Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

Kopsavilkums

Lai palīdzētu klientiem identificēt savrupās Windows Hello uzņēmumiem (WHfB) atslēgas, ko ietekmē TPM ievainojamību, Microsoft ir publicējusi PowerShell modulis, ko var palaist administratori. Šajā rakstā ir paskaidrots, kā risināt ADV190026 aprakstīto problēmu | "Microsoft vadlīnijas tīrīšanai savrupās atslēgas ģenerē neaizsargāti TPMs un izmanto Windows Hello darbam."

Svarīga piezīme Pirms izmantot whfbtools noņemt savrupās atslēgas, biļetenā adv170012 norādījumi ir jāievēro, lai atjauninātu jebkuru neaizsargāto tpms programmaparatūru. Ja šīs norādes nav jāievēro, visas jaunās WHfB atslēgas ģenerē ierīces ar programmaparatūru, kas nav atjaunināts joprojām ietekmēs CVE-2017-15361 (Roca).

Kā uzstādīt WHfBTools PowerShell modulis

Instalējiet moduli, izpildot šādas komandas:

Instalēšana WHfBTools PowerShell modulis

Instalēt, izmantojot PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Vai instalēt, izmantojot lejupielādi no PowerShell galerijas

  1. Dodieties uz https://www.powershellgallery.com/Packages/WHfBTools

  2. Lejupielādējiet RAW. nupkg failu lokālajā mapē un pārdēvējiet ar paplašinājumu. zip

  3. Izvērst saturu uz lokālo mapi, piemēram, C:\ADV190026

 

Sākt PowerShell, kopēt un palaist šādas komandas:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

Instalēt atkarības moduļa izmantošanai:

Instalēt atkarības, izmantojot moduli WHfBTools

Ja vaicājot Azure Active Directory savrupās atslēgas, instalējiet MSAL.PS PowerShell modulis

Instalēt, izmantojot PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Vai instalēt, izmantojot lejupielādi no PowerShell galerijas

  1. Dodieties uz https://www.powershellgallery.com/Packages/MSAL.PS/4.5.1.1

  2. Lejupielādējiet RAW. nupkg failu lokālajā mapē un pārdēvējiet ar paplašinājumu. zip

  3. Izvērst saturu uz lokālo mapi, piemēram, C:\MSAL.PS

Sākt PowerShell, kopēt un palaist šādas komandas:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Ja esat vaicājot Active Directory savrupās atslēgas, instalējiet attālā servera administratora rīki (RSAT): domēna pakalpojumā Active Directory un direktoriju vieglpiekļuves pakalpojumam rīki

Instalēšana, izmantojot iestatījumus (Windows 10, versija 1809 vai jaunāka)

  1. Dodieties uz Settings-> apps-> papildu funkcijas-> pievienot līdzekli

  2. Atlasiet RSAT: domēna pakalpojumā Active Directory un direktoriju vieglpiekļuves pakalpojumam rīki

  3. Atlasiet instalēt

Vai instalēt, izmantojot PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Vai instalēt, izmantojot lejupielādes

  1. Dodieties uz https://www.Microsoft.com/en-us/Download/details.aspx?id=45520 (Windows 10 saite)

  2. Lejupielādēt Windows 10 Installer attālā servera administrēšanas rīki

  3. Kad lejupielāde ir pabeigta, palaidiet instalēšanas programmu

 

Palaidiet WHfBTools PowerShell moduli

Ja jūsu vide ir Azure Active Directory pievienojās vai hibrīda Azure Active Directory pievienojās ierīces, izpildiet Azure Active Directory darbības, lai identificētu un noņemtu atslēgas. Atslēgu noņemšana Azure sinhronizēs ar Active Directory, izmantojot Azure AD savienojumu.

Ja jūsu vide ir tikai lokāli, izpildiet Active Directory darbības, lai identificētu un noņemtu atslēgas.

Vaicājumu par savrupās atslēgas un atslēgas , ko ietekmē CVE-2017-15361 (Roca)

Azure Active Directory atslēgu vaicājumu, izmantojot šādu komandu:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Šī komanda vaicās "contoso.com"nomnieks visiem reģistrētajiem Windows Hello biznesa publiskās atslēgas un izvadīs šo informācijuC:\AzureKeys.csv. Aizstātcontoso.comar savu nomnieka nosaukumu, lai vaicātu jūsu nomniekam.

CSV izvadi,AzureKeys.csv, tiks ietverta šāda informācija par katru taustiņu:

  • Lietotāja pamatnosaukums

  • Īrnieks

  • Lietošanas

  • Atslēgas ID

  • Izveides laiks

  • Savrupās statuss

  • Atbalsta paziņošanas statusu

  • ROCA neaizsargātības statuss

Get-AzureADWHfBKeystiks izvadīts arī kopsavilkums par atslēgām, kas tika apšaubītu. Šajā kopsavilkumā ir sniegta šāda informācija:

  • Skenēto lietotāju skaits

  • Skenēto taustiņu skaits

  • Lietotāju skaits ar atslēgām

  • ROCA neaizsargāto atslēgu skaits

Ņemiet vērā Var būt novecojuši ierīces Azure AD nomnieka ar Windows Hello biznesa atslēgas, kas saistītas ar tiem. Šie taustiņi netiks uzrādīta kā savrupās pat tad, ja šīs ierīces netiek aktīvi izmantots. Mēs iesakām pēc kā: pārvaldīt novecojuši ierīces AZURE ad tīrīt novecojuši ierīces pirms vaicājot savrupās atslēgas.

 

Active Directory atslēgu vaicājumu, izmantojot šādu komandu:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Šī komanda vaicās "contoso"domēns visiem reģistrētajiem Windows Hello biznesa publiskās atslēgas un izvadīs šo informācijuC:\ADKeys.csv. Aizstātcontoso ar jūsu domēna nosaukumu Query jūsu domēnu.

CSV izvadi,ADKeys.csv, tiks ietverta šāda informācija par katru taustiņu:

  • Lietotāja domēns

  • Lietotāja SAM konta nosaukums

  • Lietotāja Atšķirams nosaukums

  • Key Version

  • Atslēgas ID

  • Izveides laiks

  • Atslēgas materiāls

  • Atslēgas avots

  • Atslēgu lietojums

  • Atslēgas ierīces ID

  • Aptuvenais pēdējās pieteikšanās laikspiedols

  • Izveides laiks

  • Pielāgota atslēgas informācija

  • KeyLinkTargetDN

  • Savrupās statuss

  • ROCA neaizsargātības statuss

  • KeyRawLDAPValue

Get-ADWHfBKeystiks izvadīts arī kopsavilkums par atslēgām, kas tika apšaubītu. Šajā kopsavilkumā ir sniegta šāda informācija:

  • Skenēto lietotāju skaits

  • Lietotāju skaits ar atslēgām

  • Skenēto taustiņu skaits

  • ROCA neaizsargāto atslēgu skaits

  • Savrupās atslēgas skaits (ja-SkipCheckForOrphanedKeys nav norādīts)

Piezīme: Ja jums ir hibrīds vidē ar Azure AD pievienojās ierīces un palaist "get-ADWHfBKeys" lokālajā domēnā, savrupās atslēgas skaits var nebūt precīza. Tas ir tādēļ, ka Azure AD pievienojās ierīces nav Active Directory un atslēgas, kas saistītas ar Azure AD pievienojās ierīces var parādīt kā savrupās.

 

Noņemtu savrupās, Roca neaizsargātās atslēgas no direktorija

Noņemt atslēgas Azure Active Directory, veicot šādas darbības:

  1. Filtrētu savrupās un rocavulnerable kolonnasAzureKeys.csvuz True

  2. Kopējiet filtrētos rezultātus jaunā failā,C:\ROCAKeys.csv

  3. Palaidiet tālāk minēto komandu, lai izdzēstu atslēgas:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Šī komanda importē savrupās, roka neaizsargātās atslēgas un noņem tās nocontoso.comĪrnieks. Aizstātcontoso.com ar savu nomnieka nosaukumu, lai noņemtu atslēgas no Nomnieka.

N OTE dzēšot Roca neaizsargāti whfb atslēgas, kas nav atstājis vēl, tas radīs traucējumus lietotājiem. Pirms noņemat tos no direktorija, ir jānodrošina, ka šīs atslēgas ir savrupās.

 

Noņemt atslēgas Active Directory, veicot šādas darbības:

Piezīme noņemot savrupās atslēgas no Active Directory hibrīds vidē radīs atslēgas tiek atkārtoti kā daļa no Azure ad savienojumu sinhronizācijas procesu. Ja jums ir hibrīds vidē, noņemt atslēgas tikai no Azure AD

  1. Filtrēt bāreņa un rocavulnerable kolonnasADKeys.csv uz True

  2. Kopējiet filtrētos rezultātus jaunā failā,C:\ROCAKeys.csv

  3. Palaidiet tālāk minēto komandu, lai izdzēstu atslēgas:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Šī komanda importē savrupās, ROCA neaizsargātu atslēgu sarakstu un noņem tos no jūsu domēna.

Piezīme Ja izdzēšat Roca neaizsargāti whfb atslēgas, kas nav atstājis vēl, tas radīs traucējumus lietotājiem. Pirms noņemat tos no direktorija, ir jānodrošina, ka šīs atslēgas ir savrupās.

 

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×