Samenvatting
Om klanten te helpen bij het identificeren van zwevende Windows hello voor bedrijven (WHfB) sleutels die worden beïnvloed door een TPM-beveiligingslek, heeft Microsoft een PowerShell-module die kan worden uitgevoerd door beheerders gepubliceerd. In dit artikel wordt uitgelegd hoe u het probleem dat wordt beschreven in ADV190026 | "Microsoft richtlijnen voor het opschonen van zwevende sleutels die zijn gegenereerd op kwetsbare TPMs en gebruikt voor Windows hello voor bedrijven."
Belangrijke opmerking Voordat u whfbtools gebruiken om zwevende sleutels te verwijderen, moeten de richtlijnen in ADV170012 worden gevolgd om de firmware van eventuele kwetsbare TPMS bij te werken. Als deze richtlijnen niet worden opgevolgd, worden nieuwe WHfB-sleutels die zijn gegenereerd op een apparaat met firmware die niet is bijgewerkt, nog steeds beïnvloed door CVE-2017-15361 (Roca).
Het installeren van de WHfBTools PowerShell-module
Installeer de module door de volgende opdrachten uit te voeren:
WHfBTools PowerShell-module installeren |
Installeren via PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Of installeren met behulp van een download van PowerShell Gallery
Start PowerShell, kopieer en voer de volgende opdrachten uit: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Afhankelijkheden voor het gebruik van de module installeren:
Afhankelijkheden installeren voor het gebruik van de module WHfBTools |
Als u Azure Active Directory voor zwevende sleutels opvragen, installeert u de MSAL.PS PowerShell-module Installeren via PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Of installeren met behulp van een download van PowerShell Gallery
Start PowerShell, kopieer en voer de volgende opdrachten uit: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Als u een query uitvoert op Active Directory voor zwevende sleutels, moet u de Remote Server Administrator tools (RSAT) installeren: Active Directory Domain Services en Lightweight Directory Services tools Installeren via instellingen (Windows 10, versie 1809 of hoger)
Of installeren via PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Of installeren via download
|
Voer de WHfBTools PowerShell-module
Als uw omgeving Azure Active Directory toegevoegd of hybride Azure Active Directory gekoppelde apparaten heeft, volgt u de stappen van Azure Active Directory om te identificeren en verwijderen van sleutels. De sleutel verwijderingen in azure wordt gesynchroniseerd met Active Directory via Azure AD Connect.
Als uw omgeving alleen on-premises is, volgt u de stappen van Active Directory voor het identificeren en verwijderen van sleutels.
Uitvoeren van query's voor zwevende sleutels en sleutels beïnvloed door CVE-2017-15361 (Roca) |
Query voor sleutels in azure Active Directory met de volgende opdracht: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Met deze opdracht wordt de "contoso.com"Tenant voor alle geregistreerde Windows hello voor zakelijke openbare sleutels en zal deze informatie uitvoeren omC:\AzureKeys.csv. Vervangencontoso.commet de naam van uw Tenant voor het opvragen van uw Tenant. De CSV-uitvoer,AzureKeys.csv, zal voor elke sleutel de volgende informatie bevatten:
Get-AzureADWHfBKeyswordt ook een samenvatting van de sleutels die zijn opgevraagd uitgevoerd. Deze samenvatting bevat de volgende informatie:
Opmerking Mogelijk zijn er verouderde apparaten in uw Azure AD-Tenant met Windows hello voor Business sleutels die zijn gekoppeld aan deze. Deze sleutels worden niet als zwevend gerapporteerd, ook al worden deze apparaten niet actief gebruikt. Het is raadzaam volgende procedure: verouderde apparaten beheren in azure AD voor het opschonen van verouderde apparaten voordat u query's voor zwevende sleutels.
Query voor sleutels in Active Directory met de volgende opdracht: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Met deze opdracht wordt de "contoso"domein voor alle geregistreerde Windows hello voor zakelijke openbare sleutels en zal deze informatie uitvoeren omC:\ADKeys.csv. Vervangencontoso met uw domeinnaam om een query uit te voeren op uw domein. De CSV-uitvoer,ADKeys.csv, zal voor elke sleutel de volgende informatie bevatten:
Get-ADWHfBKeyswordt ook een samenvatting van de sleutels die zijn opgevraagd uitgevoerd. Deze samenvatting bevat de volgende informatie:
Opmerking: Als u een hybride omgeving met Azure AD gekoppelde apparaten hebt en ' Get-ADWHfBKeys ' in uw on-premises domein uitvoert, is het aantal zwevende sleutels mogelijk niet nauwkeurig. Dit komt doordat Azure AD gekoppelde apparaten zijn niet aanwezig in Active Directory en sleutels die zijn gekoppeld aan Azure AD gekoppelde apparaten kunnen worden weergegeven als zwevend. |
Verwijder zwevende, Roca kwetsbare sleutels uit de map |
Verwijder sleutels in azure Active Directory met behulp van de volgende stappen uit:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Met deze opdracht importeert u de lijst met zwevende, ROCA-kwetsbare sleutels en verwijdert u deze uit decontoso.comHuurder. Vervangencontoso.com met de naam van uw Tenant sleutels verwijderen uit uw Tenant. N OTE Als u Roca kwetsbare whfb sleutels verwijdert die nog niet verweesd zijn, zal dit leiden tot verstoring van uw gebruikers. U moet ervoor zorgen dat deze sleutels zijn zwevend voordat u ze uit de map verwijderen.
Verwijder de sleutels in Active Directory met de volgende stappenuit: Opmerking zwevende sleutels verwijderen uit Active Directory in hybride omgevingen resulteert in de sleutels worden opnieuw gemaakt als onderdeel van het Azure AD Connect-synchronisatieproces. Als u zich in een hybride omgeving bevindt, verwijdert u alleen sleutels uit Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Met deze opdracht importeert u de lijst met zwevende, ROCA-kwetsbare sleutels en verwijdert u deze uit uw domein. Opmerking Als u Roca kwetsbare whfb-sleutels verwijdert die nog niet verweesd zijn, zal dit leiden tot verstoring van uw gebruikers. U moet ervoor zorgen dat deze sleutels zijn zwevend voordat u ze uit de map verwijderen. |