Souhrn
Tento článek pomáhá identifikovat a napravit problémy v zařízení, které jsou postiženy chybou zabezpečení, která je popsána v Microsoft Security Advisory ADV170012.
Tento proces se zaměřuje na následující Windows Hello Business (WHFB) a scénáře využití Azure AD (zvukové poplašné zařízení) nabízí společnost Microsoft:
-
Spojení k azure AD.
-
Spojení hybridní Azure AD
-
Azure AD, které jsou registrovány
Další informace
Identifikovat váš scénář využití zvukové poplašné zařízení
-
Otevřete okno příkazového řádku.
-
Stav zařízení lze získáte spuštěním následujícího příkazu:dsregcmd.exe /status
-
Ve výstupu příkazu zkontrolujte hodnoty vlastností, které jsou uvedeny v následující tabulce určit váš scénář využití zvukové poplašné zařízení.
Vlastnost
Popis
AzureAdJoined
Označuje, zda zařízení je připojen k Azure AD.
EnterpriseJoined
Označuje, zda t je zařízení je připojen k služba AD FS. Jedná se o součást scénáři zákazníka na prostor jen kde Windows Hello pro podnikání je nasazen a spravovat místní.
DomainJoined
Označuje, zda zařízení je připojen k doméně Active Directory tradiční.
WorkplaceJoined
Označuje, zda aktuální uživatel přidal do svého aktuálního profilu účtu práci a ve škole. To se označuje jako Azure AD, které jsou registrovány. Toto nastavení je ignorováno v systému, je-li zařízení AzureAdJoined.
Hybridní připojen k Azure AD.
Jsou-li DomainJoined a AzureAdJoined Ano, zařízení je hybridní připojen k Azure AD. Proto zařízení je připojen k Azure Active Directory a tradiční doména služby Active Directory.
Pracovní postup
Implementace a nasazení v organizacích lišit. Jsme navržena následující pracovní postup poskytují nástroje, které potřebujete vyvinout vlastní interní plán zmírnit jakékoli příslušné zařízení. Pracovní postup obsahuje následující kroky:
-
Identifikujte příslušné zařízení. Hledání, které prostředí pro ovlivněné moduly TPM čipy (TPM), klíče a zařízení.
-
Oprava postižená zařízení. Napravit účinky na identifikované zařízení podle kroků specifické scénáře, které jsou uvedeny v tomto článku.
Poznámka k vymazání čipy TPM
Vzhledem k tomu, že důvěryhodná platforma moduly se používají k ukládání tajemství, které jsou používány různé služby a aplikace, vymazání čipu TPM může mít obchodní nepředvídaných nebo negativní dopady. Před vymazáním všech čipu TPM, je nutné prozkoumat a ověřit, že všechny služby a aplikace, které využívají čip TPM zálohovány tajemství byly správně identifikovat a připravené pro odstranění tajné a rekreace.
Jak určit postižená zařízení
K identifikaci ohrožených čipy TPM, naleznete v Microsoft Security Advisory ADV170012.
Jak oprava postižená zařízení
Pomocí následujících kroků na postižená zařízení podle vašeho scénáře využití zvukové poplašné zařízení.
-
Ujistěte se, zda existuje platný místní správce účet na zařízení nebo vytvořit účet místního správce.
Poznámka:
Je doporučený postup, ověřte, zda je účet funkční přihlášením k zařízení pomocí nového účtu místního správce a správná oprávnění potvrdit otevřením příkazového řádku se zvýšenými oprávněními.
-
Pokud jste přihlásili jste se pomocí účtu Microsoft v zařízení, přejděte na Nastavení > účty > aplikace pro E-mail a účty a odebrání připojeného účtu.
-
Instalace aktualizace firmwaru zařízení.
Poznámka:
Postupujte podle pokynů výrobce OEM pro použití aktualizace firmware TPM. Viz krok 4: "Použije příslušný firmware aktualizace" v Microsoft Security Advisory ADV170012 informace o získání aktualizace TPM od výrobce OEM.
-
Odebrání zařízení z Azure AD.
Poznámka:
Ujistěte se, že váš klíč nástroje BitLocker je bezpečně zálohovány někde místním počítačem předtím, než budete pokračovat.
-
Přejděte na Nastavení > systém > oa potom klepněte na tlačítko Spravovat nebo odpojení z práce nebo školy.
-
Klepněte na položku připojeno k < AzureAD >a klepněte na příkaz Odpojit.
-
Po zobrazení výzvy pro potvrzení klepněte na tlačítko Ano .
-
Klepněte na tlačítko Odpojit po zobrazení výzvy "Odpojení od organizace."
-
Zadejte informace o účtu místního správce zařízení.
-
Klepněte na tlačítko počítač restartovat později.
-
-
Vymazání čipu TPM.
Poznámka:
Vymazání čipu TPM odeberete všechny klíče a tajné klíče, které jsou uloženy v zařízení. Přesvědčte se, zda je pozastaven nebo ověřit před pokračováním jiných služeb, které jsou pomocí čipu TPM.
Systém Windows 7: Ruční pozastavení nástroje BitLocker je třeba před pokračováním. (Viz Další informace o pozastavení nástroje BitLocker).
-
Chcete-li vymazat čip TPM, použijte jednu z následujících metod:
-
Používejte konzola Microsoft Management Console.
-
Stiskněte klávesy Win + R, zadejte příkaz tpm.msc a klepněte na tlačítko OK.
-
Klepněte na možnost Vymazat čip TPM.
-
-
Spuštění rutiny Clear-Tpm.
-
-
Klepněte na tlačítko Restartovat.
Poznámka: Můžete být vyzváni k vymazání čipu TPM při spuštění.
-
-
Po restartování zařízení, přihlaste se k zařízení pomocí účtu místního správce.
-
Znovu připojit zařízení k Azure AD. Můžete být vyzváni k nastavení nového kódu PIN při dalším přihlášení.
-
Pokud jste přihlášeni pomocí účtu Microsoft na vaše zařízení, přejděte na Nastavení > účty > aplikace pro E-mail a účty a odebrání připojeného účtu.
-
Z příkazového řádku se zvýšenými oprávněními spusťte následující příkaz:dsregcmd.exe /leave /debug
Poznámka:
Výstup příkazu by měly být uvedeny AzureADJoined: Č.
-
Instalace aktualizace firmwaru zařízení.
Poznámka:
Poznámka: Postupujte podle pokynů výrobce OEM pro použití aktualizace firmware TPM. Viz krok 4: "Použije příslušný firmware aktualizace" v Microsoft Security Advisory ADV170012 informace o získání aktualizace TPM od výrobce OEM.
-
Vymazání čipu TPM.
Poznámka:
Vymazání čipu TPM odeberete všechny klíče a tajné klíče, které jsou uloženy v zařízení. Přesvědčte se, zda je pozastaven nebo ověřit před pokračováním jiných služeb, které jsou pomocí čipu TPM.
Systém Windows 7: Ruční pozastavení nástroje BitLocker je třeba před pokračováním. (Viz Další informace o pozastavení nástroje BitLocker).
-
Chcete-li vymazat čip TPM, použijte jednu z následujících metod:
-
Používejte konzola Microsoft Management Console.
-
Stiskněte klávesy Win + R, zadejte příkaz tpm.msc a klepněte na tlačítko OK.
-
Klepněte na možnost Vymazat čip TPM.
-
-
Spuštění rutiny Clear-Tpm.
-
-
Klepněte na tlačítko Restartovat.
Poznámka: Můžete být vyzváni k vymazání čipu TPM při spuštění.
-
Při spuštění zařízení, systém Windows generuje nové klíče a automaticky připojí zařízení k Azure AD. Během této doby může nadále používat zařízení. Nicméně přístup k prostředkům, jako je například aplikace Microsoft Outlook, OneDrive a další aplikace, které vyžadují přihlášení SSO nebo zásady podmíněného přístupu může být omezena.
Poznámka: Pokud používáte účet Microsoft, musíte znát heslo.
-
Instalace aktualizace firmwaru zařízení.
Poznámka:
Postupujte podle pokynů výrobce OEM pro použití aktualizace firmware TPM. Viz krok 4: "Použije příslušný firmware aktualizace" v Microsoft Security Advisory ADV170012 informace o získání aktualizace TPM od výrobce OEM.
-
Odeberte pracovní účet Azure AD.
-
Přejděte na Nastavení > účty > přístup k práci nebo ve škole, klepněte na práci a ve škole účet a potom klepněte na příkaz Odpojit.
-
Ve výzvě k potvrzení odpojení klepnutím na tlačítko Ano .
-
-
Vymazání čipu TPM.
Poznámka:
Vymazání čipu TPM odeberete všechny klíče a tajné klíče, které jsou uloženy v zařízení. Přesvědčte se, zda je pozastaven nebo ověřit před pokračováním jiných služeb, které jsou pomocí čipu TPM.
Systém Windows 7: Ruční pozastavení nástroje BitLocker je třeba před pokračováním. (Viz Další informace o pozastavení nástroje BitLocker).
-
Chcete-li vymazat čip TPM, použijte jednu z následujících metod:
-
Používejte konzola Microsoft Management Console.
-
Stiskněte klávesy Win + R, zadejte příkaz tpm.msc a klepněte na tlačítko OK.
-
Klepněte na možnost Vymazat čip TPM.
-
-
Spuštění rutiny Clear-Tpm.
-
-
Klepněte na tlačítko Restartovat.
Poznámka: Můžete být vyzváni Chcete-li vymazat čip TPM při spuštění. -
Pokud jste použili účet Microsoft, který má kód PIN, je nutné přihlášení k zařízení pomocí hesla.
-
Přidáte pracovní účet zpět do zařízení.
-
Přejděte na Nastavení > účty > přístup k práci nebo ve škole a klepněte na tlačítko Připojit.
-
Zadejte pracovní účet a potom klepněte na tlačítko Další.
-
Zadejte pracovní účet a heslo a klepněte na tlačítko přihlásit.
-
Pokud organizaci nakonfigurovány pro připojení zařízení k Azure AD Azure vícenásobné ověření, poskytují druhým faktorem před pokračováním.
-
Ověřit správnost zobrazených informací a potom klepněte na tlačítko Připojit. Měla by se zobrazit následující zpráva:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.
-
-