Използване на WHfBTools PowerShell модул за почистване на осиротели Windows Здравейте за бизнес ключове

Инсталиране на модула WHfBTools PowerShell

Инсталирайте чрез PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Или инсталирайте с помощта на изтегляне от галерията на PowerShell

1. Отидете на HTTPS://www.powershellgallery.com/packages/WHfBTools

2. Изтеглете RAW. nupkg файл в локална папка и преименуване с. zip разширение

3. Извличане на съдържанието в локална папка, например C:\RE190026

Стартирайте PowerShell, копирайте и изпълнете следните команди:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

Инсталиране на зависимости за използване на модула WHfBTools

Ако сте заявки Azure Active Directory за загубени ключове, инсталирайте MSAL.PS PowerShell модул

Инсталирайте чрез PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Или инсталирайте с помощта на изтегляне от галерията на PowerShell

1. Отидете на HTTPS://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

2. Изтеглете RAW. nupkg файл в локална папка и преименуване с. zip разширение

3. Извличане на съдържанието в локална папка, например C:\MSAR.PS

Стартирайте PowerShell, копирайте и изпълнете следните команди:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Ако сте заявки Active Directory за загубени ключове, инсталирайте отдалечен сървър администратор инструменти (RSAT): Услуги за домейн на Active Directory и леки справочни услуги инструменти

Инсталирайте чрез настройки (Windows 10, версия 1809 или по-нова)

1. Отидете в Настройки-> Apps-> допълнителни функции-> Добавяне на функция

2. Изберете RSAT: Услуги за домейн на Active Directory и инструменти за леки справочни услуги

3. Изберете инсталиране

Или инсталирайте чрез PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Или инсталирайте чрез изтегляне

1. Отидете на HTTPS://www.Microsoft.com/EN-US/Download/details.aspx?id=45520 (връзка с Windows 10)

2. Изтеглете инструментите за администриране на отдалечения сървър за Windows 10 Installer

3. Стартирайте инсталиращата програма след завършване на изтеглянето

Заявки за загубени клавиши и клавиши , засегнати от CVE-2017-15361 (Roca)

Заявка за ключове в Azure Active Directory с помощта на следната команда:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Тази команда ще изиска "contoso.com"клиент за всички регистрирани Windows Hello за бизнес публични ключове и ще извежда тази информация, за даC:\AzureKeys.csv. Замениcontoso.comс името на вашия наемател, за да запитвате вашия клиент.

CSV изхода,AzureKeys.csv, ще съдържа следната информация за всеки ключ:

• Основно име на потребителя

• Наемател

• Използване

• Идентификационен номер на ключа

• Време за създаване

• Състояние на осиротели

• Поддържа състояние на известяване

• Състояние на уязвимост на ROCA

Get-AzureADWHfBKeysсъщо ще извежда Резюме на ключовете, които са били направили. Настоящото Резюме предоставя следната информация:

• Брой сканирани потребители

• Брой сканирани клавиши

• Брой потребители с клавиши

• Брой на уязвимите клавиши на ROCA

Забележка: Възможно е да има остарели устройства в Azure AD клиент с Windows Hello за бизнес ключове, свързани с тях. Тези клавиши няма да бъдат докладвани като осиротели, въпреки че тези устройства не се използват активно. Ние препоръчваме да следвате как да: управление на остарели устройства в AZURE ad да почистите остарели устройства преди заявки за загубени ключове.

Заявка за клавиши в Active Directory с помощта на следната команда:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Тази команда ще изиска "contoso"домейн за всички регистрирани Windows Hello за бизнес публични ключове и ще извежда тази информация, за даC:\ADKeys.csv. Замениcontoso с името на домейна ви, за да запитвате домейна си.

CSV изхода,ADKeys.csv, ще съдържа следната информация за всеки ключ:

• Потребителски домейн

• Име на потребителя SAM акаунт

• Отличаващо потребителско име

• Версия на ключа

• Идентификационен номер на ключа

• Време за създаване

• Ключов материал

• Източник на ключ

• Използване на ключ

• ИД на ключ на устройството

• Приблизително последно клеймо за влизане

• Време за създаване

• Информация за потребителски ключ

• Връзки към клавиатурата

• Състояние на осиротели

• Състояние на уязвимост на ROCA

• Стойност на клавиатурата

Get-ADWHfBKeysсъщо ще извежда Резюме на ключовете, които са били направили. Настоящото Резюме предоставя следната информация:

• Брой сканирани потребители

• Брой потребители с клавиши

• Брой сканирани клавиши

• Брой на уязвимите клавиши на ROCA

• Брой загубени клавиши (ако-не са зададени

Забележка: Ако имате хибридна среда с Azure реклама присъединени устройства и стартирате "Get-ADWHfBKeys" във вашия локален домейн, броят на загубени ключове може да не е точна. Това е защото Azure AD присъединени устройства не са налични в Active Directory и клавиши, свързани с Azure AD Съединени устройства може да се показват като осиротели.

Премахване на осиротели, Roca уязвими клавиши от директорията

Премахнете клавишите в Azure Active Directory, като използвате следните стъпки:

1. Филтрирайте колоните загубени и неспособниAzureKeys.csvкъм истинната

2. Копирайте филтрираните резултати в нов файл,C:\ROCAKeys.csv

3. Изпълнете следната команда, за да изтриете клавиши:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Тази команда импортира списъка със сираци, уязвими от ROCA, и ги премахва отcontoso.comНаемател. Замениcontoso.com с името на вашия наемател, за да премахнете ключовете от вашия наемател.

N OTE Ако изтриете Roca уязвими whfb ключове, които все още не са осиротели, това ще доведе до смущения на вашите потребители. Трябва да се уверите, че тези клавиши са осиротели преди да ги премахнете от директорията.

Премахване на клавиши в Active Directory с помощта на следните стъпки:

Забележка: Премахване на загубени клавиши от Active Directory в хибридна среда ще доведе до ключове се пресъздава като част от процеса на Azure ad свързване синхронизиране. Ако сте в хибридна среда, премахнете ключове само от Azure AD

1. Филтрирайте неякои колони наADKeys.csv към истинната

2. Копирайте филтрираните резултати в нов файл,C:\ROCAKeys.csv

3. Изпълнете следната команда, за да изтриете клавиши:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Тази команда импортира списъка на осиротели ключове от ROCA и ги премахва от домейна ви.

Забележка: Ако изтриете Roca уязвими whfb ключове, които не са осиротели все още, това ще доведе до смущения на вашите потребители. Трябва да се уверите, че тези клавиши са осиротели преди да ги премахнете от директорията.