Utilisation du module PowerShell WHfBTools pour nettoyer les clés orphelines de Windows Hello Entreprise

Installation du module PowerShell WHfBTools

Installation via PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Ou installation à l'aide d'un téléchargement provenant de la galerie PowerShell

1. Accédez à https://www.powershellgallery.com/packages/WHfBTools

2. Téléchargez le fichier .nupkg brut dans un dossier local et renommez-le avec l'extension .zip

3. Extrayez le contenu dans un dossier local, par exemple C:\ADV190026

Démarrez PowerShell, copiez et exécutez les commandes suivantes :

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

Installation des dépendances pour l'utilisation du module WHfBTools

Si vous interrogez Azure Active Directory pour les clés orphelines, installez le module MSAL.PS PowerShell

Installation via PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Ou installez-le depuis un téléchargement provenant de la galerie PowerShell

1. Accédez à https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

2. Téléchargez le fichier .nupkg brut dans un dossier local et renommez-le avec l'extension .zip

3. Extrayez le contenu dans un dossier local, par exemple C:\MSAL.PS

Démarrez PowerShell, copiez et exécutez les commandes suivantes :

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Si vous interrogez Active Directory pour les clés orphelines, installez les outils d'administration de serveur distant (RSAT) : Outils des services AD DS (Active Directory Domain Services) et AD LDS (Active Directory Lightweight Directory Services)

Installation via Paramètres (Windows 10, version 1809 ou plus récente)

1. Accédez à Paramètres -> Applications -> Fonctionnalités facultatives -> Ajouter une fonctionnalité

2. Sélectionnez RSAT : Outils des services AD DS (Active Directory Domain Services) et AD LDS (Active Directory Lightweight Directory Services)

3. Sélectionnez Installation

Ou Installation via PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Ou installation via un téléchargement

1. Accédez à https://www.microsoft.com/fr-fr/download/details.aspx?id=45520 (lien Windows 10)

2. Téléchargez le programme d'insallation Outils d'administration de serveur distant pour Windows 10

3. Une fois le téléchargement terminé, lancez le programme d'installation

Demande de clés orphelines et de clés affectées par la vulnérabilité CVE-2017-15361, également appelée « attaque ROCA (Return of Coppersmith's Attack) »

Rechercher des clés dans Azure Active Directory via la commande suivante :

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Cette commande interrogera le locataire « contoso.com » à la recherche de toutes les clés publiques Windows Hello Entreprise enregistrées et transmettra cette information à C:\AzureKeys.csv. Remplacez contoso.com par le nom de votre locataire pour l'interroger.

La sortie Csv, AzureKeys.csv, fournit les informations suivantes pour chaque clé :

• Nom principal de l'utilisateur

• Locataire

• Utilisation

• ID de la clé :

• Heure de création

• Statut orphelin

• Prend en charge les notifications d'état

• État de vulnérabilité à ROCA

Get-AzureADWHfBKeys produira également un résumé des clés qui ont été interrogées. Ce résumé fournit les informations suivantes :

• Nombre d'utilisateurs scannés

• Nombre de clés numérisées

• Nombre d'utilisateurs avec des clés

• Nombre de clés vulnérables à ROCA

RemarqueIl peut y avoir des dispositifs obsolètes dans votre locataire Azure AD, éventuellement associées à des clés Windows Hello Entreprise. Ces clés ne seront pas déclarées orphelines, même lorsque ces dispositifs ne sont pas actifs. Nous vous recommandons de suivre cette Procédure : Gérez les périphériques obsolètes dans Azure AD pour nettoyer les périphériques obsolètes avant de rechercher les clés orphelines.

Recherchez les clés dans Active Directory via la commande suivante :

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Cette commande interrogera le domaine « contoso » pour toutes les clés publiques Windows Hello Entreprise enregistrées et transmettra ces informations à C:\ADKeys.csv. Remplacez contoso par votre nom de domaine pour interroger votre domaine.

La sortie Csv, ADKeys.csv, contiendra les informations suivantes pour chaque clé :

• Le domaine de l'utilisateur

• Le nom SAM du compte utilisateur

• Le nom unique de l'utilisateur

• La version de la clé

• ID de la clé :

• Heure de création

• Les éléments de la clé

• La source de la clé

• L'utilisation de la clé

• L'ID de périphérique de la clé

• L'horodatage approximatif de la dernière identification

• Heure de création

• Les informations de clé personnalisées

• KeyLinkTargetDN

• Statut orphelin

• État de vulnérabilité à ROCA

• KeyRawLDAPValue

Get-ADWHfBKeys produira également un résumé des clés interrogées. Ce résumé fournit les informations suivantes :

• Nombre d'utilisateurs scannés

• Nombre d'utilisateurs avec des clés

• Nombre de clés numérisées

• Nombre de clés vulnérables à ROCA

• Nombre de clés orphelines (si -SkipCheckForOrphanedKeys n'est pas spécifié)

Remarque : Si vous disposez d'un environnement hybride avec des appareils joints à Azure AD et si vous exécutez la commande "Get-ADWHfBKeys" dans votre domaine local, il se peut que le nombre de clés orphelines ne soit pas exact. Cela s'explique par le fait que les appareils joints à Azure AD ne sont pas présents dans Active Directory. Par conséquent, les clés associées aux appareils joints à Azure AD peuvent apparaître comme orphelines.

Supprimez les clés orphelines et vulnérables à ROCA du répertoire

Supprimez les clés dans Azure Active Directory en suivant ces étapes :

1. Filtrez les colonnes Orphaned (orphelines) et RocaVulnerable (vulnérables à Roca) de AzureKeys.csvsur True (Vrai)

2. Copiez les résultats filtrés dans un nouveau fichier, C:\ROCAKeys.csv

3. Exécutez la commande suivante pour supprimer les clés :

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKeys -Tenant contoso.com -Logging

Cette commande importe la liste des clés orphelines et vulnérables à ROCA, puis les retire du locataire contoso.com. Remplacez contoso.com par le nom de votre locataire pour en supprimer les clés.

R Remarque Si vous supprimez les clés WHfB vulnérables à ROCA qui ne sont pas encore orphelines, cela risque de perturber vos utilisateurs. Vous devez vous assurer que ces clés sont orphelines avant de les retirer du répertoire.

Supprimez les clés d'Active Directory en procédant comme suit:

Remarque La suppression de clés orphelines d'Active Directory dans des environnements hybrides entraînera une nouvelle création des clés dans le cadre du processus de synchronisation Azure AD Connect. Si vous êtes dans un environnement hybride, supprimez uniquement les clés d'Azure AD

1. Filtrez les colonnes OrphanedKet et ROCAVulnerable sur ADKeys.csv True

2. Copiez les résultats filtrés dans un nouveau fichier, C:\ROCAKeys.csv

3. Exécutez la commande suivante pour supprimer les clés :

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKeys -Logging

Cette commande permet d'importer la liste des clés orphelines et vulnérables à ROCA, puis de les supprimer de votre domaine. 

Remarque Si vous supprimez les clés WHfB vulnérables à ROCA qui ne sont pas encore orphelines, cela risque de perturber vos utilisateurs. Vous devez vous assurer que ces clés sont orphelines avant de les retirer du répertoire.