Резюме
Тази статия ви помага идентифициране и поправяне на проблеми с устройства, които са засегнати от уязвимост, която е описана в Microsoft Security консултации ADV170012.
Този процес е насочен към следните Windows Здравейте за Azure AD (пад) сценарии , предлагани от Microsoft и бизнес (WHFB):
-
Azure AD съединение
-
Хибрид Azure AD съединение
-
Azure AD регистрирани
Допълнителна информация
Проверете вашия сценарий ЗСУ използване
-
Отворете команден прозорец.
-
Получете състоянието на устройството, като изпълните следната команда:dsregcmd.exe /status
-
В резултата от командата Проверете стойностите на свойствата, които са изброени в следващата таблица да се определи вашия сценарий ЗСУ използване.
Свойство
Описание
AzureAdJoined
Показва дали устройството е присъединен към Azure реклама
EnterpriseJoined
Показва дали t устройството е присъединен към AD FS. Това е част от в помещения само клиенти сценарий, когато Windows Здравейте за бизнес е разположен и управлява локалните.
DomainJoined
Показва дали устройството е присъединен към традиционните Active Directory домейн.
WorkplaceJoined
Посочва дали текущият потребител е добавил работа или училище акаунта си текущия профил. Това се нарича Azure AD регистриран. Тази настройка се игнорира от системата, ако устройството е AzureAdJoined.
Хибридно Azure AD присъединени
Ако DomainJoined и AzureAdJoined да, устройството е хибрид Azure AD присъединени. Следователно устройството е присъединен към Azure Active Directory и традиционен Active Directory домейн.
Работен поток
Разполагане и приложения могат да се различават в организациите. Целта на следните работни потоци за предоставяне на инструменти, които трябва да развие собствен вътрешен план за намаляване на всички засегнати устройства. Поток има следните стъпки:
-
Определяне на засегнатите устройства. Търсене на средата за модула за надеждна платформа (TPM), ключове и устройства.
-
Кръпка засегнатите устройства. Отстрани въздействие върху определени устройства като следвате конкретния сценарий стъпките, описани в тази статия.
Забележка за изчистване на техническите мерки за защита
Тъй като надеждна платформа модули се използват за съхраняване на тайна, използвани от различни услуги и приложения, изчистване на TPM може да има непредвидени или отрицателен бизнес въздействие. Преди да изчистите всички TPM, не забравяйте да проучи и проверете дали всички услуги и приложения, които използват TPM резервно тайна са правилно идентифицирани и за таен изтриване и възстановяване.
Как да се идентифицират засегнатите устройства
За да откриете засегнатите техническите мерки за защита, се отнася за Microsoft Security консултации ADV170012.
Как да поправи засегнатите устройства
Използвайте следните стъпки засегнатите устройства по вашия пад използване сценарий.
-
Уверете се, че валиден локален администратор съществува на устройството или Създаване на акаунт на локален администратор.
Забележка
Това е препоръчително да проверите дали акаунтът работи като влезете в устройството с помощта на акаунт на локален администратор и потвърдете правилните разрешения чрез отваряне на команден ред с повишени потребителски права.
-
Ако сте влезли с акаунт в Microsoft на устройството, отидете в Настройки > акаунти > акаунти за електронна поща и приложения и премахване на свързания акаунт.
-
Инсталирайте актуализация на фърмуера на устройството.
Забележка
Следвайте си OEM указания за TPM фърмуер актуализация. Вижте стъпка 4: "Прилагане на актуализации на фърмуера му," в Microsoft Security консултантски ADV170012 за информация как да получите TPM актуализация от своя OEM.
-
Unjoin устройството от Azure AD.
Забележка
Уверете се, че вашата ключа е сигурно архивирали някъде различен от локалния компютър преди да продължите.
-
Отидете в Настройки > система > заи след това щракнете върху управление или прекъсване на работа или училище.
-
Щракнете върху свързан към < AzureAD >и щракнете върху Прекъсни връзката.
-
Щракнете върху да , когато получите подкана за потвърждение.
-
Щракнете върху Прекъсни връзката , когато се появи подкана за "Прекъсване на връзката от организацията."
-
Въведете информацията за акаунта на локалния администратор за устройството.
-
Щракнете върху рестартирате по-късно.
-
-
Изчистване на TPM.
Забележка
Изчистване на TPM ще премахне всички ключове и тайна, които се съхраняват на устройството. Уверете се, че други услуги, които се използва TPM са спрени или проверен преди да продължите.
Windows 7: Ръчно прекратяване на BitLocker е необходимо преди да продължите. (Вижте повече информация относно забрани BitLocker).
-
За да изчистите TPM, използвайте един от следните методи:
-
Използвайте конзолата за управление на Microsoft.
-
Натиснете Win + R, въведете tpm.msc и щракнете върху OK.
-
Щракнете върху Изчисти TPM.
-
-
Стартирайте ясно Tpm cmdlet.
-
-
Щракнете върху рестартиране.
Забележка: Можете да получите подкана да изчистите TPM при стартиране.
-
-
След рестартирането на устройството, влезте в устройството с помощта на акаунта на локалния администратор.
-
Се присъедини към устройството за Azure AD. Можете да получите подкана да зададете ПИН при следващото влизане.
-
Ако сте влезли с акаунт в Microsoft на устройството, отидете в Настройки > акаунти > акаунти за електронна поща и приложения и премахване на свързания акаунт.
-
От команден прозорец с администраторски права изпълнете следната команда:dsregcmd.exe /leave /debug
Забележка
Изхода посочват AzureADJoined: No.
-
Инсталирайте актуализация на фърмуера на устройството.
Забележка
Забележка Следвайте си OEM указания за TPM фърмуер актуализация. Вижте стъпка 4: "Прилагане на актуализации на фърмуера му," в Microsoft Security консултантски ADV170012 за информация как да получите TPM актуализация от своя OEM.
-
Изчистване на TPM.
Забележка
Изчистване на TPM ще премахне всички ключове и тайна, които се съхраняват на устройството. Уверете се, че други услуги, които се използва TPM са спрени или проверен преди да продължите.
Windows 7: Ръчно прекратяване на BitLocker е необходимо преди да продължите. (Вижте повече информация относно забрани BitLocker).
-
За да изчистите TPM, използвайте един от следните методи:
-
Използвайте конзолата за управление на Microsoft.
-
Натиснете Win + R, въведете tpm.msc и щракнете върху OK.
-
Щракнете върху Изчисти TPM.
-
-
Стартирайте ясно Tpm cmdlet.
-
-
Щракнете върху рестартиране.
Забележка: Можете да получите подкана да изчистите TPM при стартиране.
-
При стартиране на устройството, Windows създава нови ключове и автоматично се върне към устройството за Azure AD. През това време може да продължите да използвате устройството. Обаче достъп до ресурси, като например Microsoft Outlook, OneDrive и други приложения, които изискват SSO или условен достъп политики могат да бъдат ограничени.
Забележка: Ако използвате акаунт на Microsoft, трябва да знаете паролата.
-
Инсталирайте актуализация на фърмуера на устройството.
Забележка
Следвайте си OEM указания за TPM фърмуер актуализация. Вижте стъпка 4: "Прилагане на актуализации на фърмуера му," в Microsoft Security консултантски ADV170012 за информация как да получите TPM актуализация от своя OEM.
-
Премахнете Azure AD служебен.
-
Отидете в Настройки > акаунти > достъп до работа или училище, щракнете върху акаунта за работа или училище и след това щракнете върху Прекъсни връзката.
-
Щракнете върху да в подкана да потвърдите изключване.
-
-
Изчистване на TPM.
Забележка
Изчистване на TPM ще премахне всички ключове и тайна, които се съхраняват на устройството. Уверете се, че други услуги, които се използва TPM са спрени или проверен преди да продължите.
Windows 7: Ръчно прекратяване на BitLocker е необходимо преди да продължите. (Вижте повече информация относно забрани BitLocker).
-
За да изчистите TPM, използвайте един от следните методи:
-
Използвайте конзолата за управление на Microsoft.
-
Натиснете Win + R, въведете tpm.msc и щракнете върху OK.
-
Щракнете върху Изчисти TPM.
-
-
Стартирайте ясно Tpm cmdlet.
-
-
Щракнете върху рестартиране.
Забележка: Можете да получите подкана за изчистване на TPM при стартиране. -
Ако използвате акаунт на Microsoft с ПИН, трябва да влезете в устройството с помощта на паролата.
-
Добавяне на акаунт за работа в устройството.
-
Отидете в Настройки > акаунти > достъп до работа или училище и щракнете върху Свързване.
-
Въведете вашия служебен акаунт и след това щракнете върху напред.
-
Въведете вашия служебен акаунт и парола и след това щракнете върху влизане.
-
Ако вашата организация е конфигурирал Azure удостоверяване за включване на устройства за Azure AD, предоставят Вторият фактор, преди да продължите.
-
Проверка, че показаната информация е правилна и щракнете върху присъединяване. Можете да видите следното съобщение:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.
-
-