Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Sumário

Este artigo ajuda a identificar e resolver problemas de dispositivos que são afectados pela vulnerabilidade que é descrita no Aviso de segurança da Microsoft ADV170012.

Este processo foca os seguintes Windows Olá para cenários de utilização Azure AD (AAD) oferecida pela Microsoft e de negócio (WHFB):

  • Aderir azure AD

  • Aderir híbrido Azure AD

  • AD azure registado

Mais informações

Identificar o cenário de utilização AAD

  1. Abra uma janela de linha de comandos.

  2. Obter o estado do dispositivo executando o seguinte comando:dsregcmd.exe /status

  3. Na linha de comandos, examine os valores das propriedades que estão listados na seguinte tabela para determinar o cenário de utilização AAD.

    Propriedade

    Descrição

    AzureAdJoined

    Indica se o dispositivo está associado a Azure AD.

    EnterpriseJoined

    Indica se t dispositivo he está associado a AD FS. Esta é parte de um cenário de cliente em instalações-só em Windows Olá para a empresa é implementado e geridos no local.

    DomainJoined

    Indica se o dispositivo está associado a um domínio do Active Directory tradicional.

    WorkplaceJoined

    Indica se o utilizador actual tiver adicionado uma conta de trabalho ou escolares ao respectivo perfil actual. Isto é conhecido como AD Azure registado. Esta definição é ignorada pelo sistema se o dispositivo for AzureAdJoined.

Híbrido Azure AD associado

Se DomainJoined e AzureAdJoined forem Sim, o dispositivo está híbrido Azure AD associado. Por conseguinte, o dispositivo está associado a um Azure Active Directory e um domínio do Active Directory tradicional.

Fluxo de trabalho

Implementações e implementações podem variar entre organizações. Concebemos o fluxo de trabalho seguinte para fornecer as ferramentas de que necessita para desenvolver o seu próprio plano interno para atenuar os dispositivos afectados. O fluxo de trabalho tem os seguintes passos:

  1. Identifica os dispositivos afectados. Procura que do ambiente para afectados módulos de plataforma fidedigna (os TPMs), chaves e dispositivos.

  2. Patch os dispositivos afectados. Remediar os efeitos em dispositivos identificados seguindo os passos específicos do cenário que estão listados neste artigo.

Nota sobre como remover os TPMs

Uma vez que a confiança módulos de plataforma são utilizados para armazenar segredos que são utilizados por vários serviços e aplicações, a limpeza do TPM podem ter impactos de negócio imprevisíveis ou negativo. Antes de o limpar qualquer TPM, certifique-se de que investigue e validar a que todos os serviços e aplicações que utilizam segurança de TPM segredos foram correctamente identificadas e preparadas para eliminação secreta e lazer.

Como identificar os dispositivos afectados

Para identificar os TPMs afectados, consulte o Aviso de segurança da Microsoft ADV170012.

Como dispositivos de patch afectado

Utilize os seguintes passos nos dispositivos afectados em conformidade com o cenário de utilização AAD.

  1. Certifique-se de que existe uma conta de administrador local válido no dispositivo ou criar uma conta de administrador local.

    Nota

    É uma prática recomendada para verificar se a conta está a funcionar pelo início de sessão para o dispositivo utilizando a nova conta de administrador local e confirmar as permissões correctas, abrindo uma linha de comandos elevada.

     

  2. Se tiver iniciado sessão com uma conta Microsoft no dispositivo, vá para Definições > contas > contas de correio electrónico & app e remover a conta conectada.Remover conta ligada

  3. Instale uma actualização de firmware do dispositivo.

    Nota

    Siga as orientações do OEM para aplicar a actualização de firmware do TPM. Consulte o passo 4: "Aplicar actualizações de firmware aplicável," no Aviso de segurança da Microsoft ADV170012 para obter informações sobre como obter a actualização do TPM a partir do OEM.

     

  4. Desligar o dispositivo de Azure AD.

    Nota

    Certifique-se de que a chave BitLocker é uma forma segura cópia noutro local diferente do computador local antes de continuar.

    1. Vá para Definições > sistema > sobree, em seguida, clique em Gerir ou desligar de trabalho ou na escola.

    2. Clique em ligado a < AzureAD >e clique em Desligar.

    3. Clique em Sim quando lhe for pedido para confirmação.

    4. Clique em Desligar quando lhe for pedido para "Desligar a organização".Desligar a organização

    5. Introduza as informações de conta de administrador local para o dispositivo.

    6. Clique em reiniciar mais tarde. Reiniciar mais tarde depois de desligar a organização

  5. Limpe o TPM.

    Nota

    Limpar o TPM irá remover todas as chaves e segredos são armazenados no dispositivo. Certifique-se de que outros serviços que estão a utilizar o TPM estão suspenso ou validados antes de continuar.

    Windows 8 ou posterior: O BitLocker é automaticamente suspenso se utilizar qualquer um dos dois métodos recomendados para limpar o TPM, abaixo.

    O Windows 7: Suspensão manual do BitLocker é necessária antes de continuar. (Ver mais informações sobre suspender o BitLocker).  

    1. Para limpar o TPM, utilize um dos seguintes métodos:

      • Utilize a consola de gestão da Microsoft.

        1. Prima Win + R, escreva msc e clique em OK.

        2. Clique em Desmarcar TPM.Desmarcar TPM na MMC

      • Execute o cmdlet desmarcar Tpm.

    2. Clique em reiniciar.Reiniciar depois de limpar o TPMNota Poderá ser solicitado para limpar o TPM no arranque.

  6. Depois de reinicia o dispositivo, iniciar sessão para o dispositivo utilizando a conta de administrador local.

  7. O dispositivo Azure AD de voltar a aderir. Poderá ser solicitado para configurar um PIN novo no próximo início de sessão.

  1. Se iniciou sessão utilizando uma conta Microsoft no seu dispositivo, vá para Definições > contas > contas de correio electrónico & app e remover a conta conectada.Remover conta ligada

  2. A partir de uma linha de comandos elevada, execute o seguinte comando:dsregcmd.exe /leave /debug

    Nota

    Saída de comando deverá indicar AzureADJoined: N.

     

  3. Instale uma actualização de firmware do dispositivo.

    Nota

    Nota Siga as orientações do OEM para aplicar a actualização de firmware do TPM. Consulte o passo 4: "Aplicar actualizações de firmware aplicável," no Aviso de segurança da Microsoft ADV170012 para obter informações sobre como obter a actualização do TPM a partir do OEM.

  4. Limpe o TPM.

    Nota

    Limpar o TPM irá remover todas as chaves e segredos são armazenados no dispositivo. Certifique-se de que outros serviços que estão a utilizar o TPM estão suspenso ou validados antes de continuar.

    Windows 8 ou posterior: O BitLocker é automaticamente suspenso se utilizar qualquer um dos dois métodos recomendados para limpar o TPM, abaixo.

    O Windows 7: Suspensão manual do BitLocker é necessária antes de continuar. (Ver mais informações sobre suspender o BitLocker).

     

    1. Para limpar o TPM, utilize um dos seguintes métodos:

      • Utilize a consola de gestão da Microsoft.

        1. Prima Win + R, escreva msc e clique em OK.

        2. Clique em Desmarcar TPM.Desmarcar TPM na MMC

      • Execute o cmdlet desmarcar Tpm.

    2. Clique em reiniciar.Nota Poderá ser solicitado para limpar o TPM no arranque.

Quando o dispositivo for iniciado, o Windows gera novas chaves e automaticamente volta associar-se o dispositivo Azure AD. Durante este tempo, poderá continuar a utilizar o dispositivo. No entanto, aceder a recursos tais como o Microsoft Outlook, OneDrive e outras aplicações que necessitem de SSO ou políticas de acesso condicional podem ser limitadas.

Nota Se utilizar uma conta Microsoft, tem de saber a palavra-passe.

  1. Instale uma actualização de firmware do dispositivo.

    Nota

    Siga as orientações do OEM para aplicar a actualização de firmware do TPM. Consulte o passo 4: "Aplicar actualizações de firmware aplicável," no Aviso de segurança da Microsoft ADV170012 para obter informações sobre como obter a actualização do TPM a partir do OEM.

     

  2. Remova a conta de trabalho Azure AD.

    1. Vá para Definições > contas > escolar ou de trabalho do Access, clique na conta de trabalho ou escolares e, em seguida, clique em Desligar.

    2. Clique em Sim para confirmar a eliminação da associação.

  3. Limpe o TPM.

    Nota

    Limpar o TPM irá remover todas as chaves e segredos são armazenados no dispositivo. Certifique-se de que outros serviços que estão a utilizar o TPM estão suspenso ou validados antes de continuar.

    Windows 8 ou posterior: O BitLocker é automaticamente suspenso se utilizar qualquer um dos dois métodos recomendados para limpar o TPM, abaixo.

    O Windows 7: Suspensão manual do BitLocker é necessária antes de continuar. (Ver mais informações sobre suspender o BitLocker).

     

    1. Para limpar o TPM, utilize um dos seguintes métodos:

      • Utilize a consola de gestão da Microsoft.

        1. Prima Win + R, escreva msc e clique em OK.

        2. Clique em Desmarcar TPM.

      • Execute o cmdlet desmarcar Tpm.

    2. Clique em reiniciar.Nota Poderá ser solicitado para limpar o TPM no arranque.

    3. Se utilizou uma conta Microsoft que tenha um PIN, tem de iniciar sessão para o dispositivo utilizando a palavra-passe.

    4. Adicione a conta de trabalho novamente para o dispositivo.

      1. Vá para Definições > contas > trabalho do Access ou na escola e clique em Ligar.Ligar a trabalhar ou escola

      2. Introduza a conta de trabalho e, em seguida, clique em seguinte.Configurar uma conta de trabalho ou escolares

      3. Introduza a conta do trabalho e a palavra-passe e, em seguida, clique em Iniciar sessão.

      4. Se a organização configurou a autenticação de factores múltiplos Azure para aderir a dispositivos para Azure AD, forneça o segundo factor antes de continuar.

      5. Validar se as informações apresentadas estão correctas e, em seguida, clique em aderir. Deverá ver a seguinte mensagem:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade