Verwenden des WHfBTools-PowerShell-Moduls zum Bereinigen von verwaisten Windows Hello for Business-Schlüsseln

Installieren des WHfBTools-PowerShell-Moduls

Installieren mithilfe von PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Oder Installieren mit einem Download aus dem PowerShell-Katalog

1. Navigieren Sie zu https://www.powershellgallery.com/packages/WHfBTools

2. Laden Sie die nicht formatierte NUPKG-Datei in einen lokalen Ordner herunter, und benennen Sie sie mit der Erweiterung „.zip“ um

3. Extrahieren Sie den Inhalt der Datei in einen lokalen Ordner, wie z. B. „C:\ADV190026“

Starten Sie PowerShell, kopieren Sie die folgenden Befehle und führen Sie sie aus:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

Installieren von Abhängigkeiten für die Verwendung des WHfBTools-Moduls

Wenn Sie Azure Active Directory nach verwaisten Schlüsseln abfragen, installieren Sie das PowerShell-Modul MSAL.PS

Installieren mithilfe von PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Oder Installieren mit einem Download aus dem PowerShell-Katalog

1. Navigieren Sie zu https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

2. Laden Sie die nicht formatierte NUPKG-Datei in einen lokalen Ordner herunter, und benennen Sie sie mit der Erweiterung „.zip“ um

3. Extrahieren Sie den Inhalt der Datei in einen lokalen Ordner, wie z. B. „C:\MSAL.PS“

Starten Sie PowerShell, kopieren Sie die folgenden Befehle und führen Sie sie aus:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Wenn Sie Active Directory nach verwaisten Schlüsseln abfragen, installieren Sie die Remoteserver-Verwaltungstools (RSAT): Active Directory Domain Services- und Lightweight Directory Services-Tools

Installieren über „Einstellungen“ (Windows 10, Version 1809 oder höher)

1. Wechseln Sie zu „Einstellungen -> Apps -> Optionale Features -> Feature hinzufügen“

2. Wählen Sie „RSAT“ aus: Active Directory Domain Services- und Lightweight Directory Services-Tools

3. Wählen Sie „Installieren“ aus.

Oder Installieren mithilfe von PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Oder Installieren per Download

1. Navigieren Sie zu https://www.microsoft.com/de-de/download/details.aspx?id=45520 (Windows 10-Link)

2. Laden Sie das Installationsprogramm für die Remoteserver-Verwaltungstools für Windows 10 herunter

3. Starten Sie den Installer, sobald der Download abgeschlossen ist

Abfragen von verwaisten Schlüsseln und Schlüsseln, die von CVE-2017-15361 (ROCA) betroffen sind

Fragen Sie mit dem folgenden Befehl Schlüssel in Azure Active Directory ab:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Dieser Befehl fragt den Mandanten „contoso.com“ nach allen registrierten öffentlichen Windows Hello for Business-Schlüsseln ab und gibt diese Informationen in C:\AzureKeys.csv aus. Ersetzen Sie „contoso.com“ durch Ihren Mandantennamen, um Ihren Mandanten abzufragen.

Die CSV-Ausgabe „AzureKeys.csv“ enthält die folgenden Informationen für jeden Schlüssel:

• Benutzerprinzipalname

• Mandant

• Verwendung

• Schlüssel ID

• Erstellungszeit

• Verwaisungsstatus

• Status der Benachrichtigungsunterstützung

• Status der ROCA-Sicherheitsanfälligkeit

„Get-AzureADWHfBKeys“ gibt auch eine Zusammenfassung der abgefragten Schlüssel aus. Diese Zusammenfassung enthält die folgenden Informationen:

• Anzahl der gescannten Benutzer

• Anzahl der gescannten Schlüssel

• Anzahl der Benutzer mit Schlüsseln

• Anzahl der für ROCA anfälligen Schlüssel

Hinweis Möglicherweise sind veraltete Geräte in Ihrem Azure AD-Mandanten mit Windows Hello for Business-Schlüsseln verknüpft. Diese Schlüssel werden nicht als verwaist gemeldet, obwohl diese Geräte nicht aktiv verwendet werden. Wir empfehlen die folgende Vorgehensweise: Verwalten Sie veraltete Geräte in Azure AD, um veraltete Geräte zu bereinigen, bevor Sie eine Abfrage nach verwaisten Schlüsseln durchführen.

Fragen Sie mit dem folgenden Befehl nach Schlüsseln in Active Directory ab:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Dieser Befehl fragt die Domäne „contoso“ für alle registrierten öffentlichen Windows Hello for Business-Schlüssel ab und gibt diese Informationen an C:\ADKeys.csv aus. Ersetzen Sie contoso durch Ihren Domänennamen, um Ihre Domäne abzufragen.

Die CSV-Ausgabe „ADKeys.csv“ enthält die folgenden Informationen für jeden Schlüssel:

• Benutzerdomäne

• SAM-Kontoname des Benutzers

• Distinguished Name des Benutzers

• Schlüsselversion

• Schlüssel ID

• Erstellungszeit

• Schlüsselmaterial

• Schlüsselquelle

• Schlüsselverwendung

• Schlüsselgeräte-ID

• Ungefährer Zeitstempel der letzten Anmeldung

• Erstellungszeit

• Informationen zu benutzerdefinierten Schlüsseln

• KeyLinkTargetDN

• Verwaisungsstatus

• Status der ROCA-Sicherheitsanfälligkeit

• KeyRawLDAPValue

Get-ADWHfBKeys gibt auch eine Zusammenfassung der abgefragten Schlüssel aus. Diese Zusammenfassung enthält die folgenden Informationen:

• Anzahl der gescannten Benutzer

• Anzahl der Benutzer mit Schlüsseln

• Anzahl der gescannten Schlüssel

• Anzahl der für ROCA anfälligen Schlüssel

• Anzahl der verwaisten Schlüssel (wenn „-SkipCheckForOrphanedKeys“ nicht angegeben ist)

Hinweis: Wenn Sie über eine Hybridumgebung mit in Azure AD eingebundenen Geräten verfügen und „Get-ADWHfBKeys“ in Ihrer lokalen Domäne ausführen, ist die Anzahl der verwaisten Schlüssel möglicherweise nicht korrekt. Dies liegt daran, dass in Azure AD eingebundene Geräte nicht in Active Directory vorhanden sind und Schlüssel, die in Azure AD eingebundenen Geräten zugeordnet sind, möglicherweise als verwaist angezeigt werden.

Entfernen verwaister, für ROCA anfälliger Schlüssel aus dem Verzeichnis

Entfernen Sie Schlüssel in Azure Active Directory mithilfe der folgenden Schritte:

1. Filtern Sie die verwaisten und RocaVulnerable-Spalten von AzureKeys.csv nach „true“.

2. Kopieren Sie die gefilterten Ergebnisse in die neue Datei „C:\ROCAKeys.csv“.

3. Führen Sie den folgenden Befehl aus, um Schlüssel zu löschen:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKeys -Tenant contoso.com -Logging

Dieser Befehl importiert die Liste der verwaisten, für ROCA anfälligen Schlüssel und entfernt sie aus dem Mandanten „contoso.com“. Ersetzen Sie contoso.com durch Ihren Mandantennamen, um Schlüssel aus Ihrem Mandanten zu entfernen.

N Hinweis Wenn Sie für ROCA anfällige WHfB-Schlüssel löschen, die noch nicht verwaist sind, führt dies zu Unterbrechungen für Ihre Benutzer. Sie sollten sicherstellen, dass diese Schlüssel verwaist sind, bevor Sie sie aus dem Verzeichnis entfernen.

Entfernen Sie Schlüssel in Active Directory mithilfe der folgenden Schritte:

Hinweis Das Entfernen verwaister Schlüssel aus Active Directory in Hybridumgebungen führt dazu, dass die Schlüssel im Rahmen des Azure AD Connect-Synchronisierungsprozesses neu erstellt werden. Wenn Sie sich in einer Hybridumgebung befinden, entfernen Sie Schlüssel nur aus Azure AD

1. Filtern Sie die Spalten OrphanedKey und ROCAVulnerable vonADKeys.csv nach „true“

2. Kopieren Sie die gefilterten Ergebnisse in die neue Datei „C:\ROCAKeys.csv“.

3. Führen Sie den folgenden Befehl aus, um Schlüssel zu löschen:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKeys -Logging

Dieser Befehl importiert die Liste der verwaisten, für ROCA anfälligen Schlüssel und entfernt sie aus Ihrer Domäne. 

Hinweis Wenn Sie für ROCA anfällige WHfB-Schlüssel löschen, die noch nicht verwaist sind, führt dies zu Unterbrechungen für Ihre Benutzer. Sie sollten sicherstellen, dass diese Schlüssel verwaist sind, bevor Sie sie aus dem Verzeichnis entfernen.