Suvestinė

Norėdami padėti klientams nustatyti našlaičiai "Windows Hello" verslui (WHfB) raktus PAVEIKĖ TPM pažeidžiamumas, "Microsoft" išleido "PowerShell" modulį, kurį galima paleisti administratoriai. Šiame straipsnyje aiškinama, kaip spręsti ADV190026 aprašytą problemą | "Microsoft gairės valymo našlaičiai raktai sukurtas pažeidžiamas TPMs ir naudojami Windows Hello verslui."

Svarbi Pastaba Prieš naudojant whfbtools pašalinti našlaičiai raktus, ADV170012 orientavimo turėtų būti laikomasi atnaujinti bet pažeidžiamų tpms firmware. Jei šios rekomendacijos nebus laikomasi, visus naujus WHfB raktus generuoja įrenginyje su firmware, kad nebuvo atnaujintas vis tiek turės įtakos CVE-2017-15361 (Roca).

Kaip įdiegti "WHfBTools PowerShell" modulį

Įdiekite modulį vykdydami šias komandas:

Diegimas WHfBTools PowerShell modulis

Įdiekite per "PowerShell"

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Arba įdiegti naudojant atsisiųsti iš "PowerShell" galerija

  1. Eiti į https://www.powershellgallery.com/Packages/WHfBTools

  2. Atsisiųsti RAW. nupkg failą į vietinį aplanką ir pervardyti su. zip plėtiniu

  3. Išskleisti turinį į vietinį aplanką, pvz., C:\ADV190026

 

Paleiskite "PowerShell", nukopijuokite ir vykdykite šias komandas:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

Kaip naudoti modulį, įdiegti priklausomybes:

Priklausomybių diegimas naudojant "WHfBTools" modulį

Jei esate užklausoms Azure Active Directory našlaičiai raktus, įdiegti MSAL.PS PowerShell modulis

Įdiekite per "PowerShell"

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Arba įdiegti naudojant atsisiųsti iš "PowerShell" galerija

  1. Eikite į https://www.powershellgallery.com/Packages/MSAL.PS/4.5.1.1

  2. Atsisiųsti RAW. nupkg failą į vietinį aplanką ir pervardyti su. zip plėtiniu

  3. Išskleisti turinį į vietinį aplanką, pvz., C:\MSAL.PS

Paleiskite "PowerShell", nukopijuokite ir vykdykite šias komandas:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Jei esate užklausoms Active Directory našlaičiai raktus, įdiegti nuotolinio serverio administratoriaus įrankiai (RSAT): Active Directory domenų tarnyba ir Lightweight Directory tarnybos įrankiai

Įdiekite per parametrai ("Windows 10", versija 1809 arba naujesnė)

  1. Eikite į Parametrai-> programėlės-> papildomos funkcijos-> įtraukti funkciją

  2. Pasirinkite RSAT: Active Directory domenų tarnyba ir Lightweight Directory tarnybos įrankiai

  3. Pasirinkite diegti

Arba įdiegti per "PowerShell"

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Arba įdiegti per atsisiųsti

  1. Eiti į https://www.Microsoft.com/en-us/Download/details.aspx?id=45520 (Windows 10 nuoroda)

  2. Atsisiųsti nuotolinio serverio administravimo įrankiai Windows 10 Installer

  3. Paleiskite diegimo programą, kai atsisiuntimas bus baigtas

 

Paleiskite "WHfBTools PowerShell" modulį

Jei jūsų aplinkoje yra Azure Active Directory prisijungė arba Hibridinis Azure Active Directory prisijungė įrenginius, atlikite Azure Active Directory veiksmus, nustatyti ir pašalinti raktus. Raktas perkraustyti Azure bus sinchronizuoti su Active Directory Azure AD Connect.

Jei jūsų aplinka yra tik vietiniame kompiuteryje, vykdykite "Active Directory" veiksmus, kad nustatytumėte ir pašalintumėte klavišus.

Užklausoms dėl pirmosios vienišosios eilutės raktų ir raktų, paveiktų CVE-2017-15361 (Roca)

"Azure Active Directory" raktų užklausa naudojant šią komandą:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Ši komanda bus užklausa "contoso.com"nuomininkas visiems registruotiems" Windows Hello "verslui viešiesiems raktams ir išduos šią informacijąC:\AzureKeys.csv. Pakeisticontoso.comsu savo nuomotojo vardą užklausą savo nuomotojo.

CSV išvestis,AzureKeys.csv, bus pateikta tokia informacija apie kiekvieną klavišą:

  • Vartotojo pagrindinis vardas

  • Nuomininkas

  • Naudojimo

  • Rakto ID

  • Sukūrimo laikas

  • Pirmosios vienišosios eilutės būsena

  • Palaiko pranešti apie būseną

  • ROCA pažeidžiamumo būsena

Get-AzureADWHfBKeystaip pat išduos suabejojo raktų suvestinę. Šioje santraukoje pateikiama ši informacija:

  • Nuskaitytų vartotojų skaičius

  • Nuskaitytų klavišų skaičius

  • Naudotojų su raktais skaičius

  • ROCA jautrių klavišų skaičius

Pastaboje Gali būti seni įrenginiai jūsų Azure AD nuomotojo su Windows Hello verslo raktų, susijusių su jais. Šie klavišai nebus pranešama kaip našlaičiai, nors šie įrenginiai nėra aktyviai naudojami. Rekomenduojame taip , kaip: valdyti seni įrenginiai AZURE ad išvalyti seni įrenginiai prieš užklausoms dėl našlaičiais raktus.

 

"Active Directory" raktų užklausa naudojant šią komandą:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Ši komanda bus užklausa "contoso"domenas visiems registruotiems" Windows Hello ", skirta verslo viešiesiems raktams, ir išduos šią informacijąC:\ADKeys.csv. Pakeisticontoso su savo domeno pavadinimą į užklausą savo domeną.

CSV išvestis,ADKeys.csv, bus pateikta tokia informacija apie kiekvieną klavišą:

  • Vartotojo domenas

  • Vartotojo SAM abonemento pavadinimas

  • Vartotojo Išskirtinis vardas

  • Rakto versija

  • Rakto ID

  • Sukūrimo laikas

  • Pagrindinė medžiaga

  • Pagrindinis šaltinis

  • Rakto naudojimas

  • Rakto įrenginio ID

  • Apytikris paskutinio registravimosi laiko žyma

  • Sukūrimo laikas

  • Individualizuotos pagrindinės informacijos

  • KeyLinkTargetDN jungtis

  • Pirmosios vienišosios eilutės būsena

  • ROCA pažeidžiamumo būsena

  • "KeyRawLDAPValue"

Get-ADWHfBKeystaip pat išduos suabejojo raktų suvestinę. Šioje santraukoje pateikiama ši informacija:

  • Nuskaitytų vartotojų skaičius

  • Naudotojų su raktais skaičius

  • Nuskaitytų klavišų skaičius

  • ROCA jautrių klavišų skaičius

  • Vienišų klavišų skaičius (jei-SkipCheckForOrphanedKeys nenurodytas)

Pastaba: Jei turite hibridinę aplinką su Azure AD sujungtų įrenginių ir paleisti "Get-ADWHfBKeys" vietiniame domene, našlaičiai raktų skaičius gali būti netiksli. Taip yra todėl, kad Azure AD sujungti įrenginiai nėra Active Directory ir raktų, susijusių su Azure AD sujungtų įrenginių gali būti rodomi kaip našlaičiai.

 

Pašalinti našlaičiais, Roca pažeidžiami raktai iš katalogo

Pašalinkite raktus "Azure Active Directory" atlikdami šiuos veiksmus:

  1. Filtruoti našlaičiais ir rocavulnerable stulpeliusAzureKeys.csvį tikrąją

  2. Filtruoti rezultatus nukopijuokite į naują failą,C:\ROCAKeys.csv

  3. Norėdami panaikinti raktus, vykdykite šią komandą:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Ši komanda importuoja sąrašas našlaičiais, ROCA pažeidžiami raktai ir pašalina juos išcontoso.comNuomininkas. Pakeisticontoso.com su savo nuomotojo vardą pašalinti raktus iš savo nuomotojo.

N ote Jei ištrinsite Roca pažeidžiamas whfb raktus, kurie nėra našlaičiai dar, tai sukels sutrikimų jūsų vartotojams. Turėtumėte įsitikinti, kad šie raktai yra našlaičiai prieš pašalinant juos iš katalogo.

 

Pašalinti raktus "Active Directory", atlikdami šiuos veiksmus:

Pastaba pašalinti našlaičiai raktus iš Active Directory hibridinės aplinkos lems raktai bus atkurta kaip Azure AD Connect sinchronizavimo proceso dalis. Jei esate hibridinės aplinkos, pašalinti raktus tik iš Azure AD

  1. Filtruoti orphanedkEY ir rocavulnerable stulpeliusADKeys.csv į tikrąją

  2. Filtruoti rezultatus nukopijuokite į naują failą,C:\ROCAKeys.csv

  3. Norėdami panaikinti raktus, vykdykite šią komandą:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Ši komanda importuoja sąrašas našlaičiais, ROCA pažeidžiami raktai ir pašalina juos iš savo domeno.

Pastaba Jei ištrinsite Roca pažeidžiami whfb raktus, kurie nėra našlaičiai dar, tai sukels sutrikimų jūsų vartotojams. Turėtumėte įsitikinti, kad šie raktai yra našlaičiai prieš pašalinant juos iš katalogo.

 

Reikia daugiau pagalbos?

Tobulinkite savo įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijungti prie "Microsoft Insider"

Ar ši informacija buvo naudinga?

Ar esate patenkinti vertimo kokybe?
Kas turėjo įtakos jūsų patirčiai?

Dėkojame už jūsų atsiliepimus!

×