Suvestinė
Norėdami padėti klientams nustatyti našlaičiai "Windows Hello" verslui (WHfB) raktus PAVEIKĖ TPM pažeidžiamumas, "Microsoft" išleido "PowerShell" modulį, kurį galima paleisti administratoriai. Šiame straipsnyje aiškinama, kaip spręsti ADV190026 aprašytą problemą | "Microsoft gairės valymo našlaičiai raktai sukurtas pažeidžiamas TPMs ir naudojami Windows Hello verslui."
Svarbi Pastaba Prieš naudojant whfbtools pašalinti našlaičiai raktus, ADV170012 orientavimo turėtų būti laikomasi atnaujinti bet pažeidžiamų tpms firmware. Jei šios rekomendacijos nebus laikomasi, visus naujus WHfB raktus generuoja įrenginyje su firmware, kad nebuvo atnaujintas vis tiek turės įtakos CVE-2017-15361 (Roca).
Kaip įdiegti "WHfBTools PowerShell" modulį
Įdiekite modulį vykdydami šias komandas:
Diegimas WHfBTools PowerShell modulis |
Įdiekite per "PowerShell" PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Arba įdiegti naudojant atsisiųsti iš "PowerShell" galerija
Paleiskite "PowerShell", nukopijuokite ir vykdykite šias komandas: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Kaip naudoti modulį, įdiegti priklausomybes:
Priklausomybių diegimas naudojant "WHfBTools" modulį |
Jei esate užklausoms Azure Active Directory našlaičiai raktus, įdiegti MSAL.PS PowerShell modulis Įdiekite per "PowerShell" PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Arba įdiegti naudojant atsisiųsti iš "PowerShell" galerija
Paleiskite "PowerShell", nukopijuokite ir vykdykite šias komandas: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Jei esate užklausoms Active Directory našlaičiai raktus, įdiegti nuotolinio serverio administratoriaus įrankiai (RSAT): Active Directory domenų tarnyba ir Lightweight Directory tarnybos įrankiai Įdiekite per parametrai ("Windows 10", versija 1809 arba naujesnė)
Arba įdiegti per "PowerShell" PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Arba įdiegti per atsisiųsti
|
Paleiskite "WHfBTools PowerShell" modulį
Jei jūsų aplinkoje yra Azure Active Directory prisijungė arba Hibridinis Azure Active Directory prisijungė įrenginius, atlikite Azure Active Directory veiksmus, nustatyti ir pašalinti raktus. Raktas perkraustyti Azure bus sinchronizuoti su Active Directory Azure AD Connect.
Jei jūsų aplinka yra tik vietiniame kompiuteryje, vykdykite "Active Directory" veiksmus, kad nustatytumėte ir pašalintumėte klavišus.
Užklausoms dėl pirmosios vienišosios eilutės raktų ir raktų, paveiktų CVE-2017-15361 (Roca) |
"Azure Active Directory" raktų užklausa naudojant šią komandą: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Ši komanda bus užklausa "contoso.com"nuomininkas visiems registruotiems" Windows Hello "verslui viešiesiems raktams ir išduos šią informacijąC:\AzureKeys.csv. Pakeisticontoso.comsu savo nuomotojo vardą užklausą savo nuomotojo. CSV išvestis,AzureKeys.csv, bus pateikta tokia informacija apie kiekvieną klavišą:
Get-AzureADWHfBKeystaip pat išduos suabejojo raktų suvestinę. Šioje santraukoje pateikiama ši informacija:
Pastaboje Gali būti seni įrenginiai jūsų Azure AD nuomotojo su Windows Hello verslo raktų, susijusių su jais. Šie klavišai nebus pranešama kaip našlaičiai, nors šie įrenginiai nėra aktyviai naudojami. Rekomenduojame taip , kaip: valdyti seni įrenginiai AZURE ad išvalyti seni įrenginiai prieš užklausoms dėl našlaičiais raktus.
"Active Directory" raktų užklausa naudojant šią komandą: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Ši komanda bus užklausa "contoso"domenas visiems registruotiems" Windows Hello ", skirta verslo viešiesiems raktams, ir išduos šią informacijąC:\ADKeys.csv. Pakeisticontoso su savo domeno pavadinimą į užklausą savo domeną. CSV išvestis,ADKeys.csv, bus pateikta tokia informacija apie kiekvieną klavišą:
Get-ADWHfBKeystaip pat išduos suabejojo raktų suvestinę. Šioje santraukoje pateikiama ši informacija:
Pastaba: Jei turite hibridinę aplinką su Azure AD sujungtų įrenginių ir paleisti "Get-ADWHfBKeys" vietiniame domene, našlaičiai raktų skaičius gali būti netiksli. Taip yra todėl, kad Azure AD sujungti įrenginiai nėra Active Directory ir raktų, susijusių su Azure AD sujungtų įrenginių gali būti rodomi kaip našlaičiai. |
Pašalinti našlaičiais, Roca pažeidžiami raktai iš katalogo |
Pašalinkite raktus "Azure Active Directory" atlikdami šiuos veiksmus:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Ši komanda importuoja sąrašas našlaičiais, ROCA pažeidžiami raktai ir pašalina juos išcontoso.comNuomininkas. Pakeisticontoso.com su savo nuomotojo vardą pašalinti raktus iš savo nuomotojo. N ote Jei ištrinsite Roca pažeidžiamas whfb raktus, kurie nėra našlaičiai dar, tai sukels sutrikimų jūsų vartotojams. Turėtumėte įsitikinti, kad šie raktai yra našlaičiai prieš pašalinant juos iš katalogo.
Pašalinti raktus "Active Directory", atlikdami šiuos veiksmus: Pastaba pašalinti našlaičiai raktus iš Active Directory hibridinės aplinkos lems raktai bus atkurta kaip Azure AD Connect sinchronizavimo proceso dalis. Jei esate hibridinės aplinkos, pašalinti raktus tik iš Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Ši komanda importuoja sąrašas našlaičiais, ROCA pažeidžiami raktai ir pašalina juos iš savo domeno. Pastaba Jei ištrinsite Roca pažeidžiami whfb raktus, kurie nėra našlaičiai dar, tai sukels sutrikimų jūsų vartotojams. Turėtumėte įsitikinti, kad šie raktai yra našlaičiai prieš pašalinant juos iš katalogo. |