Обобщена информация
За да помогне на клиентите да идентифицират осиротели Windows Здравейте за бизнес (WHfB) ключове, засегнати от TPM уязвимост, Microsoft публикува PowerShell модул, който може да се управлява от администратори. В тази статия се обяснява как да се отговори на проблема, описан в ADV190026 | "Microsoft ръководство за почистване на загубени ключове, генерирани на уязвими TPMs и използва за Windows Hello за бизнес."
Важна забележка Преди да използвате whfbtools за премахване на загубени клавиши, ръководството в ADV170012 трябва да се следват за актуализиране на фърмуера на всички уязвими TPMS. Ако това ръководство не се следват, всички нови WHfB ключове, генерирани на устройство с фърмуер, който не е актуализиран, все още ще бъдат засегнати от CVE-2017-15361 (Roca).
Как да инсталирате модула WHfBTools PowerShell
Инсталирайте модула, като изпълните следните команди:
Инсталиране на модула WHfBTools PowerShell |
Инсталирайте чрез PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Или инсталирайте с помощта на изтегляне от галерията на PowerShell
Стартирайте PowerShell, копирайте и изпълнете следните команди: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Инсталиране на зависимости за използване на модула:
Инсталиране на зависимости за използване на модула WHfBTools |
Ако сте заявки Azure Active Directory за загубени ключове, инсталирайте MSAL.PS PowerShell модул Инсталирайте чрез PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Или инсталирайте с помощта на изтегляне от галерията на PowerShell
Стартирайте PowerShell, копирайте и изпълнете следните команди: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Ако сте заявки Active Directory за загубени ключове, инсталирайте отдалечен сървър администратор инструменти (RSAT): Услуги за домейн на Active Directory и леки справочни услуги инструменти Инсталирайте чрез настройки (Windows 10, версия 1809 или по-нова)
Или инсталирайте чрез PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Или инсталирайте чрез изтегляне
|
Стартирайте модула WHfBTools PowerShell
Ако вашата среда е свързан или хибридна Azure Active Directory Съединени устройства, изпълнете стъпките на Azure Active Directory за идентифициране и премахване на клавиши. Отстраняването на ключове в Azure ще се синхронизира с Active Directory чрез Azure AD свързване.
Ако вашата среда е само локално, следвайте стъпките на Active Directory за идентифициране и премахване на клавиши.
Заявки за загубени клавиши и клавиши , засегнати от CVE-2017-15361 (Roca) |
Заявка за ключове в Azure Active Directory с помощта на следната команда: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Тази команда ще изиска "contoso.com"клиент за всички регистрирани Windows Hello за бизнес публични ключове и ще извежда тази информация, за даC:\AzureKeys.csv. Замениcontoso.comс името на вашия наемател, за да запитвате вашия клиент. CSV изхода,AzureKeys.csv, ще съдържа следната информация за всеки ключ:
Get-AzureADWHfBKeysсъщо ще извежда Резюме на ключовете, които са били направили. Настоящото Резюме предоставя следната информация:
Забележка: Възможно е да има остарели устройства в Azure AD клиент с Windows Hello за бизнес ключове, свързани с тях. Тези клавиши няма да бъдат докладвани като осиротели, въпреки че тези устройства не се използват активно. Ние препоръчваме да следвате как да: управление на остарели устройства в AZURE ad да почистите остарели устройства преди заявки за загубени ключове.
Заявка за клавиши в Active Directory с помощта на следната команда: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Тази команда ще изиска "contoso"домейн за всички регистрирани Windows Hello за бизнес публични ключове и ще извежда тази информация, за даC:\ADKeys.csv. Замениcontoso с името на домейна ви, за да запитвате домейна си. CSV изхода,ADKeys.csv, ще съдържа следната информация за всеки ключ:
Get-ADWHfBKeysсъщо ще извежда Резюме на ключовете, които са били направили. Настоящото Резюме предоставя следната информация:
Забележка: Ако имате хибридна среда с Azure реклама присъединени устройства и стартирате "Get-ADWHfBKeys" във вашия локален домейн, броят на загубени ключове може да не е точна. Това е защото Azure AD присъединени устройства не са налични в Active Directory и клавиши, свързани с Azure AD Съединени устройства може да се показват като осиротели. |
Премахване на осиротели, Roca уязвими клавиши от директорията |
Премахнете клавишите в Azure Active Directory, като използвате следните стъпки:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Тази команда импортира списъка със сираци, уязвими от ROCA, и ги премахва отcontoso.comНаемател. Замениcontoso.com с името на вашия наемател, за да премахнете ключовете от вашия наемател. N OTE Ако изтриете Roca уязвими whfb ключове, които все още не са осиротели, това ще доведе до смущения на вашите потребители. Трябва да се уверите, че тези клавиши са осиротели преди да ги премахнете от директорията.
Премахване на клавиши в Active Directory с помощта на следните стъпки: Забележка: Премахване на загубени клавиши от Active Directory в хибридна среда ще доведе до ключове се пресъздава като част от процеса на Azure ad свързване синхронизиране. Ако сте в хибридна среда, премахнете ключове само от Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Тази команда импортира списъка на осиротели ключове от ROCA и ги премахва от домейна ви. Забележка: Ако изтриете Roca уязвими whfb ключове, които не са осиротели все още, това ще доведе до смущения на вашите потребители. Трябва да се уверите, че тези клавиши са осиротели преди да ги премахнете от директорията. |