Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Σύνοψη

Αυτό το άρθρο βοηθά στην αναγνώριση και την αντιμετώπιση προβλημάτων συσκευών που επηρεάζονται από την ευπάθεια που περιγράφεται στο Συμβουλευτικό ADV170012 ασφαλείας της Microsoft.

Αυτή η διαδικασία εστιάζεται στην το ακόλουθο Windows Hello σενάρια χρήσης Azure AD (AAD) που παρέχεται από τη Microsoft και από επαγγελματική (WHFB):

  • Συνδέσμου azure AD

  • Συνδέσμου υβριδική Azure AD

  • AD azure καταχωρηθεί

Περισσότερες πληροφορίες

Προσδιορίζει το σενάριο χρήσης AAD

  1. Ανοίξτε ένα παράθυρο γραμμής εντολών.

  2. Δείτε την κατάσταση της συσκευής, εκτελώντας την ακόλουθη εντολή:dsregcmd.exe /status

  3. Στην έξοδο της εντολής, εξετάστε τις τιμές από τις ιδιότητες που παρατίθενται στον παρακάτω πίνακα για να προσδιορίσετε το σενάριο χρήσης AAD.

    Η ιδιότητα

    Περιγραφή

    AzureAdJoined

    Υποδεικνύει αν , η συσκευή συνδέεται σε Azure AD.

    EnterpriseJoined

    Υποδεικνύει αν t ΗΕ συσκευή είναι συνδεδεμένος σε AD FS. Αυτό είναι μέρος της ένα σενάριο πελάτη σε χώρους-μόνο όπου Windows Hello για επαγγελματική ανάπτυξη και διαχείριση εσωτερικής εγκατάστασης.

    DomainJoined

    Δηλώνει εάν το η συσκευή συνδέεται με ένα παραδοσιακό τομέα του Active Directory.

    WorkplaceJoined

    Υποδεικνύει εάν ο τρέχων χρήστης έχει προσθέσει ένα λογαριασμό εργασίας ή σχολείου στο τρέχον προφίλ. Αυτό είναι γνωστό ως AD Azure που έχει καταχωρηθεί. Η ρύθμιση αυτή λαμβάνεται υπόψη από το σύστημα εάν η συσκευή είναι AzureAdJoined.

Συνδεδεμένα υβριδικές Azure AD

Εάν DomainJoined και AzureAdJoined είναι Ναι, η συσκευή είναι υβριδική συμμετέχει Azure AD. Επομένως, η συσκευή είναι συνδεδεμένος σε ένα Azure υπηρεσίας καταλόγου Active Directory και ένα παραδοσιακό τομέα του Active Directory.

Ροή εργασίας

Ανάπτυξη και εφαρμογές ενδέχεται να διαφέρουν από ολόκληρη την εταιρεία. Σχεδιάσαμε την παρακάτω ροή εργασιών για να παρέχουν τα εργαλεία που χρειάζεστε για να αναπτύξετε το δικό σας εσωτερικό σχέδιο για να μετριάσετε τον κίνδυνο από όλες τις συσκευές που έχουν επηρεαστεί. Η ροή εργασίας έχει τα εξής βήματα:

  1. Εντοπισμό των συσκευών που έχουν επηρεαστεί. Αναζήτηση σας περιβάλλον για επηρεάζονται λειτουργικές μονάδες αξιόπιστης πλατφόρμας (TPM), κλειδιά και συσκευές.

  2. Ενημερωμένη έκδοση κώδικα στις συσκευές που επηρεάζονται. Αντιμετώπιση εφέ σε συσκευές αναγνωρίστηκε, ακολουθώντας τα βήματα που αφορούν το σενάριο που παρατίθενται σε αυτό το άρθρο.

Σημείωση για εκκαθάριση της TPM

Επειδή αξιόπιστης πλατφόρμας λειτουργικές μονάδες χρησιμοποιούνται για την αποθήκευση των μυστικών που χρησιμοποιούνται από διάφορες υπηρεσίες και εφαρμογές, η απαλοιφή της TPM μπορεί να έχει επαγγελματική απρόβλεπτες ή αρνητικές επιπτώσεις. Πριν από τη διαγραφή κάθε TPM, θα πρέπει να εξετάσετε και να επικυρώσετε ότι όλες οι υπηρεσίες και εφαρμογές που χρησιμοποιούν TPM με υποστήριξη μυστικά έχουν σωστά αναγνωρίζονται και προετοιμάζονται για διαγραφή μυστική και αναψυχή.

Πώς μπορείτε να εντοπίσετε συσκευές που επηρεάζονται

Για να προσδιορίσετε την TPM που επηρεάζονται, ανατρέξτε στην ADV170012 συμβουλευτικό δελτίο ασφαλείας για το Microsoft.

Πώς επηρεάζεται η ενημερωμένη έκδοση κώδικα συσκευές

Χρησιμοποιήστε τα ακόλουθα βήματα στις συσκευές που επηρεάζονται, σύμφωνα με το σενάριο χρήσης AAD.

  1. Βεβαιωθείτε ότι υπάρχει ένας λογαριασμός έγκυρο τοπικό διαχειριστή στη συσκευή ή να δημιουργήσετε ένα λογαριασμό τοπικού διαχειριστή.

    Σημείωση

    Πρόκειται για μια πρακτική που συνιστάται για να βεβαιωθείτε ότι ο λογαριασμός λειτουργεί πραγματοποιώντας είσοδο με τη συσκευή, χρησιμοποιώντας τον νέο λογαριασμό τοπικού διαχειριστή και επιβεβαιώστε τα σωστά δικαιώματα, ανοίγοντας μια γραμμή εντολών με αυξημένα δικαιώματα.

     

  2. Εάν έχετε συνδεθεί με ένα λογαριασμό Microsoft στη συσκευή, μεταβείτε στις Ρυθμίσεις > Λογαριασμοί > Λογαριασμοί ηλεκτρονικού ταχυδρομείου & app και να καταργήσετε το συνδεδεμένο λογαριασμό.Κατάργηση του συνδεδεμένου λογαριασμού

  3. Εγκαταστήστε μια ενημερωμένη έκδοση υλικολογισμικού για τη συσκευή.

    Σημείωση

    Ακολουθήστε τις οδηγίες του OEM για την εφαρμογή της ενημερωμένης έκδοσης υλικολογισμικού TPM. Ανατρέξτε στο βήμα 4: "Εφαρμογή ενημερωμένες εκδόσεις υλικολογισμικού που εφαρμόζονται," στο Συμβουλευτικό ADV170012 ασφαλείας της Microsoft για πληροφορίες σχετικά με τον τρόπο απόκτησης της ενημερωμένης έκδοσης της TPM από τον OEM.

     

  4. Απομονώστε τη συσκευή από Azure AD.

    Σημείωση

    Βεβαιωθείτε ότι το κλειδί BitLocker είναι με ασφάλεια αντίγραφα ασφαλείας σε ένα σημείο διαφορετικό από τον τοπικό υπολογιστή πριν να συνεχίσετε.

    1. Μεταβείτε στις Ρυθμίσεις > σύστημα > πληροφορίεςκαι, στη συνέχεια, κάντε κλικ στο κουμπί Διαχείριση ή να αποσυνδεθείτε από τη δουλειά ή το σχολείο.

    2. Κάντε κλικ στο κουμπί συνδεδεμένος στο < AzureAD >και κάντε κλικ στο κουμπί Αποσύνδεση.

    3. Κάντε κλικ στο κουμπί " Ναι " όταν σας ζητηθεί για επιβεβαίωση.

    4. Κάντε κλικ στο κουμπί " Αποσύνδεση ", όταν σας ζητηθεί να "Αποσύνδεση από την εταιρεία".Αποσυνδεθείτε από τον οργανισμό

    5. Εισαγάγετε τις πληροφορίες του λογαριασμού τοπικού διαχειριστή για τη συσκευή.

    6. Κάντε κλικ στο κουμπί επανεκκίνηση αργότερα. Επανεκκίνηση αργότερα, μετά την αποσύνδεση από την εταιρεία

  5. Απαλοιφή της μονάδας TPM.

    Σημείωση

    Η απαλοιφή της TPM θα καταργήσει όλα τα κλειδιά και τα μυστικά που είναι αποθηκευμένα στη συσκευή σας. Βεβαιωθείτε ότι άλλες υπηρεσίες οι οποίες με χρήση της TPM έχουν ανασταλεί ή επικυρωθεί πριν να προχωρήσετε.

    Των Windows 8 ή νεότερη έκδοση: Το BitLocker αναστέλλεται αυτόματα εάν χρησιμοποιήσετε μία από τις προτεινόμενες μεθόδους για την εκκαθάριση της TPM σας, κάτω από το.

    Των Windows 7: Απαιτείται μη αυτόματη αναστολή της BitLocker πριν να συνεχίσετε. (Δείτε περισσότερες πληροφορίες σχετικά με την αναστολή της λειτουργίας της BitLocker).  

    1. Για εκκαθάριση της TPM, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους:

      • Χρησιμοποιήστε την Κονσόλα διαχείρισης της Microsoft.

        1. Πιέστε το πλήκτρο Win + R, πληκτρολογήστε tpm.msc και κάντε κλικ στο κουμπί OK.

        2. Κάντε κλικ στο κουμπί Απαλοιφή της TPM.Απαλοιφή της TPM στην κονσόλα MMC

      • Η εκτέλεση του cmdlet Απαλοιφή Tpm.

    2. Κάντε κλικ στην επιλογή επανεκκίνηση.Επανεκκίνηση μετά την απαλοιφή της TPMΣημείωση Ενδέχεται να σας ζητηθεί να κάνετε εκκαθάριση της TPM κατά την εκκίνηση.

  6. Μετά την επανεκκίνηση της συσκευής, συνδεθείτε με τη συσκευή χρησιμοποιώντας το λογαριασμό τοπικού διαχειριστή.

  7. Επανασυνδέστε τη συσκευή για να Azure AD. Ενδέχεται να σας ζητηθεί να ορίσετε ένα νέο PIN όταν η επόμενη είσοδος.

  1. Εάν εισέλθετε χρησιμοποιώντας ένα λογαριασμό Microsoft στη συσκευή σας, μεταβείτε στις Ρυθμίσεις > Λογαριασμοί > Λογαριασμοί ηλεκτρονικού ταχυδρομείου & app και να καταργήσετε το συνδεδεμένο λογαριασμό.Κατάργηση του συνδεδεμένου λογαριασμού

  2. Από μια γραμμή εντολών με αναβαθμισμένα δικαιώματα, εκτελέστε την ακόλουθη εντολή:dsregcmd.exe /leave /debug

    Σημείωση

    Το αποτέλεσμα της εντολής θα πρέπει να δηλώσουν AzureADJoined: όχι.

     

  3. Εγκαταστήστε μια ενημερωμένη έκδοση υλικολογισμικού για τη συσκευή.

    Σημείωση

    Σημείωση Ακολουθήστε τις οδηγίες του OEM για την εφαρμογή της ενημερωμένης έκδοσης υλικολογισμικού TPM. Ανατρέξτε στο βήμα 4: "Εφαρμογή ενημερωμένες εκδόσεις υλικολογισμικού που εφαρμόζονται," στο Συμβουλευτικό ADV170012 ασφαλείας της Microsoft για πληροφορίες σχετικά με τον τρόπο απόκτησης της ενημερωμένης έκδοσης της TPM από τον OEM.

  4. Απαλοιφή της μονάδας TPM.

    Σημείωση

    Η απαλοιφή της TPM θα καταργήσει όλα τα κλειδιά και τα μυστικά που είναι αποθηκευμένα στη συσκευή σας. Βεβαιωθείτε ότι άλλες υπηρεσίες οι οποίες με χρήση της TPM έχουν ανασταλεί ή επικυρωθεί πριν να προχωρήσετε.

    Των Windows 8 ή νεότερη έκδοση: Το BitLocker αναστέλλεται αυτόματα εάν χρησιμοποιήσετε μία από τις προτεινόμενες μεθόδους για την εκκαθάριση της TPM σας, κάτω από το.

    Των Windows 7: Απαιτείται μη αυτόματη αναστολή της BitLocker πριν να συνεχίσετε. (Δείτε περισσότερες πληροφορίες σχετικά με την αναστολή της λειτουργίας της BitLocker).

     

    1. Για εκκαθάριση της TPM, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους:

      • Χρησιμοποιήστε την Κονσόλα διαχείρισης της Microsoft.

        1. Πιέστε το πλήκτρο Win + R, πληκτρολογήστε tpm.msc και κάντε κλικ στο κουμπί OK.

        2. Κάντε κλικ στο κουμπί Απαλοιφή της TPM.Απαλοιφή της TPM στην κονσόλα MMC

      • Η εκτέλεση του cmdlet Απαλοιφή Tpm.

    2. Κάντε κλικ στην επιλογή επανεκκίνηση.Σημείωση Ενδέχεται να σας ζητηθεί να κάνετε εκκαθάριση της TPM κατά την εκκίνηση.

Κατά την εκκίνηση της συσκευής, τα Windows δημιουργούν νέα κλειδιά και rejoins αυτόματα τη συσκευή για να Azure AD. Σε αυτό το διάστημα, μπορείτε να συνεχίσετε να χρησιμοποιείτε τη συσκευή. Ωστόσο, η πρόσβαση σε πόρους, όπως το Microsoft Outlook, OneDrive και άλλες εφαρμογές που απαιτούν SSO ή πολιτικές υπό όρους πρόσβασης μπορεί να είναι περιορισμένη.

Σημείωση Εάν χρησιμοποιείτε ένα λογαριασμό Microsoft, πρέπει να γνωρίζετε τον κωδικό πρόσβασης.

  1. Εγκαταστήστε μια ενημερωμένη έκδοση υλικολογισμικού για τη συσκευή.

    Σημείωση

    Ακολουθήστε τις οδηγίες του OEM για την εφαρμογή της ενημερωμένης έκδοσης υλικολογισμικού TPM. Ανατρέξτε στο βήμα 4: "Εφαρμογή ενημερωμένες εκδόσεις υλικολογισμικού που εφαρμόζονται," στο Συμβουλευτικό ADV170012 ασφαλείας της Microsoft για πληροφορίες σχετικά με τον τρόπο απόκτησης της ενημερωμένης έκδοσης της TPM από τον OEM.

     

  2. Καταργήστε το λογαριασμό εργασίας Azure AD.

    1. Μεταβείτε στις Ρυθμίσεις > Λογαριασμοί > πρόσβαση δουλειά ή το σχολείο, κάντε κλικ στον λογαριασμό εργασίας ή σχολείου και, στη συνέχεια, κάντε κλικ στο κουμπί Αποσύνδεση.

    2. Κάντε κλικ στο κουμπί Ναι όταν σας ζητηθεί να επιβεβαιώσετε την αποσύνδεση.

  3. Απαλοιφή της μονάδας TPM.

    Σημείωση

    Η απαλοιφή της TPM θα καταργήσει όλα τα κλειδιά και τα μυστικά που είναι αποθηκευμένα στη συσκευή σας. Βεβαιωθείτε ότι άλλες υπηρεσίες οι οποίες με χρήση της TPM έχουν ανασταλεί ή επικυρωθεί πριν να προχωρήσετε.

    Των Windows 8 ή νεότερη έκδοση: Το BitLocker αναστέλλεται αυτόματα εάν χρησιμοποιήσετε μία από τις προτεινόμενες μεθόδους για την εκκαθάριση της TPM σας, κάτω από το.

    Των Windows 7: Απαιτείται μη αυτόματη αναστολή της BitLocker πριν να συνεχίσετε. (Δείτε περισσότερες πληροφορίες σχετικά με την αναστολή της λειτουργίας της BitLocker).

     

    1. Για εκκαθάριση της TPM, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους:

      • Χρησιμοποιήστε την Κονσόλα διαχείρισης της Microsoft.

        1. Πιέστε το πλήκτρο Win + R, πληκτρολογήστε tpm.msc και κάντε κλικ στο κουμπί OK.

        2. Κάντε κλικ στο κουμπί Απαλοιφή της TPM.

      • Η εκτέλεση του cmdlet Απαλοιφή Tpm.

    2. Κάντε κλικ στην επιλογή επανεκκίνηση.Σημείωση Ενδέχεται να σας ζητηθεί να καταργήσετε την TPM κατά την εκκίνηση.

    3. Εάν χρησιμοποιήσατε ένα λογαριασμό Microsoft που διαθέτει έναν αριθμό PIN, θα πρέπει να συνδεθείτε στη συσκευή χρησιμοποιώντας τον κωδικό πρόσβασης.

    4. Προσθέστε το λογαριασμό εργασίας ξανά τη συσκευή.

      1. Μεταβείτε στις Ρυθμίσεις > Λογαριασμοί > πρόσβαση δουλειά ή το σχολείο και κάντε κλικ στο κουμπί σύνδεση.Η σύνδεση με την εργασία ή το σχολείο

      2. Εισαγάγετε το λογαριασμό εργασίας σας και, στη συνέχεια, κάντε κλικ στο κουμπί Επόμενο.Ορίστε ένα λογαριασμό δουλειά ή το σχολείο

      3. Εισαγάγετε το λογαριασμό της εργασίας και τον κωδικό πρόσβασης και, στη συνέχεια, κάντε κλικ στο κουμπί Είσοδος.

      4. Εάν ο οργανισμός σας έχει ρυθμίσει έλεγχο ταυτότητας πολλών παραγόντων Azure για συμμετοχή σε συσκευές με Azure AD, παρέχουν το δεύτερο συντελεστή, πριν να συνεχίσετε.

      5. Επαλήθευση ότι οι πληροφορίες που εμφανίζονται είναι σωστές και, στη συνέχεια, κάντε κλικ στο κουμπί σύνδεση. Πρέπει να εμφανιστεί το ακόλουθο μήνυμα:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας