Riepilogo
Per consentire ai clienti di identificare le chiavi orfane di Windows Hello for Business (WHfB) interessate da una vulnerabilità TPM, Microsoft ha pubblicato un modulo di PowerShell che può essere eseguito dagli amministratori. In questo articolo viene illustrato come risolvere il problema descritto in ADV190026 . "Guida Microsoft per la pulizia delle chiavi orfane generate su TPM vulnerabili e utilizzate per Windows Hello for Business."
Nota importante Prima di utilizzare WHfBTools per rimuovere le chiavi orfane, è necessario seguire le indicazioni in ADV170012 per aggiornare il firmware di eventuali TPM vulnerabili. Se questa guida non viene seguita, tutte le nuove chiavi WHfB generate su un dispositivo con firmware che non è stato aggiornato saranno comunque interessate da CVE-2017-15361 (ROCA).
Come installare il modulo PowerShell WHfBTools
Installare il modulo eseguendo i seguenti comandi:
Installazione del modulo PowerShell WHfBTools |
Installare tramite PowerShellInstall via PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools In alternativa, eseguire l'installazione con un download da PowerShell Gallery
Avviare PowerShell, copiare ed eseguire i comandi seguenti:Start PowerShell, copy and run the following commands: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Installare le dipendenze per l'utilizzo del modulo:
Installazione delle dipendenze per l'utilizzo del modulo WHfBTools |
Se si esegue una query su Azure Active Directory per le chiavi orfane, installare il modulo MSAL.PS PowerShellIf you are querying Azure Active Directory for orphaned keys, install the MSAL.PS PowerShell module Installare tramite PowerShellInstall via PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS In alternativa, eseguire l'installazione tramite un download da PowerShell Gallery
Avviare PowerShell, copiare ed eseguire i comandi seguenti:Start PowerShell, copy and run the following commands: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Se si esegue una query in Active Directory per ottenere chiavi orfane, installare Strumenti di amministrazione remota del server (RSAT): Servizi di dominio Active Directory e strumenti Servizi Lightweight Directory Installazione tramite Impostazioni (Windows 10, versione 1809 o successiva)
Oppure installa tramite PowerShellOr Install via PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Oppure installata tramite download
|
Eseguire il modulo PowerShell WHfBTools
Se nell'ambiente sono stati aggiunti ad Azure Active Directory o ad azure Active Directory ibridi dispositivi aggiunti, seguire i passaggi di Azure Active Directory per identificare e rimuovere le chiavi. Le rimozioni di chiavi in Azure verranno sincronizzate con Active Directory tramite Azure AD Connect.The key removals in Azure will sync to Active Directory through Azure AD Connect.
Se l'ambiente è solo locale, seguire i passaggi di Active Directory per identificare e rimuovere le chiavi.
Esecuzione di query per le chiavi orfane e le chiavi interessate da CVE-2017-15361 (ROCA) |
Eseguire una query per le chiavi in Azure Active Directory usando il comando seguente:Query for keys in Azure Active Directory using the following command: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Questo comando eseguirà una query sul "contoso.com" per tutte le chiavi pubbliche di Windows Hello for Business registrate e leC:\AzureKeys.csv. Sostituirecontoso.comcon il nome del tenant per eseguire una query sul tenant. L'output Csv,AzureKeys.csv, conterrà le seguenti informazioni per ogni chiave:
Get-AzureADWHfBKeysverrà inoltre visualizzato un riepilogo delle chiavi su cui è stata eseguita una query. Questo riepilogo fornisce le seguenti informazioni:
Nota: Potrebbero essere presenti dispositivi non aggiornati nel tenant di Azure AD con le chiavi di Windows Hello for Business associate. Queste chiavi non verranno segnalate come orfane anche se tali dispositivi non vengono utilizzati attivamente. È consigliabile seguire procedura: Gestire i dispositivi non aggiornati in Azure AD per pulire i dispositivi non aggiornati prima di eseguire query per le chiavi orfane.
Eseguire una query per le chiavi in Active Directory utilizzando il comando seguente: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Questo comando eseguirà una query sul "contoso" per tutte le chiavi pubbliche di Windows Hello for Business registrate e leC:\ADKeys.csv. Sostituirecontoso con il tuo nome di dominio per interrogare il tuo dominio. L'output Csv,ADKeys.csv, conterrà le seguenti informazioni per ogni chiave:
Get-ADWHfBKeysverrà inoltre visualizzato un riepilogo delle chiavi su cui è stata eseguita una query. Questo riepilogo fornisce le seguenti informazioni:
Nota: Se si dispone di un ambiente ibrido con dispositivi aggiunti ad Azure AD ed eseguire "Get-ADWHfBKeys" nel dominio locale, il numero di chiavi orfane potrebbe non essere accurato. Ciò è dovuto al fatto che i dispositivi aggiunti ad Azure AD non sono presenti in Active Directory e le chiavi associate ai dispositivi aggiunti ad Azure AD potrebbero essere visualizzate come orfane. |
Rimuovere le chiavi orfane e vulnerabili ROCA dalla directory |
Rimuovere le chiavi in Azure Active Directory seguendo la procedura seguente:Remove keys in Azure Active Directory using the following steps:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Questo comando importa l'elenco delle chiavi orfane e vulnerabili ROCA e le rimuovecontoso.comInquilino. Sostituirecontoso.com con il nome del tenant per rimuovere le chiavi dal tenant. N ote Se elimini le chiavi WHfB vulnerabili ROCA che non sono ancora orfane, causerà interruzioni per gli utenti. È necessario assicurarsi che queste chiavi siano orfane prima di rimuoverle dalla directory.
Rimuovere le chiavi in Active Directory attenendosi alla seguenteprocedura: Nota: La rimozione di chiavi orfane da Active Directory in ambienti ibridi comporterà la ricreazione delle chiavi come parte del processo di sincronizzazione di Azure AD Connect. Se ci si trova in un ambiente ibrido, rimuovere solo le chiavi da Azure ADIf you are in a hybrid environment, remove keys only from Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Questo comando importa l'elenco delle chiavi orfane e vulnerabili ROCA e le rimuove dal dominio. Nota: Se si eliminano le chiavi WHfB vulnerabili ROCA che non sono ancora orfane, causerà interruzioni per gli utenti. È necessario assicurarsi che queste chiavi siano orfane prima di rimuoverle dalla directory. |