Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Резюме

Тази статия ви помага идентифициране и поправяне на проблеми с устройства, които са засегнати от уязвимост, която е описана в Microsoft Security консултации ADV170012.

Този процес е насочен към следните Windows Здравейте за Azure AD (пад) сценарии , предлагани от Microsoft и бизнес (WHFB):

  • Azure AD съединение

  • Хибрид Azure AD съединение

  • Azure AD регистрирани

Допълнителна информация

Проверете вашия сценарий ЗСУ използване

  1. Отворете команден прозорец.

  2. Получете състоянието на устройството, като изпълните следната команда:dsregcmd.exe /status

  3. В резултата от командата Проверете стойностите на свойствата, които са изброени в следващата таблица да се определи вашия сценарий ЗСУ използване.

    Свойство

    Описание

    AzureAdJoined

    Показва дали устройството е присъединен към Azure реклама

    EnterpriseJoined

    Показва дали t устройството е присъединен към AD FS. Това е част от в помещения само клиенти сценарий, когато Windows Здравейте за бизнес е разположен и управлява локалните.

    DomainJoined

    Показва дали устройството е присъединен към традиционните Active Directory домейн.

    WorkplaceJoined

    Посочва дали текущият потребител е добавил работа или училище акаунта си текущия профил. Това се нарича Azure AD регистриран. Тази настройка се игнорира от системата, ако устройството е AzureAdJoined.

Хибридно Azure AD присъединени

Ако DomainJoined и AzureAdJoined да, устройството е хибрид Azure AD присъединени. Следователно устройството е присъединен към Azure Active Directory и традиционен Active Directory домейн.

Работен поток

Разполагане и приложения могат да се различават в организациите. Целта на следните работни потоци за предоставяне на инструменти, които трябва да развие собствен вътрешен план за намаляване на всички засегнати устройства. Поток има следните стъпки:

  1. Определяне на засегнатите устройства. Търсене на средата за модула за надеждна платформа (TPM), ключове и устройства.

  2. Кръпка засегнатите устройства. Отстрани въздействие върху определени устройства като следвате конкретния сценарий стъпките, описани в тази статия.

Забележка за изчистване на техническите мерки за защита

Тъй като надеждна платформа модули се използват за съхраняване на тайна, използвани от различни услуги и приложения, изчистване на TPM може да има непредвидени или отрицателен бизнес въздействие. Преди да изчистите всички TPM, не забравяйте да проучи и проверете дали всички услуги и приложения, които използват TPM резервно тайна са правилно идентифицирани и за таен изтриване и възстановяване.

Как да се идентифицират засегнатите устройства

За да откриете засегнатите техническите мерки за защита, се отнася за Microsoft Security консултации ADV170012.

Как да поправи засегнатите устройства

Използвайте следните стъпки засегнатите устройства по вашия пад използване сценарий.

  1. Уверете се, че валиден локален администратор съществува на устройството или Създаване на акаунт на локален администратор.

    Забележка

    Това е препоръчително да проверите дали акаунтът работи като влезете в устройството с помощта на акаунт на локален администратор и потвърдете правилните разрешения чрез отваряне на команден ред с повишени потребителски права.

     

  2. Ако сте влезли с акаунт в Microsoft на устройството, отидете в Настройки > акаунти > акаунти за електронна поща и приложения и премахване на свързания акаунт.Премахване на свързан акаунт

  3. Инсталирайте актуализация на фърмуера на устройството.

    Забележка

    Следвайте си OEM указания за TPM фърмуер актуализация. Вижте стъпка 4: "Прилагане на актуализации на фърмуера му," в Microsoft Security консултантски ADV170012 за информация как да получите TPM актуализация от своя OEM.

     

  4. Unjoin устройството от Azure AD.

    Забележка

    Уверете се, че вашата ключа е сигурно архивирали някъде различен от локалния компютър преди да продължите.

    1. Отидете в Настройки > система > заи след това щракнете върху управление или прекъсване на работа или училище.

    2. Щракнете върху свързан към < AzureAD >и щракнете върху Прекъсни връзката.

    3. Щракнете върху да , когато получите подкана за потвърждение.

    4. Щракнете върху Прекъсни връзката , когато се появи подкана за "Прекъсване на връзката от организацията." Изключване от организацията

    5. Въведете информацията за акаунта на локалния администратор за устройството.

    6. Щракнете върху рестартирате по-късно. Рестартирайте след прекъсване на връзката на организацията

  5. Изчистване на TPM.

    Забележка

    Изчистване на TPM ще премахне всички ключове и тайна, които се съхраняват на устройството. Уверете се, че други услуги, които се използва TPM са спрени или проверен преди да продължите.

    Windows 8 или по-нови: BitLocker се прекратява автоматично, ако използвате някой от двата препоръчвани методи за изчистване на TPM, по-долу.

    Windows 7: Ръчно прекратяване на BitLocker е необходимо преди да продължите. (Вижте повече информация относно забрани BitLocker).  

    1. За да изчистите TPM, използвайте един от следните методи:

      • Използвайте конзолата за управление на Microsoft.

        1. Натиснете Win + R, въведете tpm.msc и щракнете върху OK.

        2. Щракнете върху Изчисти TPM.Изчистване на TPM в MMC

      • Стартирайте ясно Tpm cmdlet.

    2. Щракнете върху рестартиране.Рестартирайте след изчистване на TPMЗабележка: Можете да получите подкана да изчистите TPM при стартиране.

  6. След рестартирането на устройството, влезте в устройството с помощта на акаунта на локалния администратор.

  7. Се присъедини към устройството за Azure AD. Можете да получите подкана да зададете ПИН при следващото влизане.

  1. Ако сте влезли с акаунт в Microsoft на устройството, отидете в Настройки > акаунти > акаунти за електронна поща и приложения и премахване на свързания акаунт.Премахване на свързан акаунт

  2. От команден прозорец с администраторски права изпълнете следната команда:dsregcmd.exe /leave /debug

    Забележка

    Изхода посочват AzureADJoined: No.

     

  3. Инсталирайте актуализация на фърмуера на устройството.

    Забележка

    Забележка Следвайте си OEM указания за TPM фърмуер актуализация. Вижте стъпка 4: "Прилагане на актуализации на фърмуера му," в Microsoft Security консултантски ADV170012 за информация как да получите TPM актуализация от своя OEM.

  4. Изчистване на TPM.

    Забележка

    Изчистване на TPM ще премахне всички ключове и тайна, които се съхраняват на устройството. Уверете се, че други услуги, които се използва TPM са спрени или проверен преди да продължите.

    Windows 8 или по-нови: BitLocker се прекратява автоматично, ако използвате някой от двата препоръчвани методи за изчистване на TPM, по-долу.

    Windows 7: Ръчно прекратяване на BitLocker е необходимо преди да продължите. (Вижте повече информация относно забрани BitLocker).

     

    1. За да изчистите TPM, използвайте един от следните методи:

      • Използвайте конзолата за управление на Microsoft.

        1. Натиснете Win + R, въведете tpm.msc и щракнете върху OK.

        2. Щракнете върху Изчисти TPM.Изчистване на TPM в MMC

      • Стартирайте ясно Tpm cmdlet.

    2. Щракнете върху рестартиране.Забележка: Можете да получите подкана да изчистите TPM при стартиране.

При стартиране на устройството, Windows създава нови ключове и автоматично се върне към устройството за Azure AD. През това време може да продължите да използвате устройството. Обаче достъп до ресурси, като например Microsoft Outlook, OneDrive и други приложения, които изискват SSO или условен достъп политики могат да бъдат ограничени.

Забележка: Ако използвате акаунт на Microsoft, трябва да знаете паролата.

  1. Инсталирайте актуализация на фърмуера на устройството.

    Забележка

    Следвайте си OEM указания за TPM фърмуер актуализация. Вижте стъпка 4: "Прилагане на актуализации на фърмуера му," в Microsoft Security консултантски ADV170012 за информация как да получите TPM актуализация от своя OEM.

     

  2. Премахнете Azure AD служебен.

    1. Отидете в Настройки > акаунти > достъп до работа или училище, щракнете върху акаунта за работа или училище и след това щракнете върху Прекъсни връзката.

    2. Щракнете върху да в подкана да потвърдите изключване.

  3. Изчистване на TPM.

    Забележка

    Изчистване на TPM ще премахне всички ключове и тайна, които се съхраняват на устройството. Уверете се, че други услуги, които се използва TPM са спрени или проверен преди да продължите.

    Windows 8 или по-нови: BitLocker се прекратява автоматично, ако използвате някой от двата препоръчвани методи за изчистване на TPM, по-долу.

    Windows 7: Ръчно прекратяване на BitLocker е необходимо преди да продължите. (Вижте повече информация относно забрани BitLocker).

     

    1. За да изчистите TPM, използвайте един от следните методи:

      • Използвайте конзолата за управление на Microsoft.

        1. Натиснете Win + R, въведете tpm.msc и щракнете върху OK.

        2. Щракнете върху Изчисти TPM.

      • Стартирайте ясно Tpm cmdlet.

    2. Щракнете върху рестартиране.Забележка: Можете да получите подкана за изчистване на TPM при стартиране.

    3. Ако използвате акаунт на Microsoft с ПИН, трябва да влезете в устройството с помощта на паролата.

    4. Добавяне на акаунт за работа в устройството.

      1. Отидете в Настройки > акаунти > достъп до работа или училище и щракнете върху Свързване.Свързване на работа или училище

      2. Въведете вашия служебен акаунт и след това щракнете върху напред.Работа или училище акаунт

      3. Въведете вашия служебен акаунт и парола и след това щракнете върху влизане.

      4. Ако вашата организация е конфигурирал Azure удостоверяване за включване на устройства за Azure AD, предоставят Вторият фактор, преди да продължите.

      5. Проверка, че показаната информация е правилна и щракнете върху присъединяване. Можете да видите следното съобщение:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.