الملخص
لمساعده العملاء علي التعرف علي مفاتيح Windows Hello المعزولة للاعمال (WHfB) المتاثره بمشكله عدم حصانه TPM ، قامت Microsoft بنشر الوحدة النمطية PowerShell التي يمكن تشغيلها من قبل المسؤولين. يشرح هذا المقال كيفيه معالجه المشكلة الموضحة في ADV190026 | "إرشادات Microsoft لتنظيف المفاتيح المعزولة التي تم إنشاؤها علي المس الضعيفة والمستخدمة ل Windows Hello للعمل."
ملاحظه هامه قبل استخدام أدوات whffff' لأزاله المفاتيح المعزولة ، يجب اتباع الإرشادات في ADV170012 لتحديث البرامج الثابتة لأي تبمس ضعيف. إذا لم يتم اتباع هذا التوجيه ، فان إيه مفاتيح WHfB جديده تم إنشاؤها علي جهاز مع البرامج الثابتة التي لم يتم تحديثها ستظل تتاثر بواسطة CVE-2017-15361 (ROCA).
كيفيه تثبيت الوحدة النمطية PowerShell ويفادو
قم بتثبيت الوحدة النمطية عن طريق تشغيل الأوامر التالية:
|
تثبيت الوحدة النمطية PowerShell ويفادو |
|
تثبيت عبر PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools أو تثبيت باستخدام تنزيل من معرض PowerShell
بدء تشغيل PowerShell ، نسخ وتشغيل الأوامر التالية: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
تثبيت تبعيات لاستخدام الوحدة النمطية:
|
تثبيت تبعيات لاستخدام الوحدة النمطية Whfffftools |
|
إذا كنت تقوم بالاستعلام Azure Active Directory عن المفاتيح المعزولة ، قم بتثبيت الوحدة النمطية MSAL.PS PowerShell تثبيت عبر PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS أو تثبيت باستخدام تنزيل من معرض PowerShell
بدء تشغيل PowerShell ، نسخ وتشغيل الأوامر التالية: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 إذا كنت تقوم بالاستعلام عن "Active Directory" للمفاتيح المعزولة تثبيت أدوات مسؤول الملقم البعيد (RSAT): "خدمات مجال خدمه Active Directory" وأداات خدمات الدليل الخفيفة تثبيت عبر إعدادات (ويندوز 10 ، الإصدار 1809 أو في وقت لاحق)
أو تثبيت عن طريق PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 أو تثبيت عن طريق تحميل
|
تشغيل الوحدة النمطية PowerShell ويفادو
إذا كان لدي البيئة الخاصة بك Azure active Directory المنضمة أو المختلطة Azure Active Directory انضم الاجهزه ، اتبع الخطوات Azure Active Directory للتعرف علي المفاتيح وأزالها. ستتم مزامنة عمليات أزاله المفاتيح في Azure إلى "Active Directory" من خلال الاتصال AD Azure.
إذا كانت البيئة الخاصة بك داخلية فقط ، اتبع الخطوات "Active Directory" للتعرف علي المفاتيح وأزالها.
|
الاستعلام عن المفاتيح المعزولة والمفاتيح المتاثره ب CVE-2017-15361 (ROCA) |
|
الاستعلام عن المفاتيح في Azure Active Directory باستخدام الأمر التالي: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv سيقوم هذا الأمر بالاستعلام عن "contoso.com"المستاجر لجميع المسجلة ويندوز مرحبا لمفاتيح الاعمال العامة سيتم إخراج تلك المعلومات إلىC:\AzureKeys.csv. استبدالcontoso.comمع اسم المستاجر الخاص بك للاستعلام المستاجر الخاص بك. إخراج Csv ،AzureKeys.csv، سيحتوي علي المعلومات التالية لكل مفتاح:
Get-AzureADWHfBKeysسيتم أيضا إخراج ملخص المفاتيح التي تم الاستعلام عنها. يوفر هذا الملخص المعلومات التالية:
ملاحظه قد تكون هناك أجهزه تالفة في المستاجر AD Azure الخاص بك مع Windows Hello لمفاتيح العمل المقترنة بها. لن يتم الإبلاغ عن هذه المفاتيح علي انها معزولة علي الرغم من عدم استخدام هذه الاجهزه بشكل نشط. نوصي باتباع كيفيه القيام بما يلي: أداره الاجهزه التالفة في AD Azure لتنظيف الاجهزه التالفة قبل الاستعلام عن المفاتيح المعزولة.
الاستعلام عن المفاتيح في "Active Directory" باستخدام الأمر التالي: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv سيقوم هذا الأمر بالاستعلام عن "contoso"المجال لكافة المسجلة Windows Hello للمفاتيح العامة للاعمال سيتم إخراج تلك المعلومات إلىC:\ADKeys.csv. استبدالcontoso مع اسم النطاق الخاص بك للاستعلام عن المجال الخاص بك. إخراج Csv ،ADKeys.csv، سيحتوي علي المعلومات التالية لكل مفتاح:
Get-ADWHfBKeysسيتم أيضا إخراج ملخص المفاتيح التي تم الاستعلام عنها. يوفر هذا الملخص المعلومات التالية:
ملاحظه: إذا كان لديك بيئة مختلطة مع الإعلان Azure الاجهزه المنضمة وتشغيل "الحصول علي Adwhffffin" في المجال المحلي الخاص بك قد لا يكون عدد المفاتيح المعزولة دقيقه. ويرجع ذلك إلى ان الاجهزه المنضمة إلى Azure AD غير موجودة في "Active Directory" وقد تظهر المفاتيح المقترنة بالاجهزه المنضمة إلى Azure AD كمعزول. |
|
أزاله المعزولة ، روكا المفاتيح الضعيفة من الدليل |
|
أزاله المفاتيح في Azure Active Directory باستخدام الخطوات التالية:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging يستورد هذا الأمر قائمه المعزولة ، والمفاتيح الضعيفة ROCA ويزيلها منcontoso.comالمستاجر. استبدالcontoso.com مع اسم المستاجر الخاص بك لأزاله مفاتيح من المستاجر الخاص بك. N ote إذا قمت بحذف روكا الضعيفة whfb المفاتيح التي لم يتم الأيتام حتى الآن ، فانه سيؤدي إلى تعطيل للمستخدمين. يجب التاكد من ان يتم عزل هذه المفاتيح قبل ازالتها من الدليل.
أزاله المفاتيح في "Active Directory" باستخدام الخطوات التالية: ملاحظه أزاله المفاتيح المعزولة من "active Directory" في البيئات المختلطة سينتج المفاتيح التي يتم أعاده إنشائها كجزء من عمليه المزامنة الاتصال الإعلان Azure. إذا كنت في بيئة مختلطة ، قم بازاله المفاتيح فقط من Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging يستورد هذا الأمر قائمه المعزولة ، والمفاتيح الضعيفة ROCA ويزيلها من المجال الخاص بك. ملاحظه إذا قمت بحذف روكا الضعيفة whfb المفاتيح التي لم يتم عزل حتى الآن ، فانه سيؤدي إلى تعطيل المستخدمين. يجب التاكد من ان يتم عزل هذه المفاتيح قبل ازالتها من الدليل. |
