Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

Resumo

Para ajudar os clientes a identificar as chaves órfãs do Windows Hello for Business (WHfB) afetadas por uma vulnerabilidade TPM, a Microsoft publicou um módulo PowerShell que pode ser executado por administradores. Este artigo explica como abordar o problema descrito na ADV190026 | "Microsoft Orientação para limpar chaves órfãs geradas em TPMs vulneráveis e usado para Windows Hello for Business."

Nota importante Antes de usar whfbtools para remover chaves órfãs, a orientação em ADV170012 deve ser seguido para atualizar o firmware de qualquer TPMs vulneráveis. Se essa orientação não for seguida, quaisquer novas chaves WHfB geradas em um dispositivo com firmware que não foi atualizado ainda serão afetadas pelo CVE-2017-15361 (ROCA).

Como instalar o módulo PowerShell WHfBTools

Instale o módulo executando os seguintes comandos:

Instalação do módulo WHfBTools PowerShell

Instalar via PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Ou instalar usando um download da PowerShell Gallery

  1. Vá para https://www.powershellgallery.com/packages/WHfBTools

  2. Baixe o arquivo bruto .nupkg para uma pasta local e renome com a extensão .zip

  3. Extraia o conteúdo para uma pasta local, por exemplo C:\ADV190026

 

Comece o PowerShell, copie e execute os seguintes comandos:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

Instalar dependências para usar o módulo:

Instalação de dependências para o uso do módulo WHfBTools

Se você estiver consultando o Diretório Ativo Do Azure para chaves órfãs, instale o módulo MSAL.PS PowerShell

Instalar via PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Ou instalar usando um download da PowerShell Gallery

  1. Vá para https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

  2. Baixe o arquivo bruto .nupkg para uma pasta local e renome com a extensão .zip

  3. Extraia o conteúdo para uma pasta local, por exemplo C:\MSAL.PS

Comece o PowerShell, copie e execute os seguintes comandos:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Se você estiver consultando diretório ativo para chaves órfãs, instale as ferramentas de administrador de servidor remoto (RSAT): Serviços de Domínio de Direção Ativo e Ferramentas de Serviços de Diretório Leves

Instalar via Configurações (Windows 10, versão 1809 ou posterior)

  1. Acesse configurações -> Apps -> Recursos opcionais -> Adicione um recurso

  2. Selecione RSAT: Serviços de domínio de direção ativo e ferramentas de serviços de diretório leves

  3. Selecione instalar

Ou instalar via PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Ou instalar via download

  1. Ir para https://www.microsoft.com/download/details.aspx?id=45520 (Windows 10 Link)

  2. Baixe as ferramentas de administração de servidores remotos para instalador do Windows 10

  3. Lançar o instalador uma vez que o download está completo

 

Executar o módulo PowerShell WHfBTools

Se o seu ambiente tiver dispositivos conjuntos do Diretório Ativo Azure ou do Diretório Ativo Azure híbrido, siga as etapas do Diretório Ativo do Azure para identificar e remover as chaves. As principais remoções no Azure serão sincronizadas com o Diretório Ativo por meio do Azure AD Connect.

Se o seu ambiente estiver apenas no local, siga as etapas do Diretório Ativo para identificar e remover as chaves.

Consulta para chaves e chaves órfãs afetadas pelo CVE-2017-15361 (ROCA)

Consulta para chaves no Diretório Ativo Do Azure usando o seguinte comando:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Este comando vai consultar o "contoso.com" inquilino para todos os registrados Windows Hello for Business chaves públicas e vai produzir essas informações paraC:\AzureKeys.csv. Substituircontoso.comcom o nome do inquilino para consultar o seu inquilino.

A saída csv,AzureKeys.csv, conterá as seguintes informações para cada chave:

  • Nome principal do usuário

  • Inquilino

  • Uso

  • ID-chave

  • Tempo de criação

  • Status órfão

  • Suporte o status de notificação

  • Status de vulnerabilidade do ROCA

Get-AzureADWHfBKeystambém produzirá um resumo das chaves que foram consultadas. Este resumo fornece as seguintes informações:

  • Número de usuários digitalizados

  • Número de chaves digitalizadas

  • Número de usuários com chaves

  • Número de chaves vulneráveis roca

Nota Pode haver dispositivos obsoletos em seu inquilino azure ad com o Windows Hello for Business chaves associadas a eles. Essas chaves não serão relatadas como órfãs, embora esses dispositivos não estejam sendo usados ativamente. Recomendamos seguir como: Gerenciar dispositivos obsoletos em AD Azure para limpar dispositivos obsoletos antes de consultar para chaves órfãs.

 

Consulta para chaves no Diretório Ativo usando o seguinte comando:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Este comando vai consultar o "contoso" domínio para todas as chaves públicas registradas do Windows Hello for Business e produzirá essas informações paraC:\ADKeys.csv. Substituircontoso com seu nome de domínio para consultar seu domínio.

A saída csv,ADKeys.csv, conterá as seguintes informações para cada chave:

  • Domínio do usuário

  • Nome da conta SAM do usuário

  • Nome distinto do usuário

  • Versão chave

  • ID-chave

  • Tempo de criação

  • Material chave

  • Fonte-chave

  • Uso chave

  • Id chave do dispositivo

  • Selo de tempo aproximado do último logon

  • Tempo de criação

  • Informações-chave personalizadas

  • KeyLinkTargetDN KeyLinkTargetDN

  • Status órfão

  • Status de vulnerabilidade do ROCA

  • KeyrawlDAPValue KeyrawlDAPValue

Get-ADWHfBKeystambém produzirá um resumo das chaves que foram consultadas. Este resumo fornece as seguintes informações:

  • Número de usuários digitalizados

  • Número de usuários com chaves

  • Número de chaves digitalizadas

  • Número de chaves vulneráveis roca

  • Número de chaves órfãs (se -SkipCheckForOrphanedKeys não especificado)

Nota: Se você tem um ambiente híbrido com dispositivos azure ad juntou-se e executar "Get-ADWHfBKeys" em seu domínio no local, o número de chaves órfãs pode não ser preciso. Isso ocorre porque os dispositivos azure ajuntados a AD não estão presentes no Diretório Ativo e as chaves associadas aos dispositivos azure ajuntados ao AD podem aparecer como órfãs.

 

Remover órfãos, ROCA chaves vulneráveis do diretório

Remover as chaves no Diretório Ativo do Azure usando as seguintes etapas:

  1. Filtrar as colunas órfãs e rocavulneráveis deAzureKeys.csvpara verdade

  2. Copie os resultados filtrados para um novo arquivo,C:\ROCAKeys.csv

  3. Executar o seguinte comando para excluir chaves:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Este comando importa a lista de chaves vulneráveis roca órfãos e remove-as docontoso.comInquilino. Substituircontoso.com com o nome do inquilino para remover as chaves do seu inquilino.

N ote Se você excluir as chaves WHfB vulneráveis do ROCA que ainda não ficaram órfãs, isso causará interrupções aos seus usuários. Você deve garantir que essas chaves sejam órfãs antes de removê-las do diretório.

 

Remover as chaves no Diretório Ativo usando as seguintes etapas:

Note que a remoção de chaves órfãs do Diretório Ativo em ambientes híbridos resultará na recriação das chaves como parte do processo de sincronização Azure AD Connect. Se você estiver em um ambiente híbrido, remova as chaves apenas do AD do Azure

  1. Filtre ascolunas OrphanedKey e ROCAVulnerable deADKeys.csv para verdade

  2. Copie os resultados filtrados para um novo arquivo,C:\ROCAKeys.csv

  3. Executar o seguinte comando para excluir chaves:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Este comando importa a lista de chaves vulneráveis roca órfãs e remove-as do seu domínio.

Observe se você excluir as chaves WHfB vulneráveis do ROCA que ainda não ficaram órfãs, isso causará interrupções aos seus usuários. Você deve garantir que essas chaves sejam órfãs antes de removê-las do diretório.

 

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×