Sažetak

Kako biste pomogli kupcima identificirati tipke za Windows Hello za poslovne (WHfB) koje su POGOĐENE TPM ranjivosti, Microsoft je objavio modul PowerShell koji mogu pokrenuti administratori. Ovaj članak objašnjava kako riješiti problem opisan u ADV190026 | "Microsoft smjernice za čišćenje bez napuštenih ključeva generiranih na ranjivim TPMs-ima i koristi se za Windows Hello za poslovanje."

Važna bilješka Prije korištenja whfbtools za uklanjanje napuštene tipke, smjernice u ADV170012 treba pratiti kako bi ažurirali firmware bilo osjetljivih TPMS. Ako se ovo vodstvo ne slijedi, sve nove WHfB tipke generirane na uređaju s firmver koji nije ažuriran će i dalje utjecati CVE-2017-15361 (Roca).

Kako instalirati modul WHfBTools PowerShell

Instalirajte modul pokretanjem sljedećih naredbi:

Instaliranje modula WHfBTools PowerShell

Instalacija putem PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Ili instalirajte pomoću preuzimanja iz PowerShell Gallery

  1. Idi na https://www.powershellgallery.com/Packages/WHfBTools

  2. Preuzmite RAW. nupkg datoteku u lokalnu mapu i preimenovati s nastavkom. zip

  3. Ekstrakt sadržaja u lokalnu mapu, na primjer C:\ADV190026

 

Pokrenite PowerShell, kopirajte i pokrenite sljedeće naredbe:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

Instalirajte zavisnosti za korištenje modula:

Instaliranje zavisnosti za korištenje modula WHfBTools

Ako se upita Azure Active Directory za neizdvojene tipke, instalirajte modul MSAL.PS PowerShell

Instalacija putem PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Ili instalirati pomoću preuzimanja iz PowerShell Gallery

  1. Idite na https://www.powershellgallery.com/Packages/MSAL.PS/4.5.1.1

  2. Preuzmite RAW. nupkg datoteku u lokalnu mapu i preimenovati s nastavkom. zip

  3. Ekstrakt sadržaja u lokalnu mapu, na primjer C:\MSAL.PS

Pokrenite PowerShell, kopirajte i pokrenite sljedeće naredbe:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Ako se upita Active Directory za neizdvojene ključeve, instalirajte alate Remote Server administrator (RSAT): servisi Active Directory Domain Services i...

Instalirajte putem postavki (Windows 10, verzija 1809 ili noviji)

  1. Idite na Postavke-> Apps-> neobavezne značajke-> Dodaj značajku

  2. Odaberite RSAT: servisi Active Directory domene i alati za lagane imeničke servise

  3. Odaberite Instaliraj

Ili instalirati putem PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Ili instalirati putem preuzimanja

  1. Idi na https://www.Microsoft.com/en-US/download/details.aspx?id=45520 (Windows 10 link)

  2. Preuzmite alate daljinskog administracije poslužitelja za instalacijski program za Windows 10

  3. Pokreni instalacijski program nakon dovršetka preuzimanja

 

Pokrenite modul WHfBTools PowerShell

Ako je vaš okoliš pridružen servisu Azure Active Directory ili hibridnim uređajima koji su spojeni na Azure Active Directory, slijedite korake servisa Azure Active Directory da biste identificirali i uklonili ključeve. Ključna uklanjanja u servisu Azure sinkronizirat će se s Active Directory putem servisa Azure AD Connect.

Ako je okruženje samo lokalno, slijedite korake servisa Active Directory da biste identificirali i uklonili ključeve.

Upit za nenapuštene ključeve i tipke na koje je utjecao CVE-2017-15361 (Roca)

Upit za ključeve u servisu Azure Active Directory pomoću sljedeće naredbe:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Ova naredba će postaviti upit "contoso.com"stanar za sve registrirane Windows Hello za poslovne javne ključeve i da će izlaz te informacije naC:\AzureKeys.csv. Zamijeniticontoso.coms imenom vašeg stanara da biste upitali vašeg stanara.

CSV izlaz,AzureKeys.csv, sadržavat će sljedeće informacije za svaki ključ:

  • Glavno ime korisnika

  • Stanar

  • Korištenje

  • ID ključa

  • Vrijeme kreiranja

  • Status siročana

  • Podržava status obavijesti

  • Status ranjivosti ROCA

Get-AzureADWHfBKeystakođer će se prikazati sažetak ključeva koji su bili upitani. Ovaj sažetak pruža sljedeće informacije:

  • Broj skeniranih korisnika

  • Broj skeniranih ključeva

  • Broj korisnika s ključevima

  • Broj ključeva osjetljivih na ROCA

Note U vašem klijentu za Azure AD možda postoje ustajani uređaji sa sustavom Windows Hello za poslovne ključeve povezane s njima. Ovi ključevi neće biti prijavljeni kao siročani iako se ti uređaji ne koriste aktivno. Preporučujemo da slijedite način: upravljanje ustajalim uređajima u servisu Azure ad za čišćenje ustajalih uređaja prije upita za ostale ključeve.

 

Upit za tipke u Active Directory pomoću sljedeće naredbe:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Ova naredba će postaviti upit "contoso"domena za sve registrirane Windows Hello za poslovne javne ključeve i da će izlaz te informacije naC:\ADKeys.csv. Zamijeniticontoso s nazivom domene da biste upitali domenu.

CSV izlaz,ADKeys.csv, sadržavat će sljedeće informacije za svaki ključ:

  • Korisnička domena

  • Naziv korisničkog SAM računa

  • Razlikovni naziv korisnika

  • Ključna verzija

  • ID ključa

  • Vrijeme kreiranja

  • Ključni materijal

  • Izvor ključa

  • Upotreba ključa

  • ID ključa uređaja

  • Približna Posljednja vremenska oznaka prijave

  • Vrijeme kreiranja

  • Informacije o prilagođenom ključu

  • KeyLinkTargetDN

  • Status siročana

  • Status ranjivosti ROCA

  • KeyRawLDAPValue

Get-ADWHfBKeystakođer će se prikazati sažetak ključeva koji su bili upitani. Ovaj sažetak pruža sljedeće informacije:

  • Broj skeniranih korisnika

  • Broj korisnika s ključevima

  • Broj skeniranih ključeva

  • Broj ključeva osjetljivih na ROCA

  • Broj napuštene tipke (ako-Skipcheckfor, bez određenih ključeva)

Napomena: Ako imate hibridno okruženje s uređajima koji su spojeni na Azure i pokrenete "Get-ADWHfBKeys" u vašoj lokalno domeni, broj nedopuštene tipke možda neće biti točan. To je zbog toga što se uređaji koji su spojeni na Azure AD nisu prisutni u servisu Active Directory, a tipke pridružene servisu Azure AD spojeni uređaji mogu se prikazivati kao siročadi.

 

Ukloni siročane, Roca ranjive ključeve iz direktorija

Uklonite ključeve u servisu Azure Active Directory pomoću sljedećih koraka:

  1. Filtriraj nenapuštene i rocavulnerable stupceAzureKeys.csvna True

  2. Kopirajte filtrirane rezultate u novu datoteku,C:\ROCAKeys.csv

  3. Pokrenite sljedeću naredbu za brisanje ključeva:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Ova naredba uvozi popis nepokrivenih ključeva i uklanja ih izcontoso.comStanar. Zamijeniticontoso.com s imenom vašeg stanara da biste uklonili ključeve iz svog stanara.

N OTE Ako izbrišete Roca ranjivih whfb ključeva koji još nisu siročevi, to će uzrokovati poremećaj na vaše korisnike. Trebali biste osigurati da ti ključevi budu siročani prije nego ih uklonite iz direktorija.

 

Uklonite tipke u Active Directory pomoću sljedećih koraka:

Napomena Uklanjanje napuštene tipke iz Active Directory u hibridnim okruženjima rezultirat će da se tipke ponovno stvaraju kao dio procesa sinkronizacije oglasa za Azure. Ako ste u hibridnom okruženju, uklonite ključeve samo iz servisa Azure AD

  1. Filtriraj neizdvojeno i rocavulnerable stupceADKeys.csv na True

  2. Kopirajte filtrirane rezultate u novu datoteku,C:\ROCAKeys.csv

  3. Pokrenite sljedeću naredbu za brisanje ključeva:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Ova naredba uvozi popis nepokrivenih ključeva i uklanja ih iz vaše domene.

Napomena Ako izbrišete Roca ranjivo whfb tipke koje još nisu siročevi, to će uzrokovati poremećaj na vaše korisnike. Trebali biste osigurati da ti ključevi budu siročani prije nego ih uklonite iz direktorija.

 

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.