Что такое KDFv2 для AD FS?

13 июля 2021 г. обновления были выпущены для AD FS для устранения атак воспроизведения маркера, как описано в CVE-2021-33779. Эти обновления вводят новые параметры для включения и управления новой функцией вывода ключей (KDF) с именем KDFv2. Эта новая версия KDF более безопасна, чем предыдущая версия. В этом документе описываются новые параметры, включенные исправлением безопасности для CVE-2021-33779, а также способы включения этих параметров в различных сценариях развертывания. Сведения о конкретных продуктах КБ номерах и связанных скачиваемых файлах см. по ссылкам, приведенным в статье CVE.

KDFv2 Параметры:

KDFv2 может быть настроен Администратор istrator на сервере AD FS для запуска в одном из нескольких режимов, как показано ниже.

• None — (значение по умолчанию) Используется для отслеживания, если значение параметра KDFv2 когда-либо было изменено. Это значение может не быть задано Администратор istrator.
• Отключено. Это значение может быть задано для отменить изменения функции вывода ключей в исходное поведение, если при включении KDFv2 возникают какие-либо проблемы.
• Включена поддержка KDFv2. Сервер ADFS будет объявлять, что поддерживает новые возможности. Если первоначальный запрос первичного маркера обновления (PRT) отправляется от клиента с использованием исходной версии KDF, ADFS примет запрос и будет использовать исходный KDF. Это позволяет поддерживать неподдерженные клиенты.
• Применено . Включите поддержку KDFv2 и запретить (отклонить) первоначальные запросы PRT с помощью исходного KDF. После того как Администратор istrator удобнее, что все клиенты были исправлены, они могут переключиться в режим принудительного применения.

Режимы KDFv2 могут быть изменены Администратор istrator на сервере AD FS с помощью следующих команд PowerShell:

• Включите KDFv2:

Set-AdfsProperties -KdfV2Support enable 

• Отключите KDFv2:

Set-AdfsProperties -KdfV2Support disable 

• Принудительное применение KDFv2:

Set-AdfsProperties -KdfV2Support enforce  

Администратор istrator может выполняться Get-AdfsProperties для проверка текущего параметра KDFv2. Возвращаемое KdfV2Support значение будет соответствовать настроенном режиму.

Сценарии развертывания

В зависимости от версии ОС, которую серверы AD FS выполняются при исправлении для поддержки KDFv2, KDFv2 можно включить автоматически. Кроме того, события, зависящие от версии ОС, могут быть зарегистрированы, чтобы указать состояние KDFv2 в ферме. Ниже приведены возможные сценарии развертывания и ожидаемые характеристики.

Сценарий 1. Windows Server 2019 или более поздней версии устанавливается на всех серверах AD FS в ферме. Один или несколько узлов фермы не находятся в состоянии.

Ожидаемое поведение: если все узлы в ферме не исправлены, то следующее событие ошибки будет зарегистрировано, указывающее рекомендуемые действия по исправлению. Это событие будет регистрироваться каждые 24 часа, пока все узлы в ферме не будут исправлены. После исправления всех узлов KDFv2 будет включен автоматически для всех систем в ферме с помощью режима "Включить".

 Source: AD FS  
 Level: Error 
 ID: 181 
 Message: AD FS could not enable the new KDFv2 feature automatically because of missing Windows Updates on one or more nodes of the farm. Please make sure that all the farm nodes are patched with the latest Windows Updates. AD FS checks regularly for the required updates to enable the new KDFv2 feature. An event 182 will be logged when a check is successful. For more information on this, please see  https://go.microsoft.com/fwlink/?linkid=2153807. 

Сценарий 2. Windows Server 2016 устанавливается на одном или нескольких серверах фермы. Все серверы работают под управлением Windows 2016 или более поздней версии. Один или несколько узлов фермы не находятся в состоянии.

Ожидаемое поведение: если все узлы в ферме не исправлены, то следующее событие ошибки будет зарегистрировано, указывающее рекомендуемые действия по исправлению. Это событие будет регистрироваться каждые 24 часа, пока все узлы в ферме не будут исправлены. После исправления всех узлов необходимо включить KDFv2 вручную на всех серверах фермы.

 Source: AD FS  
 Level: Error 
 ID: 185 
 Message: KDFv2 feature is not enabled on AD FS farm. Please make sure that all the farm nodes are patched with latest Windows Updates and the KDFv2 feature is enabled to enhance the security of the farm. For more information on this, please see  https://go.microsoft.com/fwlink/?linkid=2153807. 

Сценарий 3. Windows Server 2019 или более поздней версии устанавливается на всех серверах ADFS в ферме. Все серверы в ферме исправлены.

Ожидаемое поведение. После автоматического включения KDFv2 в ферме, как описано в сценарии 1 выше, будет зарегистрировано следующее событие.

 Source: AD FS 
 Level: Information 
 ID: 182 
 Message: AD FS enabled the new KDFv2 feature successfully. For more information on this, please see https://go.microsoft.com/fwlink/?linkid=2153807. 

Примечание.

Событие 182 не регистрируется, если какие-либо серверы в ферме работают под управлением Windows Server 2016.

Сценарий 4. Администратор istrator отключил KDFv2 на одном или нескольких серверах в своей среде.

Ожидаемое поведение: в каждой системе в ферме, где KDFv2 отключена, в начале службы ADFS будет зарегистрировано следующее сообщение журнала.

 Source: AD FS 
 Level: Warning 
 ID: 183 
 Message: KDFv2 feature is disabled on AD FS farm. Please make sure that all the farm nodes are patched with latest Windows Updates and the KDFv2 feature is enabled to enhance the security of the farm. For more information on this, please see https://go.microsoft.com/fwlink/?linkid=2153807. 

Следующий

• Использование руководств по устранению неполадок с AD FS
• Устранение неполадок в AD FS