Qu’est-ce que KDFv2 pour AD FS ?
Le 13 juillet 2021, des mises à jour ont été publiées pour AD FS afin de remédier aux attaques par relecture de jeton, comme décrit dans CVE-2021-33779. Ces mises à jour introduisent de nouveaux paramètres pour activer et contrôler une nouvelle fonction de dérivation de clé (KDF) appelée « KDFv2 ». Cette nouvelle version de KDF est plus sécurisée que la version précédente. Le présent document décrit les nouveaux paramètres activés par le correctif de sécurité pour CVE-2021-33779, ainsi que la manière d’activer ces paramètres dans différents scénarios de déploiement. Pour obtenir les références de base de connaissances propres au produit et les téléchargements associés, reportez-vous aux liens fournis dans l’article CVE.
Paramètres KDFv2 :
KDFv2 peut être configuré par un administrateur sur un serveur AD FS pour s’exécuter dans l’un des modes suivants :
- Aucun – (valeur par défaut) Ce mode permet de déterminer si la valeur du paramètre KDFv2 a déjà été modifiée. Cette valeur peut ne pas être définie par un administrateur.
- Désactivé : Cette valeur peut être définie afin de rétablir le comportement d’origine de la fonction de dérivation de clé, en cas de problèmes lors de l’activation de KDFv2.
- Activé : Activez la prise en charge de KDFv2. Le serveur AD FS va annoncer qu’il prend en charge les nouvelles fonctionnalités. Si une demande initiale de jeton d’actualisation principal (PRT) est envoyée à partir d’un client à l’aide de la version KDF d’origine, AD FS accepte la demande et utilise la fonction de dérivation de clé (KDF) d’origine. Cela permet de prendre en charge les clients non corrigés.
- Appliqué : Activez la prise en charge de KDFv2 et interdisez (rejetez) les demandes de PRT initiales à l’aide de la fonction de dérivation de clé (KDF) d’origine. Une fois qu’un administrateur a vérifié que tous les clients ont été corrigés, il peut basculer en mode Appliqué.
Un administrateur peut modifier les modes KDFv2 sur un serveur AD FS par le biais des commandes PowerShell suivantes :
- Activez KDFv2 :
Set-AdfsProperties -KdfV2Support enable
- Désactivez KDFv2 :
Set-AdfsProperties -KdfV2Support disable
- Appliquez KDFv2 :
Set-AdfsProperties -KdfV2Support enforce
Un administrateur peut exécuter Get-AdfsProperties pour vérifier le paramètre KDFv2 actuel. La valeur KdfV2Support retournée correspond au mode configuré.
Scénarios de déploiement
Selon la version du système d’exploitation que les serveurs AD FS exécutent lorsqu’ils sont corrigés pour prendre en charge KDFv2, le paramètre KDFv2 peut s’activer automatiquement. En outre, les événements dépendants de la version du système d’exploitation peuvent être journalisés pour indiquer l’état de KDFv2 dans la batterie de serveurs. Voici les scénarios de déploiement possibles et les comportements attendus.
Scénario 1 : Windows Server 2019 ou version ultérieure est installé sur tous les serveurs AD FS dans une batterie de serveurs. Un ou plusieurs nœuds de batterie de serveurs ne sont pas corrigés.
Comportement attendu : Si tous les nœuds de la batterie de serveurs ne sont pas corrigés, l’événement d’erreur ci-dessous est journalisé, indiquant les actions de correction recommandées. Cet événement sera journalisé toutes les 24 heures jusqu’à ce que tous les nœuds de la batterie soient corrigés. Une fois tous les nœuds corrigés, KDFv2 est automatiquement activé pour tous les systèmes de la batterie par le biais du mode « Activer ».
Source: AD FS
Level: Error
ID: 181
Message: AD FS could not enable the new KDFv2 feature automatically because of missing Windows Updates on one or more nodes of the farm. Please make sure that all the farm nodes are patched with the latest Windows Updates. AD FS checks regularly for the required updates to enable the new KDFv2 feature. An event 182 will be logged when a check is successful. For more information on this, please see https://go.microsoft.com/fwlink/?linkid=2153807.
Scénario 2 : Windows Server 2016 est installé sur un ou plusieurs serveurs dans une batterie de serveurs. Tous les serveurs exécutent Windows 2016 ou version ultérieure. Un ou plusieurs nœuds de batterie de serveurs ne sont pas corrigés.
Comportement attendu : Si tous les nœuds de la batterie de serveurs ne sont pas corrigés, l’événement d’erreur ci-dessous est journalisé, indiquant les actions de correction recommandées. Cet événement sera journalisé toutes les 24 heures jusqu’à ce que tous les nœuds de la batterie soient corrigés. Une fois tous les nœuds corrigés, KDFv2 doit être activé manuellement sur tous les serveurs de la batterie.
Source: AD FS
Level: Error
ID: 185
Message: KDFv2 feature is not enabled on AD FS farm. Please make sure that all the farm nodes are patched with latest Windows Updates and the KDFv2 feature is enabled to enhance the security of the farm. For more information on this, please see https://go.microsoft.com/fwlink/?linkid=2153807.
Scénario 3 : Windows Server 2019 ou version ultérieure est installé sur tous les serveurs AD FS dans une batterie de serveurs. Tous les serveurs de la batterie ont été corrigés.
Comportement attendu : Une fois que KDFv2 a été activé automatiquement sur la batterie de serveurs, comme décrit dans le scénario 1 ci-dessus, l’événement ci-dessous est journalisé.
Source: AD FS
Level: Information
ID: 182
Message: AD FS enabled the new KDFv2 feature successfully. For more information on this, please see https://go.microsoft.com/fwlink/?linkid=2153807.
Notes
L’événement 182 ne sera pas journalisé si certains serveurs dans une batterie de serveurs exécutent Windows Server 2016.
Scénario 4 : L’administrateur a désactivé KDFv2 sur un ou plusieurs serveurs dans son environnement.
Comportement attendu : Le message de journal ci-dessous sera consigné sur chaque système dans la batterie de serveurs où KDFv2 a été désactivé, au démarrage du service AD FS.
Source: AD FS
Level: Warning
ID: 183
Message: KDFv2 feature is disabled on AD FS farm. Please make sure that all the farm nodes are patched with latest Windows Updates and the KDFv2 feature is enabled to enhance the security of the farm. For more information on this, please see https://go.microsoft.com/fwlink/?linkid=2153807.