事件
4月29日 下午2時 - 4月30日 下午7時
加入最終的 Windows Server 虛擬活動 4 月 29-30 日,以取得深入探討的技術研討會,並與Microsoft工程師實時問答。
立即註冊什麼是適用於 AD FS 的 KDFv2?
2021 年 7 月 13 日,AD FS 已發行更新以解決權杖重新執行攻擊,如 CVE-2021-33779 中所述。 這些更新引進了新的設定,以啟用和控制名為 "KDFv2" 的新金鑰衍生函式 (KDF)。 這個新版本的 KDF 比舊版更安全。 此文件說明 CVE-2021-33779 安全性修正所啟用的新設定,以及如何在不同的部署案例中啟用這些設定。 如需產品特定的 KB 號碼和相關下載,請參閱 CVE 文章中提供的連結。
AD FS 伺服器上的系統管理員可能會設定 KDFv2,以下列其中一種模式執行:
- 無 - (預設值) 這是用來追蹤 KDFv2 設定值是否已變更。 系統管理員可能不會設定此值。
- 已停用 - 此值可能會設定為將金鑰衍生函式還原為其原始行為,以防啟用 KDFv2 時發生任何問題。
- 已啟用 - 啟用 KDFv2 支援。 ADFS 伺服器會公告它支援新的功能。 如果使用原始 KDF 版本從用戶端傳送初始主要重新整理權杖 (PRT) 要求,ADFS 將會接受要求並使用原始 KDF。 這允許支援未修補的用戶端。
- 已強制執行 - 使用原始 KDF 來啟用 KDFv2 支援,並且不允許 (拒絕) 初始 PRT 要求。 一旦系統管理員確認所有用戶端都已修補,就可以切換至已強制執行模式。
透過下列 PowerShell 命令,AD FS 伺服器上的系統管理員可能會變更 KDFv2 模式:
- 啟用 KDFv2:
PowerShell
Set-AdfsProperties -KdfV2Support enable
- 停用 KDFv2:
PowerShell
Set-AdfsProperties -KdfV2Support disable
- 強制執行 KDFv2:
PowerShell
Set-AdfsProperties -KdfV2Support enforce
系統管理員可以執行 Get-AdfsProperties 來檢查目前的 KDFv2 設定。 傳回的 KdfV2Support 值將會符合設定的模式。
取決於 AD FS 伺服器在修補以支援 KDFv2 時執行的 OS 版本,KDFv2 可能會自動啟用。 此外,可能會記錄 OS 版本相依事件,以指出伺服器陣列中的 KDFv2 狀態。 以下是可能的部署案例和預期的行為。
預期的行為:如果未修補伺服器陣列中的所有節點,則會記錄下列錯誤事件,指出建議的補救動作。 此事件會每隔 24 小時記錄一次,直到已修補伺服器陣列中的所有節點為止。 修補所有節點之後,會透過 [啟用] 模式自動為伺服器陣列中的所有系統啟用 KDFv2。
Source: AD FS
Level: Error
ID: 181
Message: AD FS could not enable the new KDFv2 feature automatically because of missing Windows Updates on one or more nodes of the farm. Please make sure that all the farm nodes are patched with the latest Windows Updates. AD FS checks regularly for the required updates to enable the new KDFv2 feature. An event 182 will be logged when a check is successful. For more information on this, please see https://go.microsoft.com/fwlink/?linkid=2153807.
預期的行為:如果未修補伺服器陣列中的所有節點,則會記錄下列錯誤事件,指出建議的補救動作。 此事件會每隔 24 小時記錄一次,直到已修補伺服器陣列中的所有節點為止。 修補所有節點之後,必須在伺服器陣列中的所有伺服器上手動啟用 KDFv2。
Source: AD FS
Level: Error
ID: 185
Message: KDFv2 feature is not enabled on AD FS farm. Please make sure that all the farm nodes are patched with latest Windows Updates and the KDFv2 feature is enabled to enhance the security of the farm. For more information on this, please see https://go.microsoft.com/fwlink/?linkid=2153807.
預期的行為:如上述案例 1 所述,在伺服器陣列上自動啟用 KDFv2 之後,將會記錄下列事件。
Source: AD FS
Level: Information
ID: 182
Message: AD FS enabled the new KDFv2 feature successfully. For more information on this, please see https://go.microsoft.com/fwlink/?linkid=2153807.
注意
如果伺服器陣列中的任何伺服器正在執行 Windows Server 2016,則不會記錄事件 182。
預期的行為:下列記錄訊息將會記錄在 ADFS 服務啟動時已停用 KDFv2 之伺服器陣列中的每個系統。
Source: AD FS
Level: Warning
ID: 183
Message: KDFv2 feature is disabled on AD FS farm. Please make sure that all the farm nodes are patched with latest Windows Updates and the KDFv2 feature is enabled to enhance the security of the farm. For more information on this, please see https://go.microsoft.com/fwlink/?linkid=2153807.
其他資源
訓練
學習路徑
了解 Microsoft 如何支援使用多重要素驗證作為網路安全解決方案的一部分 - Training
多重要素驗證會要求使用者使用多個驗證方法 (例如打電話、簡訊、行動裝置應用程式通知或一次性密碼) 來確認其身分識別,協助保護您的環境和資源。 您可以在內部部署和雲端使用多重要素驗證,以在存取 Microsoft 線上服務、遠端存取應用程式等動作時增加安全性。 此學習路徑提供概觀,讓您了解如何使用多重要素驗證做為網路安全解決方案的一部分。根據改善美國網路安全性高階行政令第 3 節,機構在待用和傳輸時採用多重要素驗證和加密的期限,會達到 (的最大範圍,並每隔 60 天報告進度) 一次。2021 年 11 月 8 日**。
認證
Microsoft Certified: Identity and Access Administrator Associate - Certifications
示範 Microsoft Entra ID 的功能,以現代化身分識別解決方案、實作混合式解決方案,以及實作身分識別治理。
文件
-
保護 AD FS 和 Web 應用程式 Proxy 的最佳做法
安全規劃與部署 Active Directory 同盟服務 (AD FS) 和 Web 應用程式 Proxy 的最佳做法。
-
ADFS SSO 疑難解答 - Windows Server
介紹如何針對ADFS SSO問題進行疑難解答。
-
針對 Active Directory 同盟服務 Idp 起始的登入進行疑難排解
了解如何使用登入頁面,針對 Active Directory 同盟服務 (AD FS) 驗證進行疑難排解。
-
了解您可執行的工作和程序,以確保 Azure Directory Federation Services (AD FS) 權杖簽署和權杖解密憑證是最新的。