Χρήση της λειτουργικής μονάδας WHfBTools PowerShell για τον καθαρισμό ορφανών των Windows Hello για επιχειρηματικά κλειδιά

Εγκατάσταση της λειτουργικής μονάδας PowerShell WHfBTools

Εγκατάσταση μέσω PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Ή εγκατάσταση χρησιμοποιώντας μια λήψη από τη συλλογή PowerShell

1. Μετάβαση στο https://www.powershellgallery.com/packages/WHfBTools

2. Κατεβάστε το αρχείο RAW. νυμφκ σε έναν τοπικό φάκελο και μετονομάστε με την επέκταση. zip

3. Εξαγάγετε τα περιεχόμενα σε έναν τοπικό φάκελο, για παράδειγμα C:\ADV190026

Ξεκινήστε το PowerShell, αντιγράψτε και εκτελέστε τις ακόλουθες εντολές:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

Εγκατάσταση εξαρτήσεων για χρήση της λειτουργικής μονάδας WHfBTools

Εάν υποβάλλετε ερώτημα Azure Active Directory για ορφανά κλειδιά, εγκαταστήστε τη λειτουργική μονάδα MSAL.PS PowerShell

Εγκατάσταση μέσω PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Ή εγκατάσταση χρησιμοποιώντας μια λήψη από τη συλλογή PowerShell

1. Πηγαίνετε στο https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

2. Κατεβάστε το αρχείο RAW. νυμφκ σε έναν τοπικό φάκελο και μετονομάστε με την επέκταση. zip

3. Εξαγάγετε τα περιεχόμενα σε έναν τοπικό φάκελο, για παράδειγμα C:\MSAL.PS

Ξεκινήστε το PowerShell, αντιγράψτε και εκτελέστε τις ακόλουθες εντολές:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Εάν υποβάλλετε ερώτημα στην υπηρεσία καταλόγου Active Directory για ορφανά κλειδιά, εγκαταστήστε τα εργαλεία διαχειριστή απομακρυσμένου διακομιστή (RSAT): υπηρεσίες τομέα Active Directory και ελαφριά εργαλεία υπηρεσιών καταλόγου

Εγκατάσταση μέσω ρυθμίσεων (Windows 10, έκδοση 1809 ή νεότερη)

1. Μεταβείτε στις ρυθμίσεις-> Εφαρμογές-> προαιρετικές δυνατότητες-> Προσθήκη μιας δυνατότητας

2. Επιλέξτε RSAT: υπηρεσίες τομέα Active Directory και ελαφριά εργαλεία υπηρεσιών καταλόγου

3. Επιλέξτε εγκατάσταση

Ή εγκατάσταση μέσω PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Ή εγκατάσταση μέσω λήψης

1. Μετάβαση στο https://www.Microsoft.com/en-US/Download/Details.aspx?id=45520 (σύνδεση Windows 10)

2. Λήψη των εργαλείων διαχείρισης απομακρυσμένου διακομιστή για Windows 10 Installer

3. Εκκινήστε το πρόγραμμα εγκατάστασης μόλις ολοκληρωθεί η λήψη

Ερώτημα για ορφανά κλειδιά και κλειδιά που επηρεάζονται από CVE-2017-15361 (Roca)

Ερώτημα για τα κλειδιά στο Azure Active Directory χρησιμοποιώντας την ακόλουθη εντολή:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Αυτή η εντολή θα υποβάλει ερώτημα στο "contoso.com"μισθωτών για όλα τα καταχωρημένα Windows Hello για επαγγελματική δημόσια κλειδιά και θα εξαγάγετε αυτές τις πληροφορίες για ναC:\AzureKeys.csv. Αντικαταστήσειcontoso.comμε το όνομα μισθωτή σας για να υποβάλετε ερώτημα στον μισθωτή σας.

Η έξοδος CSV,AzureKeys.csv, θα περιέχει τις ακόλουθες πληροφορίες για κάθε κλειδί:

• Κύριο όνομα χρήστη

• Μισθωτών

• Χρήση

• Αναγνωριστικό κλειδιού

• Χρόνος δημιουργίας

• Κατάσταση ορφανού

• Υποστηρίζει κατάσταση ειδοποίησης

• Κατάσταση ευπάθειας ROCA

Get-AzureADWHfBKeysθα εξαχθούν επίσης μια σύνοψη των κλειδιών που είχαν γίνει ερώτημα. Αυτή η σύνοψη παρέχει τις ακόλουθες πληροφορίες:

• Αριθμός χρηστών που έχουν σαρωθεί

• Αριθμός πλήκτρων που σαρώθηκαν

• Αριθμός χρηστών με κλειδιά

• Αριθμός ευάλωτων κλειδιών της ROCA

Σημείωση Ενδέχεται να υπάρχουν παλιές συσκευές στο μισθωτή Azure AD με Windows Hello για επιχειρηματικά κλειδιά που συσχετίζονται με αυτά. Αυτά τα κλειδιά δεν θα αναφερθούν ως ορφανά, ακόμα και αν αυτές οι συσκευές δεν χρησιμοποιούνται ενεργά. Συνιστούμε να ακολουθείτε Πώς να: διαχειριστείτε παλιές συσκευές στο Azure AD για να καθαρίσετε τις παλιές συσκευές πριν από την υποβολή ερωτημάτων για ορφανά κλειδιά.

Ερώτημα για τα κλειδιά στην υπηρεσία καταλόγου Active Directory χρησιμοποιώντας την ακόλουθη εντολή:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Αυτή η εντολή θα υποβάλει ερώτημα στο "contoso"τομέα για όλα τα καταχωρημένα Windows Hello για Business δημόσια κλειδιά και θα εξαγάγετε αυτές τις πληροφορίες σεC:\ADKeys.csv. Αντικαταστήσειcontoso με το όνομα domain σας για να υποβάλετε ερώτημα στον τομέα σας.

Η έξοδος CSV,ADKeys.csv, θα περιέχει τις ακόλουθες πληροφορίες για κάθε κλειδί:

• Τομέας χρήστη

• Όνομα λογαριασμού SAM χρήστη

• Αποκλειστικό όνομα χρήστη

• Έκδοση κλειδιού

• Αναγνωριστικό κλειδιού

• Χρόνος δημιουργίας

• Βασικό υλικό

• Πηγή κλειδιού

• Χρήση κλειδιού

• Αναγνωριστικό συσκευής κλειδιού

• Χρονική σήμανση τελευταίας σύνδεσης κατά προσέγγιση

• Χρόνος δημιουργίας

• Πληροφορίες προσαρμοσμένου κλειδιού

• Κλειδί Σύνδεσηςστόχων

• Κατάσταση ορφανού

• Κατάσταση ευπάθειας ROCA

• Τιμή πληκτρολογίου

Get-ADWHfBKeysθα εξαχθούν επίσης μια σύνοψη των κλειδιών που είχαν γίνει ερώτημα. Αυτή η σύνοψη παρέχει τις ακόλουθες πληροφορίες:

• Αριθμός χρηστών που έχουν σαρωθεί

• Αριθμός χρηστών με κλειδιά

• Αριθμός πλήκτρων που σαρώθηκαν

• Αριθμός ευάλωτων κλειδιών της ROCA

• Αριθμός ορφανών κλειδιών (IF-SkipCheckForOrphanedKeys δεν καθορίστηκε)

Σημείωση: Εάν έχετε ένα περιβάλλον υβριδική με Azure AD ενωμένα συσκευές και να εκτελέσετε "λήψη-ADWHfBKeys" στον τομέα εσωτερικής εγκατάστασης, ο αριθμός των ορφανών κλειδιών μπορεί να μην είναι ακριβής. Αυτό συμβαίνει επειδή οι συνδεδεμένες συσκευές Azure AD δεν υπάρχουν στην υπηρεσία καταλόγου Active Directory και τα κλειδιά που συσχετίζονται με συνδεδεμένες συσκευές Azure AD ενδέχεται να εμφανίζονται ως ορφανές.

Κατάργηση ορφανών, ευάλωτα κλειδιά Roca από τον κατάλογο

Καταργήστε τα κλειδιά στην υπηρεσία καταλόγου Active Directory Azure ακολουθώντας τα ακόλουθα βήματα:

1. Φιλτράρετε τις στήλες ορφανών καιAzureKeys.csvσε True

2. Αντιγράψτε τα φιλτραρισμένα αποτελέσματα σε ένα νέο αρχείο,C:\ROCAKeys.csv

3. Εκτελέστε την ακόλουθη εντολή για να διαγράψετε τα κλειδιά:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Αυτή η εντολή εισάγει τη λίστα ορφανών, ευάλωτων κλειδιών ROCA και τα καταργεί από τοcontoso.comΜισθωτών. Αντικαταστήσειcontoso.com με το όνομα του μισθωτή σας για να καταργήσετε κλειδιά από τον μισθωτή σας.

N OTE Εάν διαγράψετε Roca ευάλωτα πλήκτρα WHFB που δεν είναι ορφανά ακόμα, θα προκαλέσει διαταραχή στους χρήστες σας. Θα πρέπει να διασφαλίσετε ότι αυτά τα κλειδιά είναι ορφανά πριν από την κατάργησή τους από τον κατάλογο.

Καταργήστε τα κλειδιά στην υπηρεσία καταλόγου Active Directory ακολουθώντας τα παρακάτω βήματα:

Σημείωση Κατάργηση ορφανών κλειδιών από την υπηρεσία καταλόγου Active Directory σε υβριδική περιβάλλοντα θα έχει ως αποτέλεσμα τα κλειδιά που δημιουργείται εκ νέου ως μέρος της διαδικασίας συγχρονισμού σύνδεση Azure διαφήμισης. Εάν βρίσκεστε σε περιβάλλον υβριδική, καταργήστε τα κλειδιά μόνο από το Azure AD

1. Φιλτράρετε τις στήλες OrphanedKEY καιADKeys.csv σε True

2. Αντιγράψτε τα φιλτραρισμένα αποτελέσματα σε ένα νέο αρχείο,C:\ROCAKeys.csv

3. Εκτελέστε την ακόλουθη εντολή για να διαγράψετε τα κλειδιά:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Αυτή η εντολή εισάγει τη λίστα ορφανών, ευάλωτων κλειδιών ROCA και τα καταργεί από τον τομέα σας.

Σημείωση Εάν διαγράψετε Roca ευάλωτα πλήκτρα WHFB που δεν είναι ορφανά ακόμα, θα προκαλέσει διαταραχή στους χρήστες σας. Θα πρέπει να διασφαλίσετε ότι αυτά τα κλειδιά είναι ορφανά πριν από την κατάργησή τους από τον κατάλογο.