WHfBTools PowerShelli moodul puhastamine orvuks Windows Hello Business Keys

Kokkuvõte

Aidata klientidel tuvastada orvuks Windows Hello Business (WHfB) võtmed, MÕJUTATUD TPM-i haavatavuse, Microsoft on avaldanud PowerShelli moodul, mida saab käivitada administraatorid. Selles artiklis selgitatakse, kuidas lahendada ADV190026 kirjeldatud probleemi | "Microsofti juhised puhastada orvuks võtmed loodud haavatavad TPMs ja kasutatakse Windows Hello Business."

Oluline Märkus Enne kasutades whfbtools eemaldada orvuks võtmed, juhiseid ADV170012 tuleks järgida uuendada püsivara mis tahes haavatavatele TPMS. Kui juhiseid ei järgita, mis tahes uus WHfB võtmed loodud seadmes püsivara, mis ei ole värskendatud endiselt mõjutab CVE-2017-15361 (Roca).

WHfBTools PowerShelli mooduli installimine

Installige moodul, käivitades järgmised käsud:

WHfBTools PowerShelli mooduli installimine

Installi PowerShelli kaudu

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Või installimine PowerShelli galeriist allalaadimise abil

  1. Minge jaotisse https://www.powershellgallery.com/packages/WHfBTools

  2. Laadige RAW. nupkg fail kohalikku kausta ja nimetage see ZIP-laiendiga ümber.

  3. Ekstraktige sisu kohalikku kausta, näiteks C:\ADV190026

 

Käivitage PowerShelli, kopeerige ja käivitage järgmised käsud:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

Installi sõltuvused mooduli kasutamisel:

Installimine sõltuvused WHfBTools mooduli abil

Kui teil on päringu Azure Active Directory orvuks võtmed, installige MSAL.PS PowerShelli moodul

Installi PowerShelli kaudu

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Või installige PowerShelli galeriist allalaadimise abil

  1. Minge jaotisse https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

  2. Laadige RAW. nupkg fail kohalikku kausta ja nimetage see ZIP-laiendiga ümber.

  3. Ekstraktige sisu kohalikku kausta, näiteks C:\MSAL.PS

Käivitage PowerShelli, kopeerige ja käivitage järgmised käsud:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Kui teil on päringu Active Directory orvuks võtmed, installige kaugserveri administraatori tööriistad (RSAT): Active Directory domeeniteenused ja Lightweight Directory Services tööriistad

Install seadete kaudu (Windows 10, versioon 1809 või uuem)

  1. Avage sätted-> Rakendused-> valikulised funktsioonid-> funktsiooni lisamine

  2. Valige RSAT: Active Directory domeeniteenused ja Lightweight Directory Services tööriistad

  3. Valige installi

Või installige PowerShelli kaudu

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Või paigaldada kaudu alla

  1. Minge jaotisse https://www.microsoft.com/en-us/Download/details.aspx?id=45520 (Windows 10 link)

  2. Kaugtöölaua serverihalduse tööriistade allalaadimine Windows 10 Installeri jaoks

  3. Käivita Installer, kui allalaadimine on lõpule jõudnud

 

Käivitage WHfBTools PowerShelli moodul

Kui teie keskkonnas on Azure Active Directory liitunud või hübriid Azure Active Directory liitunud seadmed, järgige Azure Active Directory samme, et tuvastada ja eemaldada võtmed. Azure ' i võti kolimine sünkroonib Active Directoryga Azure AD ühenduse kaudu.

Kui teie keskkonnas on ainult asutusesisese, järgige Active Directory samme, et tuvastada ja eemaldada võtmed.

Päringute orvuks võtmed ja võtmed mõjutatud CVE-2017-15361 (Roca)

Päringu võtmed Azure Active Directory, kasutades järgmist käsku:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

See käsk annab päringu "contoso.com"rentniku kõigi registreeritud Windows Hello Business avaliku võtmed ja väljund seda teavetC:\AzureKeys.csv. Asendadacontoso.comoma rentniku nimi päringu oma rentniku.

CSV väljund,AzureKeys.csvsisaldab iga võtme kohta järgmist teavet:

  • Kasutaja subjektinimi

  • Üürnik

  • Kasutamine

  • Võtme ID

  • Loomise aeg

  • Orvuks staatus

  • Toetab olekuteate olekut

  • ROCA haavatavuse olek

Get-AzureADWHfBKeysannab ka kokkuvõtte võtmetest, millele esitati päring. Käesolev kokkuvõte sisaldab järgmist teavet:

  • Kontrollitud kasutajate arv

  • Skannitud klahvide arv

  • Võtmete kasutajate arv

  • ROCA haavatavate võtmete arv

Märkus Võib olla kehtetud seadmed Azure AD rentniku Windows Hello nendega seostatud Business võtmed. Need võtmed ei ole teatatud orvuks isegi juhul, kui neid seadmeid ei kasutata aktiivselt. Soovitame järgmist : hallata kehtetud seadmed AZURE ad puhastada aegunud seadmed enne päringute orvuks võtmed.

 

Päringu võtmed Active Directory, kasutades järgmist käsku:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

See käsk annab päringu "contoso"domeeni kõigi registreeritud Windows Hello Business avaliku võtmed ja väljund see teaveC:\ADKeys.csv. Asendadacontoso domeeninime päringu domeeni.

CSV väljund,ADKeys.csvsisaldab iga võtme kohta järgmist teavet:

  • Kasutaja Domeen

  • Kasutaja SAM-konto nimi

  • Kasutaja Eraldusnimi

  • Võtme versioon

  • Võtme ID

  • Loomise aeg

  • Võtmematerjal

  • Võtme allikas

  • Võtme kasutamine

  • Võtme seadme ID

  • Viimane sisselogimise ajatempel ligikaudne

  • Loomise aeg

  • Kohandatud VÕTMETEAVE

  • "KeyLinkTargetDN"

  • Orvuks staatus

  • ROCA haavatavuse olek

  • KeyRawLDAPValue

Get-ADWHfBKeysannab ka kokkuvõtte võtmetest, millele esitati päring. Käesolev kokkuvõte sisaldab järgmist teavet:

  • Kontrollitud kasutajate arv

  • Võtmete kasutajate arv

  • Skannitud klahvide arv

  • ROCA haavatavate võtmete arv

  • Orvuks võtmete arv (kui-SkipCheckForOrphanedKeys pole määratud)

Märkus: Kui teil on hübriid keskkonnas Azure AD liitunud seadmete ja käivitage "Get-ADWHfBKeys" asutusesisese domeeni, orvuks võtmete arv ei pruugi olla täpne. Seda sellepärast, et Azure AD liitunud seadmed ei esine Active Directory ja Azure AD liitunud seadmetega seotud võtmed võidakse kuvada orvuks.

 

Eemalda orvuks, Roca haavatavad võtmed kataloogist

Eemaldage võtmed Azure Active Directory abil toimige järgmiselt:

  1. Filtreerige orvuks ja rocavulnerable veerudAzureKeys.csvtõsi

  2. Kopeerige filtreeritud tulemused uude faili,C:\ROCAKeys.csv

  3. Võtmete kustutamiseks käivitage järgmine käsk:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

See käsk impordib orvuks, ROCA haavatavate võtmete nimekirja ja eemaldab needcontoso.comÜürnik. Asendadacontoso.com oma rentniku nimi eemaldada võtmed oma rentniku.

N OTE kui kustutate Roca haavatavad whfb võtmed, mis ei ole orvuks veel, see põhjustab häireid oma kasutajatele. Veenduge, et need võtmed on orvuks enne eemaldamist kaustast.

 

Eemaldage võtmed Active Directory, kasutades järgmisi samme:

Märkus eemaldamine orvuks võtmed Active Directory hübriid keskkondades tulemuseks on võtmed on taasluua osana Azure AD ühenduse sünkroonimise protsessi. Kui olete hübriid keskkonnas, eemaldage võtmed ainult Azure AD

  1. Filtreerige orphanedkEY ja rocavulnerable veerudADKeys.csv tõsi

  2. Kopeerige filtreeritud tulemused uude faili,C:\ROCAKeys.csv

  3. Võtmete kustutamiseks käivitage järgmine käsk:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

See käsk impordib orvuks, ROCA tundlike võtmete loendi ja eemaldab need teie domeenist.

Märkus kui kustutate Roca haavatavad whfb võtmed, mis ei ole orvuks veel, see põhjustab häireid oma kasutajatele. Veenduge, et need võtmed on orvuks enne eemaldamist kaustast.

 

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×