Resumen
Para ayudar a los clientes a identificar claves huérfanas de Windows Hello para empresas (WHfB) afectadas por una vulnerabilidad de TPM, Microsoft publicó un módulo de PowerShell que pueden ejecutar los administradores. En este artículo se explica cómo abordar el problema que se describe en ADV190026 | "Asistencia de Microsoft para limpiar claves huérfanas que se generan en TPM y se usan para Windows Hello para empresas".
Nota importante Antes de utilizar WHfBTools para quitar las claves huérfanas, se deben seguir las instrucciones de ADV170012 para actualizar el firmware de los TPM vulnerables. Si no se siguen estas instrucciones, las nuevas claves de Windows Hello para empresas generadas en un dispositivo con firmware que no se haya actualizado seguirán estando afectadas por CVE-2017-15361 (ROCA).
Cómo instalar el módulo WHfBTools de PowerShell
Instale el módulo mediante la ejecución de los siguientes comandos:
Instalación del módulo WHfBTools de PowerShell |
Instale el módulo mediante PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools O bien, instale el módulo descargándolo de la Galería de PowerShell
Tras iniciar PowerShell, copie y ejecute los siguientes comandos: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Instale las dependencias para el uso del módulo:
Instalación de las dependencias para el uso del módulo WHfBTools |
Si está consultando las claves huérfanas de Azure Active Directory, instale el módulo de PowerShell MSAL.PS Instale el módulo mediante PowerShell -Name MSAL.PS -RequiredVersion 4.5.1.1 -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS O bien, instale el módulo descargándolo de la Galería de PowerShell
Tras iniciar PowerShell, copie y ejecute los siguientes comandos: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Si está consultando las claves huérfanas de Active Directory, instale las Herramientas de administrador del servidor remoto (RSAT): herramientas de Active Directory Domain Services y Lightweight Directory Services Instalación a través de Configuración (Windows 10, versión 1809 o posterior)
O bien, instale las herramientas mediante PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 O bien, instálelas mediante descarga
|
Ejecute el módulo WHfBTools de PowerShell
Si su entorno tiene dispositivos unidos a Azure Active Directory o a un entorno híbrido de Azure Active Directory, siga los pasos de Azure Active Directory para identificar y quitar las claves. Las eliminaciones de claves de Azure se sincronizarán con Active Directory mediante Azure AD Connect.
Si el entorno es solo local, siga los pasos de Active Directory para identificar y quitar las claves.
Consulta de claves huérfanas y de claves afectadas por CVE-2017-15361 (ROCA) |
Consulte las claves en Azure Active Directory con el siguiente comando: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Este comando consultará en el inquilino "contoso.com" todas las claves públicas registradas de Windows Hello para empresas y transmitirá la información a C:\AzureKeys.csv. Reemplace contoso.com por el nombre del inquilino en cuestión para consultar sus claves. El archivo csv resultante, AzureKeys.csv, contendrá la siguiente información de cada clave:
Get-AzureADWHfBKeys también generará un resumen de las claves que se consultaron. Dicho resumen proporciona la siguiente información:
Nota Es posible que haya dispositivos obsoletos en el inquilino de Azure AD que estén asociados a claves de Windows Hello para empresas. Dichas claves no se notificarán como huérfanas aunque sus dispositivos no se utilicen activamente. Le recomendamos consultar Instrucciones: Administración de dispositivos obsoletos en Azure AD para limpiar los dispositivos obsoletos antes de consultar las claves huérfanas.
Consulte las claves de Active Directory mediante el siguiente comando: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Este comando consultará en el dominio "contoso" de todas las claves públicas registradas de Windows Hello para empresas y transmitirá esa información a C:\ADKeys.csv. Reemplace contoso por el nombre del dominio en cuestión para consultarlo. El archivo csv resultante, ADKeys.csv, contendrá la siguiente información de cada clave:
Get-ADWHfBKeys también generará un resumen de las claves que se consultaron. Dicho resumen proporciona la siguiente información:
Nota: Si tiene un entorno híbrido con dispositivos unidos a Azure AD y ejecuta "Get-ADWHfBKeys" en el dominio local, es posible que el número de claves huérfanas detectadas no sea preciso. Esto se debe a que los dispositivos unidos a Azure AD no están presentes en Active Directory y a que las claves asociadas con los dispositivos unidos a Azure AD pueden aparecer como huérfanas. |
Quitar del directorio las claves huérfanas y vulnerables a ROCA |
Para quitar las claves de Azure Active Directory, siga los siguientes pasos:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKeys -Tenant contoso.com -Logging Este comando importa la lista de claves huérfanas y vulnerables a ROCA y las quita del inquilino contoso.com. Reemplace contoso.com por el nombre del inquilino en cuestión para quitar sus claves. N ota Si elimina las claves de Windows Hello para empresas vulnerables a ROCA que aún no están huérfanas, provocará una interrupción a los usuarios. Asegúrese de que estas claves estén huérfanas antes de quitarlas del directorio.
Para quitar las claves de Active Directory, siga los siguientes pasos: Nota La eliminación de claves huérfanas de Active Directory en entornos híbridos dará como resultado que las claves se vuelvan a crear como parte del proceso de sincronización de Azure AD Connect. Si se encuentra en un entorno híbrido, elimine únicamente las claves de Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKeys -Logging Este comando importa la lista de claves huérfanas y vulnerables a ROCA y las elimina del dominio. Nota Si elimina las claves de Windows Hello para empresas vulnerables a ROCA que aún no están huérfanas, provocará interrupciones a los usuarios. Asegúrese de que estas claves estén huérfanas antes de quitarlas del directorio. |