Podsumowanie
Aby ułatwić klientom identyfikację osieroconych kluczy Windows Hello dla firm (WHfB) dotkniętych usterką modułu TPM, firma Microsoft opublikowała moduł programu PowerShell, który może być uruchamiany przez administratorów. W tym artykule wyjaśniono, jak rozwiązać problem opisany w ADV190026 | "Wskazówki firmy Microsoft dotyczące czyszczenia osieroconych kluczy wygenerowanych na wrażliwych TPMs i używanych dla Windows Hello dla firm."
Ważna Uwaga Przed użyciem whfbtools do usunięcia osieroconych kluczy, wskazówki w ADV170012 należy przestrzegać, aby zaktualizować firmware wszelkich wrażliwych TPMS. Jeśli te wskazówki nie są przestrzegane, wszystkie nowe klucze WHfB generowane na urządzeniu z oprogramowaniem układowym, które nie zostały zaktualizowane, będą nadal podlegać usterce CVE-2017-15361 (Roca).
Jak zainstalować moduł programu PowerShell WHfBTools
Zainstaluj moduł, uruchamiając następujące polecenia:
Instalowanie modułu programu PowerShell WHfBTools |
Instalacja za pomocą programu PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Lub zainstalować za pomocą pobierania z galerii programu PowerShell
Uruchom program PowerShell, skopiuj i uruchom następujące polecenia: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Zainstaluj zależności za pomocą modułu:
Instalowanie zależności za pomocą modułu WHfBTools |
Jeśli kwerenda usługi Azure Active Directory oddzielonych kluczy, należy zainstalować moduł MSAL.PS PowerShell Instalacja za pomocą programu PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Lub zainstalować za pomocą pobierania z galerii programu PowerShell
Uruchom program PowerShell, skopiuj i uruchom następujące polecenia: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Jeśli kwerenda usługi Active Directory dla osieroconych kluczy, należy zainstalować narzędzia administracji zdalnej serwera (RSAT): Active Directory Domain Services i Lightweight Directory Services Tools Instalacja za pomocą ustawień (Windows 10, wersja 1809 lub nowsza)
Lub zainstalować za pomocą programu PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Lub zainstalować za pomocą pobierania
|
Uruchamianie modułu programu PowerShell WHfBTools
Jeśli w danym środowisku jest przyłączony do usługi Azure Active Directory lub hybrydowej usługi Azure Active Directory przyłączonych urządzeń, postępuj zgodnie z Azure Active Directory kroki, aby zidentyfikować i usunąć klucze. Usuwanie kluczy na platformie Azure zostanie zsynchronizowany z usługą Active Directory za pośrednictwem usługi Azure AD Connect.
Jeśli środowisko jest tylko w środowisku lokalnym, wykonaj kroki usługi Active Directory, aby zidentyfikować i usunąć klucze.
Badanie dla osieroconych kluczy i kluczy dotkniętych CVE-2017-15361 (Roca) |
Kwerenda dla kluczy w usłudze Azure Active Directory przy użyciu następującego polecenia: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv To polecenie będzie kwerendy "contoso.com"dzierżawca dla wszystkich zarejestrowanych kluczy publicznych Windows Hello dla firm i wyprowadzić te informacje doC:\AzureKeys.csv. Zastąpićcontoso.comz nazwą dzierżawy do kwerendy dzierżawy. Wyjście CSV,AzureKeys.csv, będzie zawierać następujące informacje dla każdego klucza:
Get-AzureADWHfBKeysspowoduje również wyjście Podsumowanie kluczy, które zostały zapytany. Podsumowanie zawiera następujące informacje:
Uwaga Może być starych urządzeń w dzierżawie usługi Azure AD z Windows Hello dla kluczy biznesowych skojarzonych z nimi. Te klucze nie będą zgłaszane jako osierocone, nawet jeśli te urządzenia nie są aktywnie używane. Firma Microsoft zaleca następujące instrukcje: Zarządzanie starych urządzeń w usłudze Azure AD , aby wyczyścić starych urządzeń przed zapytaniem o osieroconych kluczy.
Kwerenda dla kluczy w usłudze Active Directory przy użyciu następującego polecenia: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv To polecenie będzie kwerendy "contoso"domena dla wszystkich zarejestrowanych kluczy publicznych Windows Hello dla firm i będzie wyprowadzać te informacje doC:\ADKeys.csv. Zastąpićcontoso z nazwą domeny, aby zbadać domenę. Wyjście CSV,ADKeys.csv, będzie zawierać następujące informacje dla każdego klucza:
Get-ADWHfBKeysspowoduje również wyjście Podsumowanie kluczy, które zostały zapytany. Podsumowanie zawiera następujące informacje:
Uwaga: Jeśli masz środowiska hybrydowego z usługi Azure AD przyłączonych urządzeń i uruchom "Get-ADWHfBKeys" w domenie lokalnej, liczba oddzielonych kluczy może nie być dokładne. Jest to spowodowane urządzenia przyłączone do usługi Azure AD nie są obecne w usłudze Active Directory i klucze skojarzone z urządzeniami przyłączonymi do usługi Azure AD mogą być wyświetlane jako osierocone. |
Usuń osierocone, Roca podatne klucze z katalogu |
Usuń klucze w usłudze Azure Active Directory, wykonując następujące kroki:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging To polecenie importuje listę osieroconych kluczy, które są narażone na ROCA i usuwa je zcontoso.comDzierżawy. Zastąpićcontoso.com z nazwą dzierżawy, aby usunąć klucze z dzierżawy. N OTE Jeśli usuniesz Roca podatne whfb klucze, które nie są jeszcze osierocone, to spowoduje zakłócenia dla użytkowników. Należy upewnić się, że te klucze są oddzielone przed usunięciem ich z katalogu.
Usuń klucze w usłudze Active Directory, wykonując następujące kroki: Uwaga usuwanie oddzielonych kluczy z usługi Active Directory w środowiskach hybrydowych spowoduje, że klucze są odtwarzane jako część procesu synchronizacji Azure AD Connect. Jeśli jesteś w środowisku hybrydowym, Usuń klucze tylko z usługi Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging To polecenie importuje listę osieroconych kluczy, które są narażone na ROCA i usuwa je z domeny. Uwaga Jeśli usuniesz kluczy Roca podatne whfb, które nie są jeszcze osieroconych, spowoduje to zakłócenia użytkowników. Należy upewnić się, że te klucze są oddzielone przed usunięciem ich z katalogu. |