Kopsavilkums
Lai palīdzētu klientiem identificēt savrupās Windows Hello uzņēmumiem (WHfB) atslēgas, ko ietekmē TPM ievainojamību, Microsoft ir publicējusi PowerShell modulis, ko var palaist administratori. Šajā rakstā ir paskaidrots, kā risināt ADV190026 aprakstīto problēmu | "Microsoft vadlīnijas tīrīšanai savrupās atslēgas ģenerē neaizsargāti TPMs un izmanto Windows Hello darbam."
Svarīga piezīme Pirms izmantot whfbtools noņemt savrupās atslēgas, biļetenā adv170012 norādījumi ir jāievēro, lai atjauninātu jebkuru neaizsargāto tpms programmaparatūru. Ja šīs norādes nav jāievēro, visas jaunās WHfB atslēgas ģenerē ierīces ar programmaparatūru, kas nav atjaunināts joprojām ietekmēs CVE-2017-15361 (Roca).
Kā uzstādīt WHfBTools PowerShell modulis
Instalējiet moduli, izpildot šādas komandas:
Instalēšana WHfBTools PowerShell modulis |
Instalēt, izmantojot PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Vai instalēt, izmantojot lejupielādi no PowerShell galerijas
Sākt PowerShell, kopēt un palaist šādas komandas: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Instalēt atkarības moduļa izmantošanai:
Instalēt atkarības, izmantojot moduli WHfBTools |
Ja vaicājot Azure Active Directory savrupās atslēgas, instalējiet MSAL.PS PowerShell modulis Instalēt, izmantojot PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Vai instalēt, izmantojot lejupielādi no PowerShell galerijas
Sākt PowerShell, kopēt un palaist šādas komandas: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Ja esat vaicājot Active Directory savrupās atslēgas, instalējiet attālā servera administratora rīki (RSAT): domēna pakalpojumā Active Directory un direktoriju vieglpiekļuves pakalpojumam rīki Instalēšana, izmantojot iestatījumus (Windows 10, versija 1809 vai jaunāka)
Vai instalēt, izmantojot PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Vai instalēt, izmantojot lejupielādes
|
Palaidiet WHfBTools PowerShell moduli
Ja jūsu vide ir Azure Active Directory pievienojās vai hibrīda Azure Active Directory pievienojās ierīces, izpildiet Azure Active Directory darbības, lai identificētu un noņemtu atslēgas. Atslēgu noņemšana Azure sinhronizēs ar Active Directory, izmantojot Azure AD savienojumu.
Ja jūsu vide ir tikai lokāli, izpildiet Active Directory darbības, lai identificētu un noņemtu atslēgas.
Vaicājumu par savrupās atslēgas un atslēgas , ko ietekmē CVE-2017-15361 (Roca) |
Azure Active Directory atslēgu vaicājumu, izmantojot šādu komandu: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Šī komanda vaicās "contoso.com"nomnieks visiem reģistrētajiem Windows Hello biznesa publiskās atslēgas un izvadīs šo informācijuC:\AzureKeys.csv. Aizstātcontoso.comar savu nomnieka nosaukumu, lai vaicātu jūsu nomniekam. CSV izvadi,AzureKeys.csv, tiks ietverta šāda informācija par katru taustiņu:
Get-AzureADWHfBKeystiks izvadīts arī kopsavilkums par atslēgām, kas tika apšaubītu. Šajā kopsavilkumā ir sniegta šāda informācija:
Ņemiet vērā Var būt novecojuši ierīces Azure AD nomnieka ar Windows Hello biznesa atslēgas, kas saistītas ar tiem. Šie taustiņi netiks uzrādīta kā savrupās pat tad, ja šīs ierīces netiek aktīvi izmantots. Mēs iesakām pēc kā: pārvaldīt novecojuši ierīces AZURE ad tīrīt novecojuši ierīces pirms vaicājot savrupās atslēgas.
Active Directory atslēgu vaicājumu, izmantojot šādu komandu: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Šī komanda vaicās "contoso"domēns visiem reģistrētajiem Windows Hello biznesa publiskās atslēgas un izvadīs šo informācijuC:\ADKeys.csv. Aizstātcontoso ar jūsu domēna nosaukumu Query jūsu domēnu. CSV izvadi,ADKeys.csv, tiks ietverta šāda informācija par katru taustiņu:
Get-ADWHfBKeystiks izvadīts arī kopsavilkums par atslēgām, kas tika apšaubītu. Šajā kopsavilkumā ir sniegta šāda informācija:
Piezīme: Ja jums ir hibrīds vidē ar Azure AD pievienojās ierīces un palaist "get-ADWHfBKeys" lokālajā domēnā, savrupās atslēgas skaits var nebūt precīza. Tas ir tādēļ, ka Azure AD pievienojās ierīces nav Active Directory un atslēgas, kas saistītas ar Azure AD pievienojās ierīces var parādīt kā savrupās. |
Noņemtu savrupās, Roca neaizsargātās atslēgas no direktorija |
Noņemt atslēgas Azure Active Directory, veicot šādas darbības:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Šī komanda importē savrupās, roka neaizsargātās atslēgas un noņem tās nocontoso.comĪrnieks. Aizstātcontoso.com ar savu nomnieka nosaukumu, lai noņemtu atslēgas no Nomnieka. N OTE dzēšot Roca neaizsargāti whfb atslēgas, kas nav atstājis vēl, tas radīs traucējumus lietotājiem. Pirms noņemat tos no direktorija, ir jānodrošina, ka šīs atslēgas ir savrupās.
Noņemt atslēgas Active Directory, veicot šādas darbības: Piezīme noņemot savrupās atslēgas no Active Directory hibrīds vidē radīs atslēgas tiek atkārtoti kā daļa no Azure ad savienojumu sinhronizācijas procesu. Ja jums ir hibrīds vidē, noņemt atslēgas tikai no Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Šī komanda importē savrupās, ROCA neaizsargātu atslēgu sarakstu un noņem tos no jūsu domēna. Piezīme Ja izdzēšat Roca neaizsargāti whfb atslēgas, kas nav atstājis vēl, tas radīs traucējumus lietotājiem. Pirms noņemat tos no direktorija, ir jānodrošina, ka šīs atslēgas ir savrupās. |