ข้ามไปที่เนื้อหาหลัก
การสนับสนุน
ลงชื่อเข้าใช้
ลงชื่อเข้าใช้ด้วย Microsoft
ลงชื่อเข้าใช้หรือสร้างบัญชี
สวัสดี
เลือกบัญชีอื่น
คุณมีหลายบัญชี
เลือกบัญชีที่คุณต้องการลงชื่อเข้าใช้

บทสรุป

Microsoft ได้เผยแพร่การอัปเดต Windows เพื่อแก้ไขช่องโหว่ของการโจมตีการเล่นโทเค็นซ้ําใน บริการการเข้าใช้งานเว็บรวมของ Active Directory (AD FS) ตามที่อธิบายไว้ใน CVE-2023-35348 การอัปเดตนี้ได้รับการติดตั้งโดยการอัปเดต Windows ที่เผยแพร่ในวันที่ 11 กรกฎาคม 2023 หรือหลังจากนั้น ตามค่าเริ่มต้น การอัปเดตนี้จะถูกปิดใช้งาน เมื่อต้องการเปิดใช้งานการอัปเดต คุณต้องกําหนดค่าการตั้งค่า EnforceNonceInJWT

ข้อมูลเพิ่มเติม

การอัปเดตนี้แนะนําการตั้งค่าใหม่เพื่อเปิดใช้งานการตรวจสอบความถูกต้อง Nonce จากการยืนยัน JSON Web Token (JWT) ระหว่างการรับรองความถูกต้องของผู้ใช้ JWT

บทความนี้อธิบายวิธีการเปิดใช้งานการตั้งค่า และแสดงรายละเอียดของเหตุการณ์ที่บันทึกไว้บนเซิร์ฟเวอร์ AD FS สําหรับค่าที่ได้รับการสนับสนุนของการตั้งค่า

การตั้งค่า EnforceNonceInJWT

EnforceNonceInJWT อาจได้รับการกําหนดค่าโดยผู้ดูแลระบบบนเซิร์ฟเวอร์ ADFS เพื่อเรียกใช้ในโหมดใดโหมดหนึ่งต่อไปนี้:

  • ไม่มี (ค่าเริ่มต้น): ใช้เพื่อติดตามถ้าค่าการตั้งค่า EnforceNonceInJWT มีการเปลี่ยนแปลง ผู้ดูแลระบบอาจไม่สามารถตั้งค่านี้ได้ เซิร์ฟเวอร์ ADFS จะตรวจสอบความถูกต้องของ n เพียงครั้งเดียวเมื่อมีอยู่ในการยืนยัน JWT แต่ไม่ได้บังคับใช้การมีอยู่ของเซิร์ฟเวอร์

  • ปิด: ค่านี้อาจถูกตั้งค่าเพื่อปิดใช้งานการแก้ไข ถ้ามีปัญหาใดๆ ที่พบกับค่าเริ่มต้นหรือโพสต์การเปิดใช้งาน

  • เปิด: เปิดใช้งานการตั้งค่า EnforceNonceInJWT เซิร์ฟเวอร์ ADFS บังคับใช้ว่า Nonce มีอยู่ในการยืนยัน JWT และยังใช้ได้เมื่อเป็นไปตามเงื่อนไขบางอย่าง

โหมด EnforceNonceInJWT อาจเปลี่ยนแปลงได้โดยผู้ดูแลระบบบนเซิร์ฟเวอร์ AD FS โดยใช้คําสั่ง PowerShell ต่อไปนี้:

  • เปิดใช้งาน EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Enabled

  • ปิดใช้งาน EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Disabled

  • ตรวจสอบสถานะของการตั้งค่า EnforceNonceInJWT:

    ผู้ดูแลระบบอาจเรียกใช้ Get-AdfsProperties เพื่อตรวจสอบการตั้งค่า EnforceNonceInJWT ปัจจุบัน ค่า EnforceNonceInJWT ที่ส่งกลับจะตรงกับโหมดที่กําหนดค่าไว้

บันทึกเหตุการณ์แล้ว

เหตุการณ์ต่อไปนี้อาจถูกบันทึกบนเซิร์ฟเวอร์ AD FS หลังจากติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่หรือหลังจากวันที่ 11 กรกฎาคม 2023:

หมายเหตุ เหตุการณ์ 187 ถูกบันทึกเมื่อใดก็ตามที่เซิร์ฟเวอร์ AD FS ได้รับคําขอที่ไม่มี Nonce ในการยืนยัน JWT และ EnforceNonceInJWT ถูกตั้งค่าเป็น ไม่มี หรือ ปิดใช้งาน

แหล่ง: AD FS  

ระดับ: คำเตือน 

รหัส: 187 

ข้อความ: เซิร์ฟเวอร์ AD FS ได้รับโทเค็น JWT โดยไม่มีหนึ่งครั้งในการยืนยัน และได้รับการยอมรับตามการตั้งค่าการกําหนดค่าปัจจุบันของ EnforceNonceInJWT อย่างไรก็ตาม โปรแกรมระบุถึงการเล่นซ้ําที่อาจเกิดขึ้นของโทเค็น JWT โดยไคลเอ็นต์ที่เป็นอันตราย หรือความเป็นไปได้ที่ไคลเอ็นต์ไม่ได้รับการแก้ไขด้วย windows Updates ล่าสุด โปรดตรวจสอบให้แน่ใจว่าได้อัปเดตการตั้งค่า EnforceNonceInJWT เพื่อปฏิเสธโทเค็น JWT ดังกล่าวทั้งหมดหลังจากการปรับปรุงไคลเอ็นต์ด้วย Updates Windows ล่าสุด สําหรับข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ โปรดดู https://go.microsoft.com/fwlink/?linkid=2238156

หมายเหตุ มีการบันทึกเหตุการณ์ 188 กับทุกบริการ AD FS เริ่มต้นเมื่อ EnforceNonceInJWT ถูกตั้งค่าเป็น ไม่มี หรือ ปิดใช้งาน

แหล่ง: AD FS  

ระดับ: ข้อผิดพลาด 

รหัส: 188 

ข้อความ: เซิร์ฟเวอร์ AD FS ไม่ได้รับการกําหนดค่าให้ปฏิเสธโทเค็น JWT ที่ไม่ได้มี nonce ในการยืนยัน การตั้งค่าที่สอดคล้องกัน (EnforceNonceInJWT) ควรเปิดใช้งานด้วยเหตุผลด้านความปลอดภัยหลังจากตรวจสอบให้แน่ใจว่าไคลเอ็นต์ทั้งหมดได้รับการแก้ไขด้วย Updates Windows ล่าสุด เหตุการณ์ 187 ระบุอินสแตนซ์ที่ AD FS ได้รับโทเค็นดังกล่าวและยอมรับเนื่องจากการตั้งค่าปัจจุบันของ EnforceNonceInJWT สําหรับข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ โปรดดู https://go.microsoft.com/fwlink/?linkid=2238156

ดำเนิน

ติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 11 กรกฎาคม 2023 หรือหลังจากนั้นบนเซิร์ฟเวอร์ AD FS ทั้งหมดของฟาร์ม จากนั้นเปิดใช้งานการตั้งค่าโดยการเรียกใช้คําสั่ง PowerShell ต่อไปนี้บนเซิร์ฟเวอร์ AD FS หลักของฟาร์ม:

Set-AdfsProperties -EnforceNonceInJWT เปิดใช้งานแล้ว

สำคัญ คุณอาจเห็นความล้มเหลวในการรับรองความถูกต้องในบางสถานการณ์เมื่อมีไคลเอ็นต์ที่ไม่ได้อัปเดต และส่งคําขอการรับรองความถูกต้อง JWT ไปยังเซิร์ฟเวอร์ AD FS ในกรณีดังกล่าว เราขอแนะนําให้อัปเดตไคลเอ็นต์ทั้งหมดโดยการติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 11 กรกฎาคม 2023 หรือหลังจากนั้น อีกวิธีหนึ่งคือ ผู้ดูแลระบบสามารถปิดใช้งานการตั้งค่า EnforceNonceInJWT และตรวจสอบเซิร์ฟเวอร์ AD FS สําหรับการบันทึกเหตุการณ์ 187 เพื่อระบุคําขอที่อาจเกิดขึ้นที่อาจถูกปฏิเสธเมื่อ EnforceNonceInJWT ถูกตั้งค่าเป็น เปิดใช้งาน หลังจากยืนยันว่าไม่มีเหตุการณ์ 187 บนเซิร์ฟเวอร์ AD FS ตามระยะเวลาที่กําหนด การตั้งค่า EnforceNonceInJWT ต้องได้รับการอัปเดตเป็น เปิดใช้งาน

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ค้นพบ ชุมชน

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย

ถามคำถามใน Microsoft Community

ชุมชนด้านเทคนิคของ Microsoft

Windows Insider

Microsoft 365 Insiders

ข้อมูลนี้เป็นประโยชน์หรือไม่

คุณพึงพอใจกับคุณภาพภาษาเพียงใด
สิ่งที่ส่งผลต่อประสบการณ์ใช้งานของคุณ
เมื่อกดส่ง คำติชมของคุณจะถูกใช้เพื่อปรับปรุงผลิตภัณฑ์และบริการของ Microsoft ผู้ดูแลระบบ IT ของคุณจะสามารถรวบรวมข้อมูลนี้ได้ นโยบายความเป็นส่วนตัว

ขอบคุณสำหรับคำติชมของคุณ!

×