Utilizzo del modulo PowerShell WHfBTools per la pulizia delle chiavi di Windows Hello for Business orfane

Installazione del modulo PowerShell WHfBTools

Installare tramite PowerShellInstall via PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

In alternativa, eseguire l'installazione con un download da PowerShell Gallery

1. Vai a https://www.powershellgallery.com/packages/WHfBTools

2. Scaricare il file .nupkg non elaborato in una cartella locale e rinominarlo con estensione zip

3. Estrarre il contenuto in una cartella locale, ad esempio C:

Avviare PowerShell, copiare ed eseguire i comandi seguenti:Start PowerShell, copy and run the following commands:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

Installazione delle dipendenze per l'utilizzo del modulo WHfBTools

Se si esegue una query su Azure Active Directory per le chiavi orfane, installare il modulo MSAL.PS PowerShellIf you are querying Azure Active Directory for orphaned keys, install the MSAL.PS PowerShell module

Installare tramite PowerShellInstall via PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

In alternativa, eseguire l'installazione tramite un download da PowerShell Gallery

1. Vai a https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

2. Scaricare il file .nupkg non elaborato in una cartella locale e rinominarlo con estensione zip

3. Estrarre il contenuto in una cartella locale, ad esempio C:

Avviare PowerShell, copiare ed eseguire i comandi seguenti:Start PowerShell, copy and run the following commands:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Se si esegue una query in Active Directory per ottenere chiavi orfane, installare Strumenti di amministrazione remota del server (RSAT): Servizi di dominio Active Directory e strumenti Servizi Lightweight Directory

Installazione tramite Impostazioni (Windows 10, versione 1809 o successiva)

1. Vai a Impostazioni -> App -> Funzioni facoltative -> Aggiungi una funzione

2. Selezionare RSAT: Servizi di dominio Active Directory e strumenti Servizi Lightweight Directory

3. Selezionare Installa

Oppure installa tramite PowerShellOr Install via PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Oppure installata tramite download

1. Vai a https://www.microsoft.com/download/details.aspx?id=45520 (Collegamento Windows 10)

2. Scaricare il programma di installazione di Strumenti di amministrazione remota del server per Windows 10

3. Avviare il programma di installazione una volta completato il download

Esecuzione di query per le chiavi orfane e le chiavi interessate da CVE-2017-15361 (ROCA)

Eseguire una query per le chiavi in Azure Active Directory usando il comando seguente:Query for keys in Azure Active Directory using the following command:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Questo comando eseguirà una query sul "contoso.com" per tutte le chiavi pubbliche di Windows Hello for Business registrate e leC:\AzureKeys.csv. Sostituirecontoso.comcon il nome del tenant per eseguire una query sul tenant.

L'output Csv,AzureKeys.csv, conterrà le seguenti informazioni per ogni chiave:

• Nome dell'entità utente

• Inquilino

• Utilizzo

• ID chiave

• Ora creazione

• Stato orfano

• Supporta lo stato di notifica

• Stato della vulnerabilità ROCA

Get-AzureADWHfBKeysverrà inoltre visualizzato un riepilogo delle chiavi su cui è stata eseguita una query. Questo riepilogo fornisce le seguenti informazioni:

• Numero di utenti analizzati

• Numero di tasti scansionati

• Numero di utenti con chiavi

• Numero di chiavi vulnerabili ROCA

Nota: Potrebbero essere presenti dispositivi non aggiornati nel tenant di Azure AD con le chiavi di Windows Hello for Business associate. Queste chiavi non verranno segnalate come orfane anche se tali dispositivi non vengono utilizzati attivamente. È consigliabile seguire procedura: Gestire i dispositivi non aggiornati in Azure AD per pulire i dispositivi non aggiornati prima di eseguire query per le chiavi orfane.

Eseguire una query per le chiavi in Active Directory utilizzando il comando seguente:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Questo comando eseguirà una query sul "contoso" per tutte le chiavi pubbliche di Windows Hello for Business registrate e leC:\ADKeys.csv. Sostituirecontoso con il tuo nome di dominio per interrogare il tuo dominio.

L'output Csv,ADKeys.csv, conterrà le seguenti informazioni per ogni chiave:

• Dominio utente

• Nome account SAM utente

• Nome distinto utente

• Versione chiave

• ID chiave

• Ora creazione

• Materiale chiave

• Fonte chiave

• Utilizzo chiave

• ID dispositivo chiave

• Timestamp dell'ultimo accesso approssimativo

• Ora di creazione

• Informazioni chiave personalizzate

• KeyLinkTargetDN (fotogramma)

• Stato orfano

• Stato della vulnerabilità ROCA

• Valore KeyRawLDAPValue

Get-ADWHfBKeysverrà inoltre visualizzato un riepilogo delle chiavi su cui è stata eseguita una query. Questo riepilogo fornisce le seguenti informazioni:

• Numero di utenti analizzati

• Numero di utenti con chiavi

• Numero di tasti scansionati

• Numero di chiavi vulnerabili ROCA

• Numero di chiavi orfane (se -SkipCheckForOrphanedKeys non specificato)

Nota: Se si dispone di un ambiente ibrido con dispositivi aggiunti ad Azure AD ed eseguire "Get-ADWHfBKeys" nel dominio locale, il numero di chiavi orfane potrebbe non essere accurato. Ciò è dovuto al fatto che i dispositivi aggiunti ad Azure AD non sono presenti in Active Directory e le chiavi associate ai dispositivi aggiunti ad Azure AD potrebbero essere visualizzate come orfane.

Rimuovere le chiavi orfane e vulnerabili ROCA dalla directory

Rimuovere le chiavi in Azure Active Directory seguendo la procedura seguente:Remove keys in Azure Active Directory using the following steps:

1. Filtrare le colonne Orfani e RocaVulnerable diAzureKeys.csva true

2. Copiare i risultati filtrati in un nuovo file,C:\ROCAKeys.csv

3. Eseguire il comando seguente per eliminare le chiavi:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Questo comando importa l'elenco delle chiavi orfane e vulnerabili ROCA e le rimuovecontoso.comInquilino. Sostituirecontoso.com con il nome del tenant per rimuovere le chiavi dal tenant.

N ote Se elimini le chiavi WHfB vulnerabili ROCA che non sono ancora orfane, causerà interruzioni per gli utenti. È necessario assicurarsi che queste chiavi siano orfane prima di rimuoverle dalla directory.

Rimuovere le chiavi in Active Directory attenendosi alla seguenteprocedura:

Nota: La rimozione di chiavi orfane da Active Directory in ambienti ibridi comporterà la ricreazione delle chiavi come parte del processo di sincronizzazione di Azure AD Connect. Se ci si trova in un ambiente ibrido, rimuovere solo le chiavi da Azure ADIf you are in a hybrid environment, remove keys only from Azure AD

1. Filtrare le colonne OrphanedKey e ROCAVulnerable diADKeys.csv a true

2. Copiare i risultati filtrati in un nuovo file,C:\ROCAKeys.csv

3. Eseguire il comando seguente per eliminare le chiavi:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Questo comando importa l'elenco delle chiavi orfane e vulnerabili ROCA e le rimuove dal dominio.

Nota: Se si eliminano le chiavi WHfB vulnerabili ROCA che non sono ancora orfane, causerà interruzioni per gli utenti. È necessario assicurarsi che queste chiavi siano orfane prima di rimuoverle dalla directory.