Za pomocą modułu programu PowerShell WHfBTools do czyszczenia osieroconych Windows Hello dla kluczy biznesowych

Instalowanie modułu programu PowerShell WHfBTools

Instalacja za pomocą programu PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Lub zainstalować za pomocą pobierania z galerii programu PowerShell

1. Przejdź do https://www.powershellgallery.com/Packages/WHfBTools

2. Pobierz plik RAW. nupkg do folderu lokalnego i Zmień nazwę z rozszerzeniem. zip

3. Wyodrębnij zawartość do folderu lokalnego, na przykład C:\ADV190026

Uruchom program PowerShell, skopiuj i uruchom następujące polecenia:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

Instalowanie zależności za pomocą modułu WHfBTools

Jeśli kwerenda usługi Azure Active Directory oddzielonych kluczy, należy zainstalować moduł MSAL.PS PowerShell

Instalacja za pomocą programu PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Lub zainstalować za pomocą pobierania z galerii programu PowerShell

1. Przejdź do https://www.powershellgallery.com/Packages/MSAL.PS/4.5.1.1

2. Pobierz plik RAW. nupkg do folderu lokalnego i Zmień nazwę z rozszerzeniem. zip

3. Wyodrębnij zawartość do folderu lokalnego, na przykład C:\MSAL.PS

Uruchom program PowerShell, skopiuj i uruchom następujące polecenia:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Jeśli kwerenda usługi Active Directory dla osieroconych kluczy, należy zainstalować narzędzia administracji zdalnej serwera (RSAT): Active Directory Domain Services i Lightweight Directory Services Tools

Instalacja za pomocą ustawień (Windows 10, wersja 1809 lub nowsza)

1. Przejdź do Ustawienia-> Aplikacje-> funkcje opcjonalne-> Dodawanie funkcji

2. Wybierz RSAT: usługi domenowe w usłudze Active Directory i narzędzia Lightweight Directory Services

3. Wybierz Instaluj

Lub zainstalować za pomocą programu PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Lub zainstalować za pomocą pobierania

1. Przejdź do https://www.Microsoft.com/en-us/download/details.aspx?id=45520 (Windows 10 link)

2. Pobierz narzędzia administracji zdalnej serwera dla Instalatora systemu Windows 10

3. Uruchom instalator po zakończeniu pobierania

Badanie dla osieroconych kluczy i kluczy dotkniętych CVE-2017-15361 (Roca)

Kwerenda dla kluczy w usłudze Azure Active Directory przy użyciu następującego polecenia:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

To polecenie będzie kwerendy "contoso.com"dzierżawca dla wszystkich zarejestrowanych kluczy publicznych Windows Hello dla firm i wyprowadzić te informacje doC:\AzureKeys.csv. Zastąpićcontoso.comz nazwą dzierżawy do kwerendy dzierżawy.

Wyjście CSV,AzureKeys.csv, będzie zawierać następujące informacje dla każdego klucza:

• Główna nazwa użytkownika

• Dzierżawy

• Użycia

• Identyfikator klucza

• Czas utworzenia

• Stan oddzielony

• Obsługuje status powiadamiania

• Stan usterki ROCA

Get-AzureADWHfBKeysspowoduje również wyjście Podsumowanie kluczy, które zostały zapytany. Podsumowanie zawiera następujące informacje:

• Liczba skanowanych użytkowników

• Liczba skanowanych kluczy

• Liczba użytkowników z kluczami

• Liczba kluczy podatnych na ROCA

Uwaga Może być starych urządzeń w dzierżawie usługi Azure AD z Windows Hello dla kluczy biznesowych skojarzonych z nimi. Te klucze nie będą zgłaszane jako osierocone, nawet jeśli te urządzenia nie są aktywnie używane. Firma Microsoft zaleca następujące instrukcje: Zarządzanie starych urządzeń w usłudze Azure AD , aby wyczyścić starych urządzeń przed zapytaniem o osieroconych kluczy.

Kwerenda dla kluczy w usłudze Active Directory przy użyciu następującego polecenia:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

To polecenie będzie kwerendy "contoso"domena dla wszystkich zarejestrowanych kluczy publicznych Windows Hello dla firm i będzie wyprowadzać te informacje doC:\ADKeys.csv. Zastąpićcontoso z nazwą domeny, aby zbadać domenę.

Wyjście CSV,ADKeys.csv, będzie zawierać następujące informacje dla każdego klucza:

• Domena użytkownika

• Nazwa konta SAM użytkownika

• Nazwa wyróżniająca użytkownika

• Wersja kluczowa

• Identyfikator klucza

• Czas utworzenia

• Materiał kluczowy

• Źródło klucza

• Użycie klucza

• Identyfikator urządzenia kluczowego

• Przybliżona sygnatura czasowa ostatniego logowania

• Czas utworzenia

• Informacje o kluczu niestandardowym

• KeyLinkTargetDN

• Stan oddzielony

• Stan usterki ROCA

• Właściwość KeyRawLDAPValue

Get-ADWHfBKeysspowoduje również wyjście Podsumowanie kluczy, które zostały zapytany. Podsumowanie zawiera następujące informacje:

• Liczba skanowanych użytkowników

• Liczba użytkowników z kluczami

• Liczba skanowanych kluczy

• Liczba kluczy podatnych na ROCA

• Liczba osieroconych kluczy (jeśli nie podano-SkipCheckForOrphanedKeys)

Uwaga: Jeśli masz środowiska hybrydowego z usługi Azure AD przyłączonych urządzeń i uruchom "Get-ADWHfBKeys" w domenie lokalnej, liczba oddzielonych kluczy może nie być dokładne. Jest to spowodowane urządzenia przyłączone do usługi Azure AD nie są obecne w usłudze Active Directory i klucze skojarzone z urządzeniami przyłączonymi do usługi Azure AD mogą być wyświetlane jako osierocone.

Usuń osierocone, Roca podatne klucze z katalogu

Usuń klucze w usłudze Azure Active Directory, wykonując następujące kroki:

1. Filtruj kolumny osierocone i rocavulnerableAzureKeys.csvdo prawdziwego

2. Skopiuj przefiltrowane wyniki do nowego pliku,C:\ROCAKeys.csv

3. Uruchom następujące polecenie, aby usunąć klucze:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

To polecenie importuje listę osieroconych kluczy, które są narażone na ROCA i usuwa je zcontoso.comDzierżawy. Zastąpićcontoso.com z nazwą dzierżawy, aby usunąć klucze z dzierżawy.

N OTE Jeśli usuniesz Roca podatne whfb klucze, które nie są jeszcze osierocone, to spowoduje zakłócenia dla użytkowników. Należy upewnić się, że te klucze są oddzielone przed usunięciem ich z katalogu.

Usuń klucze w usłudze Active Directory, wykonując następujące kroki:

Uwaga usuwanie oddzielonych kluczy z usługi Active Directory w środowiskach hybrydowych spowoduje, że klucze są odtwarzane jako część procesu synchronizacji Azure AD Connect. Jeśli jesteś w środowisku hybrydowym, Usuń klucze tylko z usługi Azure AD

1. Filtruj kolumny orphanedkEY i rocavulnerableADKeys.csv do prawdziwego

2. Skopiuj przefiltrowane wyniki do nowego pliku,C:\ROCAKeys.csv

3. Uruchom następujące polecenie, aby usunąć klucze:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

To polecenie importuje listę osieroconych kluczy, które są narażone na ROCA i usuwa je z domeny.

Uwaga Jeśli usuniesz kluczy Roca podatne whfb, które nie są jeszcze osieroconych, spowoduje to zakłócenia użytkowników. Należy upewnić się, że te klucze są oddzielone przed usunięciem ich z katalogu.