Shrnutí
Aby zákazníci pomohli identifikovat osamocené klíče systému Windows Hello for Business (WHfB) ovlivněné chybou zabezpečení čipu TPM, vydala společnost Microsoft modul PowerShell, který mohou spouštět správci. Tento článek vysvětluje, jak řešit problém popsaný v ADV190026 | "Pokyny společnosti Microsoft pro vyčištění osamocených klíčů generovaných na ohrožených TPM a používaných pro systém Windows Hello for Business."
Důležitá Poznámka Dříve než použijete nástroje whfbtools k odstranění osamocených klíčů, je třeba postupovat podle pokynů v ADV170012 , které aktualizují firmware všech ohrožených TPM. Pokud tento návod nenásleduje, budou všechny nové klíče WHfB generované na zařízení s firmwarem, které nebyly aktualizovány, stále ovlivněny chybou CVE-2017-15361 (Roca).
Instalace modulu WHfBTools PowerShell
Modul Nainstalujte spuštěním následujících příkazů:
Instalace modulu WHfBTools PowerShell |
Instalace přes PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Nebo nainstalovat pomocí stažení z Galerie PowerShell
Spusťte prostředí PowerShell a zkopírujte a spusťte následující příkazy: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Instalace závislostí pro použití modulu:
Instalace závislostí pro použití modulu WHfBTools |
Pokud se dotazujete na Azure Active Directory pro osamocené klíče, nainstalujte modul MSAL.PS PowerShell Instalace přes PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Nebo nainstalovat pomocí stažení z Galerie PowerShell
Spusťte prostředí PowerShell a zkopírujte a spusťte následující příkazy: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Pokud se dotazujete na službu Active Directory pro osamocené klíče, nainstalujte nástroje pro vzdálenou správu serveru (RSAT): služby Active Directory Domain Services a nástroje Lightweight Directory Services Instalace pomocí nastavení (Windows 10, verze 1809 nebo vyšší)
Nebo nainstalovat pomocí prostředí PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Nebo nainstalovat pomocí stahování
|
Spuštění modulu prostředí WHfBTools PowerShell
Pokud je vaše prostředí připojené ke službě Active Directory Azure, nebo hybridní zařízení Azure připojené ke službě Active Directory, použijte k identifikaci a odebrání klíčů kroky Azure Active Directory. Hlavní stěhování v Azure bude synchronizováno s adresářem Active Directory prostřednictvím Azure AD Connect.
Pokud je vaše prostředí pouze na místě, použijte kroky služby Active Directory k identifikaci a odebrání klíčů.
Dotazování na osamocené klíče a klíče ovlivněné chybou CVE-2017-15361 (Roca) |
Dotázat se na klíče v Azure Active Directory pomocí následujícího příkazu: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Tento příkaz zobrazí dotaz nacontoso.com"pro všechny registrované veřejné klíče systému Windows Hello for Business a vyhradí tyto informaceC:\AzureKeys.csv. Nahraditcontoso.coms vaším jménem nájemce, abyste se dotazují vašeho nájemníka. Výstup CSV,AzureKeys.csv, bude pro každý klíč obsahovat následující informace:
Get-AzureADWHfBKeysbude také odeslán souhrn dotazovaných klíčů. Tento přehled obsahuje následující informace:
Poznámka: Ve vašem nájemci Azure AD mohou být zastaralá zařízení se systémem Windows Hello pro obchodní klíče, které jsou s nimi spojeny. Tyto klíče nebudou hlášeny jako osamocené, i když tato zařízení nejsou aktivně používána. Doporučujeme následující Postup: Správa zastaralých zařízení v Azure AD pro vyčištění zastaralých zařízení před dotazem na osamocené klíče.
Dotaz na klíče ve službě Active Directory pomocí následujícího příkazu: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Tento příkaz zobrazí dotaz nacontoso"doména pro všechny registrované veřejné klíče systému Windows Hello for Business a výstup těchto informací budeC:\ADKeys.csv. Nahraditcontoso s názvem domény a dotazem na doménu. Výstup CSV,ADKeys.csv, bude pro každý klíč obsahovat následující informace:
Get-ADWHfBKeysbude také odeslán souhrn dotazovaných klíčů. Tento přehled obsahuje následující informace:
Poznámka: Máte-li hybridní prostředí se zařízením Azure AD, který je připojen k síti a spouštíte "Get-ADWHfBKeys" ve vaší doméně, nemusí být počet osamocených klíčů přesný. To je způsobeno tím, že připojené zařízení Azure AD nejsou přítomna ve službě Active Directory a klíče přidružené k zařízením Azure AD se mohou zobrazit jako osamocené. |
Odebrat osamocené klíče, které byly z adresáře ohroženy klíčem ROCA |
Odebrání klíčů z Azure služby Active Directory pomocí následujících kroků:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Tento příkaz importuje seznam osamocených klíčů s chybou ROCA a odebere je zcontoso.comNájemce. Nahraditcontoso.com s vaším jménem nájemce odebrat klíče z vašeho nájemníka. N OTE Pokud odstraníte necitlivé klíče Roca, které ještě nejsou osiřelé, způsobí narušení vašich uživatelů. Před odebráním z adresáře byste měli zajistit, aby tyto klíče byly osiřelé.
Odebrání klíčů ve službě Active Directory pomocí následujících kroků: Poznámka: odebrání osamocených klíčů ze služby Active Directory v hybridních prostředích způsobí, že klíče budou znovu vytvořeny jako součást synchronizačního procesu synchronizace AD Connect. Pokud jste v hybridním prostředí, odstraňte klíče pouze z Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Tento příkaz importuje seznam osamocených klíčů s chybou ROCA a odebere je z domény. Poznámka: odstraníte-li v počítači ohrožené whfb klíče, které ještě nejsou osiřelé, způsobí to uživatelům narušení. Před odebráním z adresáře byste měli zajistit, aby tyto klíče byly osiřelé. |