Uso do módulo do PowerShell WHfBTools para limpar chaves órfãs do Windows Hello para Empresas

Instalação do módulo do PowerShell WHfBTools

Instalar via PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Ou Instalar usando um download da Galeria do PowerShell

1. Vá para https://www.powershellgallery.com/packages/WHfBTools

2. Baixe o arquivo bruto .nupkg para uma pasta local e renomeie-o com a extensão .zip

3. Extraia o conteúdo para uma pasta local, por exemplo C:\ADV190026

Inicie o PowerShell, copie e execute os seguintes comandos:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

Instalação de dependências para o uso do módulo WHfBTools

Se você estiver consultando o Azure Active Directory para obter chaves órfãs, instale o módulo MSAL.PS do PowerShell

Instalar via PowerShell

-Name MSAL.PS -RequiredVersion 4.5.1.1 -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Ou instale usando um download da Galeria do PowerShell

1. Vá para https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

2. Baixe o arquivo bruto .nupkg para uma pasta local e renomeie-o com a extensão .zip

3. Extraia o conteúdo para uma pasta local, por exemplo, C:\MSAL.PS

Inicie o PowerShell, copie e execute os seguintes comandos:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Se estiver consultando o Active Directory para obter chaves órfãs, instale o RSAT (Ferramentas de Administração de Servidor Remoto): Active Directory Domain Services e Lightweight Directory Services Tools

Instale via Configurações (Windows 10, versão 1809 ou posterior)

1. Vá para Configurações -> Aplicativos -> Recursos Opcionais -> Adicionar um recurso

2. Selecione RSAT: Active Directory Domain Services e Lightweight Directory Services Tools

3. Selecione Instalar

Ou Instalar via PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Ou Instalar via download

1. Vá para https://www.microsoft.com/pt-br/download/details.aspx?id=45520 (Link do Windows 10)

2. Baixe o Instalador das Ferramentas de Administração de Servidor Remoto para Windows 10

3. Inicie o Instalador depois de concluir o download

Consulta para obter chaves órfãs e chaves afetadas pelo CVE-2017-15361 (ROCA)

Consulte as chaves no Azure Active Directory com o seguinte comando:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Este comando consultará o locatário “contoso.com” para obter todas as chaves públicas registradas do Windows Hello para Empresas e enviará essas informações para C:\AzureKeys.csv. Substitua contoso.com por seu nome de locatário para consultar seu locatário.

O resultado Csv, AzureKeys.csv, conterá as seguintes informações para cada chave:

• UPN

• Locatário

• Uso

• ID da Chave

• Data de criação

• Status órfão

• Dá suporte ao Status de Notificação

• Status de Vulnerabilidade ROCA

Get-AzureADWHfBKeys também produzirá um resumo das chaves que foram consultadas. Este resumo fornecerá as seguintes informações:

• Número de usuários verificados

• Número de chaves verificadas

• Número de usuários com chaves

• Número de chaves com vulnerabilidade ROCA

Observação Pode haver dispositivos obsoletos em seu locatário do Azure AD com chaves do Windows Hello para Empresas associadas a eles. Essas chaves não serão relatadas como órfãs, embora os dispositivos não estejam sendo usados ativamente. Recomendamos seguir as Instruções: Gerencie dispositivos obsoletos no Azure AD para limpá-los antes de consultar para obter chaves órfãs.

Faça uma consulta por chaves no Active Directory usando o seguinte comando:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Esse comando consultará o domínio “contoso” para obter todas as chaves públicas registradas do Windows Hello para Empresas e enviará essas informações para C:\ADKeys.csv. Substitua contoso com seu nome de domínio para consultar seu domínio.

O resultado Csv, ADKeys.csv, conterá as seguintes informações para cada chave:

• Domínio do usuário

• Nome da conta de usuário SAM (Gerenciador de Contas de Segurança)

• Nome Distinto do usuário

• Versão da Chave

• ID da Chave

• Data de criação

• Material da Chave

• Fonte da Chave

• Uso da Chave

• ID da Chave do Dispositivo

• Última hora/data aproximada de logon

• Data de criação

• Informações de Chave personalizadas

• KeyLinkTargetDN

• Status órfão

• Status de Vulnerabilidade ROCA

• KeyRawLDAPValue

Get-ADWHfBKeys também produzirá um resumo das chaves que foram consultadas. Este resumo fornecerá as seguintes informações:

• Número de usuários verificados

• Número de usuários com chaves

• Número de chaves verificadas

• Número de chaves com vulnerabilidade ROCA

• Número de chaves órfãs (se -SkipCheckForOrphanedKeys não estiver especificado)

Observação: Se você tiver um ambiente híbrido com dispositivos ingerssados no Azure AD e executar “Get-ADWHfBKeys” em seu domínio local, o número de chaves órfãs poderá não ser preciso. Isso ocorre porque os dispositivos ingressados no Azure AD não estão presentes no Active Directory e as chaves associadas a eles podem aparecer como órfãs.

Remova chaves órfãs com vulnerabilidade ROCA do diretório

Remova chaves no Azure Active Directory usando as seguintes etapas:

1. Filtre as colunas Orphaned e RocaVulnerable AzureKeys.csv para true

2. Copie os resultados filtrados para um novo arquivo, C:\ROCAKeys.csv

3. Execute o comando a seguir para excluir chaves:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKeys -Tenant contoso.com -Logging

Esse comando importa a lista de chaves órfãs com vulnerabilidade ROCA, e remove-as do locatário contoso.com. Substitua contoso.com por seu nome de locatário para remover chaves de seu locatário.

O bservação Se você excluir as chaves do WHfB com vulnerabilidade ROCA que ainda não ficaram órfãs, isso causará interrupções para os usuários. Você deve ter certeza que essas chaves são órfãs antes de removê-las do diretório.

Remova chaves no Active Directory usando as seguintes etapas:

Observação A remoção de chaves órfãs do Active Directory em ambientes híbridos resultará na recriação das chaves como parte do processo de sincronização do Azure AD Connect. Se você estiver em um ambiente híbrido, remova apenas as chaves do Azure AD

1. Filtre as colunas OrphanedKey e ROCAVulnerable ADKeys.csv para true

2. Copie os resultados filtrados para um novo arquivo, C:\ROCAKeys.csv

3. Execute o comando a seguir para excluir chaves:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKeys -Logging

Esse comando importa a lista de chaves órfãs com vulnerabilidade ROCA, e remove-as do seu domínio. 

Observação Se você excluir as chaves do WHfB com vulnerabilidade ROCA que ainda não ficaram órfãs, isso causará interrupções para os usuários. Você deve ter certeza que essas chaves são órfãs antes de removê-las do diretório.