¿Qué es KDFv2 para AD FS?

Artículo
02/13/2024

El 13 de julio de 2021, se publicaron actualizaciones para AD FS para abordar los ataques de reproducción de tokens, como se describe en CVE-2021-33779. Estas actualizaciones presentan nuevas configuraciones para habilitar y controlar una nueva función de derivación de claves (KDF) denominada "KDFv2". Esta nueva versión de KDF es más segura que la anterior. En este documento se describen las nuevas configuraciones habilitadas por la corrección de seguridad para CVE-2021-33779 y cómo habilitar esta configuración en diferentes escenarios de implementación. Para obtener números de KB específicos del producto y descargas relacionadas, consulte los vínculos proporcionados en el artículo CVE.

Configuración de KDFv2:

Un administrador de un servidor de AD FS puede configurar KDFv2 para que se ejecute en uno de los distintos modos, que son los siguientes:

Ninguno: (valor predeterminado) Se usa para realizar un seguimiento de si se ha cambiado el valor de configuración de KDFv2. Un administrador no puede establecer este valor.
Deshabilitado: este valor se puede establecer para revertir la función de derivación de claves a su comportamiento original, en caso de que se produzcan problemas al habilitar KDFv2.
Habilitado: habilite la compatibilidad con KDFv2. El servidor AD FS anunciará que admite las nuevas funcionalidades. Si se envía una solicitud inicial de token de actualización principal (PRT) desde un cliente mediante la versión original de KDF, AD FS aceptará la solicitud y usará la KDF original. Esto permite la compatibilidad con clientes sin revisión.
Aplicado: habilite la compatibilidad con KDFv2 y no permita (rechace) solicitudes PRT iniciales mediante la KDF original. Una vez que un administrador esté seguro de que todos los clientes se han revisado, pueden cambiar al modo aplicado.

Un administrador de un servidor de AD FS puede cambiar los modos KDFv2 mediante los siguientes comandos de PowerShell:

Habilitar KDFv2:

Set-AdfsProperties -KdfV2Support enable

Deshabilitar KDFv2:

Set-AdfsProperties -KdfV2Support disable

Aplicar KDFv2:

Set-AdfsProperties -KdfV2Support enforce

Un administrador puede ejecutar Get-AdfsProperties para comprobar la configuración actual de KDFv2. El valor devuelto KdfV2Support coincidirá con el modo configurado.

Escenarios de implementación

En función de la versión del sistema operativo que estén ejecutando los servidores de AD FS cuando se apliquen los parches para admitir KDFv2, es posible que KdFv2 se habilite automáticamente. Además, los eventos dependientes de la versión del sistema operativo se pueden registrar para indicar el estado de KDFv2 en la granja de servidores. A continuación se muestran posibles escenarios de implementación y comportamientos esperados.

Escenario 1: Windows Server 2019 o superior está instalado en todos los servidores de AD FS de una granja de servidores. Uno o varios nodos de granja de servidores no tienen parches.

Comportamiento esperado: si no se revisan todos los nodos de la granja de servidores, se registrará el siguiente evento de error que indica las acciones de corrección recomendadas. Este evento se registrará cada 24 horas hasta que se revisen todos los nodos de la granja de servidores. Una vez revisados todos los nodos, KDFv2 se habilitará automáticamente para todos los sistemas de la granja de servidores a través del modo "Habilitar".

 Source: AD FS  
 Level: Error 
 ID: 181 
 Message: AD FS could not enable the new KDFv2 feature automatically because of missing Windows Updates on one or more nodes of the farm. Please make sure that all the farm nodes are patched with the latest Windows Updates. AD FS checks regularly for the required updates to enable the new KDFv2 feature. An event 182 will be logged when a check is successful. For more information on this, please see  https://go.microsoft.com/fwlink/?linkid=2153807.

Escenario 2: Windows Server 2016 se instala en uno o varios servidores de una granja de servidores. Todos los servidores ejecutan Windows 2016 o superior. Uno o varios nodos de granja de servidores no tienen parches.

Comportamiento esperado: si no se revisan todos los nodos de la granja de servidores, se registrará el siguiente evento de error que indica las acciones de corrección recomendadas. Este evento se registrará cada 24 horas hasta que se revisen todos los nodos de la granja de servidores. Una vez revisados todos los nodos, KDFv2 debe habilitarse manualmente en todos los servidores de la granja de servidores.

 Source: AD FS  
 Level: Error 
 ID: 185 
 Message: KDFv2 feature is not enabled on AD FS farm. Please make sure that all the farm nodes are patched with latest Windows Updates and the KDFv2 feature is enabled to enhance the security of the farm. For more information on this, please see  https://go.microsoft.com/fwlink/?linkid=2153807.

Escenario 3: Windows Server 2019 o superior está instalado en todos los servidores de AD FS de una granja de servidores. Se han revisado todos los servidores de la granja.

Comportamiento esperado: una vez que KDFv2 se ha habilitado automáticamente en la granja de servidores, tal como se describe anteriormente en el escenario 1, se registrará el evento siguiente.

 Source: AD FS 
 Level: Information 
 ID: 182 
 Message: AD FS enabled the new KDFv2 feature successfully. For more information on this, please see https://go.microsoft.com/fwlink/?linkid=2153807.

Nota

El evento 182 no se registrará si alguno de los servidores de una granja de servidores ejecuta Windows Server 2016.

Escenario 4: el administrador ha deshabilitado KDFv2 en uno o varios servidores de su entorno.

Comportamiento esperado: el siguiente mensaje de registro se registrará en cada sistema de la granja donde KDFv2 se ha deshabilitado, al iniciarse el servicio AD FS.

 Source: AD FS 
 Level: Warning 
 ID: 183 
 Message: KDFv2 feature is disabled on AD FS farm. Please make sure that all the farm nodes are patched with latest Windows Updates and the KDFv2 feature is enabled to enhance the security of the farm. For more information on this, please see https://go.microsoft.com/fwlink/?linkid=2153807.

Compartir a través de