Ringkasan
Untuk membantu pelanggan mengidentifikasi yatim piatu Windows Halo untuk bisnis (WHfB) kunci yang terpengaruh oleh kerentanan TPM, Microsoft telah menerbitkan modul PowerShell yang dapat dijalankan oleh administrator. Artikel ini menjelaskan cara mengatasi masalah yang dijelaskan di ADV190026 | "Microsoft panduan untuk membersihkan ditinggalkan kunci yang dihasilkan pada rentan TPMs dan digunakan untuk Windows Halo untuk bisnis."
Catatan penting Sebelum menggunakan whfbtools untuk menghapus kunci yatim, panduan dalam ADV170012 harus diikuti untuk memperbarui firmware dari setiap TPMS rentan. Jika panduan ini tidak diikuti, kunci WHfB baru yang dihasilkan pada perangkat dengan firmware yang belum diperbarui akan tetap terpengaruh oleh CVE-2017-15361 (ROCA).
Cara menginstal modul PowerShell WHfBTools
Instal modul dengan menjalankan perintah berikut:
Instalasi modul WHfBTools PowerShell |
Instal melalui PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Atau instal menggunakan download dari PowerShell Galeri
Mulai PowerShell, Salin dan jalankan perintah berikut: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Menginstal dependensi untuk menggunakan modul:
Menginstal dependensi untuk menggunakan modul WHfBTools |
Jika Anda bertanya Azure Active Directory untuk kunci yatim piatu, instal modul MSAL.PS PowerShell Instal melalui PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Atau menginstal menggunakan download dari PowerShell Galeri
Mulai PowerShell, Salin dan jalankan perintah berikut: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Jika Anda menanyakan direktori aktif untuk kunci yatim piatu, instal alat administrator server jauh (RSAT): layanan domain direktori aktif dan alat layanan direktori ringan Instal melalui pengaturan (Windows 10, versi 1809 atau yang lebih baru)
Atau instal melalui PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Atau instal melalui download
|
Jalankan WHfBTools PowerShell modul
Jika lingkungan Anda memiliki Azure Active Directory bergabung atau hibrid Azure Active Directory bergabung dengan perangkat, ikuti langkah-langkah Azure Active Directory untuk mengidentifikasi dan menghapus kunci. Penghapusan kunci di Azure akan disinkronkan ke direktori aktif melalui Azure AD menyambung.
Jika lingkungan Anda hanya lokal, ikuti langkah Active Directory untuk mengidentifikasi dan menghapus kunci.
Query untuk kunci yatim piatu dan kunci yang dipengaruhi oleh CVE-2017-15361 (ROCA) |
Permintaan untuk kunci di Azure Active Directory menggunakan perintah berikut ini: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Perintah ini akan meminta "contoso.com"penyewa untuk semua terdaftar Windows Hello for Business kunci publik dan akan menampilkan informasi tersebut untukC:\AzureKeys.csv. Menggantikancontoso.comdengan nama penyewa Anda untuk query penyewa Anda. Output CSV,AzureKeys.csv, akan berisi informasi berikut untuk setiap kunci:
Get-AzureADWHfBKeysjuga akan menampilkan ringkasan kunci yang dipertanyakan. Ringkasan ini memberikan informasi berikut:
Catatan Mungkin ada perangkat kedaluwarsa di penghuni Azure AD Anda dengan Windows Hello untuk kunci bisnis yang terkait dengan mereka. Kunci ini tidak akan dilaporkan sebagai yatim piatu meskipun perangkat tersebut tidak sedang aktif digunakan. Sebaiknya ikuti cara: mengelola perangkat kedaluwarsa di AZURE AD untuk membersihkan perangkat kedaluwarsa sebelum menanyakan kunci yatim piatu.
Permintaan untuk kunci di direktori aktif menggunakan perintah berikut ini: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Perintah ini akan meminta "contoso"domain untuk semua terdaftar Windows Hello for Business kunci publik dan akan menampilkan informasi tersebut untukC:\ADKeys.csv. Menggantikancontoso dengan nama domain Anda untuk meminta domain Anda. Output CSV,ADKeys.csv, akan berisi informasi berikut untuk setiap kunci:
Get-ADWHfBKeysjuga akan menampilkan ringkasan kunci yang dipertanyakan. Ringkasan ini memberikan informasi berikut:
Catatan: Jika Anda memiliki lingkungan hibrid dengan Azure AD bergabung dengan perangkat dan jalankan "Get-ADWHfBKeys" di domain lokal, jumlah kunci yatim mungkin tidak akurat. Hal ini karena Azure AD bergabung dengan perangkat yang tidak ada di direktori aktif dan kunci yang terkait dengan Azure AD bergabung dengan perangkat mungkin muncul sebagai yatim piatu. |
Hapus yatim, ROCA rentan kunci dari direktori |
Hapus kunci di Azure Active Directory dengan menggunakan langkah berikut:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Perintah ini mengimpor daftar yatim piatu, ROCA rentan kunci dan menghapusnya daricontoso.comPenyewa. Menggantikancontoso.com dengan nama penyewa Anda untuk menghapus kunci dari penyewa Anda. N Ote jika Anda menghapus ROCA rentan whfb kunci yang tidak yatim belum, itu akan menyebabkan gangguan bagi pengguna Anda. Anda harus memastikan bahwa kunci ini yatim piatu sebelum menghapusnya dari direktori.
Hapus kunci di direktori aktif dengan menggunakan langkah berikut: Catatan menghapus kunci ditinggalkan dari direktori aktif di lingkungan hibrid akan menghasilkan kunci yang dibuat ulang sebagai bagian dari proses sinkronisasi Azure AD menyambung. Jika Anda berada di lingkungan hibrid, Hapus kunci hanya dari Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Perintah ini mengimpor daftar yatim piatu, kunci rentan dan menghapusnya dari domain Anda. Catatan jika Anda menghapus ROCA rentan whfb kunci yang tidak ditinggalkan belum, hal itu akan menyebabkan gangguan untuk pengguna Anda. Anda harus memastikan bahwa kunci ini yatim piatu sebelum menghapusnya dari direktori. |