Zusammenfassung
Dieser Artikel hilft Ihnen, Probleme in Geräten zu erkennen und zu beheben, die von dem Sicherheitsrisiko betroffen sind, das in Microsoft-Sicherheitsempfehlung ADV170012 beschrieben wird.
Dieser Prozess konzentriert sich auf die folgenden von Microsoft angebotenen Verwendungsszenarien für Windows Hello for Business (WHFB) und Azure AD-Verwendungsszenarien (AAD):
-
Einbindung in Azure AD
-
Hybride Einbindung in Azure AD
-
Registriert bei Azure AD
Weitere Informationen
Identifizieren Ihres AAD-Verwendungsszenarios
-
Öffnen Sie ein Eingabeaufforderungsfenster.
-
Rufen Sie den Gerätestatus ab, indem Sie den folgenden Befehl ausführen:dsregcmd.exe /status
-
Untersuchen Sie in der Befehlsausgabe die Werte der in der folgenden Tabelle aufgelisteten Eigenschaften, um Ihr AAD-Verwendungsszenario zu ermitteln.
Eigenschaft
Beschreibung
AzureAdJoined
Gibt an, ob das Gerät in Azure AD eingebunden ist.
EnterpriseJoined
Gibt an, ob das Gerät in AD FS eingebunden ist. Dies ist Teil eines rein lokalen Kundenszenarios, in dem Windows Hello for Business lokal bereitgestellt ist und verwaltet wird.
DomainJoined
Gibt an, ob das Gerät in eine herkömmliche Active Directory-Domäne eingebunden ist.
WorkplaceJoined
Gibt an, ob der aktuelle Benutzer ein Geschäfts-, Schul- oder Unikonto zu seinem aktuellen Profil hinzugefügt hat. Dies wird als Registriert bei Azure AD bezeichnet. Diese Einstellung wird vom System ignoriert, wenn das Gerät die Eigenschaft „AzureAdJoined“ aufweist.
Hybrid in Azure AD eingebunden
Wenn „DomainJoined“ und „AzureAdJoined“ den Status yes haben, ist das Gerät hybrid in Azure AD eingebunden. Daher ist das Gerät in Azure Active Directory und in eine herkömmliche Active Directory-Domäne eingebunden.
Workflow
Bereitstellungen und Implementierungen können je nach Organisation unterschiedlich sein. Wir haben den folgenden Workflow für die Bereitstellung der Tools entworfen, die Sie zum Entwickeln Ihres eigenen internen Plans mit vorbeugenden Maßnahmen für betroffene Geräte benötigen. Der Workflow umfasst die folgenden Schritte:
-
Identifizieren Sie die betroffenen Geräte. Suchen Sie in Ihrer Umgebung nach betroffenen TPMs (Trusted Platform Modules), Schlüsseln und Geräten.
-
Wenden Sie Patches auf die betroffenen Geräte an. Beheben Sie die Auswirkungen auf die identifizierten Geräte, indem Sie die szenariospezifischen Schritte aus diesem Artikel ausführen.
Hinweis zum Löschen von TPMs
Da in TPMs Geheimnisse gespeichert werden, die von verschiedenen Diensten und Anwendungen verwendet werden, kann das Löschen des TPM unvorhergesehene oder negative geschäftliche Auswirkungen haben. Vor dem Löschen von TPMs müssen Sie überprüfen und sicherstellen, dass alle Dienste und Anwendungen, die TPM-gestützte Geheimnisse verwenden, ordnungsgemäß identifiziert und für das Löschen und erneute Erstellen der Geheimnisse vorbereitet wurden.
Identifizieren der betroffenen Geräte
Weitere Informationen zum Identifizieren der betroffenen TPMs finden Sie unter Microsoft-Sicherheitsempfehlung ADV170012.
Anwenden von Patches auf die betroffenen Geräte
Führen Sie je nach AAD-Verwendungsszenario die folgenden Schritte für die betroffenen Geräte aus.
-
Stellen Sie sicher, dass auf dem Gerät ein gültiges lokales Administratorkonto vorhanden ist, oder erstellen Sie ein lokales Administratorkonto.
Hinweis
Es wird empfohlen, zu überprüfen, ob das Konto funktioniert. Melden Sie sich dazu mit dem neuen lokalen Administratorkonto beim Gerät an, und überprüfen Sie die Richtigkeit der Berechtigungen, indem Sie eine Eingabeaufforderung mit erhöhten Rechten öffnen.
-
Wenn Sie sich auf dem Gerät mit einem Microsoft-Konto angemeldet haben, gehen Sie zu Einstellungen > Konten > E-Mail- & App-Konten, und entfernen Sie das verbundene Konto.
-
Installieren Sie ein Firmwareupdate für das Gerät.
Hinweis
Folgen Sie den Anweisungen des OEM zum Anwenden des TPM-Firmwareupdates. Weitere Informationen zum Beziehen des TPM-Updates von Ihrem OEM finden Sie unter Schritt 4: „Anwenden von zutreffenden Firmwareupdates“, in Microsoft-Sicherheitsempfehlung ADV170012.
-
Trennen Sie das Gerät von Azure AD.
Hinweis
Stellen Sie sicher, dass Ihr BitLocker-Schlüssel an einem anderen Ort als auf dem lokalen Computer gesichert ist, bevor Sie fortfahren.
-
Gehen Sie zu Einstellungen > System > Info, und klicken Sie dann auf Arbeit oder Schule verwalten bzw. davon trennen.
-
Klicken Sie auf Verbunden mit <Azure AD>und dann auf Trennen.
-
Klicken Sie auf Ja, wenn Sie zur Bestätigung aufgefordert werden.
-
Klicken Sie auf Trennen, wenn die Eingabeaufforderung „Verbindung mit Organisation trennen“ angezeigt wird.
-
Geben Sie die Informationen für das lokale Administratorkonto für das Gerät ein.
-
Klicken Sie auf Später neu starten.
-
-
Löschen Sie das TPM.
Hinweis
Beim Löschen des TPM werden alle Schlüssel und Geheimnisse entfernt, die auf dem Gerät gespeichert sind. Stellen Sie sicher, dass andere Dienste, die das TPM nutzen, angehalten oder überprüft sind, bevor Sie fortfahren.
Windows 7: Sie müssen BitLocker manuell anhalten, bevor Sie fortfahren. (Weitere Informationen zum Anhalten von BitLocker.)
-
Verwenden Sie eine der folgenden Methoden, um das TPM zu löschen:
-
Verwenden Sie Microsoft Management Console.
-
Drücken Sie WINDOWS-TASTE+R, geben Sie tpm.msc ein, und klicken Sie auf OK.
-
Klicken Sie auf TPM löschen.
-
-
Führen Sie das Clear-Tpm-Cmdlet aus.
-
-
Klicken Sie auf Neu starten.
Hinweis Möglicherweise werden Sie aufgefordert, das TPM beim Starten zu löschen.
-
-
Melden Sie sich nach dem Neustart des Geräts mit dem lokalen Administratorkonto an.
-
Binden Sie das Gerät wieder in Azure AD ein. Möglicherweise werden Sie bei der nächsten Anmeldung aufgefordert, eine neue PIN einzurichten.
-
Wenn Sie sich auf dem Gerät mit einem Microsoft-Konto angemeldet haben, gehen Sie zu Einstellungen > Konten > E-Mail- & App-Konten, und entfernen Sie das verbundene Konto.
-
Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus:dsregcmd.exe /leave /debug
Hinweis
Die Befehlsausgabe sollte Folgendes angeben: „AzureADJoined: No“.
-
Installieren Sie ein Firmwareupdate für das Gerät.
Hinweis
Hinweis Folgen Sie den Anweisungen des OEM zum Anwenden des TPM-Firmwareupdates. Weitere Informationen zum Beziehen des TPM-Updates von Ihrem OEM finden Sie unter Schritt 4: „Anwenden von zutreffenden Firmwareupdates“, in Microsoft-Sicherheitsempfehlung ADV170012.
-
Löschen Sie das TPM.
Hinweis
Beim Löschen des TPM werden alle Schlüssel und Geheimnisse entfernt, die auf dem Gerät gespeichert sind. Stellen Sie sicher, dass andere Dienste, die das TPM nutzen, angehalten oder überprüft sind, bevor Sie fortfahren.
Windows 7: Sie müssen BitLocker manuell anhalten, bevor Sie fortfahren. (Weitere Informationen zum Anhalten von BitLocker.)
-
Verwenden Sie eine der folgenden Methoden, um das TPM zu löschen:
-
Verwenden Sie Microsoft Management Console.
-
Drücken Sie WINDOWS-TASTE+R, geben Sie tpm.msc ein, und klicken Sie auf OK.
-
Klicken Sie auf TPM löschen.
-
-
Führen Sie das Clear-Tpm-Cmdlet aus.
-
-
Klicken Sie auf Neu starten.
Hinweis Möglicherweise werden Sie aufgefordert, das TPM beim Starten zu löschen.
-
Wenn das Gerät gestartet wird, generiert Windows neue Schlüssel und bindet das Gerät automatisch wieder in Azure AD ein. Während dieser Zeit können Sie das Gerät verwenden. Der Zugriff auf Ressourcen wie Microsoft Outlook, OneDrive und andere Anwendungen, für die SSO oder Richtlinien für bedingten Zugriff erforderlich sind, ist jedoch möglicherweise eingeschränkt.
Hinweis Wenn Sie ein Microsoft-Konto verwenden, müssen Sie das Kennwort kennen.
-
Installieren Sie ein Firmwareupdate für das Gerät.
Hinweis
Folgen Sie den Anweisungen des OEM zum Anwenden des TPM-Firmwareupdates. Weitere Informationen zum Beziehen des TPM-Updates von Ihrem OEM finden Sie unter Schritt 4: „Anwenden von zutreffenden Firmwareupdates“, in Microsoft-Sicherheitsempfehlung ADV170012.
-
Entfernen Sie das Azure AD-Geschäftskonto.
-
Gehen Sie zu Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen, klicken Sie auf Ihr Geschäfts-, Schul- oder Unikonto und dann auf Trennen.
-
Klicken Sie auf Ja, um die Trennung zu bestätigen.
-
-
Löschen Sie das TPM.
Hinweis
Beim Löschen des TPM werden alle Schlüssel und Geheimnisse entfernt, die auf dem Gerät gespeichert sind. Stellen Sie sicher, dass andere Dienste, die das TPM nutzen, angehalten oder überprüft sind, bevor Sie fortfahren.
Windows 7: Sie müssen BitLocker manuell anhalten, bevor Sie fortfahren. (Weitere Informationen zum Anhalten von BitLocker.)
-
Verwenden Sie eine der folgenden Methoden, um das TPM zu löschen:
-
Verwenden Sie Microsoft Management Console.
-
Drücken Sie WINDOWS-TASTE+R, geben Sie tpm.msc ein, und klicken Sie auf OK.
-
Klicken Sie auf TPM löschen.
-
-
Führen Sie das Clear-Tpm-Cmdlet aus.
-
-
Klicken Sie auf Neu starten.
Hinweis Möglicherweise werden Sie aufgefordert, das TPM beim Starten zu löschen. -
Wenn Sie ein Microsoft-Konto mit einer PIN verwendet haben, müssen Sie sich mit dem Kennwort beim Gerät anmelden.
-
Fügen Sie das Geschäftskonto wieder zum Gerät hinzu.
-
Gehen Sie zu Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen, und klicken Sie auf Verbinden.
-
Geben Sie Ihr Geschäftskonto ein, und klicken Sie dann auf Weiter.
-
Geben Sie Ihr Geschäftskonto und das zugehörige Kennwort ein, und klicken Sie dann auf Anmelden.
-
Wenn Ihre Organisation Azure Multi-Factor Authentication für das Einbinden von Geräten in Azure AD konfiguriert hat, geben Sie die Informationen für die zweite Stufe ein, bevor Sie fortfahren.
-
Vergewissern Sie sich, dass die angezeigten Informationen richtig sind, und klicken Sie dann auf Join (Beitreten). Daraufhin sollte die folgende Meldung angezeigt werden:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.
-
-