดขึ้นของโทเค็น JWT โดยไคลเอ็นต์ที่เป็นอันตราย หรือความเป็นไปได้ที่ไคลเอ็นต์ไม่ได้รับการแก้ไขด้วย windows Updates ล่าสุด โปรดตรวจสอบให้แน่ใจว่าได้อัปเดตการตั้งค่า EnforceNonceInJWT เพื่อปฏิเสธโทเค็น JWT ดังกล่าวทั้งหมดหลังจากการปรับปรุงไคลเอ็นต์ด้วย Updates Windows ล่าสุด สําหรับข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ โปรดดู https://go.microsoft.com/fwlink/?linkid=2238156
หมายเหตุ มีการบันทึกเหตุการณ์ 188 กับทุกบริการ AD FS เริ่มต้นเมื่อ EnforceNonceInJWT ถูกตั้งค่าเป็น ไม่มี หรือ ปิดใช้งาน
แหล่ง: AD FS
ระดับ: ข้อผิดพลาด
รหัส: 188
ข้อความ: เซิร์ฟเวอร์ AD FS ไม่ได้รับการกําหนดค่าให้ปฏิเสธโทเค็น JWT ที่ไม่ได้มี nonce ในการยืนยัน การตั้งค่าที่สอดคล้องกัน (EnforceNonceInJWT) ควรเปิดใช้งานด้วยเหตุผลด้านความปลอดภัยหลังจากตรวจสอบให้แน่ใจว่าไคลเอ็นต์ทั้งหมดได้รับการแก้ไขด้วย Updates Windows ล่าสุด เหตุการณ์ 187 ระบุอินสแตนซ์ที่ AD FS ได้รับโทเค็นดังกล่าวและยอมรับเนื่องจากการตั้งค่าปัจจุบันของ EnforceNonceInJWT สําหรับข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ โปรดดู https://go.microsoft.com/fwlink/?linkid=2238156
ดำเนิน
ติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 11 กรกฎาคม 2023 หรือหลังจากนั้นบนเซิร์ฟเวอร์ AD FS ทั้งหมดของฟาร์ม จากนั้นเปิดใช้งานการตั้งค่าโดยการเรียกใช้คําสั่ง PowerShell ต่อไปนี้บนเซิร์ฟเวอร์ AD FS หลักของฟาร์ม:
Set-AdfsProperties -EnforceNonceInJWT เปิดใช้งานแล้ว
สำคัญ คุณอาจเห็นความล้มเหลวในการรับรองความถูกต้องในบางสถานการณ์เมื่อมีไคลเอ็นต์ที่ไม่ได้อัปเดต และส่งคําขอการรับรองความถูกต้อง JWT ไปยังเซิร์ฟเวอร์ AD FS ในกรณีดังกล่าว เราขอแนะนําให้อัปเดตไคลเอ็นต์ทั้งหมดโดยการติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 11 กรกฎาคม 2023 หรือหลังจากนั้น อีกวิธีหนึ่งคือ ผู้ดูแลระบบสามารถปิดใช้งานการตั้งค่า EnforceNonceInJWT และตรวจสอบเซิร์ฟเวอร์ AD FS สําหรับการบันทึกเหตุการณ์ 187 เพื่อระบุคําขอที่อาจเกิดขึ้นที่อาจถูกปฏิเสธเมื่อ EnforceNonceInJWT ถูกตั้งค่าเป็น เปิดใช้งาน หลังจากยืนยันว่าไม่มีเหตุการณ์ 187 บนเซิร์ฟเวอร์ AD FS ตามระยะเวลาที่กําหนด การตั้งค่า EnforceNonceInJWT ต้องได้รับการอัปเดตเป็น เปิดใช้งาน