Applies ToWindows Server 2019, all editions Windows Server 2016, all editions

סיכום

כדי לסייע ללקוחות לזהות מפתחות יתומים שלום לעסקים (WHfB) מושפעים מפגיעות TPM, פרסמה Microsoft מודול PowerShell שניתן להפעיל על-ידי מנהלי מערכת. מאמר זה מסביר כיצד לטפל בבעיה המתוארת בADV190026 | "הדרכה של Microsoft לניקוי מפתחות יתומים שנוצרו על גבי טרום-וסתית ושימוש עבור Windows שלום לעסקים."

הערה חשובה לפני שימוש ב-whfbtools כדי להסיר מפתחות יתומים, יש לעקוב אחר ההדרכה ב- ADV170012 כדי לעדכן את הקושחה של כל מקדם-התסמונת הפגיע. אם לא מעקב אחר הנחיה זו, כל מפתחות WHfB חדשים שנוצרו בהתקן עם קושחה שלא עודכנו עדיין יושפעו על-ידי CVE-2017-15361 (ROCA).

כיצד להתקין את המודול מודול הכלים PowerShell

התקן את המודול על-ידי הפעלת הפקודות הבאות:

התקנת WHfBTools מודול PowerShell

התקן באמצעות PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

או התקנה באמצעות הורדה מגלריית PowerShell

  1. עבור אל https://www.powershellgallery.com/packages/WHfBTools

  2. הורד את הקובץ הגולמי לתיקיה מקומית ושנה את שמו עם סיומת ה-. zip

  3. חלץ את התוכן לתיקיה מקומית, לדוגמה C:\ADV190026

 

הפעל PowerShell, להעתיק ולהפעיל את הפקודות הבאות:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

התקן יחסי תלות עבור שימוש במודול:

התקנת יחסי תלות עבור שימוש במודול ' WHfBTools '

אם אתה מבצע שאילתה על השירות התכלת הספריה עבור מפתחות יתומים, התקן את מודול MSAL.PS PowerShell

התקן באמצעות PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

או להתקין באמצעות הורדה מגלריית PowerShell

  1. עבור אל https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

  2. הורד את הקובץ הגולמי לתיקיה מקומית ושנה את שמו עם סיומת ה-. zip

  3. חלץ את התוכן לתיקיה מקומית, לדוגמה C:\MSAL.PS

הפעל PowerShell, להעתיק ולהפעיל את הפקודות הבאות:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

אם אתה מבצע שאילתה על Active Directory עבור מפתחות יתומים, התקן את כלי מנהל השרת המרוחק (RSAT): שירותי תחום של Active Directory ושירותי מדריך כלים קלים

התקן באמצעות הגדרות (Windows 10, גירסה 1809 או מאוחר יותר)

  1. עבור אל הגדרות-> Apps-> תכונות אופציונליות-> הוספת תכונה

  2. בחר RSAT: שירותי תחום של Active Directory ושירותי מדריך כלים קלים

  3. בחרו ' התקן '

או התקנה באמצעות PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

או להתקין באמצעות הורדה

  1. עבור אל https://www.microsoft.com/download/details.aspx?id=45520 (Windows 10 קישור)

  2. הורד את כלי ניהול השרתים המרוחקים עבור Windows 10 מתקין

  3. הפעל את תוכנית ההתקנה לאחר השלמת ההורדה

 

הפעל את המודול מודול הכלים PowerShell

אם הסביבה שלך מצטרפת התקנים היברידית של התכלת ההיברידית והיברידי, פעל בעקבות השלבים של המדריך הפעיל לזיהוי והסרה של מפתחות. הסרת המפתח בתכלת תסונכרן ל-Active Directory באמצעות התחברות באמצעות התכלת AD.

אם הסביבה שלך מקומית בלבד, בצע את השלבים של Active Directory כדי לזהות ולהסיר מפתחות.

ביצוע שאילתות על מפתחות יתומים ומפתחות המושפעים מפגיעות CVE-2017-15361 (ROCA)

באמצעות הפקודה הבאה, יש לבצע שאילתה עבור מפתחות בספריה ' פעיל ':

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

פקודה זו תעשה שאילתה על "contoso.com"דייר עבור כל שלום רשומים של Windows עבור מפתחות ציבוריים העסק יהיה פלט את המידע כדי לC:\AzureKeys.csv. החליףcontoso.comעם שם הדייר שלך כדי לבצע שאילתה הדייר שלך.

הפלט בתבנית Csv,AzureKeys.csv, יכיל את המידע הבא עבור כל מפתח:

  • שם המנהל של המשתמש

  • דייר

  • שימוש

  • מזהה מפתח

  • זמן יצירה

  • סטטוס יתום

  • תמיכה במצב דיווח

  • מצב הפגיעות של ROCA

Get-AzureADWHfBKeysגם יפלט סיכום של המקשים שעליהם שאילתות. סיכום זה מספק את המידע הבא:

  • מספר המשתמשים שנסרקו

  • מספר המקשים שנסרקו

  • מספר משתמשים בעלי מפתחות

  • מספר המפתחות הפגיעים של ROCA

שים לב ייתכנו מכשירים ישנים בדייר שלך לספירה עם Windows שלום עבור מפתחות עסקיים המשויכים אליהם. מפתחות אלה לא ידווחו כיתומים אף על פי שהתקנים אלה אינם בשימוש פעיל. אנו ממליצים לבצע את הפעולות הבאות : ניהול התקנים ישנים בתכלת AD כדי לנקות התקנים ישנים לפני שאילתות על מפתחות יתומים.

 

שאילתה עבור מפתחות ב-Active Directory באמצעות הפקודה הבאה:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

פקודה זו תעשה שאילתה על "contoso"קבוצת מחשבים עבור כל המידע הרשום של Windows עבור מפתחות ציבוריים והוא פלט מידע זה כדי לC:\ADKeys.csv. החליףcontoso עם שם התחום שלך כדי לבצע שאילתה על התחום שלך.

הפלט בתבנית Csv,ADKeys.csv, יכיל את המידע הבא עבור כל מפתח:

  • תחום משתמש

  • שם חשבון SAM של משתמש

  • שם ייחודי למשתמש

  • גרסת מפתח

  • מזהה מפתח

  • זמן יצירה

  • חומר מפתח

  • מקור מפתח

  • שימוש במפתח

  • מזהה התקן מפתח

  • חותמת זמן של כניסה אחרונה משוערת

  • זמן יצירה

  • מידע מפתח מותאם אישית

  • KeyLinkTargetDN

  • סטטוס יתום

  • מצב הפגיעות של ROCA

  • ערך מקלדת

Get-ADWHfBKeysגם יפלט סיכום של המקשים שעליהם שאילתות. סיכום זה מספק את המידע הבא:

  • מספר המשתמשים שנסרקו

  • מספר משתמשים בעלי מפתחות

  • מספר המקשים שנסרקו

  • מספר המפתחות הפגיעים של ROCA

  • מספר המפתחות היתומים (אם בדיקות מפתחות יתומים לא צוינו)

הערה: אם יש לך סביבה היברידית עם התקנים כהים המצורפים ולהפעיל "קבל-ADWHfBKeys" בתחום המקומי שלך, ייתכן שמספר המפתחות היתומים לא יהיה מדויק. הסיבה לכך היא כי המכשירים המחוברים תכלת AD אינם נמצאים ב-Active Directory ומפתחות המשויכים התקנים תכלת AD המצורפים עשוי להופיע כיתומים.

 

הסר מהספריה את המפתחות הפגיעים של אורפנד לנד

הסרת מפתחות בתוך הספריה הפעילה באמצעות השלבים הבאים:

  1. סינון העמודות ' יתומים ' ו'rocaפגיעים ' שלAzureKeys.csvלאמת

  2. העתק את התוצאות המסוננות לקובץ חדש,C:\ROCAKeys.csv

  3. הפעל את הפקודה הבאה כדי למחוק מפתחות:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

פקודה זו מייבאת את רשימת המקשים הפגיעים של היתומים, ROCA ומסירה אותם מcontoso.comדייר. החליףcontoso.com עם שם הדייר שלך כדי להסיר מפתחות הדייר שלך.

N אם תמחק מקשים whfb פגיעים שאינם מתייייתמים עדיין, הוא יגרום להפרעה למשתמשים שלך. עליך לוודא שמפתחות אלה מתייתמים לפני הסרתם מהספריה.

 

הסר מפתחות ב-Active Directory באמצעות השלבים הבאים:

הערה הסרת מפתחות יתומים מ-Active Directory בסביבות היברידיות התוצאה של המפתחות הנוצרות מחדש כחלק מתהליך הסינכרון של התכלת. אם אתה נמצא בסביבה היברידית, להסיר מפתחות רק מ תכלת לספירה

  1. לסנן את בנות היתומים והעמודות החלשות שלADKeys.csv לאמת

  2. העתק את התוצאות המסוננות לקובץ חדש,C:\ROCAKeys.csv

  3. הפעל את הפקודה הבאה כדי למחוק מפתחות:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

פקודה זו מייבאת את רשימת המקשים הפגיעים של היתומים, ROCA ומסירה אותם מהתחום שלך.

הערה אם תמחק מקשים whfb פגיעים של ROCA שאינם מתייתמים עדיין, הדבר יגרום להפרעה למשתמשים שלך. עליך לוודא שמפתחות אלה מתייתמים לפני הסרתם מהספריה.

 

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.