概要
お客様が TPM の脆弱性の影響を受ける孤立した Windows Hello for Business (WHfB) キーを特定できるように、管理者が実行できる PowerShell モジュールを公開しました。 この記事では、ADV190026 で説明されている問題に対処する方法について説明します。 |「脆弱な TPM で生成され、Windows Hello for Business で使用される孤立したキーをクリーンアップするためのマイクロソフト ガイダンス」
重要: WHfBTools を使用して孤立したキーを削除する前に、ADV170012 のガイダンスに従って、脆弱な TPM のファームウェアを更新する必要があります。 このガイダンスに従わない場合、ファームウェアが更新されていないデバイスで生成される新しい WHfB キーは、引き続き CVE-2017-15361 (ROCA) の影響を受けます。
WHfBTools PowerShell モジュールをインストールする方法
次のコマンドを実行して、モジュールをインストールします。
WHfBTools PowerShell モジュールをインストールする |
PowerShell を介してインストールする PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools または PowerShell ギャラリーからダウンロードしてインストールする
PowerShell を起動し、次のコマンドをコピーして実行します。 PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
モジュールを使用するための依存関係をインストールします。
WHfBTools モジュールを使用するための依存関係をインストールする |
Azure Active Directory に対して孤立したキーのクエリを実行している場合は、MSAL.PS PowerShell モジュールをインストールします。 PowerShell を介してインストールする PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS または、PowerShell ギャラリーからダウンロードしてインストールします
PowerShell を起動し、次のコマンドをコピーして実行します。 PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Active Directory に対して孤立したキーのクエリを実行する場合は、リモート サーバー管理ツール (RSAT) をインストールします。 Active Directory ドメイン サービスおよびライトウェイト ディレクトリ サービス ツール 設定を介してインストールする (Windows 10 バージョン 1809 以降)
または PowerShell を介してインストールします PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 またはダウンロードを介してインストールします
|
WHfBTools PowerShell モジュールを実行します
ご使用の環境に Azure Active Directory に参加しているデバイスまたはハイブリッド Azure Active Directory に参加しているデバイスがある場合は、Azure Active Directory の手順に従ってキーを特定して削除します。 Azure 内でのキーの削除は、Azure AD Connect を介して Active Directory に同期されます。
ご使用の環境がオンプレミスのみの場合は、Active Directory の手順に従ってキーを特定して削除します。
CVE-2017-15361 (ROCA)の影響を受ける孤立したキーとキーのクエリを実行する |
次のコマンドを使用して、Azure Active Directory 内のキーのクエリを実行します。 PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv このコマンドは、"contoso.com" テナントに対し、すべての登録されている Windows Hello for Business 公開キーのクエリを実行し、その情報を C:\AzureKeys.csv に出力します。 contoso.com をテナント名で置き換え、テナントに対してクエリを実行します。 Csv 出力である、AzureKeys.csv には、 各キーに関する次の情報が含まれます。
Get-AzureADWHfBKeys は、クエリが実行されたキーの概要も出力します。 この概要では、次の情報が提供されます。
注: これらに関連付けられた Windows Hello for Business キーを持つ Azure AD テナントに、古くなったデバイスが存在することがあります。 これらのキーは、これらのデバイスがアクティブに使用されていない場合でも、孤立状態と報告されません。 次の操作手順を行うことをお勧めします。 孤立したキーのクエリを実行する前に、Azure AD の古くなったデバイスを管理して古くなったデバイスをクリーンアップします。
次のコマンドを使用して、Active Directory 内のキーのクエリを実行します。 PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv このコマンドは、"contoso" ドメインに対し、すべての登録されている Windows Hello for Business 公開キーのクエリを実行し、その情報を C:\ADKeys.csv に出力します。 contoso をドメイン名で置き換えて、ドメインに対してクエリを実行します。 Csv 出力である、ADKeys.csv には、各キーに関する次の情報が含まれます。
Get-ADWHfBKeys は、クエリが実行されたキーの概要も出力します。 この概要では、次の情報が提供されます。
注: Azure AD に参加しているデバイスを使用するハイブリッド環境があり、オンプレミス ドメインで "Get-ADWHfBKeys" を実行すると、孤立したキーの数が正確でないことがあります。 これは、Azure AD に参加しているデバイスが Active Directory に存在せず、Azure AD に参加しているデバイスに関連付けられているキーが孤立状態と表示されることがあるためです。 |
孤立した ROCA の脆弱なキーをディレクトリから削除します |
次の手順を使用して、Azure Active Directory のキーを削除します。
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKeys -Tenant contoso.com -Logging このコマンドは、孤立した ROCA の脆弱なキーの一覧をインポートし、 contoso.com テナントから削除します。 テナントからキーを削除するには、 contoso.com をテナント名で置き換えます。 注 : まだ孤立していない ROCA の脆弱な WHfB キーを削除すると、ユーザーが混乱します。 ディレクトリから削除する前に、これらのキーが孤立していることを確認する必要があります。
次の手順を使用して、Active Directory のキーを削除します。 注: ハイブリッド環境で Active Directory から孤立したキーを削除すると、Azure AD Connect 同期プロセスの一部としてキーが再作成されます。 ハイブリッド環境の場合は、Azure AD からのみキーを削除します。
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKeys -Logging このコマンドは、孤立した ROCA の脆弱なキーの一覧をインポートし、ドメインから削除します。 注: まだ孤立していない ROCA の脆弱な WHfB キーを削除すると、ユーザーが混乱します。 ディレクトリから削除する前に、これらのキーが孤立していることを確認する必要があります。 |