Sažetak
Kako biste pomogli kupcima identificirati tipke za Windows Hello za poslovne (WHfB) koje su POGOĐENE TPM ranjivosti, Microsoft je objavio modul PowerShell koji mogu pokrenuti administratori. Ovaj članak objašnjava kako riješiti problem opisan u ADV190026 | "Microsoft smjernice za čišćenje bez napuštenih ključeva generiranih na ranjivim TPMs-ima i koristi se za Windows Hello za poslovanje."
Važna bilješka Prije korištenja whfbtools za uklanjanje napuštene tipke, smjernice u ADV170012 treba pratiti kako bi ažurirali firmware bilo osjetljivih TPMS. Ako se ovo vodstvo ne slijedi, sve nove WHfB tipke generirane na uređaju s firmver koji nije ažuriran će i dalje utjecati CVE-2017-15361 (Roca).
Kako instalirati modul WHfBTools PowerShell
Instalirajte modul pokretanjem sljedećih naredbi:
Instaliranje modula WHfBTools PowerShell |
Instalacija putem PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Ili instalirajte pomoću preuzimanja iz PowerShell Gallery
Pokrenite PowerShell, kopirajte i pokrenite sljedeće naredbe: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Instalirajte zavisnosti za korištenje modula:
Instaliranje zavisnosti za korištenje modula WHfBTools |
Ako se upita Azure Active Directory za neizdvojene tipke, instalirajte modul MSAL.PS PowerShell Instalacija putem PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Ili instalirati pomoću preuzimanja iz PowerShell Gallery
Pokrenite PowerShell, kopirajte i pokrenite sljedeće naredbe: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Ako se upita Active Directory za neizdvojene ključeve, instalirajte alate Remote Server administrator (RSAT): servisi Active Directory Domain Services i... Instalirajte putem postavki (Windows 10, verzija 1809 ili noviji)
Ili instalirati putem PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Ili instalirati putem preuzimanja
|
Pokrenite modul WHfBTools PowerShell
Ako je vaš okoliš pridružen servisu Azure Active Directory ili hibridnim uređajima koji su spojeni na Azure Active Directory, slijedite korake servisa Azure Active Directory da biste identificirali i uklonili ključeve. Ključna uklanjanja u servisu Azure sinkronizirat će se s Active Directory putem servisa Azure AD Connect.
Ako je okruženje samo lokalno, slijedite korake servisa Active Directory da biste identificirali i uklonili ključeve.
Upit za nenapuštene ključeve i tipke na koje je utjecao CVE-2017-15361 (Roca) |
Upit za ključeve u servisu Azure Active Directory pomoću sljedeće naredbe: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Ova naredba će postaviti upit "contoso.com"stanar za sve registrirane Windows Hello za poslovne javne ključeve i da će izlaz te informacije naC:\AzureKeys.csv. Zamijeniticontoso.coms imenom vašeg stanara da biste upitali vašeg stanara. CSV izlaz,AzureKeys.csv, sadržavat će sljedeće informacije za svaki ključ:
Get-AzureADWHfBKeystakođer će se prikazati sažetak ključeva koji su bili upitani. Ovaj sažetak pruža sljedeće informacije:
Note U vašem klijentu za Azure AD možda postoje ustajani uređaji sa sustavom Windows Hello za poslovne ključeve povezane s njima. Ovi ključevi neće biti prijavljeni kao siročani iako se ti uređaji ne koriste aktivno. Preporučujemo da slijedite način: upravljanje ustajalim uređajima u servisu Azure ad za čišćenje ustajalih uređaja prije upita za ostale ključeve.
Upit za tipke u Active Directory pomoću sljedeće naredbe: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Ova naredba će postaviti upit "contoso"domena za sve registrirane Windows Hello za poslovne javne ključeve i da će izlaz te informacije naC:\ADKeys.csv. Zamijeniticontoso s nazivom domene da biste upitali domenu. CSV izlaz,ADKeys.csv, sadržavat će sljedeće informacije za svaki ključ:
Get-ADWHfBKeystakođer će se prikazati sažetak ključeva koji su bili upitani. Ovaj sažetak pruža sljedeće informacije:
Napomena: Ako imate hibridno okruženje s uređajima koji su spojeni na Azure i pokrenete "Get-ADWHfBKeys" u vašoj lokalno domeni, broj nedopuštene tipke možda neće biti točan. To je zbog toga što se uređaji koji su spojeni na Azure AD nisu prisutni u servisu Active Directory, a tipke pridružene servisu Azure AD spojeni uređaji mogu se prikazivati kao siročadi. |
Ukloni siročane, Roca ranjive ključeve iz direktorija |
Uklonite ključeve u servisu Azure Active Directory pomoću sljedećih koraka:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Ova naredba uvozi popis nepokrivenih ključeva i uklanja ih izcontoso.comStanar. Zamijeniticontoso.com s imenom vašeg stanara da biste uklonili ključeve iz svog stanara. N OTE Ako izbrišete Roca ranjivih whfb ključeva koji još nisu siročevi, to će uzrokovati poremećaj na vaše korisnike. Trebali biste osigurati da ti ključevi budu siročani prije nego ih uklonite iz direktorija.
Uklonite tipke u Active Directory pomoću sljedećih koraka: Napomena Uklanjanje napuštene tipke iz Active Directory u hibridnim okruženjima rezultirat će da se tipke ponovno stvaraju kao dio procesa sinkronizacije oglasa za Azure. Ako ste u hibridnom okruženju, uklonite ključeve samo iz servisa Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Ova naredba uvozi popis nepokrivenih ključeva i uklanja ih iz vaše domene. Napomena Ako izbrišete Roca ranjivo whfb tipke koje još nisu siročevi, to će uzrokovati poremećaj na vaše korisnike. Trebali biste osigurati da ti ključevi budu siročani prije nego ih uklonite iz direktorija. |