Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

Özet

Microsoft, CVE-2023-35348'de açıklandığı gibi Active Directory Federasyon Hizmetleri (AD FS)'da (AD FS) belirteç yeniden yürütme saldırısı güvenlik açığını gidermek için bir Windows güncelleştirmesi yayımladı. Bu güncelleştirme, 11 Temmuz 2023 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri tarafından yüklenir. Varsayılan olarak, bu güncelleştirme devre dışı yüklenir. Güncelleştirmeyi etkinleştirmek için EnforceNonceInJWT ayarını yapılandırmanız gerekir.

Daha fazla bilgi

Bu güncelleştirme, JWT kullanıcı kimlik doğrulaması sırasında JSON Web Belirteci (JWT) onayından Nonce doğrulamasını etkinleştirmek için yeni bir ayar tanıtır.

Bu makalede ayarın nasıl etkinleştirileceği açıklanır ve ayarın desteklenen değerleri için AD FS sunucularında günlüğe kaydedilen olayların ayrıntıları sağlanır.

EnforceNonceInJWT ayarı

EnforceNonceInJWT , ADFS sunucusundaki bir Yönetici tarafından aşağıdaki modlardan birinde çalışacak şekilde yapılandırılabilir:

  • Yok (Varsayılan değer): EnforceNonceInJWT ayar değerinin değiştirilip değiştirilmediğini izlemek için kullanılır. Bu değer bir Yönetici tarafından ayarlanamayabilir. ADFS sunucusu, yalnızca JWT onayında mevcut olduğunda nonce'i doğrular ancak varlığını zorlamaz.

  • Devre dışı: Bu değer, Varsayılan değerle veya etkinleştirme sonrasında karşılaşılan herhangi bir sorun varsa düzeltmeyi devre dışı bırakmak için ayarlanabilir.

  • Etkin: EnforceNonceInJWT ayarını etkinleştirir. ADFS sunucusu , JWT onayında Nonce'ın mevcut olduğunu ve belirli koşullar karşılandığında da geçerli olduğunu zorlar.

EnforceNonceInJWT modları, bir AD FS sunucusundaki yönetici tarafından aşağıdaki PowerShell komutları kullanılarak değiştirilebilir:

  • EnforceNonceInJWT'yi etkinleştirin:

    Set-AdfsProperties -EnforceNonceInJWT Etkin

  • EnforceNonceInJWT'yi Devre Dışı Bırak:

    Set-AdfsProperties -EnforceNonceInJWT Disabled

  • EnforceNonceInJWT ayarının durumunu denetleyin:

    Yönetici, geçerli EnforceNonceInJWT ayarını denetlemek için Get-AdfsProperties komutunu çalıştırabilir. Döndürülen EnforceNonceInJWT değeri yapılandırılan modla eşleşecektir.

Günlüğe kaydedilen olaylar

Aşağıdaki olaylar, 11 Temmuz 2023 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri yüklendikten sonra bir AD FS sunucusunda günlüğe kaydedilebilir:

Not AD FS sunucusu JWT onayında Nonce içermeyen bir istek aldığında ve EnforceNonceInJWTYok veya Devre Dışı olarak ayarlandığında Olay 187 günlüğe kaydedilir.

Kaynak: AD FS  

Düzey: Uyarı 

Kimlik: 187 

İleti: AD FS sunucusu onayda nonce olmadan bir JWT belirteci aldı ve EnforceNonceInJWT'nin geçerli yapılandırma ayarına göre kabul edildi. Ancak, JWT belirtecinin kötü amaçlı bir istemci tarafından yeniden oynatılma olasılığını veya istemciye en son Windows Güncelleştirmeler düzeltme eki uygulamama olasılığını gösterir. İstemcilere en son Windows Güncelleştirmeler düzeltme eki uygulandıktan sonra lütfen EnforceNonceInJWT ayarını tüm bu JWT belirteçlerini reddedecek şekilde güncelleştirdiğinden emin olun. Bu konuda daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2238156.

Not EnforceNonceInJWT Yok veya Devre Dışı olarak ayarlandığında olay 188 her AD FS hizmeti başlangıcıyla günlüğe kaydedilir.

Kaynak: AD FS  

Düzey: Hata 

Kimlik: 188 

İleti: AD FS sunucusu, onaylamada hiçbir değeri olmayan JWT belirteçlerini reddedecek şekilde yapılandırılmadı. Tüm istemcilere en son Windows Güncelleştirmeler düzeltme eki uygulandığından emin olduktan sonra ilgili ayar (EnforceNonceInJWT) güvenlik nedeniyle etkinleştirilmelidir. Olay 187, AD FS'nin geçerli EnforceNonceInJWT ayarı nedeniyle bu belirteçleri aldığı ve kabul ettiği örnekleri gösterir. Bu konuda daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2238156.

Eyleme geçme

11 Temmuz 2023 veya sonrasında yayımlanan Windows güncelleştirmelerini, grubundaki tüm AD FS sunucularına yükleyin. Ardından, grubundaki birincil AD FS sunucusunda aşağıdaki PowerShell komutunu çalıştırarak ayarı etkinleştirin:

Set-AdfsProperties -EnforceNonceInJWT Etkin

Önemli Güncelleştirilmeyen istemciler olduğunda ve AD FS sunucusuna JWT kimlik doğrulama istekleri gönderdiğinde bazı senaryolarda kimlik doğrulama hataları görebilirsiniz. Bu gibi durumlarda, 11 Temmuz 2023 tarihinde veya sonrasında yayımlanan Windows güncelleştirmesini yükleyerek tüm istemcileri güncelleştirmenizi öneririz. Alternatif olarak, bir yönetici EnforceNonceInJWT ayarını devre dışı bırakabilir ve EnforceNonceInJWTEtkin olarak ayarlandığında reddedilebilen olası istekleri belirlemek üzere Olay 187'nin günlüğe kaydedilmesi için AD FS sunucularını izleyebilir. Tanımlı bir süre boyunca AD FS sunucularında Olay 187'nin bulunmaması onaylandıktan sonra EnforceNonceInJWT ayarınınEtkin olarak güncelleştirilmesi gerekir.

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Keşfedin Topluluk

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.

Microsoft Topluluğu'na sorun

Microsoft Tech Topluluğu

Windows Insider'lar

Microsoft 365 Insider'lar

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?
Gönder’e bastığınızda, geri bildiriminiz Microsoft ürün ve hizmetlerini geliştirmek için kullanılır. BT yöneticiniz bu verileri toplayabilecek. Gizlilik Bildirimi.

Geri bildiriminiz için teşekkürler!

×