Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Zusammenfassung

Dieser Artikel hilft Ihnen, Probleme in Geräten zu erkennen und zu beheben, die von dem Sicherheitsrisiko betroffen sind, das in Microsoft-Sicherheitsempfehlung ADV170012 beschrieben wird.

Dieser Prozess konzentriert sich auf die folgenden von Microsoft angebotenen Verwendungsszenarien für Windows Hello for Business (WHFB) und Azure AD-Verwendungsszenarien (AAD):

  • Einbindung in Azure AD

  • Hybride Einbindung in Azure AD

  • Registriert bei Azure AD

Weitere Informationen

 Identifizieren Ihres AAD-Verwendungsszenarios 

  1. Öffnen Sie ein Eingabeaufforderungsfenster.

  2. Rufen Sie den Gerätestatus ab, indem Sie den folgenden Befehl ausführen:dsregcmd.exe /status

  3. Untersuchen Sie in der Befehlsausgabe die Werte der in der folgenden Tabelle aufgelisteten Eigenschaften, um Ihr AAD-Verwendungsszenario zu ermitteln.

    Eigenschaft

    Beschreibung

    AzureAdJoined

    Gibt an, ob das Gerät in Azure AD eingebunden ist.

    EnterpriseJoined

    Gibt an, ob das Gerät in AD FS eingebunden ist. Dies ist Teil eines rein lokalen Kundenszenarios, in dem Windows Hello for Business lokal bereitgestellt ist und verwaltet wird.

    DomainJoined

    Gibt an, ob das Gerät in eine herkömmliche Active Directory-Domäne eingebunden ist.

    WorkplaceJoined

    Gibt an, ob der aktuelle Benutzer ein Geschäfts-, Schul- oder Unikonto zu seinem aktuellen Profil hinzugefügt hat. Dies wird als Registriert bei Azure AD bezeichnet. Diese Einstellung wird vom System ignoriert, wenn das Gerät die Eigenschaft „AzureAdJoined“ aufweist.

Hybrid in Azure AD eingebunden

Wenn „DomainJoined“ und „AzureAdJoined“ den Status yes haben, ist das Gerät hybrid in Azure AD eingebunden. Daher ist das Gerät in Azure Active Directory und in eine herkömmliche Active Directory-Domäne eingebunden.

Workflow

Bereitstellungen und Implementierungen können je nach Organisation unterschiedlich sein. Wir haben den folgenden Workflow für die Bereitstellung der Tools entworfen, die Sie zum Entwickeln Ihres eigenen internen Plans mit vorbeugenden Maßnahmen für betroffene Geräte benötigen. Der Workflow umfasst die folgenden Schritte:

  1. Identifizieren Sie die betroffenen Geräte. Suchen Sie in Ihrer Umgebung nach betroffenen TPMs (Trusted Platform Modules), Schlüsseln und Geräten.

  2. Wenden Sie Patches auf die betroffenen Geräte an. Beheben Sie die Auswirkungen auf die identifizierten Geräte, indem Sie die szenariospezifischen Schritte aus diesem Artikel ausführen.

Hinweis zum Löschen von TPMs

Da in TPMs Geheimnisse gespeichert werden, die von verschiedenen Diensten und Anwendungen verwendet werden, kann das Löschen des TPM unvorhergesehene oder negative geschäftliche Auswirkungen haben. Vor dem Löschen von TPMs müssen Sie überprüfen und sicherstellen, dass alle Dienste und Anwendungen, die TPM-gestützte Geheimnisse verwenden, ordnungsgemäß identifiziert und für das Löschen und erneute Erstellen der Geheimnisse vorbereitet wurden.

Identifizieren der betroffenen Geräte

Weitere Informationen zum Identifizieren der betroffenen TPMs finden Sie unter Microsoft-Sicherheitsempfehlung ADV170012.

Anwenden von Patches auf die betroffenen Geräte

Führen Sie je nach AAD-Verwendungsszenario die folgenden Schritte für die betroffenen Geräte aus.

  1. Stellen Sie sicher, dass auf dem Gerät ein gültiges lokales Administratorkonto vorhanden ist, oder erstellen Sie ein lokales Administratorkonto.

    Hinweis

    Es wird empfohlen, zu überprüfen, ob das Konto funktioniert. Melden Sie sich dazu mit dem neuen lokalen Administratorkonto beim Gerät an, und überprüfen Sie die Richtigkeit der Berechtigungen, indem Sie eine Eingabeaufforderung mit erhöhten Rechten öffnen.

     

  2. Wenn Sie sich auf dem Gerät mit einem Microsoft-Konto angemeldet haben, gehen Sie zu Einstellungen > Konten > E-Mail- & App-Konten, und entfernen Sie das verbundene Konto.

  3. Installieren Sie ein Firmwareupdate für das Gerät.

    Hinweis

    Folgen Sie den Anweisungen des OEM zum Anwenden des TPM-Firmwareupdates. Weitere Informationen zum Beziehen des TPM-Updates von Ihrem OEM finden Sie unter Schritt 4: „Anwenden von zutreffenden Firmwareupdates“, in Microsoft-Sicherheitsempfehlung ADV170012

     

  4. Trennen Sie das Gerät von Azure AD.

    Hinweis

    Stellen Sie sicher, dass Ihr BitLocker-Schlüssel an einem anderen Ort als auf dem lokalen Computer gesichert ist, bevor Sie fortfahren.

    1. Gehen Sie zu Einstellungen > System > Info, und klicken Sie dann auf Arbeit oder Schule verwalten bzw. davon trennen.

    2. Klicken Sie auf Verbunden mit <Azure AD>und dann auf Trennen.

    3. Klicken Sie auf Ja, wenn Sie zur Bestätigung aufgefordert werden.

    4. Klicken Sie auf Trennen, wenn die Eingabeaufforderung „Verbindung mit Organisation trennen“ angezeigt wird.

    5. Geben Sie die Informationen für das lokale Administratorkonto für das Gerät ein.

    6. Klicken Sie auf Später neu starten.

  5. Löschen Sie das TPM.

    Hinweis

    Beim Löschen des TPM werden alle Schlüssel und Geheimnisse entfernt, die auf dem Gerät gespeichert sind. Stellen Sie sicher, dass andere Dienste, die das TPM nutzen, angehalten oder überprüft sind, bevor Sie fortfahren.

    Windows 8 oder höher: BitLocker wird automatisch angehalten, wenn Sie das TPM mit einer der beiden unten beschriebenen empfohlenen Methoden löschen.

    Windows 7: Sie müssen BitLocker manuell anhalten, bevor Sie fortfahren. (Weitere Informationen zum Anhalten von BitLocker.)  

    1. Verwenden Sie eine der folgenden Methoden, um das TPM zu löschen:

      • Verwenden Sie Microsoft Management Console.

        1. Drücken Sie WINDOWS-TASTE+R, geben Sie tpm.msc ein, und klicken Sie auf OK.

        2. Klicken Sie auf TPM löschen.

      • Führen Sie das Clear-Tpm-Cmdlet aus.

    2. Klicken Sie auf Neu starten.Hinweis Möglicherweise werden Sie aufgefordert, das TPM beim Starten zu löschen.

  6. Melden Sie sich nach dem Neustart des Geräts mit dem lokalen Administratorkonto an.

  7. Binden Sie das Gerät wieder in Azure AD ein. Möglicherweise werden Sie bei der nächsten Anmeldung aufgefordert, eine neue PIN einzurichten.

  1. Wenn Sie sich auf dem Gerät mit einem Microsoft-Konto angemeldet haben, gehen Sie zu Einstellungen > Konten > E-Mail- & App-Konten, und entfernen Sie das verbundene Konto.

  2. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus:dsregcmd.exe /leave /debug

    Hinweis

    Die Befehlsausgabe sollte Folgendes angeben: „AzureADJoined: No“.

     

  3. Installieren Sie ein Firmwareupdate für das Gerät.

    Hinweis

    Hinweis Folgen Sie den Anweisungen des OEM zum Anwenden des TPM-Firmwareupdates. Weitere Informationen zum Beziehen des TPM-Updates von Ihrem OEM finden Sie unter Schritt 4: „Anwenden von zutreffenden Firmwareupdates“, in Microsoft-Sicherheitsempfehlung ADV170012

  4. Löschen Sie das TPM.

    Hinweis

    Beim Löschen des TPM werden alle Schlüssel und Geheimnisse entfernt, die auf dem Gerät gespeichert sind. Stellen Sie sicher, dass andere Dienste, die das TPM nutzen, angehalten oder überprüft sind, bevor Sie fortfahren.

    Windows 8 oder höher: BitLocker wird automatisch angehalten, wenn Sie das TPM mit einer der beiden unten beschriebenen empfohlenen Methoden löschen.

    Windows 7: Sie müssen BitLocker manuell anhalten, bevor Sie fortfahren. (Weitere Informationen zum Anhalten von BitLocker.)

     

    1. Verwenden Sie eine der folgenden Methoden, um das TPM zu löschen:

      • Verwenden Sie Microsoft Management Console.

        1. Drücken Sie WINDOWS-TASTE+R, geben Sie tpm.msc ein, und klicken Sie auf OK.

        2. Klicken Sie auf TPM löschen.

      • Führen Sie das Clear-Tpm-Cmdlet aus.

    2. Klicken Sie auf Neu starten.Hinweis Möglicherweise werden Sie aufgefordert, das TPM beim Starten zu löschen.

Wenn das Gerät gestartet wird, generiert Windows neue Schlüssel und bindet das Gerät automatisch wieder in Azure AD ein. Während dieser Zeit können Sie das Gerät verwenden. Der Zugriff auf Ressourcen wie Microsoft Outlook, OneDrive und andere Anwendungen, für die SSO oder Richtlinien für bedingten Zugriff erforderlich sind, ist jedoch möglicherweise eingeschränkt.

Hinweis Wenn Sie ein Microsoft-Konto verwenden, müssen Sie das Kennwort kennen.

  1. Installieren Sie ein Firmwareupdate für das Gerät.

    Hinweis

    Folgen Sie den Anweisungen des OEM zum Anwenden des TPM-Firmwareupdates. Weitere Informationen zum Beziehen des TPM-Updates von Ihrem OEM finden Sie unter Schritt 4: „Anwenden von zutreffenden Firmwareupdates“, in Microsoft-Sicherheitsempfehlung ADV170012

     

  2. Entfernen Sie das Azure AD-Geschäftskonto.

    1. Gehen Sie zu Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen, klicken Sie auf Ihr Geschäfts-, Schul- oder Unikonto und dann auf Trennen.

    2. Klicken Sie auf Ja, um die Trennung zu bestätigen.

  3. Löschen Sie das TPM.

    Hinweis

    Beim Löschen des TPM werden alle Schlüssel und Geheimnisse entfernt, die auf dem Gerät gespeichert sind. Stellen Sie sicher, dass andere Dienste, die das TPM nutzen, angehalten oder überprüft sind, bevor Sie fortfahren.

    Windows 8 oder höher: BitLocker wird automatisch angehalten, wenn Sie das TPM mit einer der beiden unten beschriebenen empfohlenen Methoden löschen.

    Windows 7: Sie müssen BitLocker manuell anhalten, bevor Sie fortfahren. (Weitere Informationen zum Anhalten von BitLocker.)

     

    1. Verwenden Sie eine der folgenden Methoden, um das TPM zu löschen:

      • Verwenden Sie Microsoft Management Console.

        1. Drücken Sie WINDOWS-TASTE+R, geben Sie tpm.msc ein, und klicken Sie auf OK.

        2. Klicken Sie auf TPM löschen.

      • Führen Sie das Clear-Tpm-Cmdlet aus.

    2. Klicken Sie auf Neu starten.Hinweis Möglicherweise werden Sie aufgefordert, das TPM beim Starten zu löschen.

    3. Wenn Sie ein Microsoft-Konto mit einer PIN verwendet haben, müssen Sie sich mit dem Kennwort beim Gerät anmelden.

    4. Fügen Sie das Geschäftskonto wieder zum Gerät hinzu.

      1. Gehen Sie zu Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen, und klicken Sie auf Verbinden.

      2. Geben Sie Ihr Geschäftskonto ein, und klicken Sie dann auf Weiter.

      3. Geben Sie Ihr Geschäftskonto und das zugehörige Kennwort ein, und klicken Sie dann auf Anmelden.

      4. Wenn Ihre Organisation Azure Multi-Factor Authentication für das Einbinden von Geräten in Azure AD konfiguriert hat, geben Sie die Informationen für die zweite Stufe ein, bevor Sie fortfahren.

      5. Vergewissern Sie sich, dass die angezeigten Informationen richtig sind, und klicken Sie dann auf Join (Beitreten). Daraufhin sollte die folgende Meldung angezeigt werden:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.