Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Rezumat

Pentru a ajuta clienții să identifice solitare Windows Hello for Business (WHfB) cheile afectate de o vulnerabilitate TPM, Microsoft a publicat un modul PowerShell care poate fi executat de administratori. Acest articol explică modul de a aborda problema descrisă în ADV190026 | "Microsoft orientare pentru curățarea cheile solitare generate pe TPMs vulnerabile și utilizate pentru Windows Hello for Business."

Notă importantă Înainte de a utiliza whfbtools pentru a elimina solitare chei, de orientare în ADV170012 ar trebui să fie urmate pentru a actualiza firmware-ul de orice TPMS vulnerabile. Dacă această îndrumare nu este urmată, orice chei WHfB noi generate pe un dispozitiv cu firmware care nu a fost actualizat vor fi afectate în continuare de CVE-2017-15361 (roca).

se instalează modulul PowerShell WHfBTools

Instalați modulul executând următoarele comenzi:

Instalarea modulului WHfBTools PowerShell

Instalați prin intermediul PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Sau a instala folosire un a descărca de la PowerShell Gallery

  1. Mergi la https://www.powershellgallery.com/packages/WHfBTools

  2. Descărcați fișierul RAW. nupkg într-un folder local și redenumiți cu extensia. zip

  3. Extrageți conținutul într-un folder local, de exemplu C:\ADV190026

 

Porniți PowerShell, copiați și executați următoarele comenzi:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

Instalați dependențele pentru utilizarea modulului:

Instalarea dependențelor pentru utilizarea modulului WHfBTools

Dacă interogați Azure Active Directory pentru chei solitare, instalați modulul MSAL.PS PowerShell

Instalați prin intermediul PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Sau a instala folosire un a descărca de la PowerShell Gallery

  1. Accesați https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

  2. Descărcați fișierul RAW. nupkg într-un folder local și redenumiți cu extensia. zip

  3. Extrageți conținutul într-un folder local, de exemplu C:\MSAL.PS

Porniți PowerShell, copiați și executați următoarele comenzi:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Dacă interogați Active Directory pentru chei solitare, instalați instrumente de administrator de server la distanță (RSAT): consolidare servicii de domeniu Active Directory și instrumente ușoare Directory Services

Instalați prin setări (Windows 10, versiunea 1809 sau o versiune ulterioară)

  1. Accesați Setări-> Aplicații-> caracteristici opționale-> Adăugați o caracteristică

  2. Selectați RSAT: consolidare servicii de domeniu Active Directory și instrumente ușoare Directory Services

  3. Selectați instalare

Sau a instala Via PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Sau instalați prin descărcare

  1. Accesați https://www.Microsoft.com/en-US/download/details.aspx?id=45520 (Windows 10 link)

  2. Descărcați instrumentele de administrare la distanță server pentru Windows 10 Installer

  3. Lansați programul de instalare după finalizarea descărcării

 

Executați modulul PowerShell WHfBTools

Dacă mediul are Azure Active Directory s-au alăturat sau hibrid Azure Active Directory s-au alăturat dispozitive, urmați pașii Azure Active Directory pentru a identifica și elimina cheile. Eliminări cheie în Azure va sincroniza la Active Directory prin Azure AD Connect.

Dacă mediul este doar local, urmați pașii Active Directory pentru a identifica și elimina cheile.

Interogarea pentru cheile și cheile solitare afectate de CVE-2017-15361 (roca)

Interogare pentru chei în Azure Active Directory utilizând următoarea comandă:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Această comandă va interoga "contoso.com"entitate găzduită pentru toate înregistrate Windows Hello for Business chei publice și va afișa aceste informații pentru aC:\AzureKeys.csv. Înlocuicontoso.comcu numele entității găzduite pentru interogarea entității găzduite.

Ieșirea CSV,AzureKeys.csv, va conține următoarele informații pentru fiecare tastă:

  • Nume principal utilizator

  • Chiriaş

  • Utilizare

  • ID cheie

  • Timp de creare

  • Stare solitare

  • Suportă starea de notificare

  • Stare vulnerabilitate ROCA

Get-AzureADWHfBKeysva afișa, de asemenea, un rezumat al cheilor care au fost interogate. Acest rezumat oferă următoarele informații:

  • Număr de utilizatori scanați

  • Numărul de taste scanate

  • Numărul de utilizatori cu taste

  • Numărul de chei vulnerabile ROCA

Notă Pot exista dispozitive învechite în entitatea găzduită Azure AD cu Windows Hello for Business chei asociate cu acestea. Aceste taste nu vor fi raportate ca solitare, chiar dacă aceste dispozitive nu sunt utilizate în mod activ. Vă recomandăm următoarele să: gestionați dispozitivele învechite în AZURE AD pentru a curăța dispozitivele învechite înainte de interogarea pentru chei solitare.

 

Interogare pentru chei în Active Directory utilizând următoarea comandă:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Această comandă va interoga "contoso"domeniu pentru toate înregistrate Windows Hello for Business chei publice și va afișa aceste informații pentru aC:\ADKeys.csv. Înlocuicontoso cu numele de domeniu pentru a interoga domeniul dvs.

Ieșirea CSV,ADKeys.csv, va conține următoarele informații pentru fiecare tastă:

  • Domeniu utilizator

  • Nume cont SAM utilizator

  • Nume distins utilizator

  • Versiune cheie

  • ID cheie

  • Timp de creare

  • Material cheie

  • Sursa cheie

  • Cheie usage

  • ID dispozitiv cheie

  • Aproximativă Ultima timestamp logon

  • Timp de creare

  • Informații cheie particularizate

  • KeyLinkTargetDN

  • Stare solitare

  • Stare vulnerabilitate ROCA

  • Cheia de la KeyRawLDAPValue

Get-ADWHfBKeysva afișa, de asemenea, un rezumat al cheilor care au fost interogate. Acest rezumat oferă următoarele informații:

  • Număr de utilizatori scanați

  • Numărul de utilizatori cu taste

  • Numărul de taste scanate

  • Numărul de chei vulnerabile ROCA

  • Numărul de chei solitare (dacă-Skipcheckforsolitedkeys nespecificat)

Notă: Dacă aveți un mediu hibrid cu Azure AD conexate dispozitive și executați "Get-ADWHfBKeys" în domeniul local, numărul de chei solitare poate să nu fie exacte. Acest lucru se datorează faptului că Azure AD s-au alăturat dispozitive nu sunt prezente în Active Directory și cheile asociate cu Azure AD asociat dispozitive pot apărea ca solitare.

 

Eliminați solitare, roca vulnerabile cheile din directorul

Eliminați cheile din Azure Active Directory utilizând pașii următori:

  1. Filtrați coloanele solitare și rocavulnerabile aleAzureKeys.csvla True

  2. Copiați rezultatele filtrate într-un fișier nou,C:\ROCAKeys.csv

  3. Executați următoarea comandă pentru a șterge cheile:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Această comandă importă lista de taste vulnerabile solitare, ROCA și le elimină dincontoso.comChiriaş. Înlocuicontoso.com cu numele chiriașului pentru a elimina cheile de la chiriaș.

N OTE Dacă ștergeți roca vulnerabile whfb chei care nu sunt orfani încă, aceasta va provoca întreruperi pentru utilizatorii dumneavoastră. Trebuie să vă asigurați că aceste taste sunt solitare înainte de a le elimina din directorul.

 

Eliminați cheile în Active Directory utilizând pașii următori:

Notă eliminarea solitare chei din Active Directory în medii hibride va rezulta în cheile fiind recreat ca parte a procesului de sincronizare Azure AD conecta. Dacă vă aflați într-un mediu hibrid, eliminați cheile numai de la Azure AD

  1. Filtrați coloanele solitare și rocavulnerabile aleADKeys.csv la True

  2. Copiați rezultatele filtrate într-un fișier nou,C:\ROCAKeys.csv

  3. Executați următoarea comandă pentru a șterge cheile:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Această comandă importă lista de chei solitare, ROCA vulnerabile și le elimină din domeniu.

Notă Dacă ștergeți roca vulnerabile whfb chei care nu sunt solitare încă, aceasta va provoca perturbarea utilizatorilor. Trebuie să vă asigurați că aceste taste sunt solitare înainte de a le elimina din directorul.

 

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×