Bỏ qua để tới nội dung chính
Hỗ trợ
Đăng nhập
Đăng nhập với Microsoft
Đăng nhập hoặc tạo một tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

Tóm tắt

Microsoft đã phát hành một bản cập nhật Windows để khắc phục lỗ hổng tấn công phát lại mã thông báo trong Active Directory Federation Services (AD FS) như được mô tả trong CVE-2023-35348. Bản cập nhật này được cài đặt bởi các bản cập nhật Windows được phát hành vào hoặc sau ngày 11 tháng 7 năm 2023. Theo mặc định, bản cập nhật này đã được cài đặt. Để bật bản cập nhật, bạn phải đặt cấu hình thiết đặt EnforceNonceInJWT .

Thông tin thêm

Bản cập nhật này giới thiệu một thiết đặt mới để cho phép xác thực Nonce từ xác nhận Mã thông báo Web JSON (JWT) trong quá trình xác thực người dùng JWT.

Bài viết này mô tả cách bật cài đặt và cung cấp chi tiết các Sự kiện được ghi nhật ký trên máy chủ AD FS cho các giá trị được hỗ trợ của cài đặt.

Cài đặt EnforceNonceInJWT

EnforceNonceInJWT có thể được đặt cấu hình bởi Người quản trị trên máy chủ ADFS để chạy theo một trong các chế độ sau:

  • Không có (Giá trị mặc định): Giá trị này được dùng để theo dõi xem giá trị cài đặt EnforceNonceInJWT có bao giờ thay đổi hay không. Người quản trị không đặt giá trị này. Máy chủ ADFS xác thực nonce chỉ khi nó có mặt trong xác nhận JWT nhưng không thực thi sự hiện diện của nó.

  • Bị vô hiệu hoá: Có thể đặt giá trị này để tắt bản sửa lỗi, nếu có bất kỳ sự cố nào xảy ra với giá trị Mặc định hoặc bài đăng bật giá trị đó.

  • Kích hoạt: Bật cài đặt EnforceNonceInJWT . Máy chủ ADFS bắt buộc Nonce có mặt trong xác nhận JWT và nó cũng hợp lệ khi một số điều kiện nhất định được đáp ứng.

Người quản trị có thể thay đổi chế độ EnforceNonceInJWT trên máy chủ AD FS bằng cách sử dụng các lệnh PowerShell sau:

  • Bật enforceNonceInjwt:

    Đã bật Set-AdfsProperties -EnforceNonceInJWT

  • Vô hiệu hóa enforceNonceInjwt:

    Set-AdfsProperties -EnforceNonceInJWT Disabled

  • Kiểm tra trạng thái của thiết đặt EnforceNonceInJWT:

    Người quản trị có thể chạy Get-AdfsProperties để kiểm tra thiết đặt EnforceNonceInJWT hiện tại. Giá trị EnforceNonceInJWT được trả về sẽ khớp với chế độ được đặt cấu hình.

Sự kiện đã ghi nhật ký

Các sự kiện sau có thể được ghi nhật ký trên máy chủ AD FS sau khi cài đặt các bản cập nhật Windows phát hành vào hoặc sau ngày 11 tháng 7 năm 2023:

Lưu ý Sự kiện 187 được ghi nhật ký bất cứ khi nào máy chủ AD FS nhận được yêu cầu không chứa Nonce trong xác nhận JWT và EnforceNonceInJWT được đặt thành Không có hoặc Vô hiệu hóa.

Nguồn: AD FS  

Cấp: Cảnh báo 

ID: 187 

Thư: AD FS server received a JWT token without nonce in the assertion and it was accepted based on the current configuration setting of EnforceNonceInJWT. Tuy nhiên, nó chỉ ra một phát lại tiềm năng của mã thông báo JWT bởi một khách hàng độc hại hoặc khả năng khách hàng không được vá với các bản cập nhật Windows Cập nhật. Vui lòng đảm bảo cập nhật cài đặt EnforceNonceInJWT để từ chối tất cả các mã thông báo JWT như vậy sau khi vá lỗi cho máy khách với phiên bản Windows Cập nhật. Để biết thêm thông tin về điều này, vui lòng xem https://go.microsoft.com/fwlink/?linkid=2238156.

Lưu ý Sự kiện 188 được ghi nhật ký với mọi dịch vụ AD FS bắt đầu khi EnforceNonceInJWT được đặt thành Không có hoặcVô hiệu hóa.

Nguồn: AD FS  

Cấp: Lỗi 

SỐ ID: 188 

Thư: Máy chủ AD FS không được đặt cấu hình để từ chối mã thông báo JWT không có nonce trong xác nhận. Cài đặt tương ứng (EnforceNonceInJWT) sẽ được kích hoạt vì lý do bảo mật sau khi đảm bảo rằng tất cả các máy khách được vá với phiên bản Windows Cập nhật. Sự kiện 187 cho biết các trường hợp AD FS nhận được mã thông báo như vậy và được chấp nhận do cài đặt hiện tại của EnforceNonceInJWT. Để biết thêm thông tin về điều này, vui lòng xem https://go.microsoft.com/fwlink/?linkid=2238156.

Thực hiện hành động

Cài đặt các bản cập nhật Windows được phát hành vào hoặc sau ngày 11 tháng 7 năm 2023 trên tất cả các máy chủ AD FS của cụm máy chủ. Sau đó, bật cài đặt bằng cách chạy lệnh PowerShell sau đây trên máy chủ AD FS chính của cụm máy chủ:

Set-AdfsProperties -EnforceNonceInJWT enabled

Quan trọng Bạn có thể thấy lỗi xác thực trong một số trường hợp khi có máy khách không được cập nhật và gửi yêu cầu xác thực JWT đến máy chủ AD FS. Trong những trường hợp như vậy, bạn nên cập nhật tất cả máy khách bằng cách cài đặt bản cập nhật Windows được phát hành vào hoặc sau ngày 11 tháng 7 năm 2023. Ngoài ra, người quản trị có thể tắt cài đặt EnforceNonceInJWT và giám sát máy chủ AD FS để ghi nhật ký Sự kiện 187 để xác định các yêu cầu tiềm năng có thể bị từ chối khi EnforceNonceInJWT được đặt thành Bật. Sau khi xác nhận việc không có Sự kiện 187 trên máy chủ AD FS trong một khoảng thời gian xác định, cài đặt EnforceNonceInJWT phải được cập nhật thành Đã bật.

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?
Khi nhấn gửi, phản hồi của bạn sẽ được sử dụng để cải thiện các sản phẩm và dịch vụ của Microsoft. Người quản trị CNTT của bạn sẽ có thể thu thập dữ liệu này. Điều khoản về quyền riêng tư.

Cảm ơn phản hồi của bạn!

×