Rezumat
Pentru a ajuta clienții să identifice solitare Windows Hello for Business (WHfB) cheile afectate de o vulnerabilitate TPM, Microsoft a publicat un modul PowerShell care poate fi executat de administratori. Acest articol explică modul de a aborda problema descrisă în ADV190026 | "Microsoft orientare pentru curățarea cheile solitare generate pe TPMs vulnerabile și utilizate pentru Windows Hello for Business."
Notă importantă Înainte de a utiliza whfbtools pentru a elimina solitare chei, de orientare în ADV170012 ar trebui să fie urmate pentru a actualiza firmware-ul de orice TPMS vulnerabile. Dacă această îndrumare nu este urmată, orice chei WHfB noi generate pe un dispozitiv cu firmware care nu a fost actualizat vor fi afectate în continuare de CVE-2017-15361 (roca).
se instalează modulul PowerShell WHfBTools
Instalați modulul executând următoarele comenzi:
Instalarea modulului WHfBTools PowerShell |
Instalați prin intermediul PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Sau a instala folosire un a descărca de la PowerShell Gallery
Porniți PowerShell, copiați și executați următoarele comenzi: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Instalați dependențele pentru utilizarea modulului:
Instalarea dependențelor pentru utilizarea modulului WHfBTools |
Dacă interogați Azure Active Directory pentru chei solitare, instalați modulul MSAL.PS PowerShell Instalați prin intermediul PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Sau a instala folosire un a descărca de la PowerShell Gallery
Porniți PowerShell, copiați și executați următoarele comenzi: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Dacă interogați Active Directory pentru chei solitare, instalați instrumente de administrator de server la distanță (RSAT): consolidare servicii de domeniu Active Directory și instrumente ușoare Directory Services Instalați prin setări (Windows 10, versiunea 1809 sau o versiune ulterioară)
Sau a instala Via PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Sau instalați prin descărcare
|
Executați modulul PowerShell WHfBTools
Dacă mediul are Azure Active Directory s-au alăturat sau hibrid Azure Active Directory s-au alăturat dispozitive, urmați pașii Azure Active Directory pentru a identifica și elimina cheile. Eliminări cheie în Azure va sincroniza la Active Directory prin Azure AD Connect.
Dacă mediul este doar local, urmați pașii Active Directory pentru a identifica și elimina cheile.
Interogarea pentru cheile și cheile solitare afectate de CVE-2017-15361 (roca) |
Interogare pentru chei în Azure Active Directory utilizând următoarea comandă: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Această comandă va interoga "contoso.com"entitate găzduită pentru toate înregistrate Windows Hello for Business chei publice și va afișa aceste informații pentru aC:\AzureKeys.csv. Înlocuicontoso.comcu numele entității găzduite pentru interogarea entității găzduite. Ieșirea CSV,AzureKeys.csv, va conține următoarele informații pentru fiecare tastă:
Get-AzureADWHfBKeysva afișa, de asemenea, un rezumat al cheilor care au fost interogate. Acest rezumat oferă următoarele informații:
Notă Pot exista dispozitive învechite în entitatea găzduită Azure AD cu Windows Hello for Business chei asociate cu acestea. Aceste taste nu vor fi raportate ca solitare, chiar dacă aceste dispozitive nu sunt utilizate în mod activ. Vă recomandăm următoarele să: gestionați dispozitivele învechite în AZURE AD pentru a curăța dispozitivele învechite înainte de interogarea pentru chei solitare.
Interogare pentru chei în Active Directory utilizând următoarea comandă: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Această comandă va interoga "contoso"domeniu pentru toate înregistrate Windows Hello for Business chei publice și va afișa aceste informații pentru aC:\ADKeys.csv. Înlocuicontoso cu numele de domeniu pentru a interoga domeniul dvs. Ieșirea CSV,ADKeys.csv, va conține următoarele informații pentru fiecare tastă:
Get-ADWHfBKeysva afișa, de asemenea, un rezumat al cheilor care au fost interogate. Acest rezumat oferă următoarele informații:
Notă: Dacă aveți un mediu hibrid cu Azure AD conexate dispozitive și executați "Get-ADWHfBKeys" în domeniul local, numărul de chei solitare poate să nu fie exacte. Acest lucru se datorează faptului că Azure AD s-au alăturat dispozitive nu sunt prezente în Active Directory și cheile asociate cu Azure AD asociat dispozitive pot apărea ca solitare. |
Eliminați solitare, roca vulnerabile cheile din directorul |
Eliminați cheile din Azure Active Directory utilizând pașii următori:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Această comandă importă lista de taste vulnerabile solitare, ROCA și le elimină dincontoso.comChiriaş. Înlocuicontoso.com cu numele chiriașului pentru a elimina cheile de la chiriaș. N OTE Dacă ștergeți roca vulnerabile whfb chei care nu sunt orfani încă, aceasta va provoca întreruperi pentru utilizatorii dumneavoastră. Trebuie să vă asigurați că aceste taste sunt solitare înainte de a le elimina din directorul.
Eliminați cheile în Active Directory utilizând pașii următori: Notă eliminarea solitare chei din Active Directory în medii hibride va rezulta în cheile fiind recreat ca parte a procesului de sincronizare Azure AD conecta. Dacă vă aflați într-un mediu hibrid, eliminați cheile numai de la Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Această comandă importă lista de chei solitare, ROCA vulnerabile și le elimină din domeniu. Notă Dacă ștergeți roca vulnerabile whfb chei care nu sunt solitare încă, aceasta va provoca perturbarea utilizatorilor. Trebuie să vă asigurați că aceste taste sunt solitare înainte de a le elimina din directorul. |