Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

Resumen

Para ayudar a los clientes a identificar claves huérfanas de Windows Hello para empresas (WHfB) afectadas por una vulnerabilidad de TPM, Microsoft publicó un módulo de PowerShell que pueden ejecutar los administradores. En este artículo se explica cómo abordar el problema que se describe en ADV190026 | "Asistencia de Microsoft para limpiar claves huérfanas que se generan en TPM y se usan para Windows Hello para empresas".

Nota importante Antes de utilizar WHfBTools para quitar las claves huérfanas, se deben seguir las instrucciones de ADV170012 para actualizar el firmware de los TPM vulnerables. Si no se siguen estas instrucciones, las nuevas claves de Windows Hello para empresas generadas en un dispositivo con firmware que no se haya actualizado seguirán estando afectadas por CVE-2017-15361 (ROCA).

Cómo instalar el módulo WHfBTools de PowerShell

Instale el módulo mediante la ejecución de los siguientes comandos:

Instalación del módulo WHfBTools de PowerShell

Instale el módulo mediante PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

O bien, instale el módulo descargándolo de la Galería de PowerShell

  1. Diríjase a https://www.powershellgallery.com/packages/WHfBTools

  2. Descargue el archivo .nupkg sin procesar en una carpeta local y cambie la extensión a .zip

  3. Extraiga el contenido en una carpeta local, por ejemplo, C:\ADV190026

 

Tras iniciar PowerShell, copie y ejecute los siguientes comandos:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

Instale las dependencias para el uso del módulo:

Instalación de las dependencias para el uso del módulo WHfBTools

Si está consultando las claves huérfanas de Azure Active Directory, instale el módulo de PowerShell MSAL.PS

Instale el módulo mediante PowerShell

-Name MSAL.PS -RequiredVersion 4.5.1.1 -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

O bien, instale el módulo descargándolo de la Galería de PowerShell

  1. Diríjase a https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

  2. Descargue el archivo .nupkg sin procesar en una carpeta local y cambie la extensión a .zip

  3. Extraiga el contenido en una carpeta local, por ejemplo, C:\MSAL.PS

Tras iniciar PowerShell, copie y ejecute los siguientes comandos:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Si está consultando las claves huérfanas de Active Directory, instale las Herramientas de administrador del servidor remoto (RSAT): herramientas de Active Directory Domain Services y Lightweight Directory Services

Instalación a través de Configuración (Windows 10, versión 1809 o posterior)

  1. Diríjase a Configuración -> Aplicaciones -> Características opcionales -> Agregar una característica

  2. Seleccione RSAT: herramientas de Active Directory Domain Services y Lightweight Directory Services

  3. Seleccione Instalar

O bien, instale las herramientas mediante PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

O bien, instálelas mediante descarga

  1. Diríjase a https://www.microsoft.com/es-es/download/details.aspx?id=45520 (vínculo para Windows 10)

  2. Descargue las Herramientas de administración remota del servidor para Windows 10 Installer

  3. Inicie el instalador una vez completada la descarga

 

Ejecute el módulo WHfBTools de PowerShell

Si su entorno tiene dispositivos unidos a Azure Active Directory o a un entorno híbrido de Azure Active Directory, siga los pasos de Azure Active Directory para identificar y quitar las claves. Las eliminaciones de claves de Azure se sincronizarán con Active Directory mediante Azure AD Connect.

Si el entorno es solo local, siga los pasos de Active Directory para identificar y quitar las claves.

Consulta de claves huérfanas y de claves afectadas por CVE-2017-15361 (ROCA)

Consulte las claves en Azure Active Directory con el siguiente comando:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Este comando consultará en el inquilino "contoso.com" todas las claves públicas registradas de Windows Hello para empresas y transmitirá la información a C:\AzureKeys.csv. Reemplace contoso.com por el nombre del inquilino en cuestión para consultar sus claves.

El archivo csv resultante, AzureKeys.csv, contendrá la siguiente información de cada clave:

  • Nombre principal del usuario

  • Inquilino

  • Uso

  • Identificador de clave

  • Hora de creación

  • Estado huérfano

  • Admite notificación del estado

  • Estado de vulnerabilidad ROCA

Get-AzureADWHfBKeys también generará un resumen de las claves que se consultaron. Dicho resumen proporciona la siguiente información:

  • Número de usuarios examinados

  • Número de claves examinadas

  • Número de usuarios con claves

  • Número de claves vulnerables a ROCA

Nota Es posible que haya dispositivos obsoletos en el inquilino de Azure AD que estén asociados a claves de Windows Hello para empresas. Dichas claves no se notificarán como huérfanas aunque sus dispositivos no se utilicen activamente. Le recomendamos consultar Instrucciones: Administración de dispositivos obsoletos en Azure AD para limpiar los dispositivos obsoletos antes de consultar las claves huérfanas.

 

Consulte las claves de Active Directory mediante el siguiente comando:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Este comando consultará en el dominio "contoso" de todas las claves públicas registradas de Windows Hello para empresas y transmitirá esa información a C:\ADKeys.csv. Reemplace contoso por el nombre del dominio en cuestión para consultarlo.

El archivo csv resultante, ADKeys.csv, contendrá la siguiente información de cada clave:

  • Dominio del usuario

  • Nombre de cuenta SAM del usuario

  • Nombre distintivo del usuario

  • Versión de la clave

  • Identificador de clave

  • Hora de creación

  • Material de la clave

  • Origen de la clave

  • Uso de la clave

  • Identificador del dispositivo de la clave

  • Marca de tiempo aproximada del último inicio de sesión

  • Hora de creación

  • Información clave personalizada

  • KeyLinkTargetDN

  • Estado huérfano

  • Estado de vulnerabilidad ROCA

  • KeyRawLDAPValue

Get-ADWHfBKeys también generará un resumen de las claves que se consultaron. Dicho resumen proporciona la siguiente información:

  • Número de usuarios examinados

  • Número de usuarios con claves

  • Número de claves examinadas

  • Número de claves vulnerables a ROCA

  • Número de claves huérfanas (si -SkipCheckForOrphanedKeys no se especifica)

Nota: Si tiene un entorno híbrido con dispositivos unidos a Azure AD y ejecuta "Get-ADWHfBKeys" en el dominio local, es posible que el número de claves huérfanas detectadas no sea preciso. Esto se debe a que los dispositivos unidos a Azure AD no están presentes en Active Directory y a que las claves asociadas con los dispositivos unidos a Azure AD pueden aparecer como huérfanas.

 

Quitar del directorio las claves huérfanas y vulnerables a ROCA

Para quitar las claves de Azure Active Directory, siga los siguientes pasos:

  1. Filtre por Verdadero las columnas Orphaned y RocaVulnerable de AzureKeys.csv

  2. Copie los resultados filtrados en un nuevo archivo, C:\ROCAKeys.csv

  3. Para eliminar las claves, ejecute el siguiente comando:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKeys -Tenant contoso.com -Logging

Este comando importa la lista de claves huérfanas y vulnerables a ROCA y las quita del inquilino contoso.com. Reemplace contoso.com por el nombre del inquilino en cuestión para quitar sus claves.

N ota Si elimina las claves de Windows Hello para empresas vulnerables a ROCA que aún no están huérfanas, provocará una interrupción a los usuarios. Asegúrese de que estas claves estén huérfanas antes de quitarlas del directorio.

 

Para quitar las claves de Active Directory, siga los siguientes pasos:

Nota La eliminación de claves huérfanas de Active Directory en entornos híbridos dará como resultado que las claves se vuelvan a crear como parte del proceso de sincronización de Azure AD Connect. Si se encuentra en un entorno híbrido, elimine únicamente las claves de Azure AD

  1. Filtre por Verdadero las columnas OrphanedKey y ROCAVulnerable de ADKeys.csv

  2. Copie los resultados filtrados en un nuevo archivo, C:\ROCAKeys.csv

  3. Para eliminar las claves, ejecute el siguiente comando:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKeys -Logging

Este comando importa la lista de claves huérfanas y vulnerables a ROCA y las elimina del dominio. 

Nota Si elimina las claves de Windows Hello para empresas vulnerables a ROCA que aún no están huérfanas, provocará interrupciones a los usuarios. Asegúrese de que estas claves estén huérfanas antes de quitarlas del directorio.

 

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×