Utilizzo del modulo PowerShell WHfBTools per la pulizia delle chiavi di Windows Hello for Business orfane

Riepilogo

Per consentire ai clienti di identificare le chiavi orfane di Windows Hello for Business (WHfB) interessate da una vulnerabilità TPM, Microsoft ha pubblicato un modulo di PowerShell che può essere eseguito dagli amministratori. In questo articolo viene illustrato come risolvere il problema descritto in ADV190026 . "Guida Microsoft per la pulizia delle chiavi orfane generate su TPM vulnerabili e utilizzate per Windows Hello for Business."

Nota importante Prima di utilizzare WHfBTools per rimuovere le chiavi orfane, è necessario seguire le indicazioni in ADV170012 per aggiornare il firmware di eventuali TPM vulnerabili. Se questa guida non viene seguita, tutte le nuove chiavi WHfB generate su un dispositivo con firmware che non è stato aggiornato saranno comunque interessate da CVE-2017-15361 (ROCA).

Come installare il modulo PowerShell WHfBTools

Installare il modulo eseguendo i seguenti comandi:

Installazione del modulo PowerShell WHfBTools

Installare tramite PowerShellInstall via PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

In alternativa, eseguire l'installazione con un download da PowerShell Gallery

  1. Vai a https://www.powershellgallery.com/packages/WHfBTools

  2. Scaricare il file .nupkg non elaborato in una cartella locale e rinominarlo con estensione zip

  3. Estrarre il contenuto in una cartella locale, ad esempio C:

 

Avviare PowerShell, copiare ed eseguire i comandi seguenti:Start PowerShell, copy and run the following commands:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

Installare le dipendenze per l'utilizzo del modulo:

Installazione delle dipendenze per l'utilizzo del modulo WHfBTools

Se si esegue una query su Azure Active Directory per le chiavi orfane, installare il modulo MSAL.PS PowerShellIf you are querying Azure Active Directory for orphaned keys, install the MSAL.PS PowerShell module

Installare tramite PowerShellInstall via PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

In alternativa, eseguire l'installazione tramite un download da PowerShell Gallery

  1. Vai a https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

  2. Scaricare il file .nupkg non elaborato in una cartella locale e rinominarlo con estensione zip

  3. Estrarre il contenuto in una cartella locale, ad esempio C:

Avviare PowerShell, copiare ed eseguire i comandi seguenti:Start PowerShell, copy and run the following commands:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Se si esegue una query in Active Directory per ottenere chiavi orfane, installare Strumenti di amministrazione remota del server (RSAT): Servizi di dominio Active Directory e strumenti Servizi Lightweight Directory

Installazione tramite Impostazioni (Windows 10, versione 1809 o successiva)

  1. Vai a Impostazioni -> App -> Funzioni facoltative -> Aggiungi una funzione

  2. Selezionare RSAT: Servizi di dominio Active Directory e strumenti Servizi Lightweight Directory

  3. Selezionare Installa

Oppure installa tramite PowerShellOr Install via PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Oppure installata tramite download

  1. Vai a https://www.microsoft.com/en-us/download/details.aspx?id=45520 (Collegamento Windows 10)

  2. Scaricare il programma di installazione di Strumenti di amministrazione remota del server per Windows 10

  3. Avviare il programma di installazione una volta completato il download

 

Eseguire il modulo PowerShell WHfBTools

Se nell'ambiente sono stati aggiunti ad Azure Active Directory o ad azure Active Directory ibridi dispositivi aggiunti, seguire i passaggi di Azure Active Directory per identificare e rimuovere le chiavi. Le rimozioni di chiavi in Azure verranno sincronizzate con Active Directory tramite Azure AD Connect.The key removals in Azure will sync to Active Directory through Azure AD Connect.

Se l'ambiente è solo locale, seguire i passaggi di Active Directory per identificare e rimuovere le chiavi.

Esecuzione di query per le chiavi orfane e le chiavi interessate da CVE-2017-15361 (ROCA)

Eseguire una query per le chiavi in Azure Active Directory usando il comando seguente:Query for keys in Azure Active Directory using the following command:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Questo comando eseguirà una query sul "contoso.com" per tutte le chiavi pubbliche di Windows Hello for Business registrate e leC:\AzureKeys.csv. Sostituirecontoso.comcon il nome del tenant per eseguire una query sul tenant.

L'output Csv,AzureKeys.csv, conterrà le seguenti informazioni per ogni chiave:

  • Nome dell'entità utente

  • Inquilino

  • Utilizzo

  • ID chiave

  • Ora creazione

  • Stato orfano

  • Supporta lo stato di notifica

  • Stato della vulnerabilità ROCA

Get-AzureADWHfBKeysverrà inoltre visualizzato un riepilogo delle chiavi su cui è stata eseguita una query. Questo riepilogo fornisce le seguenti informazioni:

  • Numero di utenti analizzati

  • Numero di tasti scansionati

  • Numero di utenti con chiavi

  • Numero di chiavi vulnerabili ROCA

Nota: Potrebbero essere presenti dispositivi non aggiornati nel tenant di Azure AD con le chiavi di Windows Hello for Business associate. Queste chiavi non verranno segnalate come orfane anche se tali dispositivi non vengono utilizzati attivamente. È consigliabile seguire procedura: Gestire i dispositivi non aggiornati in Azure AD per pulire i dispositivi non aggiornati prima di eseguire query per le chiavi orfane.

 

Eseguire una query per le chiavi in Active Directory utilizzando il comando seguente:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Questo comando eseguirà una query sul "contoso" per tutte le chiavi pubbliche di Windows Hello for Business registrate e leC:\ADKeys.csv. Sostituirecontoso con il tuo nome di dominio per interrogare il tuo dominio.

L'output Csv,ADKeys.csv, conterrà le seguenti informazioni per ogni chiave:

  • Dominio utente

  • Nome account SAM utente

  • Nome distinto utente

  • Versione chiave

  • ID chiave

  • Ora creazione

  • Materiale chiave

  • Fonte chiave

  • Utilizzo chiave

  • ID dispositivo chiave

  • Timestamp dell'ultimo accesso approssimativo

  • Ora di creazione

  • Informazioni chiave personalizzate

  • KeyLinkTargetDN (fotogramma)

  • Stato orfano

  • Stato della vulnerabilità ROCA

  • Valore KeyRawLDAPValue

Get-ADWHfBKeysverrà inoltre visualizzato un riepilogo delle chiavi su cui è stata eseguita una query. Questo riepilogo fornisce le seguenti informazioni:

  • Numero di utenti analizzati

  • Numero di utenti con chiavi

  • Numero di tasti scansionati

  • Numero di chiavi vulnerabili ROCA

  • Numero di chiavi orfane (se -SkipCheckForOrphanedKeys non specificato)

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×