使用 Microsoft 登录
登录或创建帐户。
你好,
使用其他帐户。
你有多个帐户
选择要登录的帐户。

摘要

Microsoft 已发布 Windows 更新,以解决 Active Directory 联合身份验证服务 (AD FS) 中的令牌重播攻击漏洞,如 CVE-2023-35348 中所述。 此更新由 2023 年 7 月 11 日或之后发布的 Windows 更新安装。 默认情况下,安装此更新处于禁用状态。 若要启用更新,必须配置 EnforceNonceInJWT 设置。

详细信息

此更新引入了一个新设置,用于在 JWT 用户身份验证期间从 JSON Web 令牌 (JWT) 断言启用 Nonce 验证。

本文介绍如何启用设置,并提供在 AD FS 服务器上记录的事件的详细信息,了解设置支持的值。

EnforceNonceInJWT 设置

ADFS 服务器上的管理员可将 EnforceNonceInJWT 配置为在以下模式之一中运行:

  • (默认值) :这用于跟踪 EnforceNonceInJWT 设置值是否已更改。 此值可能不是由管理员设置的。 ADFS 服务器仅当它存在于 JWT 断言中但不强制执行它的存在时,才验证 nonce。

  • 禁用: 如果默认值遇到任何问题或启用默认值后,可以设置此值以禁用修复。

  • 启用: 启用 EnforceNonceInJWT 设置。 ADFS 服务器强制在 JWT 断言中存在 Nonce ,并在满足某些条件时也有效。

管理员可以通过使用以下 PowerShell 命令在 AD FS 服务器上更改 EnforceNonceInJWT 模式:

  • 启用 EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Enabled

  • 禁用 EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Disabled

  • 检查 EnforceNonceInJWT 设置的状态:

    管理员可以运行 Get-AdfsProperties 以检查当前的 EnforceNonceInJWT 设置。 返回的 EnforceNonceInJWT 值将与配置的模式匹配。

记录的事件

安装 2023 年 7 月 11 日或之后发布的 Windows 更新后,AD FS 服务器上可能会记录以下事件:

备注 每当 AD FS 服务器收到在 JWT 断言中不包含 Nonce 的请求并且 EnforceNonceInJWT 设置为 NoneDisabled 时,都会记录事件 187。

源: AD FS  

水平: 警告 

ID:187 

消息: AD FS 服务器收到断言中没有 nonce 的 JWT 令牌,并且根据 EnforceNonceInJWT 的当前配置设置接受了该令牌。 但是,它指示恶意客户端可能重播 JWT 令牌,或者客户端未使用最新的 Windows 汇报进行修补的可能性。 请确保使用最新的 Windows 汇报修补客户端后,更新 EnforceNonceInJWT 设置以拒绝所有此类 JWT 令牌。 有关此内容的详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2238156。

备注 将 EnforceNonceInJWT 设置为 NoneDisabled 时,每个 AD FS 服务启动都会记录事件 188。

源: AD FS  

水平: 错误 

ID:188 

消息: AD FS 服务器未配置为拒绝断言中没有 nonce 的 JWT 令牌。 出于安全原因,应启用相应的设置 (EnforceNonceInJWT) ,以确保使用最新的 Windows 汇报修补所有客户端。 事件 187 指示 AD FS 收到此类令牌并因 EnforceNonceInJWT 的当前设置而接受的实例。 有关此内容的详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2238156。

采取操作

在场的所有 AD FS 服务器上安装 2023 年 7 月 11 日或之后发布的 Windows 更新。 然后,通过在场的主 AD FS 服务器上运行以下 PowerShell 命令来启用设置:

Set-AdfsProperties -EnforceNonceInJWT 已启用

重要说明 在某些情况下,当存在未更新的客户端并将 JWT 身份验证请求发送到 AD FS 服务器时,可能会看到身份验证失败。 在这种情况下,我们建议通过安装 2023 年 7 月 11 日或之后发布的 Windows 更新来更新所有客户端。 或者,管理员可以禁用 EnforceNonceInJWT 设置,并监视 AD FS 服务器以记录事件 187,以确定 在 EnforceNonceInJWT 设置为 Enabled 时可能拒绝的潜在请求。 确认 AD FS 服务器上在定义的时间段内不存在事件 187 后, 必须将 EnforceNonceInJWT 设置更新为 Enabled

订阅 RSS 源

需要更多帮助?

需要更多选项?

发现 社区

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。

咨询 Microsoft 社区

Microsoft 技术社区

Windows 预览体验成员

Microsoft 365 预览体验

此信息是否有帮助?

你对语言质量的满意程度如何?
哪些因素影响了你的体验?
按“提交”即表示你的反馈将用于改进 Microsoft 产品和服务。 你的 IT 管理员将能够收集此数据。 隐私声明。

谢谢您的反馈!

×