סיכום
כדי לסייע ללקוחות לזהות מפתחות יתומים שלום לעסקים (WHfB) מושפעים מפגיעות TPM, פרסמה Microsoft מודול PowerShell שניתן להפעיל על-ידי מנהלי מערכת. מאמר זה מסביר כיצד לטפל בבעיה המתוארת בADV190026 | "הדרכה של Microsoft לניקוי מפתחות יתומים שנוצרו על גבי טרום-וסתית ושימוש עבור Windows שלום לעסקים."
הערה חשובה לפני שימוש ב-whfbtools כדי להסיר מפתחות יתומים, יש לעקוב אחר ההדרכה ב- ADV170012 כדי לעדכן את הקושחה של כל מקדם-התסמונת הפגיע. אם לא מעקב אחר הנחיה זו, כל מפתחות WHfB חדשים שנוצרו בהתקן עם קושחה שלא עודכנו עדיין יושפעו על-ידי CVE-2017-15361 (ROCA).
כיצד להתקין את המודול מודול הכלים PowerShell
התקן את המודול על-ידי הפעלת הפקודות הבאות:
התקנת WHfBTools מודול PowerShell |
התקן באמצעות PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools או התקנה באמצעות הורדה מגלריית PowerShell
הפעל PowerShell, להעתיק ולהפעיל את הפקודות הבאות: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
התקן יחסי תלות עבור שימוש במודול:
התקנת יחסי תלות עבור שימוש במודול ' WHfBTools ' |
אם אתה מבצע שאילתה על השירות התכלת הספריה עבור מפתחות יתומים, התקן את מודול MSAL.PS PowerShell התקן באמצעות PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS או להתקין באמצעות הורדה מגלריית PowerShell
הפעל PowerShell, להעתיק ולהפעיל את הפקודות הבאות: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 אם אתה מבצע שאילתה על Active Directory עבור מפתחות יתומים, התקן את כלי מנהל השרת המרוחק (RSAT): שירותי תחום של Active Directory ושירותי מדריך כלים קלים התקן באמצעות הגדרות (Windows 10, גירסה 1809 או מאוחר יותר)
או התקנה באמצעות PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 או להתקין באמצעות הורדה
|
הפעל את המודול מודול הכלים PowerShell
אם הסביבה שלך מצטרפת התקנים היברידית של התכלת ההיברידית והיברידי, פעל בעקבות השלבים של המדריך הפעיל לזיהוי והסרה של מפתחות. הסרת המפתח בתכלת תסונכרן ל-Active Directory באמצעות התחברות באמצעות התכלת AD.
אם הסביבה שלך מקומית בלבד, בצע את השלבים של Active Directory כדי לזהות ולהסיר מפתחות.
ביצוע שאילתות על מפתחות יתומים ומפתחות המושפעים מפגיעות CVE-2017-15361 (ROCA) |
באמצעות הפקודה הבאה, יש לבצע שאילתה עבור מפתחות בספריה ' פעיל ': PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv פקודה זו תעשה שאילתה על "contoso.com"דייר עבור כל שלום רשומים של Windows עבור מפתחות ציבוריים העסק יהיה פלט את המידע כדי לC:\AzureKeys.csv. החליףcontoso.comעם שם הדייר שלך כדי לבצע שאילתה הדייר שלך. הפלט בתבנית Csv,AzureKeys.csv, יכיל את המידע הבא עבור כל מפתח:
Get-AzureADWHfBKeysגם יפלט סיכום של המקשים שעליהם שאילתות. סיכום זה מספק את המידע הבא:
שים לב ייתכנו מכשירים ישנים בדייר שלך לספירה עם Windows שלום עבור מפתחות עסקיים המשויכים אליהם. מפתחות אלה לא ידווחו כיתומים אף על פי שהתקנים אלה אינם בשימוש פעיל. אנו ממליצים לבצע את הפעולות הבאות : ניהול התקנים ישנים בתכלת AD כדי לנקות התקנים ישנים לפני שאילתות על מפתחות יתומים.
שאילתה עבור מפתחות ב-Active Directory באמצעות הפקודה הבאה: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv פקודה זו תעשה שאילתה על "contoso"קבוצת מחשבים עבור כל המידע הרשום של Windows עבור מפתחות ציבוריים והוא פלט מידע זה כדי לC:\ADKeys.csv. החליףcontoso עם שם התחום שלך כדי לבצע שאילתה על התחום שלך. הפלט בתבנית Csv,ADKeys.csv, יכיל את המידע הבא עבור כל מפתח:
Get-ADWHfBKeysגם יפלט סיכום של המקשים שעליהם שאילתות. סיכום זה מספק את המידע הבא:
הערה: אם יש לך סביבה היברידית עם התקנים כהים המצורפים ולהפעיל "קבל-ADWHfBKeys" בתחום המקומי שלך, ייתכן שמספר המפתחות היתומים לא יהיה מדויק. הסיבה לכך היא כי המכשירים המחוברים תכלת AD אינם נמצאים ב-Active Directory ומפתחות המשויכים התקנים תכלת AD המצורפים עשוי להופיע כיתומים. |
הסר מהספריה את המפתחות הפגיעים של אורפנד לנד |
הסרת מפתחות בתוך הספריה הפעילה באמצעות השלבים הבאים:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging פקודה זו מייבאת את רשימת המקשים הפגיעים של היתומים, ROCA ומסירה אותם מcontoso.comדייר. החליףcontoso.com עם שם הדייר שלך כדי להסיר מפתחות הדייר שלך. N אם תמחק מקשים whfb פגיעים שאינם מתייייתמים עדיין, הוא יגרום להפרעה למשתמשים שלך. עליך לוודא שמפתחות אלה מתייתמים לפני הסרתם מהספריה.
הסר מפתחות ב-Active Directory באמצעות השלבים הבאים: הערה הסרת מפתחות יתומים מ-Active Directory בסביבות היברידיות התוצאה של המפתחות הנוצרות מחדש כחלק מתהליך הסינכרון של התכלת. אם אתה נמצא בסביבה היברידית, להסיר מפתחות רק מ תכלת לספירה
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging פקודה זו מייבאת את רשימת המקשים הפגיעים של היתומים, ROCA ומסירה אותם מהתחום שלך. הערה אם תמחק מקשים whfb פגיעים של ROCA שאינם מתייתמים עדיין, הדבר יגרום להפרעה למשתמשים שלך. עליך לוודא שמפתחות אלה מתייתמים לפני הסרתם מהספריה. |