요약
고객이 TPM 취약성의 영향을 받는 분리된 WHfB(Windows Hello for Business) 키를 식별할 수 있도록 Microsoft는 관리자가 실행할 수 있는 PowerShell 모듈을 게시했습니다. 이 문서에서는 ADV190026 | “취약한 TPM에서 생성되어 Windows Hello for Business에 사용되는 분리된 키를 정리하는 방법에 대한 Microsoft 지침”에 설명되어 있는 문제 해결 방법에 대해 설명합니다.
중요 참고 분리된 키를 제거하기 위해 WHfBTools를 사용하기 전에 ADV170012의 지침에 따라 취약한 TPM의 펌웨어를 업데이트해야 합니다. 이 지침을 따르지 않으면 업데이트되지 않은 펌웨어가 있는 장치에서 생성된 새 WHfB 키가 계속해서 CVE-2017-15361 (ROCA)의 영향을 받습니다.
WHfBTools PowerShell 모듈을 설치하는 방법
다음 명령을 실행하여 모듈을 설치하십시오.
|
WHfBTools PowerShell 모듈 설치 |
|
PowerShell을 통한 설치 PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools 또는 PowerShell 갤러리에서 다운로드하여 설치
PowerShell을 시작하고 다음 명령을 복사하여 실행합니다. PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
모듈 사용에 대한 종속성을 설치합니다.
|
WHfBTools 모듈 사용에 대한 종속성 설치 |
|
분리된 키에 대해 Azure Active Directory를 쿼리하는 경우 MSAL.PS PowerShell 모듈을 설치합니다. PowerShell을 통한 설치 PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS 또는 PowerShell 갤러리에서 다운로드하여 설치.
PowerShell을 시작하고 다음 명령을 복사하여 실행합니다. PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 분리된 키에 대한 Active Directory를 쿼리하는 경우 RSAT(원격 서버 관리자 도구)를 설치합니다. Active Directory Domain Services 및 Lightweight Directory Services 도구 설정을 통해 설치(Windows 10, 버전 1809 이상)
또는 PowerShell을 통해 설치 PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 또는 다운로드를 통해 설치
|
WHfBTools PowerShell 모듈 실행
환경에 Azure Active Directory 가입 및 하이브리드 Azure Active Directory 가입 장치가 있는 경우 Azure Active Directory 단계를 수행하여 키를 식별하고 제거합니다. Azure의 키 제거는 Azure AD Connect를 통해 Active Directory에 동기화됩니다.
온-프레미스 전용 환경인 경우 Active Directory 단계를 수행하여 키를 식별하고 제거합니다.
|
분리된 키와 CVE-2017-15361(ROCA)에 의해 영향을 받은 키에 대한 쿼리 |
|
다음 명령을 사용하여 Azure Active Directory의 키를 쿼리합니다. PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv 이 명령은 등록된 모든 Windows Hello for Business 공개 키에 대한 "contoso.com" 테넌트를 쿼리하고 해당 정보를 C:\AzureKeys.csv로 출력합니다. contoso.com을 테넌트 이름으로 대체하여 테넌트를 쿼리합니다. CSC 출력 AzureKeys.csv는 각 키에 대한 다음 정보를 포함합니다.
Get-AzureADWHfBKeys 또한 쿼리된 키의 요약을 출력합니다. 이 요약은 다음 정보를 제공합니다.
참고 Azure AD 테넌트에는 부실 장치 및 이와 관련된 Windows Hello for Business 키가 있을 수 있습니다. 이러한 장치가 적극적으로 사용되지 않더라도 이러한 키는 분리된 것으로 보고되지 않습니다. 다음 방법을 권장해 드립니다. Azure AD에서 부실 장치 관리를 수행하여 분리된 키를 쿼리하기 전에 부실 장치를 정리하십시오.
다음 명령을 사용하여 Active Directory의 키를 쿼리합니다. PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv 이 명령은 등록된 모든 Windows Hello for Business 공개 키에 대해 "contoso" 도메인을 쿼리하여 해당 정보를 C:\ADKeys.csv로 출력합니다. 도메인을 쿼리하기 위해 contoso 를 도메인 이름으로 대체합니다. CSV 출력 ADKeys.csv은 각 키에 대한 다음 정보를 포함합니다.
Get-ADWHfBKeys 또한 쿼리된 키의 요약을 출력합니다. 이 요약은 다음 정보를 제공합니다.
참고: Azure AD 가입 장치로 하이브리드 환경이 있고 온-프레미스 도메인에서 "Get-ADWHfBKeys"를 실행하는 경우 분리된 키 수가 정확하지 않을 수 있습니다. Azure AD 가입 장치가 Active Directory에 없고 Azure AD 가입 장치와 연결된 키가 분리된 것으로 표시될 수 있기 때문입니다. |
|
디렉터리에서 분리된 ROCA 취약 키 제거 |
|
다음 단계를 수행하여 Azure Active Directory에서 키를 제거합니다.
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKeys -Tenant contoso.com -Logging 이 명령은 분리된 ROCA 취약 키 목록을 가져오고 contoso.com 테넌트에서 제거합니다. contoso.com 를 테넌트 이름으로 대체하여 테넌트에서 키를 제거합니다. 참 고 아직 분리되지 않은 ROCA 취약 WHfB 키를 삭제하면 사용자를 방해할 수 있습니다. 디렉터리에서 키를 제거하기 전에 분리된 키가 맞는지 확인하십시오.
다음 단계를 사용하여 Active Directory에서 키를 제거합니다. 참고 하이브리드 환경에서 Active Directory에서 분리된 키를 제거하면 Azure AD Connect 동기화 프로세스의 일부로 키가 다시 만들어집니다. 하이브리드 환경에 있는 경우 Azure AD에서만 키를 제거합니다.
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKeys -Logging 이 명령은 분리된 그리고 ROCA 취약 키 목록을 가져오고 도메인에서 이를 제거합니다. 참고 아직 분리되지 않은 ROCA 취약 WHfB 키를 삭제하면 사용자를 방해할 수 있습니다. 디렉터리에서 키를 제거하기 전에 분리된 키가 맞는지 확인하십시오. |
