Resumo
Para ajudar os clientes a identificar as chaves órfãs do Windows Hello for Business (WHfB) afetadas por uma vulnerabilidade TPM, a Microsoft publicou um módulo PowerShell que pode ser executado por administradores. Este artigo explica como abordar o problema descrito na ADV190026 | "Microsoft Orientação para limpar chaves órfãs geradas em TPMs vulneráveis e usado para Windows Hello for Business."
Nota importante Antes de usar whfbtools para remover chaves órfãs, a orientação em ADV170012 deve ser seguido para atualizar o firmware de qualquer TPMs vulneráveis. Se essa orientação não for seguida, quaisquer novas chaves WHfB geradas em um dispositivo com firmware que não foi atualizado ainda serão afetadas pelo CVE-2017-15361 (ROCA).
Como instalar o módulo PowerShell WHfBTools
Instale o módulo executando os seguintes comandos:
Instalação do módulo WHfBTools PowerShell |
Instalar via PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Ou instalar usando um download da PowerShell Gallery
Comece o PowerShell, copie e execute os seguintes comandos: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Instalar dependências para usar o módulo:
Instalação de dependências para o uso do módulo WHfBTools |
Se você estiver consultando o Diretório Ativo Do Azure para chaves órfãs, instale o módulo MSAL.PS PowerShell Instalar via PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Ou instalar usando um download da PowerShell Gallery
Comece o PowerShell, copie e execute os seguintes comandos: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Se você estiver consultando diretório ativo para chaves órfãs, instale as ferramentas de administrador de servidor remoto (RSAT): Serviços de Domínio de Direção Ativo e Ferramentas de Serviços de Diretório Leves Instalar via Configurações (Windows 10, versão 1809 ou posterior)
Ou instalar via PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Ou instalar via download
|
Executar o módulo PowerShell WHfBTools
Se o seu ambiente tiver dispositivos conjuntos do Diretório Ativo Azure ou do Diretório Ativo Azure híbrido, siga as etapas do Diretório Ativo do Azure para identificar e remover as chaves. As principais remoções no Azure serão sincronizadas com o Diretório Ativo por meio do Azure AD Connect.
Se o seu ambiente estiver apenas no local, siga as etapas do Diretório Ativo para identificar e remover as chaves.
Consulta para chaves e chaves órfãs afetadas pelo CVE-2017-15361 (ROCA) |
Consulta para chaves no Diretório Ativo Do Azure usando o seguinte comando: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Este comando vai consultar o "contoso.com" inquilino para todos os registrados Windows Hello for Business chaves públicas e vai produzir essas informações paraC:\AzureKeys.csv. Substituircontoso.comcom o nome do inquilino para consultar o seu inquilino. A saída csv,AzureKeys.csv, conterá as seguintes informações para cada chave:
Get-AzureADWHfBKeystambém produzirá um resumo das chaves que foram consultadas. Este resumo fornece as seguintes informações:
Nota Pode haver dispositivos obsoletos em seu inquilino azure ad com o Windows Hello for Business chaves associadas a eles. Essas chaves não serão relatadas como órfãs, embora esses dispositivos não estejam sendo usados ativamente. Recomendamos seguir como: Gerenciar dispositivos obsoletos em AD Azure para limpar dispositivos obsoletos antes de consultar para chaves órfãs.
Consulta para chaves no Diretório Ativo usando o seguinte comando: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Este comando vai consultar o "contoso" domínio para todas as chaves públicas registradas do Windows Hello for Business e produzirá essas informações paraC:\ADKeys.csv. Substituircontoso com seu nome de domínio para consultar seu domínio. A saída csv,ADKeys.csv, conterá as seguintes informações para cada chave:
Get-ADWHfBKeystambém produzirá um resumo das chaves que foram consultadas. Este resumo fornece as seguintes informações:
Nota: Se você tem um ambiente híbrido com dispositivos azure ad juntou-se e executar "Get-ADWHfBKeys" em seu domínio no local, o número de chaves órfãs pode não ser preciso. Isso ocorre porque os dispositivos azure ajuntados a AD não estão presentes no Diretório Ativo e as chaves associadas aos dispositivos azure ajuntados ao AD podem aparecer como órfãs. |
Remover órfãos, ROCA chaves vulneráveis do diretório |
Remover as chaves no Diretório Ativo do Azure usando as seguintes etapas:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Este comando importa a lista de chaves vulneráveis roca órfãos e remove-as docontoso.comInquilino. Substituircontoso.com com o nome do inquilino para remover as chaves do seu inquilino. N ote Se você excluir as chaves WHfB vulneráveis do ROCA que ainda não ficaram órfãs, isso causará interrupções aos seus usuários. Você deve garantir que essas chaves sejam órfãs antes de removê-las do diretório.
Remover as chaves no Diretório Ativo usando as seguintes etapas: Note que a remoção de chaves órfãs do Diretório Ativo em ambientes híbridos resultará na recriação das chaves como parte do processo de sincronização Azure AD Connect. Se você estiver em um ambiente híbrido, remova as chaves apenas do AD do Azure
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Este comando importa a lista de chaves vulneráveis roca órfãs e remove-as do seu domínio. Observe se você excluir as chaves WHfB vulneráveis do ROCA que ainda não ficaram órfãs, isso causará interrupções aos seus usuários. Você deve garantir que essas chaves sejam órfãs antes de removê-las do diretório. |