Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Samenvatting

Om klanten te helpen bij het identificeren van zwevende Windows hello voor bedrijven (WHfB) sleutels die worden beïnvloed door een TPM-beveiligingslek, heeft Microsoft een PowerShell-module die kan worden uitgevoerd door beheerders gepubliceerd. In dit artikel wordt uitgelegd hoe u het probleem dat wordt beschreven in ADV190026 | "Microsoft richtlijnen voor het opschonen van zwevende sleutels die zijn gegenereerd op kwetsbare TPMs en gebruikt voor Windows hello voor bedrijven."

Belangrijke opmerking Voordat u whfbtools gebruiken om zwevende sleutels te verwijderen, moeten de richtlijnen in ADV170012 worden gevolgd om de firmware van eventuele kwetsbare TPMS bij te werken. Als deze richtlijnen niet worden opgevolgd, worden nieuwe WHfB-sleutels die zijn gegenereerd op een apparaat met firmware die niet is bijgewerkt, nog steeds beïnvloed door CVE-2017-15361 (Roca).

Het installeren van de WHfBTools PowerShell-module

Installeer de module door de volgende opdrachten uit te voeren:

WHfBTools PowerShell-module installeren

Installeren via PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Of installeren met behulp van een download van PowerShell Gallery

  1. Ga naar https://www.powershellgallery.com/packages/WHfBTools

  2. Download het bestand RAW. nupkg naar een lokale map en wijzig de naam met de extensie. zip

  3. Pak de inhoud uit in een lokale map, bijvoorbeeld C:\ADV190026

 

Start PowerShell, kopieer en voer de volgende opdrachten uit:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

Afhankelijkheden voor het gebruik van de module installeren:

Afhankelijkheden installeren voor het gebruik van de module WHfBTools

Als u Azure Active Directory voor zwevende sleutels opvragen, installeert u de MSAL.PS PowerShell-module

Installeren via PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Of installeren met behulp van een download van PowerShell Gallery

  1. Ga naar https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

  2. Download het bestand RAW. nupkg naar een lokale map en wijzig de naam met de extensie. zip

  3. Pak de inhoud uit in een lokale map, bijvoorbeeld C:\MSAL.PS

Start PowerShell, kopieer en voer de volgende opdrachten uit:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Als u een query uitvoert op Active Directory voor zwevende sleutels, moet u de Remote Server Administrator tools (RSAT) installeren: Active Directory Domain Services en Lightweight Directory Services tools

Installeren via instellingen (Windows 10, versie 1809 of hoger)

  1. Ga naar instellingen-> apps-> optionele functies-> een functie toevoegen

  2. Selecteer RSAT: Active Directory Domain Services en Lightweight Directory Services tools

  3. Selecteer installeren

Of installeren via PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Of installeren via download

  1. Ga naar https://www.Microsoft.com/en-us/Download/Details.aspx?id=45520 (Windows 10 link)

  2. Download de Remote Server Administration Tools voor Windows 10 Installer

  3. Start het installatieprogramma zodra het downloaden is voltooid

 

Voer de WHfBTools PowerShell-module

Als uw omgeving Azure Active Directory toegevoegd of hybride Azure Active Directory gekoppelde apparaten heeft, volgt u de stappen van Azure Active Directory om te identificeren en verwijderen van sleutels. De sleutel verwijderingen in azure wordt gesynchroniseerd met Active Directory via Azure AD Connect.

Als uw omgeving alleen on-premises is, volgt u de stappen van Active Directory voor het identificeren en verwijderen van sleutels.

Uitvoeren van query's voor zwevende sleutels en sleutels beïnvloed door CVE-2017-15361 (Roca)

Query voor sleutels in azure Active Directory met de volgende opdracht:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Met deze opdracht wordt de "contoso.com"Tenant voor alle geregistreerde Windows hello voor zakelijke openbare sleutels en zal deze informatie uitvoeren omC:\AzureKeys.csv. Vervangencontoso.commet de naam van uw Tenant voor het opvragen van uw Tenant.

De CSV-uitvoer,AzureKeys.csv, zal voor elke sleutel de volgende informatie bevatten:

  • Principal-naam van gebruiker

  • Huurder

  • Gebruik

  • Sleutel-ID

  • Aanmaaktijd

  • Zwevende status

  • Ondersteunt notify-status

  • ROCA kwetsbaarheid status

Get-AzureADWHfBKeyswordt ook een samenvatting van de sleutels die zijn opgevraagd uitgevoerd. Deze samenvatting bevat de volgende informatie:

  • Aantal gescande gebruikers

  • Aantal gescande toetsen

  • Aantal gebruikers met sleutels

  • Aantal in ROCA kwetsbare toetsen

Opmerking Mogelijk zijn er verouderde apparaten in uw Azure AD-Tenant met Windows hello voor Business sleutels die zijn gekoppeld aan deze. Deze sleutels worden niet als zwevend gerapporteerd, ook al worden deze apparaten niet actief gebruikt. Het is raadzaam volgende procedure: verouderde apparaten beheren in azure AD voor het opschonen van verouderde apparaten voordat u query's voor zwevende sleutels.

 

Query voor sleutels in Active Directory met de volgende opdracht:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Met deze opdracht wordt de "contoso"domein voor alle geregistreerde Windows hello voor zakelijke openbare sleutels en zal deze informatie uitvoeren omC:\ADKeys.csv. Vervangencontoso met uw domeinnaam om een query uit te voeren op uw domein.

De CSV-uitvoer,ADKeys.csv, zal voor elke sleutel de volgende informatie bevatten:

  • Gebruikersdomein

  • SAM-account naam gebruiker

  • DN-naam van gebruiker

  • Belangrijkste versie

  • Sleutel-ID

  • Aanmaaktijd

  • Sleutelmateriaal

  • Belangrijkste bron

  • Sleutelgebruik

  • Sleutel apparaat-ID

  • Tijdstempel laatste aanmelding bij benadering

  • Aanmaaktijd

  • Informatie over aangepaste sleutels

  • KeyLinkTargetDN

  • Zwevende status

  • ROCA kwetsbaarheid status

  • KeyRawLDAPValue

Get-ADWHfBKeyswordt ook een samenvatting van de sleutels die zijn opgevraagd uitgevoerd. Deze samenvatting bevat de volgende informatie:

  • Aantal gescande gebruikers

  • Aantal gebruikers met sleutels

  • Aantal gescande toetsen

  • Aantal in ROCA kwetsbare toetsen

  • Aantal zwevende sleutels (if-SkipCheckForOrphanedKeys niet opgegeven)

Opmerking: Als u een hybride omgeving met Azure AD gekoppelde apparaten hebt en ' Get-ADWHfBKeys ' in uw on-premises domein uitvoert, is het aantal zwevende sleutels mogelijk niet nauwkeurig. Dit komt doordat Azure AD gekoppelde apparaten zijn niet aanwezig in Active Directory en sleutels die zijn gekoppeld aan Azure AD gekoppelde apparaten kunnen worden weergegeven als zwevend.

 

Verwijder zwevende, Roca kwetsbare sleutels uit de map

Verwijder sleutels in azure Active Directory met behulp van de volgende stappen uit:

  1. Filter de zwevende en rocakwets bare kolommen vanAzureKeys.csvnaar waar

  2. De gefilterde resultaten kopiëren naar een nieuw bestand,C:\ROCAKeys.csv

  3. Voer de volgende opdracht uit om sleutels te verwijderen:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Met deze opdracht importeert u de lijst met zwevende, ROCA-kwetsbare sleutels en verwijdert u deze uit decontoso.comHuurder. Vervangencontoso.com met de naam van uw Tenant sleutels verwijderen uit uw Tenant.

N OTE Als u Roca kwetsbare whfb sleutels verwijdert die nog niet verweesd zijn, zal dit leiden tot verstoring van uw gebruikers. U moet ervoor zorgen dat deze sleutels zijn zwevend voordat u ze uit de map verwijderen.

 

Verwijder de sleutels in Active Directory met de volgende stappenuit:

Opmerking zwevende sleutels verwijderen uit Active Directory in hybride omgevingen resulteert in de sleutels worden opnieuw gemaakt als onderdeel van het Azure AD Connect-synchronisatieproces. Als u zich in een hybride omgeving bevindt, verwijdert u alleen sleutels uit Azure AD

  1. Filter de kolommen orphanedkEY en rocakwets bareADKeys.csv naar waar

  2. De gefilterde resultaten kopiëren naar een nieuw bestand,C:\ROCAKeys.csv

  3. Voer de volgende opdracht uit om sleutels te verwijderen:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Met deze opdracht importeert u de lijst met zwevende, ROCA-kwetsbare sleutels en verwijdert u deze uit uw domein.

Opmerking Als u Roca kwetsbare whfb-sleutels verwijdert die nog niet verweesd zijn, zal dit leiden tot verstoring van uw gebruikers. U moet ervoor zorgen dat deze sleutels zijn zwevend voordat u ze uit de map verwijderen.

 

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×