Перейти до основного
Підтримка
Вхід
Вхід за допомогою облікового запису Microsoft
Увійдіть або створіть обліковий запис.
Вітаємо,
Виберіть інший обліковий запис.
У вас є кілька облікових записів
Виберіть обліковий запис, за допомогою якого потрібно ввійти.

Зведення

Корпорація Майкрософт випустила оновлення Windows для усунення вразливості атаки відтворення маркерів у Служба об'єднання AD FS (AD FS), як описано в CVE-2023-35348. Це оновлення інсталюється оновленнями Windows, випущеними 11 липня 2023 р. або пізніше. За замовчуванням це оновлення вимкнуто. Щоб увімкнути оновлення, потрібно настроїти параметр EnforceNonceInJWT .

Додаткові відомості

У цьому оновленні представлено новий параметр для ввімкнення перевірки nonce з твердження JSON Web Token (JWT) під час автентифікації користувача JWT.

У цій статті описано, як увімкнути цей параметр і надає відомості про події, зареєстровані на серверах AD FS для підтримуваних значень параметра.

Параметр EnforceNonceInJWT

Адміністратор може налаштувати EnforceNonceInJWT на сервері ADFS на запуск в одному з таких режимів:

  • Немає (значення за промовчанням): це використовується для відстеження, якщо значення параметра EnforceNonceInJWT коли-небудь змінювалося. Можливо, адміністратор не встановив це значення. Сервер ADFS перевіряє не лише тоді, коли він присутній у твердженні JWT, але не забезпечує його присутність.

  • Вимкнуто: Це значення може бути встановлено, щоб вимкнути виправлення, якщо виникли проблеми зі значенням за промовчанням або після ввімкнення його.

  • Включений: Вмикає параметр EnforceNonceInJWT . Сервер ADFS забезпечує, що nonce присутній в твердженні JWT, і він також дійсний, коли виконуються певні умови.

Режими EnforceNonceInJWT адміністратор може змінити на сервері AD FS за допомогою таких команд PowerShell:

  • Увімкнути EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT enabled

  • Вимкнути EnforceNonceInJWT:

    Set-AdfsProperties –EnforceNonceInJWT вимкнуто

  • Перевірте стан параметра EnforceNonceInJWT:

    Адміністратор може запустити Get-AdfsProperties , щоб перевірити поточний параметр EnforceNonceInJWT . Повернуте значення EnforceNonceInJWT збігатиметься з настроєним режимом.

Події в журналі

Після інсталяції оновлень Windows, випущених 11 липня 2023 р. або після 11 липня 2023 р., можуть ввійти на сервер AD FS:

Нотатка Подія 187 записується щоразу, коли сервер AD FS отримує запит, який не містить nonce у твердженні JWT, а параметр EnforceNonceInJWT має значення Немає або Вимкнуто.

Джерело: AD FS  

Рівень: Попередження 

Ідентифікатор: 187 

Повідомлення: Сервер AD FS отримав маркер JWT без доступу до твердження, і його прийнято на основі поточного параметра конфігурації EnforceNonceInJWT. Однак це означає потенційний повтор маркера JWT зловмисним клієнтом або можливість того, що клієнт не виправився з найновішою версією Windows Оновлення. Обов'язково оновіть параметр EnforceNonceInJWT, щоб відхилити всі такі маркери JWT після виправлення клієнтів за допомогою останньої версії Windows Оновлення. Докладні відомості про це див. в статті https://go.microsoft.com/fwlink/?linkid=2238156.

Нотатка Подія 188 записується з кожним запуском служби AD FS, коли параметр EnforceNonceInJWT має значення Немає або Вимкнуто.

Джерело: AD FS  

Рівень: Помилка 

Код: 188 

Повідомлення: Сервер AD FS не настроєно на відхилення маркерів JWT, які не мають значення твердження. Відповідний параметр (EnforceNonceInJWT) має бути ввімкнуто з міркувань безпеки після того, як переконайтеся, що всі клієнти виправлено за допомогою останньої Оновлення Windows. Подія 187 вказує на випадки, коли служба AD FS отримала такі маркери та прийняла їх через поточний параметр EnforceNonceInJWT. Докладні відомості про це див. в статті https://go.microsoft.com/fwlink/?linkid=2238156.

Вжити заходів

Інсталюйте оновлення Windows, випущені 11 липня 2023 р. або пізніше, на всі сервери AD FS ферми. Потім увімкніть цей параметр, запустивши таку команду PowerShell на основному сервері AD FS ферми:

Set-AdfsProperties -EnforceNonceInJWT увімкнуто

Увага! Помилки автентифікації можуть відображатися в певних сценаріях, якщо є клієнти, які не оновлюються, і надсилати запити автентифікації JWT на сервер AD FS. У таких випадках радимо оновити всі клієнти, інсталювавши оновлення Windows, випущене 11 липня 2023 р. або пізніше. Крім того, адміністратор може вимкнути параметр EnforceNonceInJWT і відстежувати сервери AD FS для журналювання події 187, щоб визначити потенційні запити, які можуть бути відхилені, якщо параметр EnforceNonceInJWT має значення Увімкнуто. Після підтвердження відсутності події 187 на серверах AD FS протягом визначеного періоду часу параметр EnforceNonceInJWT має бути оновлено до значення Увімкнуто.

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Виявити Спільнота

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.

Запитайте спільноту Microsoft

Спільнота Microsoft Tech

Оцінювачі Windows

Оцінювачі Microsoft 365

Чи ця інформація була корисною?

Наскільки ви задоволені якістю мови?
Що вплинуло на ваші враження?
Натиснувши кнопку "Надіслати", ви надасте свій відгук для покращення продуктів і служб Microsoft. Ваш ІТ-адміністратор зможе збирати ці дані. Декларація про конфіденційність.

Дякуємо за відгук!

×