Menggunakan modul WHfBTools PowerShell untuk membersihkan yatim piatu Windows Hello untuk kunci bisnis

Ringkasan

Untuk membantu pelanggan mengidentifikasi yatim piatu Windows Halo untuk bisnis (WHfB) kunci yang terpengaruh oleh kerentanan TPM, Microsoft telah menerbitkan modul PowerShell yang dapat dijalankan oleh administrator. Artikel ini menjelaskan cara mengatasi masalah yang dijelaskan di ADV190026 | "Microsoft panduan untuk membersihkan ditinggalkan kunci yang dihasilkan pada rentan TPMs dan digunakan untuk Windows Halo untuk bisnis."

Catatan penting Sebelum menggunakan whfbtools untuk menghapus kunci yatim, panduan dalam ADV170012 harus diikuti untuk memperbarui firmware dari setiap TPMS rentan. Jika panduan ini tidak diikuti, kunci WHfB baru yang dihasilkan pada perangkat dengan firmware yang belum diperbarui akan tetap terpengaruh oleh CVE-2017-15361 (ROCA).

Cara menginstal modul PowerShell WHfBTools

Instal modul dengan menjalankan perintah berikut:

Instalasi modul WHfBTools PowerShell

Instal melalui PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Atau instal menggunakan download dari PowerShell Galeri

  1. Buka https://www.powershellgallery.com/Packages/WHfBTools

  2. Download file RAW. nupkg ke folder lokal dan ganti nama dengan ekstensi. zip

  3. Mengekstrak konten ke folder lokal, misalnya C:\ADV190026

 

Mulai PowerShell, Salin dan jalankan perintah berikut:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

Menginstal dependensi untuk menggunakan modul:

Menginstal dependensi untuk menggunakan modul WHfBTools

Jika Anda bertanya Azure Active Directory untuk kunci yatim piatu, instal modul MSAL.PS PowerShell

Instal melalui PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Atau menginstal menggunakan download dari PowerShell Galeri

  1. Pergi ke https://www.powershellgallery.com/Packages/MSAL.PS/4.5.1.1

  2. Download file RAW. nupkg ke folder lokal dan ganti nama dengan ekstensi. zip

  3. Mengekstrak konten ke folder lokal, misalnya C:\MSAL.PS

Mulai PowerShell, Salin dan jalankan perintah berikut:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Jika Anda menanyakan direktori aktif untuk kunci yatim piatu, instal alat administrator server jauh (RSAT): layanan domain direktori aktif dan alat layanan direktori ringan

Instal melalui pengaturan (Windows 10, versi 1809 atau yang lebih baru)

  1. Buka pengaturan-> Aplikasi-> Fitur opsional-> menambahkan fitur

  2. Pilih RSAT: layanan domain direktori aktif dan alat layanan direktori ringan

  3. Pilih install

Atau instal melalui PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Atau instal melalui download

  1. Pergi ke https://www.Microsoft.com/en-US/download/Details.aspx?id=45520 (Windows 10 link)

  2. Download remote server administrasi alat untuk Windows 10 installer

  3. Luncurkan installer setelah pengunduhan selesai

 

Jalankan WHfBTools PowerShell modul

Jika lingkungan Anda memiliki Azure Active Directory bergabung atau hibrid Azure Active Directory bergabung dengan perangkat, ikuti langkah-langkah Azure Active Directory untuk mengidentifikasi dan menghapus kunci. Penghapusan kunci di Azure akan disinkronkan ke direktori aktif melalui Azure AD menyambung.

Jika lingkungan Anda hanya lokal, ikuti langkah Active Directory untuk mengidentifikasi dan menghapus kunci.

Query untuk kunci yatim piatu dan kunci yang dipengaruhi oleh CVE-2017-15361 (ROCA)

Permintaan untuk kunci di Azure Active Directory menggunakan perintah berikut ini:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Perintah ini akan meminta "contoso.com"penyewa untuk semua terdaftar Windows Hello for Business kunci publik dan akan menampilkan informasi tersebut untukC:\AzureKeys.csv. Menggantikancontoso.comdengan nama penyewa Anda untuk query penyewa Anda.

Output CSV,AzureKeys.csv, akan berisi informasi berikut untuk setiap kunci:

  • Nama prinsip pengguna

  • Penyewa

  • Penggunaan

  • ID kunci

  • Waktu pembuatan

  • Status yatim piatu

  • Mendukung status beritahu

  • Status kerentanan ROCA

Get-AzureADWHfBKeysjuga akan menampilkan ringkasan kunci yang dipertanyakan. Ringkasan ini memberikan informasi berikut:

  • Jumlah pengguna yang dipindai

  • Jumlah tombol yang dipindai

  • Jumlah pengguna dengan kunci

  • Jumlah kunci rentan ROCA

Catatan Mungkin ada perangkat kedaluwarsa di penghuni Azure AD Anda dengan Windows Hello untuk kunci bisnis yang terkait dengan mereka. Kunci ini tidak akan dilaporkan sebagai yatim piatu meskipun perangkat tersebut tidak sedang aktif digunakan. Sebaiknya ikuti cara: mengelola perangkat kedaluwarsa di AZURE AD untuk membersihkan perangkat kedaluwarsa sebelum menanyakan kunci yatim piatu.

 

Permintaan untuk kunci di direktori aktif menggunakan perintah berikut ini:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Perintah ini akan meminta "contoso"domain untuk semua terdaftar Windows Hello for Business kunci publik dan akan menampilkan informasi tersebut untukC:\ADKeys.csv. Menggantikancontoso dengan nama domain Anda untuk meminta domain Anda.

Output CSV,ADKeys.csv, akan berisi informasi berikut untuk setiap kunci:

  • Domain pengguna

  • Nama akun SAM pengguna

  • Nama khusus pengguna

  • Versi utama

  • ID kunci

  • Waktu pembuatan

  • Bahan utama

  • Sumber utama

  • Penggunaan kunci

  • Kunci perangkat ID

  • Perkiraan timestamp logon terakhir

  • Waktu pembuatan

  • Informasi kunci kustom

  • Yang

  • Status yatim piatu

  • Status kerentanan ROCA

  • Nilai tambah

Get-ADWHfBKeysjuga akan menampilkan ringkasan kunci yang dipertanyakan. Ringkasan ini memberikan informasi berikut:

  • Jumlah pengguna yang dipindai

  • Jumlah pengguna dengan kunci

  • Jumlah tombol yang dipindai

  • Jumlah kunci rentan ROCA

  • Jumlah kunci yatim (jika-Skipcheckforpanti Edkeys tidak ditentukan)

Catatan: Jika Anda memiliki lingkungan hibrid dengan Azure AD bergabung dengan perangkat dan jalankan "Get-ADWHfBKeys" di domain lokal, jumlah kunci yatim mungkin tidak akurat. Hal ini karena Azure AD bergabung dengan perangkat yang tidak ada di direktori aktif dan kunci yang terkait dengan Azure AD bergabung dengan perangkat mungkin muncul sebagai yatim piatu.

 

Hapus yatim, ROCA rentan kunci dari direktori

Hapus kunci di Azure Active Directory dengan menggunakan langkah berikut:

  1. Filter kolom yatim piatu dan rocavulnerable dariAzureKeys.csvke True

  2. Salin hasil yang difilter ke file baru,C:\ROCAKeys.csv

  3. Jalankan perintah berikut untuk menghapus kunci:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Perintah ini mengimpor daftar yatim piatu, ROCA rentan kunci dan menghapusnya daricontoso.comPenyewa. Menggantikancontoso.com dengan nama penyewa Anda untuk menghapus kunci dari penyewa Anda.

N Ote jika Anda menghapus ROCA rentan whfb kunci yang tidak yatim belum, itu akan menyebabkan gangguan bagi pengguna Anda. Anda harus memastikan bahwa kunci ini yatim piatu sebelum menghapusnya dari direktori.

 

Hapus kunci di direktori aktif dengan menggunakan langkah berikut:

Catatan menghapus kunci ditinggalkan dari direktori aktif di lingkungan hibrid akan menghasilkan kunci yang dibuat ulang sebagai bagian dari proses sinkronisasi Azure AD menyambung. Jika Anda berada di lingkungan hibrid, Hapus kunci hanya dari Azure AD

  1. Menyaring kolom panti asuhanEY dan rocavulnerable dariADKeys.csv ke True

  2. Salin hasil yang difilter ke file baru,C:\ROCAKeys.csv

  3. Jalankan perintah berikut untuk menghapus kunci:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Perintah ini mengimpor daftar yatim piatu, kunci rentan dan menghapusnya dari domain Anda.

Catatan jika Anda menghapus ROCA rentan whfb kunci yang tidak ditinggalkan belum, hal itu akan menyebabkan gangguan untuk pengguna Anda. Anda harus memastikan bahwa kunci ini yatim piatu sebelum menghapusnya dari direktori.

 

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Seberapa puaskah Anda dengan kualitas terjemahannya?

Apa yang memengaruhi pengalaman Anda?

Ada umpan balik tambahan? (Opsional)

Terima kasih atas umpan balik Anda!

×