Résumé
Pour aider les clients à identifier les clés Windows Hello Entreprise (WHfB) orphelines concernées par une vulnérabilité dans le module TPM, Microsoft a publié un module PowerShell qui peut être exécuté par les administrateurs. Cet article explique comment résoudre le problème décrit dans l'avis ADV190026 | « Instructions de Microsoft concernant le nettoyage des clés orphelines générées sur des modules TPM vulnérables et utilisées pour Windows Hello Entreprise ».
Remarque importante Avant d'utiliser WHfBTools pour supprimer les clés orphelines, les instructions de l'avis ADV170012 doivent être suivies pour mettre à jour le microprogramme de tous les modules de plateforme sécurisée (TPM) vulnérables. Si ces instructions ne sont pas suivies, toutes les nouvelles clés WHfB générées sur un appareil dont le microprogramme n'a pas été mis à jour seront toujours concernées par la vulnérabilité CVE-2017-15361 (ROCA).
Comment installer le module PowerShell WHfBTools
Installez le module en exécutant les commandes suivantes :
Installation du module PowerShell WHfBTools |
Installation via PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Ou installation à l'aide d'un téléchargement provenant de la galerie PowerShell
Démarrez PowerShell, copiez et exécutez les commandes suivantes : PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Installez les dépendances pour l'utilisation du module :
Installation des dépendances pour l'utilisation du module WHfBTools |
Si vous interrogez Azure Active Directory pour les clés orphelines, installez le module MSAL.PS PowerShell Installation via PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Ou installez-le depuis un téléchargement provenant de la galerie PowerShell
Démarrez PowerShell, copiez et exécutez les commandes suivantes : PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Si vous interrogez Active Directory pour les clés orphelines, installez les outils d'administration de serveur distant (RSAT) : Outils des services AD DS (Active Directory Domain Services) et AD LDS (Active Directory Lightweight Directory Services) Installation via Paramètres (Windows 10, version 1809 ou plus récente)
Ou Installation via PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Ou installation via un téléchargement
|
Exécutez le module PowerShell WHfBTools
Si Azure Active Directory est joint à votre environnement ou à vos appareils hybrides, suivez les étapes Azure Active Directory pour identifier et supprimer les clés. Les suppressions de clés dans Azure se synchroniseront avec Active Directory via Azure AD Connect.
Si votre environnement n'est disponible qu'en mode local, suivez les étapes Active Directory pour identifier et supprimer les clés.
Demande de clés orphelines et de clés affectées par la vulnérabilité CVE-2017-15361, également appelée « attaque ROCA (Return of Coppersmith's Attack) » |
Rechercher des clés dans Azure Active Directory via la commande suivante : PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Cette commande interrogera le locataire « contoso.com » à la recherche de toutes les clés publiques Windows Hello Entreprise enregistrées et transmettra cette information à C:\AzureKeys.csv. Remplacez contoso.com par le nom de votre locataire pour l'interroger. La sortie Csv, AzureKeys.csv, fournit les informations suivantes pour chaque clé :
Get-AzureADWHfBKeys produira également un résumé des clés qui ont été interrogées. Ce résumé fournit les informations suivantes :
RemarqueIl peut y avoir des dispositifs obsolètes dans votre locataire Azure AD, éventuellement associées à des clés Windows Hello Entreprise. Ces clés ne seront pas déclarées orphelines, même lorsque ces dispositifs ne sont pas actifs. Nous vous recommandons de suivre cette Procédure : Gérez les périphériques obsolètes dans Azure AD pour nettoyer les périphériques obsolètes avant de rechercher les clés orphelines.
Recherchez les clés dans Active Directory via la commande suivante : PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Cette commande interrogera le domaine « contoso » pour toutes les clés publiques Windows Hello Entreprise enregistrées et transmettra ces informations à C:\ADKeys.csv. Remplacez contoso par votre nom de domaine pour interroger votre domaine. La sortie Csv, ADKeys.csv, contiendra les informations suivantes pour chaque clé :
Get-ADWHfBKeys produira également un résumé des clés interrogées. Ce résumé fournit les informations suivantes :
Remarque : Si vous disposez d'un environnement hybride avec des appareils joints à Azure AD et si vous exécutez la commande "Get-ADWHfBKeys" dans votre domaine local, il se peut que le nombre de clés orphelines ne soit pas exact. Cela s'explique par le fait que les appareils joints à Azure AD ne sont pas présents dans Active Directory. Par conséquent, les clés associées aux appareils joints à Azure AD peuvent apparaître comme orphelines. |
Supprimez les clés orphelines et vulnérables à ROCA du répertoire |
Supprimez les clés dans Azure Active Directory en suivant ces étapes :
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKeys -Tenant contoso.com -Logging Cette commande importe la liste des clés orphelines et vulnérables à ROCA, puis les retire du locataire contoso.com. Remplacez contoso.com par le nom de votre locataire pour en supprimer les clés. R Remarque Si vous supprimez les clés WHfB vulnérables à ROCA qui ne sont pas encore orphelines, cela risque de perturber vos utilisateurs. Vous devez vous assurer que ces clés sont orphelines avant de les retirer du répertoire.
Supprimez les clés d'Active Directory en procédant comme suit: Remarque La suppression de clés orphelines d'Active Directory dans des environnements hybrides entraînera une nouvelle création des clés dans le cadre du processus de synchronisation Azure AD Connect. Si vous êtes dans un environnement hybride, supprimez uniquement les clés d'Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKeys -Logging Cette commande permet d'importer la liste des clés orphelines et vulnérables à ROCA, puis de les supprimer de votre domaine. Remarque Si vous supprimez les clés WHfB vulnérables à ROCA qui ne sont pas encore orphelines, cela risque de perturber vos utilisateurs. Vous devez vous assurer que ces clés sont orphelines avant de les retirer du répertoire. |