Ringkasan
Artikel ini membantu mengidentifikasi dan memperbaiki masalah pada perangkat yang dipengaruhi oleh kerentanan yang dijelaskan di ADV170012 penasihat keamanan Microsoft.
Proses ini fokus pada berikut Windows Halo untuk bisnis (WHFB) dan skenario penggunaan Azure AD (AAD) yang ditawarkan oleh Microsoft:
-
Azure AD Gabung
-
Hibrid Azure AD Gabung
-
Azure AD terdaftar
Informasi lebih lanjut
Mengidentifikasi skenario penggunaan AAD
-
Buka jendela Prompt Perintah.
-
Dapatkan status perangkat dengan menjalankan perintah berikut ini:dsregcmd.exe /status
-
Dalam Keluaran perintah, periksa nilai properti yang tercantum dalam tabel berikut ini untuk menentukan skenario penggunaan AAD Anda.
Properti
Deskripsi
AzureAdJoined
Menunjukkan apakah perangkat bergabung ke iklan Azure
EnterpriseJoined
Menunjukkan apakah t perangkat ia bergabung dengan AD FS. Ini adalah bagian dari pelanggan di lokasi-hanya skenario di mana Windows Halo untuk bisnis disebarkan dan berhasil lokal.
DomainJoined
Menunjukkan apakah perangkat bergabung dengan Domain direktori aktif tradisional.
WorkplaceJoined
Menunjukkan apakah pengguna saat ini telah menambahkan akun pekerjaan atau sekolah ke profil mereka saat ini. Ini dikenal sebagai Azure AD terdaftar. Pengaturan ini akan diabaikan oleh sistem jika perangkat AzureAdJoined.
Bergabung dengan hibrida Azure AD
Jika DomainJoined dan AzureAdJoined ya, perangkat ini hibrid Azure AD bergabung. Oleh karena itu, peranti bergabung ke Azure Active Directory dan Domain direktori aktif tradisional.
Alur kerja
Penyebaran dan penerapan mungkin berbeda-beda di seluruh organisasi. Kami merancang alur kerja berikut ini untuk menyediakan alat-alat yang Anda butuhkan untuk mengembangkan rencana internal untuk mengurangi perangkat yang terpengaruh. Alur kerja memiliki langkah-langkah berikut ini:
-
Mengidentifikasi perangkat yang terpengaruh. Cari lingkungan Anda untuk terpengaruh modul terpercaya platform (TPMs), tombol, dan perangkat.
-
Patch perangkat yang terpengaruh. Memperbaiki efek diidentifikasi perangkat dengan mengikuti langkah-langkah spesifik skenario yang tercantum dalam artikel ini.
Perhatikan membersihkan TPMs
Karena terpercaya platform modul yang digunakan untuk menyimpan rahasia yang digunakan oleh berbagai layanan dan aplikasi, menghapus TPM dapat memiliki dampak bisnis tak terduga atau negatif. Sebelum menghapus TPM apa pun, pastikan untuk menyelidiki dan memvalidasi bahwa semua layanan dan aplikasi yang menggunakan cadangan TPM rahasia telah benar diidentifikasi dan siap untuk penghapusan rahasia dan olahraga.
Cara mengidentifikasi terkena perangkat
Untuk mengidentifikasi terkena TPMs, merujuk ke ADV170012 penasihat keamanan Microsoft.
Cara patch yang terpengaruh perangkat
Menggunakan langkah-langkah berikut ini pada perangkat yang terpengaruh berdasarkan skenario penggunaan AAD Anda.
-
Pastikan bahwa akun admin lokal yang valid yang ada pada perangkat atau membuat akun admin lokal.
Catatan
Ini adalah praktik yang disarankan untuk memverifikasi bahwa akun bekerja dengan masuk ke perangkat dengan menggunakan akun lokal admin baru dan konfirmasi izin yang benar dengan membuka wantian perintah yang ditampilkan.
-
Jika Anda telah masuk dengan akun Microsoft pada perangkat, pergi ke pengaturan > account > account Email & aplikasi dan menghapus akun tersambung.
-
Instal pemutakhiran firmware perangkat.
Catatan
Ikuti panduan OEM Anda untuk menerapkan pemutakhiran firmware TPM. Lihat Langkah 4: "Menerapkan pembaruan berlaku firmware," di ADV170012 penasihat keamanan Microsoft untuk informasi tentang cara mendapatkan pemutakhiran TPM dari OEM.
-
Keluar perangkat dari Azure AD.
Catatan
Pastikan bahwa kunci BitLocker aman didukung di tempat selain komputer lokal sebelum melanjutkan.
-
Masuk ke pengaturan > sistem > tentang, dan kemudian klik Kelola atau cabut dari pekerjaan atau sekolah.
-
Klik tersambung ke < AzureAD >dan klik putuskan.
-
Klik ya saat Anda diminta untuk pengakuan.
-
Klik putuskan saat Anda diminta untuk "Putuskan dari organisasi."
-
Masukkan informasi akun admin lokal untuk perangkat.
-
Klik mulai ulang nanti.
-
-
Hapus TPM.
Catatan
Menghapus TPM akan menghapus semua kunci dan rahasia yang disimpan di perangkat Anda. Pastikan bahwa layanan lainnya yang memanfaatkan TPM ditangguhkan atau divalidasi sebelum melanjutkan.
Windows 7: Manual penangguhan BitLocker diperlukan sebelum melanjutkan. (Lihat informasi lebih lanjut tentang menangguhkan BitLocker.)
-
Untuk menghapus TPM, gunakan salah satu dari metode berikut ini:
-
Gunakan konsol manajemen Microsoft.
-
Tekan Win + R, ketik tpm.msc dan klik OK.
-
Klik Hapus TPM.
-
-
Jalankan cmdlet Tpm jelas.
-
-
Klik mulai ulang.
Catatan Anda mungkin diminta untuk menghapus TPM pada startup.
-
-
Setelah perangkat dimulai ulang, masuk ke perangkat dengan menggunakan akun admin lokal.
-
Bergabung ke perangkat Azure AD. Anda mungkin diminta untuk menyiapkan PIN baru berikutnya masuk.
-
Jika Anda masuk menggunakan akun Microsoft di perangkat Anda, pergi ke pengaturan > account > account Email & aplikasi dan menghapus akun tersambung.
-
Dari wantian perintah yang ditinggikan, jalankan perintah berikut ini:dsregcmd.exe /leave /debug
Catatan
Output perintah akan menunjukkan AzureADJoined: tidak ada.
-
Instal pemutakhiran firmware perangkat.
Catatan
Catatan Ikuti panduan OEM Anda untuk menerapkan pemutakhiran firmware TPM. Lihat Langkah 4: "Menerapkan pembaruan berlaku firmware," di ADV170012 penasihat keamanan Microsoft untuk informasi tentang cara mendapatkan pemutakhiran TPM dari OEM.
-
Hapus TPM.
Catatan
Menghapus TPM akan menghapus semua kunci dan rahasia yang disimpan di perangkat Anda. Pastikan bahwa layanan lainnya yang memanfaatkan TPM ditangguhkan atau divalidasi sebelum melanjutkan.
Windows 7: Manual penangguhan BitLocker diperlukan sebelum melanjutkan. (Lihat informasi lebih lanjut tentang menangguhkan BitLocker.)
-
Untuk menghapus TPM, gunakan salah satu dari metode berikut ini:
-
Gunakan konsol manajemen Microsoft.
-
Tekan Win + R, ketik tpm.msc dan klik OK.
-
Klik Hapus TPM.
-
-
Jalankan cmdlet Tpm jelas.
-
-
Klik mulai ulang.
Catatan Anda mungkin diminta untuk menghapus TPM pada startup.
-
Ketika perangkat dimulai, Windows menghasilkan kunci baru dan secara otomatis bergabung kembali perangkat Azure AD. Selama waktu tersebut, Anda dapat terus menggunakan peranti. Namun, akses ke sumber daya seperti Microsoft Outlook, OneDrive, dan aplikasi lain yang memerlukan SSO atau kebijakan akses bersyarat mungkin terbatas.
Catatan Jika Anda menggunakan akun Microsoft, Anda harus tahu sandi.
-
Instal pemutakhiran firmware perangkat.
Catatan
Ikuti panduan OEM Anda untuk menerapkan pemutakhiran firmware TPM. Lihat Langkah 4: "Menerapkan pembaruan berlaku firmware," di ADV170012 penasihat keamanan Microsoft untuk informasi tentang cara mendapatkan pemutakhiran TPM dari OEM.
-
Menghapus akun kerja Azure AD.
-
Masuk ke pengaturan > akun > akses kerja atau sekolah, klik akun Anda bekerja atau sekolah, dan kemudian klik putuskan.
-
Klik ya di wantian perintah untuk mengkonfirmasi pemutusan.
-
-
Hapus TPM.
Catatan
Menghapus TPM akan menghapus semua kunci dan rahasia yang disimpan di perangkat Anda. Pastikan bahwa layanan lainnya yang memanfaatkan TPM ditangguhkan atau divalidasi sebelum melanjutkan.
Windows 7: Manual penangguhan BitLocker diperlukan sebelum melanjutkan. (Lihat informasi lebih lanjut tentang menangguhkan BitLocker.)
-
Untuk menghapus TPM, gunakan salah satu dari metode berikut ini:
-
Gunakan konsol manajemen Microsoft.
-
Tekan Win + R, ketik tpm.msc dan klik OK.
-
Klik Hapus TPM.
-
-
Jalankan cmdlet Tpm jelas.
-
-
Klik mulai ulang.
Catatan Anda mungkin diminta untuk menghapus Anda TPM pada startup. -
Jika Anda menggunakan akun Microsoft yang memiliki PIN, Anda harus masuk ke perangkat dengan menggunakan sandi.
-
Tambahkan akun kerja kembali ke perangkat.
-
Masuk ke pengaturan > akun > akses kerja atau sekolah dan klik Connect.
-
Masukkan akun kerja Anda, dan kemudian klik berikutnya.
-
Masukkan kerja akun dan kata sandi Anda, dan kemudian klik Sign in.
-
Jika organisasi Anda telah mengkonfigurasi otentikasi multi faktor Azure untuk ikut perangkat Azure AD, menyediakan faktor kedua sebelum Anda melanjutkan.
-
Memvalidasi informasi yang ditampilkan benar, dan kemudian klik Gabung. Anda akan melihat pesan berikut ini:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.
-
-