Zusammenfassung
Um Kunden dabei zu unterstützen, verwaiste Windows Hello for Business(WHfB)-Schlüssel zu identifizieren, die von einer TPM-Sicherheitsanfälligkeit betroffen sind, hat Microsoft ein PowerShell-Modul veröffentlicht, das von Administratoren ausgeführt werden kann. In diesem Artikel wird erläutert, wie das in ADV190026 beschriebene Problem behoben werden kann. | "Anweisungen von Microsoft zum Bereinigen von verwaisten Schlüsseln, die auf anfälligen TPMs generiert und für Windows Hello for Business verwendet werden."
Wichtiger Hinweis Bevor Sie WHfBTools zum Entfernen verwaister Schlüssel verwenden, sollten Sie die Anweisungen in ADV170012 befolgen, um die Firmware aller anfälligen TPMs zu aktualisieren. Wenn diese Anweisungen nicht befolgt werden, sind alle neuen WHfB-Schlüssel, die auf einem Gerät mit nicht aktualisierter Firmware generiert werden, weiterhin von CVE-2017-15361 (ROCA) betroffen.
Installieren des WHfBTools-PowerShell-Moduls
Installieren Sie das Modul mithilfe der folgenden Befehle:
Installieren des WHfBTools-PowerShell-Moduls |
Installieren mithilfe von PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Oder Installieren mit einem Download aus dem PowerShell-Katalog
Starten Sie PowerShell, kopieren Sie die folgenden Befehle und führen Sie sie aus: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Installieren Sie Abhängigkeiten für die Verwendung des Moduls:
Installieren von Abhängigkeiten für die Verwendung des WHfBTools-Moduls |
Wenn Sie Azure Active Directory nach verwaisten Schlüsseln abfragen, installieren Sie das PowerShell-Modul MSAL.PS Installieren mithilfe von PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Oder Installieren mit einem Download aus dem PowerShell-Katalog
Starten Sie PowerShell, kopieren Sie die folgenden Befehle und führen Sie sie aus: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Wenn Sie Active Directory nach verwaisten Schlüsseln abfragen, installieren Sie die Remoteserver-Verwaltungstools (RSAT): Active Directory Domain Services- und Lightweight Directory Services-Tools Installieren über „Einstellungen“ (Windows 10, Version 1809 oder höher)
Oder Installieren mithilfe von PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Oder Installieren per Download
|
Führen Sie das WHfBTools-PowerShell-Modul aus
Wenn in Ihrer Umgebung mit Azure Active Directory verbundene Geräte oder mit Azure Active Directory verbundene Hybridgeräte vorhanden sind, befolgen Sie die Schritte in Azure Active Directory, um Schlüssel zu identifizieren und zu entfernen. Die Entfernung der Schlüssel in Azure wird über Azure AD Connect mit Active Directory synchronisiert.
Wenn Ihre Umgebung nur lokal ist, führen Sie die Active Directory-Schritte aus, um Schlüssel zu identifizieren und zu entfernen.
Abfragen von verwaisten Schlüsseln und Schlüsseln, die von CVE-2017-15361 (ROCA) betroffen sind |
Fragen Sie mit dem folgenden Befehl Schlüssel in Azure Active Directory ab: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Dieser Befehl fragt den Mandanten „contoso.com“ nach allen registrierten öffentlichen Windows Hello for Business-Schlüsseln ab und gibt diese Informationen in C:\AzureKeys.csv aus. Ersetzen Sie „contoso.com“ durch Ihren Mandantennamen, um Ihren Mandanten abzufragen. Die CSV-Ausgabe „AzureKeys.csv“ enthält die folgenden Informationen für jeden Schlüssel:
„Get-AzureADWHfBKeys“ gibt auch eine Zusammenfassung der abgefragten Schlüssel aus. Diese Zusammenfassung enthält die folgenden Informationen:
Hinweis Möglicherweise sind veraltete Geräte in Ihrem Azure AD-Mandanten mit Windows Hello for Business-Schlüsseln verknüpft. Diese Schlüssel werden nicht als verwaist gemeldet, obwohl diese Geräte nicht aktiv verwendet werden. Wir empfehlen die folgende Vorgehensweise: Verwalten Sie veraltete Geräte in Azure AD, um veraltete Geräte zu bereinigen, bevor Sie eine Abfrage nach verwaisten Schlüsseln durchführen.
Fragen Sie mit dem folgenden Befehl nach Schlüsseln in Active Directory ab: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Dieser Befehl fragt die Domäne „contoso“ für alle registrierten öffentlichen Windows Hello for Business-Schlüssel ab und gibt diese Informationen an C:\ADKeys.csv aus. Ersetzen Sie contoso durch Ihren Domänennamen, um Ihre Domäne abzufragen. Die CSV-Ausgabe „ADKeys.csv“ enthält die folgenden Informationen für jeden Schlüssel:
Get-ADWHfBKeys gibt auch eine Zusammenfassung der abgefragten Schlüssel aus. Diese Zusammenfassung enthält die folgenden Informationen:
Hinweis: Wenn Sie über eine Hybridumgebung mit in Azure AD eingebundenen Geräten verfügen und „Get-ADWHfBKeys“ in Ihrer lokalen Domäne ausführen, ist die Anzahl der verwaisten Schlüssel möglicherweise nicht korrekt. Dies liegt daran, dass in Azure AD eingebundene Geräte nicht in Active Directory vorhanden sind und Schlüssel, die in Azure AD eingebundenen Geräten zugeordnet sind, möglicherweise als verwaist angezeigt werden. |
Entfernen verwaister, für ROCA anfälliger Schlüssel aus dem Verzeichnis |
Entfernen Sie Schlüssel in Azure Active Directory mithilfe der folgenden Schritte:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKeys -Tenant contoso.com -Logging Dieser Befehl importiert die Liste der verwaisten, für ROCA anfälligen Schlüssel und entfernt sie aus dem Mandanten „contoso.com“. Ersetzen Sie contoso.com durch Ihren Mandantennamen, um Schlüssel aus Ihrem Mandanten zu entfernen. N Hinweis Wenn Sie für ROCA anfällige WHfB-Schlüssel löschen, die noch nicht verwaist sind, führt dies zu Unterbrechungen für Ihre Benutzer. Sie sollten sicherstellen, dass diese Schlüssel verwaist sind, bevor Sie sie aus dem Verzeichnis entfernen.
Entfernen Sie Schlüssel in Active Directory mithilfe der folgenden Schritte: Hinweis Das Entfernen verwaister Schlüssel aus Active Directory in Hybridumgebungen führt dazu, dass die Schlüssel im Rahmen des Azure AD Connect-Synchronisierungsprozesses neu erstellt werden. Wenn Sie sich in einer Hybridumgebung befinden, entfernen Sie Schlüssel nur aus Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKeys -Logging Dieser Befehl importiert die Liste der verwaisten, für ROCA anfälligen Schlüssel und entfernt sie aus Ihrer Domäne. Hinweis Wenn Sie für ROCA anfällige WHfB-Schlüssel löschen, die noch nicht verwaist sind, führt dies zu Unterbrechungen für Ihre Benutzer. Sie sollten sicherstellen, dass diese Schlüssel verwaist sind, bevor Sie sie aus dem Verzeichnis entfernen. |