Kokkuvõte
Aidata klientidel tuvastada orvuks Windows Hello Business (WHfB) võtmed, MÕJUTATUD TPM-i haavatavuse, Microsoft on avaldanud PowerShelli moodul, mida saab käivitada administraatorid. Selles artiklis selgitatakse, kuidas lahendada ADV190026 kirjeldatud probleemi | "Microsofti juhised puhastada orvuks võtmed loodud haavatavad TPMs ja kasutatakse Windows Hello Business."
Oluline Märkus Enne kasutades whfbtools eemaldada orvuks võtmed, juhiseid ADV170012 tuleks järgida uuendada püsivara mis tahes haavatavatele TPMS. Kui juhiseid ei järgita, mis tahes uus WHfB võtmed loodud seadmes püsivara, mis ei ole värskendatud endiselt mõjutab CVE-2017-15361 (Roca).
WHfBTools PowerShelli mooduli installimine
Installige moodul, käivitades järgmised käsud:
WHfBTools PowerShelli mooduli installimine |
Installi PowerShelli kaudu PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Või installimine PowerShelli galeriist allalaadimise abil
Käivitage PowerShelli, kopeerige ja käivitage järgmised käsud: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Installi sõltuvused mooduli kasutamisel:
Installimine sõltuvused WHfBTools mooduli abil |
Kui teil on päringu Azure Active Directory orvuks võtmed, installige MSAL.PS PowerShelli moodul Installi PowerShelli kaudu PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Või installige PowerShelli galeriist allalaadimise abil
Käivitage PowerShelli, kopeerige ja käivitage järgmised käsud: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Kui teil on päringu Active Directory orvuks võtmed, installige kaugserveri administraatori tööriistad (RSAT): Active Directory domeeniteenused ja Lightweight Directory Services tööriistad Install seadete kaudu (Windows 10, versioon 1809 või uuem)
Või installige PowerShelli kaudu PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Või paigaldada kaudu alla
|
Käivitage WHfBTools PowerShelli moodul
Kui teie keskkonnas on Azure Active Directory liitunud või hübriid Azure Active Directory liitunud seadmed, järgige Azure Active Directory samme, et tuvastada ja eemaldada võtmed. Azure ' i võti kolimine sünkroonib Active Directoryga Azure AD ühenduse kaudu.
Kui teie keskkonnas on ainult asutusesisese, järgige Active Directory samme, et tuvastada ja eemaldada võtmed.
Päringute orvuks võtmed ja võtmed mõjutatud CVE-2017-15361 (Roca) |
Päringu võtmed Azure Active Directory, kasutades järgmist käsku: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv See käsk annab päringu "contoso.com"rentniku kõigi registreeritud Windows Hello Business avaliku võtmed ja väljund seda teavetC:\AzureKeys.csv. Asendadacontoso.comoma rentniku nimi päringu oma rentniku. CSV väljund,AzureKeys.csvsisaldab iga võtme kohta järgmist teavet:
Get-AzureADWHfBKeysannab ka kokkuvõtte võtmetest, millele esitati päring. Käesolev kokkuvõte sisaldab järgmist teavet:
Märkus Võib olla kehtetud seadmed Azure AD rentniku Windows Hello nendega seostatud Business võtmed. Need võtmed ei ole teatatud orvuks isegi juhul, kui neid seadmeid ei kasutata aktiivselt. Soovitame järgmist : hallata kehtetud seadmed AZURE ad puhastada aegunud seadmed enne päringute orvuks võtmed.
Päringu võtmed Active Directory, kasutades järgmist käsku: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv See käsk annab päringu "contoso"domeeni kõigi registreeritud Windows Hello Business avaliku võtmed ja väljund see teaveC:\ADKeys.csv. Asendadacontoso domeeninime päringu domeeni. CSV väljund,ADKeys.csvsisaldab iga võtme kohta järgmist teavet:
Get-ADWHfBKeysannab ka kokkuvõtte võtmetest, millele esitati päring. Käesolev kokkuvõte sisaldab järgmist teavet:
Märkus: Kui teil on hübriid keskkonnas Azure AD liitunud seadmete ja käivitage "Get-ADWHfBKeys" asutusesisese domeeni, orvuks võtmete arv ei pruugi olla täpne. Seda sellepärast, et Azure AD liitunud seadmed ei esine Active Directory ja Azure AD liitunud seadmetega seotud võtmed võidakse kuvada orvuks. |
Eemalda orvuks, Roca haavatavad võtmed kataloogist |
Eemaldage võtmed Azure Active Directory abil toimige järgmiselt:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging See käsk impordib orvuks, ROCA haavatavate võtmete nimekirja ja eemaldab needcontoso.comÜürnik. Asendadacontoso.com oma rentniku nimi eemaldada võtmed oma rentniku. N OTE kui kustutate Roca haavatavad whfb võtmed, mis ei ole orvuks veel, see põhjustab häireid oma kasutajatele. Veenduge, et need võtmed on orvuks enne eemaldamist kaustast.
Eemaldage võtmed Active Directory, kasutades järgmisi samme: Märkus eemaldamine orvuks võtmed Active Directory hübriid keskkondades tulemuseks on võtmed on taasluua osana Azure AD ühenduse sünkroonimise protsessi. Kui olete hübriid keskkonnas, eemaldage võtmed ainult Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging See käsk impordib orvuks, ROCA tundlike võtmete loendi ja eemaldab need teie domeenist. Märkus kui kustutate Roca haavatavad whfb võtmed, mis ei ole orvuks veel, see põhjustab häireid oma kasutajatele. Veenduge, et need võtmed on orvuks enne eemaldamist kaustast. |