Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Resumo

Este artigo ajuda a identificar e remediar problemas em dispositivos que são afetados pela vulnerabilidade descrita no Comunicado de Segurança da Microsoft ADV170012.

Este processo centra-se nos seguintes cenários de uso do Windows Hello para Empresas (WHFB) e do Azure AD (AAD), oferecidos pela Microsoft:

  • Ingresso no Azure AD

  • Ingresso no Azure AD híbrido

  • Azure AD registrado

Informações adicionais

 Identifique seu cenário de uso do AAD 

  1. Abra uma janela do Prompt de Comando.

  2. Obtenha o estado do dispositivo executando o seguinte comando:dsregcmd.exe /status

  3. Na saída do comando, examine os valores das propriedades listadas na tabela a seguir para determinar seu cenário de uso do AAD.

    Propriedade

    Descrição

    AzureAdJoined

    Indica se o dispositivo está ingressado no Azure AD.

    EnterpriseJoined

    Indica se o dispositivo está ingressado no AD FS. Isso faz parte de um cenário de cliente somente no local em que o Windows Hello para Empresas é implantado e gerenciado no local.

    DomainJoined

    Indica se o dispositivo está ingressado em um Domínio do Active Directory tradicional.

    WorkplaceJoined

    Indica se o usuário atual adicionou uma conta corporativa ou de estudante ao seu perfil atual. Isso é conhecido como Azure AD registrado. Essa configuração será ignorada pelo sistema se o dispositivo for AzureAdJoined.

Ingressado no Azure AD híbrido

Se DomainJoined e AzureAdJoined forem yes, o dispositivo Ingressado no Azure AD híbrido. Portanto, o dispositivo é ingressado em um Azure Active Directory e em um Domínio do Active Directory tradicional.

Fluxos de trabalho

Implantações e implementações podem variar entre as organizações. Projetamos o seguinte fluxo de trabalho para fornecer as ferramentas de que você precisa para desenvolver seu próprio plano interno para mitigar qualquer dispositivo afetado. O fluxo de trabalho tem as seguintes etapas:

  1. Identifique os dispositivos afetados. Pesquise seu ambiente em busca de Trusted Platform Modules (TPMs), chaves e dispositivos.

  2. Corrija os dispositivos afetados. Corrija os efeitos em dispositivos identificados seguindo as etapas específicas do cenário que estão listadas neste artigo.

Observação sobre a limpeza de TPMs

Como Trusted Platform Modules são usados para armazenar segredos que são usados por vários serviços e aplicativos, a limpeza do TPM pode ter impactos imprevistos ou negativos sobre os negócios. Antes de limpar qualquer TPM, certifique-se de investigar e validar que todos os serviços e aplicativos que usam segredos com suporte pelo TPM foram devidamente identificados e preparados para exclusão e recriação secretas.

Como identificar dispositivos afetados

Para identificar TPMs afetados, consulte o Comunicado de Segurança da Microsoft ADV170012.

Como aplicar patch em dispositivos afetados

Use as seguintes etapas nos dispositivos afetados de acordo com seu cenário de uso de AAD.

  1. Verifique se existe uma conta de administrador local válida no dispositivo ou crie uma conta de administrador local.

    Observação

    É uma prática recomendada verificar se a conta está funcionando, entrando no dispositivo com o uso da nova conta de administrador local, e confirmar as permissões corretas, abrindo um prompt de comandos com privilégios elevados.

     

  2. Se você tiver entrado com uma conta da Microsoft no dispositivo, acesse Configurações > Contas > Contas de email e aplicativo e remova a conta conectada.

  3. Instale uma atualização de firmware para o dispositivo.

    Observação

    Siga a orientação do seu OEM’ para aplicar a atualização de firmware do TPM. Consulte a etapa 4: "Aplicar atualizações de firmware aplicáveis" ,no Comunicado de Segurança da Microsoft ADV170012 para obter informações sobre como obter a atualização do TPM do seu OEM.

     

  4. Cancele o ingresso do dispositivo no Azure AD.

    Observação

    Certifique-se de que a sua chave do BitLocker esteja seguramente copiada para backup em outro local que não seja o computador local antes de continuar.

    1. Acesse Configurações > Sistema > Sobre e clique em Gerenciar ou desconectar do trabalho ou da escola.

    2. Clique em Conectado a <AzureAD>e clique em Desconectar.

    3. Clique em Sim quando for solicitada uma confirmação.

    4. Clique em Desconectar quando for solicitado a "Desconectar-se da organização".

    5. Insira as informações da conta de administrador local para o dispositivo.

    6. Clique em Reiniciar Depois.

  5. Limpe o TPM.

    Observação

    A limpeza do TPM removerá todas as chaves e segredos que estão armazenados no seu dispositivo. Certifique-se de que outros serviços que estão utilizando o TPM sejam suspensos ou validados antes de continuar.

    Windows 8 ou posterior: O BitLocker será automaticamente suspenso se você usar qualquer um dos dois métodos recomendados para limpar o TPM abaixo.

    Windows 7: A suspensão manual do BitLocker é necessária antes de prosseguir.(Consulte mais informações sobre como suspender o BitLocker.)  

    1. Para limpar o TPM, use um dos seguintes métodos:

      • Use o Console de Gerenciamento Microsoft.

        1. Pressione Win + R, digite tpm.msc e clique em OK.

        2. Clique em Limpar TPM.

      • Execute o cmdlet Clear-Tpm.

    2. Clique em Reiniciar.Observação Talvez você seja solicitado a limpar o TPM na inicialização.

  6. Depois que o dispositivo for reiniciado, entre nele usando a conta de administrador local.

  7. Reingresse o dispositivo no Azure AD. Talvez você seja solicitado a configurar um novo PIN no próximo logon.

  1. Se tiver entrado com uma conta da Microsoft no dispositivo, acesse Configurações > Contas > Contas de email e aplicativo e remova a conta conectada.

  2. Em um prompt de comandos com privilégios elevados, execute o seguinte comando:dsregcmd.exe /leave /debug

    Observação

    A saída do comando deve indicar AzureADJoined: Não.

     

  3. Instale uma atualização de firmware para o dispositivo.

    Observação

    Observação Siga a orientação do seu OEM’ para aplicar a atualização de firmware do TPM. Consulte a etapa 4: "Aplicar atualizações de firmware aplicáveis" ,no Comunicado de Segurança da Microsoft ADV170012 para obter informações sobre como obter a atualização do TPM do seu OEM.

  4. Limpe o TPM.

    Observação

    A limpeza do TPM removerá todas as chaves e segredos que estão armazenados no seu dispositivo. Certifique-se de que outros serviços que estão utilizando o TPM sejam suspensos ou validados antes de continuar.

    Windows 8 ou posterior: O BitLocker será automaticamente suspenso se você usar qualquer um dos dois métodos recomendados para limpar o TPM abaixo.

    Windows 7: A suspensão manual do BitLocker é necessária antes de prosseguir.(Consulte mais informações sobre como suspender o BitLocker.)

     

    1. Para limpar o TPM, use um dos seguintes métodos:

      • Use o Console de Gerenciamento Microsoft.

        1. Pressione Win + R, digite tpm.msc e clique em OK.

        2. Clique em Limpar TPM.

      • Execute o cmdlet Clear-Tpm.

    2. Clique em Reiniciar.Observação Talvez você seja solicitado a limpar o TPM na inicialização.

Quando o dispositivo for iniciado, o Windows gerará novas chaves e reingressará automaticamente o dispositivo no Azure AD. Durante esse período, você poderá continuar a usar o dispositivo. No entanto, o acesso a recursos como o Microsoft Outlook, o OneDrive e outros aplicativos que exigem SSO ou políticas de Acesso Condicional pode ser limitado.

Observação Se você usa uma conta da Microsoft, você deve saber a senha.

  1. Instale uma atualização de firmware para o dispositivo.

    Observação

    Siga a orientação do seu OEM’ para aplicar a atualização de firmware do TPM. Consulte a etapa 4: "Aplicar atualizações de firmware aplicáveis" ,no Comunicado de Segurança da Microsoft ADV170012 para obter informações sobre como obter a atualização do TPM do seu OEM.

     

  2. Remova a conta corporativa do Azure AD.

    1. Acesse Configurações > Contas > Acessar conta corporativa ou de estudante, clique na sua conta corporativa ou de estudante e, em seguida, clique em Desconectar.

    2. Clique em Sim no prompt para confirmar a desconexão.

  3. Limpe o TPM.

    Observação

    A limpeza do TPM removerá todas as chaves e segredos que estão armazenados no seu dispositivo. Certifique-se de que outros serviços que estão utilizando o TPM sejam suspensos ou validados antes de continuar.

    Windows 8 ou posterior: O BitLocker será automaticamente suspenso se você usar qualquer um dos dois métodos recomendados para limpar o TPM abaixo.

    Windows 7: A suspensão manual do BitLocker é necessária antes de prosseguir.(Consulte mais informações sobre como suspender o BitLocker.)

     

    1. Para limpar o TPM, use um dos seguintes métodos:

      • Use o Console de Gerenciamento Microsoft.

        1. Pressione Win + R, digite tpm.msc e clique em OK.

        2. Clique em Limpar TPM.

      • Execute o cmdlet Clear-Tpm.

    2. Clique em Reiniciar.Observação Talvez você seja solicitado a limpar seu TPM na inicialização.

    3. Se você tiver usado uma conta da Microsoft que tem um PIN, deverá entrar no dispositivo usando a senha.

    4. Adicione a conta corporativa novamente para o dispositivo.

      1. Acesse Configurações > Contas > Acessar conta corporativa ou de estudante e clique em Conectar.

      2. Insira sua conta corporativa e clique em Avançar.

      3. Insira sua conta corporativa e senha e clique em Entrar.

      4. Se a sua organização tiver configurado a Autenticação Multifator do Azure para ingressar dispositivos no Azure AD, forneça o segundo fator antes de continuar.

      5. Valide se as informações exibidas estão corretas e clique em Ingressar. Você deverá ver a seguinte mensagem:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365