Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Souhrn

Tento článek pomáhá identifikovat a napravit problémy v zařízení, které jsou postiženy chybou zabezpečení, která je popsána v Microsoft Security Advisory ADV170012.

Tento proces se zaměřuje na následující Windows Hello Business (WHFB) a scénáře využití Azure AD (zvukové poplašné zařízení) nabízí společnost Microsoft:

  • Spojení k azure AD.

  • Spojení hybridní Azure AD

  • Azure AD, které jsou registrovány

Další informace

Identifikovat váš scénář využití zvukové poplašné zařízení

  1. Otevřete okno příkazového řádku.

  2. Stav zařízení lze získáte spuštěním následujícího příkazu:dsregcmd.exe /status

  3. Ve výstupu příkazu zkontrolujte hodnoty vlastností, které jsou uvedeny v následující tabulce určit váš scénář využití zvukové poplašné zařízení.

    Vlastnost

    Popis

    AzureAdJoined

    Označuje, zda zařízení je připojen k Azure AD.

    EnterpriseJoined

    Označuje, zda t je zařízení je připojen k služba AD FS. Jedná se o součást scénáři zákazníka na prostor jen kde Windows Hello pro podnikání je nasazen a spravovat místní.

    DomainJoined

    Označuje, zda zařízení je připojen k doméně Active Directory tradiční.

    WorkplaceJoined

    Označuje, zda aktuální uživatel přidal do svého aktuálního profilu účtu práci a ve škole. To se označuje jako Azure AD, které jsou registrovány. Toto nastavení je ignorováno v systému, je-li zařízení AzureAdJoined.

Hybridní připojen k Azure AD.

Jsou-li DomainJoined a AzureAdJoined Ano, zařízení je hybridní připojen k Azure AD. Proto zařízení je připojen k Azure Active Directory a tradiční doména služby Active Directory.

Pracovní postup

Implementace a nasazení v organizacích lišit. Jsme navržena následující pracovní postup poskytují nástroje, které potřebujete vyvinout vlastní interní plán zmírnit jakékoli příslušné zařízení. Pracovní postup obsahuje následující kroky:

  1. Identifikujte příslušné zařízení. Hledání, které prostředí pro ovlivněné moduly TPM čipy (TPM), klíče a zařízení.

  2. Oprava postižená zařízení. Napravit účinky na identifikované zařízení podle kroků specifické scénáře, které jsou uvedeny v tomto článku.

Poznámka k vymazání čipy TPM

Vzhledem k tomu, že důvěryhodná platforma moduly se používají k ukládání tajemství, které jsou používány různé služby a aplikace, vymazání čipu TPM může mít obchodní nepředvídaných nebo negativní dopady. Před vymazáním všech čipu TPM, je nutné prozkoumat a ověřit, že všechny služby a aplikace, které využívají čip TPM zálohovány tajemství byly správně identifikovat a připravené pro odstranění tajné a rekreace.

Jak určit postižená zařízení

K identifikaci ohrožených čipy TPM, naleznete v Microsoft Security Advisory ADV170012.

Jak oprava postižená zařízení

Pomocí následujících kroků na postižená zařízení podle vašeho scénáře využití zvukové poplašné zařízení.

  1. Ujistěte se, zda existuje platný místní správce účet na zařízení nebo vytvořit účet místního správce.

    Poznámka:

    Je doporučený postup, ověřte, zda je účet funkční přihlášením k zařízení pomocí nového účtu místního správce a správná oprávnění potvrdit otevřením příkazového řádku se zvýšenými oprávněními.

     

  2. Pokud jste přihlásili jste se pomocí účtu Microsoft v zařízení, přejděte na Nastavení > účty > aplikace pro E-mail a účty a odebrání připojeného účtu.Odebrání připojeného účtu

  3. Instalace aktualizace firmwaru zařízení.

    Poznámka:

    Postupujte podle pokynů výrobce OEM pro použití aktualizace firmware TPM. Viz krok 4: "Použije příslušný firmware aktualizace" v Microsoft Security Advisory ADV170012 informace o získání aktualizace TPM od výrobce OEM.

     

  4. Odebrání zařízení z Azure AD.

    Poznámka:

    Ujistěte se, že váš klíč nástroje BitLocker je bezpečně zálohovány někde místním počítačem předtím, než budete pokračovat.

    1. Přejděte na Nastavení > systém > oa potom klepněte na tlačítko Spravovat nebo odpojení z práce nebo školy.

    2. Klepněte na položku připojeno k < AzureAD >a klepněte na příkaz Odpojit.

    3. Po zobrazení výzvy pro potvrzení klepněte na tlačítko Ano .

    4. Klepněte na tlačítko Odpojit po zobrazení výzvy "Odpojení od organizace." Odpojení od organizace

    5. Zadejte informace o účtu místního správce zařízení.

    6. Klepněte na tlačítko počítač restartovat později. Restartovat později po odpojení od organizace

  5. Vymazání čipu TPM.

    Poznámka:

    Vymazání čipu TPM odeberete všechny klíče a tajné klíče, které jsou uloženy v zařízení. Přesvědčte se, zda je pozastaven nebo ověřit před pokračováním jiných služeb, které jsou pomocí čipu TPM.

    Systému Windows 8 nebo novější: Nástroj BitLocker je automaticky pozastaveno, pokud použít buď dvě metody doporučené pro vymazání čipu TPM níže.

    Systém Windows 7: Ruční pozastavení nástroje BitLocker je třeba před pokračováním. (Viz Další informace o pozastavení nástroje BitLocker).  

    1. Chcete-li vymazat čip TPM, použijte jednu z následujících metod:

      • Používejte konzola Microsoft Management Console.

        1. Stiskněte klávesy Win + R, zadejte příkaz tpm.msc a klepněte na tlačítko OK.

        2. Klepněte na možnost Vymazat čip TPM.Vymazat čip TPM v konzole MMC

      • Spuštění rutiny Clear-Tpm.

    2. Klepněte na tlačítko Restartovat.Po vymazání čipu TPM restartujtePoznámka: Můžete být vyzváni k vymazání čipu TPM při spuštění.

  6. Po restartování zařízení, přihlaste se k zařízení pomocí účtu místního správce.

  7. Znovu připojit zařízení k Azure AD. Můžete být vyzváni k nastavení nového kódu PIN při dalším přihlášení.

  1. Pokud jste přihlášeni pomocí účtu Microsoft na vaše zařízení, přejděte na Nastavení > účty > aplikace pro E-mail a účty a odebrání připojeného účtu.Odebrání připojeného účtu

  2. Z příkazového řádku se zvýšenými oprávněními spusťte následující příkaz:dsregcmd.exe /leave /debug

    Poznámka:

    Výstup příkazu by měly být uvedeny AzureADJoined: Č.

     

  3. Instalace aktualizace firmwaru zařízení.

    Poznámka:

    Poznámka: Postupujte podle pokynů výrobce OEM pro použití aktualizace firmware TPM. Viz krok 4: "Použije příslušný firmware aktualizace" v Microsoft Security Advisory ADV170012 informace o získání aktualizace TPM od výrobce OEM.

  4. Vymazání čipu TPM.

    Poznámka:

    Vymazání čipu TPM odeberete všechny klíče a tajné klíče, které jsou uloženy v zařízení. Přesvědčte se, zda je pozastaven nebo ověřit před pokračováním jiných služeb, které jsou pomocí čipu TPM.

    Systému Windows 8 nebo novější: Nástroj BitLocker je automaticky pozastaveno, pokud použít buď dvě metody doporučené pro vymazání čipu TPM níže.

    Systém Windows 7: Ruční pozastavení nástroje BitLocker je třeba před pokračováním. (Viz Další informace o pozastavení nástroje BitLocker).

     

    1. Chcete-li vymazat čip TPM, použijte jednu z následujících metod:

      • Používejte konzola Microsoft Management Console.

        1. Stiskněte klávesy Win + R, zadejte příkaz tpm.msc a klepněte na tlačítko OK.

        2. Klepněte na možnost Vymazat čip TPM.Vymazat čip TPM v konzole MMC

      • Spuštění rutiny Clear-Tpm.

    2. Klepněte na tlačítko Restartovat.Poznámka: Můžete být vyzváni k vymazání čipu TPM při spuštění.

Při spuštění zařízení, systém Windows generuje nové klíče a automaticky připojí zařízení k Azure AD. Během této doby může nadále používat zařízení. Nicméně přístup k prostředkům, jako je například aplikace Microsoft Outlook, OneDrive a další aplikace, které vyžadují přihlášení SSO nebo zásady podmíněného přístupu může být omezena.

Poznámka: Pokud používáte účet Microsoft, musíte znát heslo.

  1. Instalace aktualizace firmwaru zařízení.

    Poznámka:

    Postupujte podle pokynů výrobce OEM pro použití aktualizace firmware TPM. Viz krok 4: "Použije příslušný firmware aktualizace" v Microsoft Security Advisory ADV170012 informace o získání aktualizace TPM od výrobce OEM.

     

  2. Odeberte pracovní účet Azure AD.

    1. Přejděte na Nastavení > účty > přístup k práci nebo ve škole, klepněte na práci a ve škole účet a potom klepněte na příkaz Odpojit.

    2. Ve výzvě k potvrzení odpojení klepnutím na tlačítko Ano .

  3. Vymazání čipu TPM.

    Poznámka:

    Vymazání čipu TPM odeberete všechny klíče a tajné klíče, které jsou uloženy v zařízení. Přesvědčte se, zda je pozastaven nebo ověřit před pokračováním jiných služeb, které jsou pomocí čipu TPM.

    Systému Windows 8 nebo novější: Nástroj BitLocker je automaticky pozastaveno, pokud použít buď dvě metody doporučené pro vymazání čipu TPM níže.

    Systém Windows 7: Ruční pozastavení nástroje BitLocker je třeba před pokračováním. (Viz Další informace o pozastavení nástroje BitLocker).

     

    1. Chcete-li vymazat čip TPM, použijte jednu z následujících metod:

      • Používejte konzola Microsoft Management Console.

        1. Stiskněte klávesy Win + R, zadejte příkaz tpm.msc a klepněte na tlačítko OK.

        2. Klepněte na možnost Vymazat čip TPM.

      • Spuštění rutiny Clear-Tpm.

    2. Klepněte na tlačítko Restartovat.Poznámka: Můžete být vyzváni Chcete-li vymazat čip TPM při spuštění.

    3. Pokud jste použili účet Microsoft, který má kód PIN, je nutné přihlášení k zařízení pomocí hesla.

    4. Přidáte pracovní účet zpět do zařízení.

      1. Přejděte na Nastavení > účty > přístup k práci nebo ve škole a klepněte na tlačítko Připojit.Připojit k pracovní nebo školní

      2. Zadejte pracovní účet a potom klepněte na tlačítko Další.Nastavení účtu práci a ve škole

      3. Zadejte pracovní účet a heslo a klepněte na tlačítko přihlásit.

      4. Pokud organizaci nakonfigurovány pro připojení zařízení k Azure AD Azure vícenásobné ověření, poskytují druhým faktorem před pokračováním.

      5. Ověřit správnost zobrazených informací a potom klepněte na tlačítko Připojit. Měla by se zobrazit následující zpráva:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.