Σύνοψη
Για να βοηθήσετε τους πελάτες να προσδιορίσουν ορφανά Windows Hello για επαγγελματική (WHfB) κλειδιά που επηρεάζονται από ένα θέμα ΕΥΠΆΘΕΙΑς TPM, η Microsoft έχει δημοσιεύσει μια λειτουργική μονάδα PowerShell που μπορεί να εκτελεστεί από τους διαχειριστές. Αυτό το άρθρο εξηγεί τον τρόπο αντιμετώπισης του ζητήματος που περιγράφεται στο ADV190026 | "Οδηγίες της Microsoft για τον καθαρισμό ορφανών κλειδιών που δημιουργούνται σε ευάλωτα TPMs και χρησιμοποιούνται για το Windows Hello για επιχειρήσεις".
Σημαντική σημείωση Πριν από τη χρήση του whfbtools για την κατάργηση ορφανών κλειδιών, θα πρέπει να ακολουθείται η καθοδήγηση στο ADV170012 για την ενημέρωση του υλικολογισμικού οποιωνδήποτε ευάλωτων ΤΠΜ. Εάν δεν ακολουθείται αυτή η καθοδήγηση, οποιαδήποτε νέα πλήκτρα WHfB που δημιουργούνται σε μια συσκευή με υλικολογισμικό που δεν έχει ενημερωθεί θα εξακολουθούν να επηρεάζονται από CVE-2017-15361 (Roca).
Πώς να εγκαταστήσετε τη λειτουργική μονάδα PowerShell WHfBTools
Εγκαταστήστε τη λειτουργική μονάδα εκτελώντας τις ακόλουθες εντολές:
Εγκατάσταση της λειτουργικής μονάδας PowerShell WHfBTools |
Εγκατάσταση μέσω PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Ή εγκατάσταση χρησιμοποιώντας μια λήψη από τη συλλογή PowerShell
Ξεκινήστε το PowerShell, αντιγράψτε και εκτελέστε τις ακόλουθες εντολές: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Εγκατάσταση εξαρτήσεων για τη χρήση της λειτουργικής μονάδας:
Εγκατάσταση εξαρτήσεων για χρήση της λειτουργικής μονάδας WHfBTools |
Εάν υποβάλλετε ερώτημα Azure Active Directory για ορφανά κλειδιά, εγκαταστήστε τη λειτουργική μονάδα MSAL.PS PowerShell Εγκατάσταση μέσω PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Ή εγκατάσταση χρησιμοποιώντας μια λήψη από τη συλλογή PowerShell
Ξεκινήστε το PowerShell, αντιγράψτε και εκτελέστε τις ακόλουθες εντολές: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Εάν υποβάλλετε ερώτημα στην υπηρεσία καταλόγου Active Directory για ορφανά κλειδιά, εγκαταστήστε τα εργαλεία διαχειριστή απομακρυσμένου διακομιστή (RSAT): υπηρεσίες τομέα Active Directory και ελαφριά εργαλεία υπηρεσιών καταλόγου Εγκατάσταση μέσω ρυθμίσεων (Windows 10, έκδοση 1809 ή νεότερη)
Ή εγκατάσταση μέσω PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Ή εγκατάσταση μέσω λήψης
|
Εκτελέστε τη λειτουργική μονάδα PowerShell WHfBTools
Εάν το περιβάλλον σας έχει Azure Active Directory συνδεδεμένος ή υβριδική Azure Active Directory ενωμένα συσκευές, ακολουθήστε τα βήματα Azure Active Directory για να αναγνωρίσετε και να καταργήσετε τα κλειδιά. Οι μετακινήσεις κλειδιών στο Azure θα συγχρονιστούν στην υπηρεσία καταλόγου Active Directory μέσω σύνδεσης AD Azure.
Εάν το περιβάλλον σας είναι μόνο εσωτερικής εγκατάστασης, ακολουθήστε τα βήματα της υπηρεσίας καταλόγου Active Directory για να αναγνωρίσετε και να καταργήσετε κλειδιά.
Ερώτημα για ορφανά κλειδιά και κλειδιά που επηρεάζονται από CVE-2017-15361 (Roca) |
Ερώτημα για τα κλειδιά στο Azure Active Directory χρησιμοποιώντας την ακόλουθη εντολή: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Αυτή η εντολή θα υποβάλει ερώτημα στο "contoso.com"μισθωτών για όλα τα καταχωρημένα Windows Hello για επαγγελματική δημόσια κλειδιά και θα εξαγάγετε αυτές τις πληροφορίες για ναC:\AzureKeys.csv. Αντικαταστήσειcontoso.comμε το όνομα μισθωτή σας για να υποβάλετε ερώτημα στον μισθωτή σας. Η έξοδος CSV,AzureKeys.csv, θα περιέχει τις ακόλουθες πληροφορίες για κάθε κλειδί:
Get-AzureADWHfBKeysθα εξαχθούν επίσης μια σύνοψη των κλειδιών που είχαν γίνει ερώτημα. Αυτή η σύνοψη παρέχει τις ακόλουθες πληροφορίες:
Σημείωση Ενδέχεται να υπάρχουν παλιές συσκευές στο μισθωτή Azure AD με Windows Hello για επιχειρηματικά κλειδιά που συσχετίζονται με αυτά. Αυτά τα κλειδιά δεν θα αναφερθούν ως ορφανά, ακόμα και αν αυτές οι συσκευές δεν χρησιμοποιούνται ενεργά. Συνιστούμε να ακολουθείτε Πώς να: διαχειριστείτε παλιές συσκευές στο Azure AD για να καθαρίσετε τις παλιές συσκευές πριν από την υποβολή ερωτημάτων για ορφανά κλειδιά.
Ερώτημα για τα κλειδιά στην υπηρεσία καταλόγου Active Directory χρησιμοποιώντας την ακόλουθη εντολή: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Αυτή η εντολή θα υποβάλει ερώτημα στο "contoso"τομέα για όλα τα καταχωρημένα Windows Hello για Business δημόσια κλειδιά και θα εξαγάγετε αυτές τις πληροφορίες σεC:\ADKeys.csv. Αντικαταστήσειcontoso με το όνομα domain σας για να υποβάλετε ερώτημα στον τομέα σας. Η έξοδος CSV,ADKeys.csv, θα περιέχει τις ακόλουθες πληροφορίες για κάθε κλειδί:
Get-ADWHfBKeysθα εξαχθούν επίσης μια σύνοψη των κλειδιών που είχαν γίνει ερώτημα. Αυτή η σύνοψη παρέχει τις ακόλουθες πληροφορίες:
Σημείωση: Εάν έχετε ένα περιβάλλον υβριδική με Azure AD ενωμένα συσκευές και να εκτελέσετε "λήψη-ADWHfBKeys" στον τομέα εσωτερικής εγκατάστασης, ο αριθμός των ορφανών κλειδιών μπορεί να μην είναι ακριβής. Αυτό συμβαίνει επειδή οι συνδεδεμένες συσκευές Azure AD δεν υπάρχουν στην υπηρεσία καταλόγου Active Directory και τα κλειδιά που συσχετίζονται με συνδεδεμένες συσκευές Azure AD ενδέχεται να εμφανίζονται ως ορφανές. |
Κατάργηση ορφανών, ευάλωτα κλειδιά Roca από τον κατάλογο |
Καταργήστε τα κλειδιά στην υπηρεσία καταλόγου Active Directory Azure ακολουθώντας τα ακόλουθα βήματα:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Αυτή η εντολή εισάγει τη λίστα ορφανών, ευάλωτων κλειδιών ROCA και τα καταργεί από τοcontoso.comΜισθωτών. Αντικαταστήσειcontoso.com με το όνομα του μισθωτή σας για να καταργήσετε κλειδιά από τον μισθωτή σας. N OTE Εάν διαγράψετε Roca ευάλωτα πλήκτρα WHFB που δεν είναι ορφανά ακόμα, θα προκαλέσει διαταραχή στους χρήστες σας. Θα πρέπει να διασφαλίσετε ότι αυτά τα κλειδιά είναι ορφανά πριν από την κατάργησή τους από τον κατάλογο.
Καταργήστε τα κλειδιά στην υπηρεσία καταλόγου Active Directory ακολουθώντας τα παρακάτω βήματα: Σημείωση Κατάργηση ορφανών κλειδιών από την υπηρεσία καταλόγου Active Directory σε υβριδική περιβάλλοντα θα έχει ως αποτέλεσμα τα κλειδιά που δημιουργείται εκ νέου ως μέρος της διαδικασίας συγχρονισμού σύνδεση Azure διαφήμισης. Εάν βρίσκεστε σε περιβάλλον υβριδική, καταργήστε τα κλειδιά μόνο από το Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Αυτή η εντολή εισάγει τη λίστα ορφανών, ευάλωτων κλειδιών ROCA και τα καταργεί από τον τομέα σας. Σημείωση Εάν διαγράψετε Roca ευάλωτα πλήκτρα WHFB που δεν είναι ορφανά ακόμα, θα προκαλέσει διαταραχή στους χρήστες σας. Θα πρέπει να διασφαλίσετε ότι αυτά τα κλειδιά είναι ορφανά πριν από την κατάργησή τους από τον κατάλογο. |