Resumo
Para ajudar os clientes a identificar as chaves órfãs do WHfB (Windows Hello para Empresas) afetadas por uma vulnerabilidade do TPM, a Microsoft publicou um módulo do PowerShell que pode ser executado por administradores. Este artigo explica como resolver o problema descrito na ADV190026 | "Diretrizes da Microsoft para limpar chaves órfãs geradas em TPMs vulneráveis e usadas para o Windows Hello para Empresas."
Observação importante Antes de usar as WHfBTools para remover chaves órfãs, as diretrizes na ADV170012 devem ser seguidas para atualizar o firmware das TPMs vulneráveis. Se essas diretrizes não forem seguidas, todas as chaves novas do WHfB geradas em um dispositivo com firmware não atualizado ainda serão afetadas pelo CVE-2017-15361 (ROCA).
Como instalar o módulo do PowerShell WHfBTools
Instale o módulo executando os seguintes comandos:
Instalação do módulo do PowerShell WHfBTools |
Instalar via PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Ou Instalar usando um download da Galeria do PowerShell
Inicie o PowerShell, copie e execute os seguintes comandos: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Instale dependências para usar o módulo:
Instalação de dependências para o uso do módulo WHfBTools |
Se você estiver consultando o Azure Active Directory para obter chaves órfãs, instale o módulo MSAL.PS do PowerShell Instalar via PowerShell -Name MSAL.PS -RequiredVersion 4.5.1.1 -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Ou instale usando um download da Galeria do PowerShell
Inicie o PowerShell, copie e execute os seguintes comandos: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Se estiver consultando o Active Directory para obter chaves órfãs, instale o RSAT (Ferramentas de Administração de Servidor Remoto): Active Directory Domain Services e Lightweight Directory Services Tools Instale via Configurações (Windows 10, versão 1809 ou posterior)
Ou Instalar via PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Ou Instalar via download
|
Execute o módulo do PowerShell WHfBTools
Se o seu ambiente tiver dispositivos ingressados no Azure Active Directory ou no Azure Active Directory híbrido, siga as etapas do Azure Active Directory para identificar e remover chaves. As remoções de chaves no Azure serão sincronizadas com o Acive Directory por meio do Azure AD Connect.
Se o seu ambiente for apenas local, siga as etapas do Active Directory para identificar e remover chaves.
Consulta para obter chaves órfãs e chaves afetadas pelo CVE-2017-15361 (ROCA) |
Consulte as chaves no Azure Active Directory com o seguinte comando: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Este comando consultará o locatário “contoso.com” para obter todas as chaves públicas registradas do Windows Hello para Empresas e enviará essas informações para C:\AzureKeys.csv. Substitua contoso.com por seu nome de locatário para consultar seu locatário. O resultado Csv, AzureKeys.csv, conterá as seguintes informações para cada chave:
Get-AzureADWHfBKeys também produzirá um resumo das chaves que foram consultadas. Este resumo fornecerá as seguintes informações:
Observação Pode haver dispositivos obsoletos em seu locatário do Azure AD com chaves do Windows Hello para Empresas associadas a eles. Essas chaves não serão relatadas como órfãs, embora os dispositivos não estejam sendo usados ativamente. Recomendamos seguir as Instruções: Gerencie dispositivos obsoletos no Azure AD para limpá-los antes de consultar para obter chaves órfãs.
Faça uma consulta por chaves no Active Directory usando o seguinte comando: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Esse comando consultará o domínio “contoso” para obter todas as chaves públicas registradas do Windows Hello para Empresas e enviará essas informações para C:\ADKeys.csv. Substitua contoso com seu nome de domínio para consultar seu domínio. O resultado Csv, ADKeys.csv, conterá as seguintes informações para cada chave:
Get-ADWHfBKeys também produzirá um resumo das chaves que foram consultadas. Este resumo fornecerá as seguintes informações:
Observação: Se você tiver um ambiente híbrido com dispositivos ingerssados no Azure AD e executar “Get-ADWHfBKeys” em seu domínio local, o número de chaves órfãs poderá não ser preciso. Isso ocorre porque os dispositivos ingressados no Azure AD não estão presentes no Active Directory e as chaves associadas a eles podem aparecer como órfãs. |
Remova chaves órfãs com vulnerabilidade ROCA do diretório |
Remova chaves no Azure Active Directory usando as seguintes etapas:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKeys -Tenant contoso.com -Logging Esse comando importa a lista de chaves órfãs com vulnerabilidade ROCA, e remove-as do locatário contoso.com. Substitua contoso.com por seu nome de locatário para remover chaves de seu locatário. O bservação Se você excluir as chaves do WHfB com vulnerabilidade ROCA que ainda não ficaram órfãs, isso causará interrupções para os usuários. Você deve ter certeza que essas chaves são órfãs antes de removê-las do diretório.
Remova chaves no Active Directory usando as seguintes etapas: Observação A remoção de chaves órfãs do Active Directory em ambientes híbridos resultará na recriação das chaves como parte do processo de sincronização do Azure AD Connect. Se você estiver em um ambiente híbrido, remova apenas as chaves do Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKeys -Logging Esse comando importa a lista de chaves órfãs com vulnerabilidade ROCA, e remove-as do seu domínio. Observação Se você excluir as chaves do WHfB com vulnerabilidade ROCA que ainda não ficaram órfãs, isso causará interrupções para os usuários. Você deve ter certeza que essas chaves são órfãs antes de removê-las do diretório. |