Použití modulu WHfBTools PowerShell pro vyčištění osamocených oken Hello pro obchodní klíče

Instalace modulu WHfBTools PowerShell

Instalace přes PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Nebo nainstalovat pomocí stažení z Galerie PowerShell

1. Přejděte na https://www.powershellgallery.com/Packages/WHfBTools

2. Stáhněte soubor RAW. nupkg do místní složky a přejmenujte jej pomocí přípony zip.

3. Extrahujte obsah do místní složky, například C:\ADV190026

Spusťte prostředí PowerShell a zkopírujte a spusťte následující příkazy:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

Instalace závislostí pro použití modulu WHfBTools

Pokud se dotazujete na Azure Active Directory pro osamocené klíče, nainstalujte modul MSAL.PS PowerShell

Instalace přes PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Nebo nainstalovat pomocí stažení z Galerie PowerShell

1. Přejděte na https://www.powershellgallery.com/Packages/MSAL.PS/4.5.1.1

2. Stáhněte soubor RAW. nupkg do místní složky a přejmenujte jej pomocí přípony zip.

3. Extrahujte obsah do místní složky, například C:\MSAL.PS

Spusťte prostředí PowerShell a zkopírujte a spusťte následující příkazy:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Pokud se dotazujete na službu Active Directory pro osamocené klíče, nainstalujte nástroje pro vzdálenou správu serveru (RSAT): služby Active Directory Domain Services a nástroje Lightweight Directory Services

Instalace pomocí nastavení (Windows 10, verze 1809 nebo vyšší)

1. Přejít na nastavení-> Apps-> volitelné funkce-> Přidání funkce

2. Vyberte položku RSAT: Služba Active Directory Domain Services a nástroje Lightweight Directory Services

3. Vybrat instalaci

Nebo nainstalovat pomocí prostředí PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Nebo nainstalovat pomocí stahování

1. Přejít na https://www.Microsoft.com/en-us/download/details.aspx?id=45520 (Windows 10 Link)

2. Stažení nástrojů pro vzdálenou správu serveru pro instalační službu systému Windows 10

3. Po dokončení stahování spustit instalační program

Dotazování na osamocené klíče a klíče ovlivněné chybou CVE-2017-15361 (Roca)

Dotázat se na klíče v Azure Active Directory pomocí následujícího příkazu:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Tento příkaz zobrazí dotaz nacontoso.com"pro všechny registrované veřejné klíče systému Windows Hello for Business a vyhradí tyto informaceC:\AzureKeys.csv. Nahraditcontoso.coms vaším jménem nájemce, abyste se dotazují vašeho nájemníka.

Výstup CSV,AzureKeys.csv, bude pro každý klíč obsahovat následující informace:

• Hlavní uživatelské jméno

• Nájemce

• Použití

• ID klíče

• Čas vytvoření

• Stav osamocených řádků

• Podporuje stav upozornění

• Stav chyby zabezpečení společnosti ROCA

Get-AzureADWHfBKeysbude také odeslán souhrn dotazovaných klíčů. Tento přehled obsahuje následující informace:

• Počet prohledaných uživatelů

• Počet prohledaných klíčů

• Počet uživatelů s klíči

• Počet klíčů s chybou ROCA

Poznámka: Ve vašem nájemci Azure AD mohou být zastaralá zařízení se systémem Windows Hello pro obchodní klíče, které jsou s nimi spojeny. Tyto klíče nebudou hlášeny jako osamocené, i když tato zařízení nejsou aktivně používána. Doporučujeme následující Postup: Správa zastaralých zařízení v Azure AD pro vyčištění zastaralých zařízení před dotazem na osamocené klíče.

Dotaz na klíče ve službě Active Directory pomocí následujícího příkazu:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Tento příkaz zobrazí dotaz nacontoso"doména pro všechny registrované veřejné klíče systému Windows Hello for Business a výstup těchto informací budeC:\ADKeys.csv. Nahraditcontoso s názvem domény a dotazem na doménu.

Výstup CSV,ADKeys.csv, bude pro každý klíč obsahovat následující informace:

• Doména uživatele

• Název účtu SAM uživatele

• Rozlišující název uživatele

• Verze klíče

• ID klíče

• Čas vytvoření

• Materiál klíče

• Zdroj klíče

• Použití klíče

• ID klíčového zařízení

• Přibližné časové razítko posledního přihlášení

• Čas vytvoření

• Informace o vlastním klíči

• Vlastnost KeyLinkTargetDN

• Stav osamocených řádků

• Stav chyby zabezpečení společnosti ROCA

• Hodnota KeyRawLDAPValue

Get-ADWHfBKeysbude také odeslán souhrn dotazovaných klíčů. Tento přehled obsahuje následující informace:

• Počet prohledaných uživatelů

• Počet uživatelů s klíči

• Počet prohledaných klíčů

• Počet klíčů s chybou ROCA

• Počet osamocených klíčů (if-Skipcheckforsirotedkeys není určen)

Poznámka: Máte-li hybridní prostředí se zařízením Azure AD, který je připojen k síti a spouštíte "Get-ADWHfBKeys" ve vaší doméně, nemusí být počet osamocených klíčů přesný. To je způsobeno tím, že připojené zařízení Azure AD nejsou přítomna ve službě Active Directory a klíče přidružené k zařízením Azure AD se mohou zobrazit jako osamocené.

Odebrat osamocené klíče, které byly z adresáře ohroženy klíčem ROCA

Odebrání klíčů z Azure služby Active Directory pomocí následujících kroků:

1. Filtrovat osamocené a roavulnerovatelné sloupceAzureKeys.csvna hodnotu true

2. Zkopírujte filtrované výsledky do nového souboru,C:\ROCAKeys.csv

3. K odstranění klíčů spusťte následující příkaz:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Tento příkaz importuje seznam osamocených klíčů s chybou ROCA a odebere je zcontoso.comNájemce. Nahraditcontoso.com s vaším jménem nájemce odebrat klíče z vašeho nájemníka.

N OTE Pokud odstraníte necitlivé klíče Roca, které ještě nejsou osiřelé, způsobí narušení vašich uživatelů. Před odebráním z adresáře byste měli zajistit, aby tyto klíče byly osiřelé.

Odebrání klíčů ve službě Active Directory pomocí následujících kroků:

Poznámka: odebrání osamocených klíčů ze služby Active Directory v hybridních prostředích způsobí, že klíče budou znovu vytvořeny jako součást synchronizačního procesu synchronizace AD Connect. Pokud jste v hybridním prostředí, odstraňte klíče pouze z Azure AD

1. Zfiltruje se sloupce sirotkkEY a rocavulnerableADKeys.csv na hodnotu true

2. Zkopírujte filtrované výsledky do nového souboru,C:\ROCAKeys.csv

3. K odstranění klíčů spusťte následující příkaz:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Tento příkaz importuje seznam osamocených klíčů s chybou ROCA a odebere je z domény.

Poznámka: odstraníte-li v počítači ohrožené whfb klíče, které ještě nejsou osiřelé, způsobí to uživatelům narušení. Před odebráním z adresáře byste měli zajistit, aby tyto klíče byly osiřelé.