Rezumat
Acest articol ajută la identificarea și remedierea problemelor în dispozitivele care sunt afectate de vulnerabilitate care este descrisă în Microsoft Security Advisory ADV170012.
Acest proces se concentrează pe următoarele Windows Salutări pentru afaceri (WHFB) și scenarii de utilizare Azure AD (dai) oferite de Microsoft:
-
Azure AD unire
-
Hibrid Azure AD unire
-
Azure AD înregistrate
Mai multe informații
Identifica scenariul dvs. de utilizare dan
-
Deschideți o fereastră Prompt de comandă.
-
Obțineți starea dispozitivului executând următoarea comandă:
dsregcmd.exe /status -
În rezultatele comenzii, examinați valorile de proprietăți care sunt listate în următorul tabel pentru a determina scenariul dvs. de utilizare dan.
Proprietate
Descrierea
AzureAdJoined
Indică dacă dispozitivul este asociat la Azure AD.
EnterpriseJoined
Indică dacă t că dispozitivul este asociat la AD FS. Aceasta face parte dintr-un scenariu de client pe local-doar în cazul în care Windows Salutări pentru afaceri este implementat și gestionat local.
DomainJoined
Indică dacă dispozitivul este asociat la un domeniu tradițională de Active Directory.
WorkplaceJoined
Indică dacă utilizatorul curent a adăugat un cont de birou sau la școală la profilul lor curentă. Aceasta este cunoscută ca Azure AD înregistrate. Această setare este ignorată de sistem, dacă dispozitivul este AzureAdJoined.
Hibrid Azure AD asociat
Dacă Dasunt DomainJoined și AzureAdJoined, dispozitivul este hibrid Azure AD asociat. De aceea, dispozitivul este asociat la Azure Active Directory și un domeniu tradițională de Active Directory.
Flux de lucru
Implementări și implementări pot varia în organizații. Am conceput următorul flux de lucru pentru a furniza instrumentele de care aveți nevoie pentru a dezvolta abonamentul intern pentru a diminua orice dispozitive afectate. Fluxul de lucru are următorii pași:
-
Identifica dispozitivele afectate. Mediul dvs. pentru afectate trusted platformă module (TPMs), chei de căutare și dispozitive.
-
Corecție dispozitivele afectate. Remedia efectele pe dispozitivele identificate urmând pașii specific unui scenariu care sunt listate în acest articol.
Notă privind golirea TPMs
Deoarece trusted platformă module sunt utilizate pentru a stoca secretele care sunt utilizate de diferite servicii și aplicații, golirea TPM poate avea impact neprevăzute sau negativă de afaceri. Înainte de golirea TPM orice, asigurați-vă că pentru a investiga și validarea că toate serviciile și aplicațiile care utilizează TPM susținută secretele au fost corect identificate şi pregătite pentru ștergere secretă şi recreare.
Cum se identifică dispozitivele afectate
Pentru a identifica TPMs afectate, consultați Microsoft Security Advisory ADV170012.
Modul de dispozitive de corecție afectate
Utilizați pașii următori pe dispozitivele afectate în funcţie de dan scenariu de utilizare.
-
Asigurați-vă că un cont de administrator local valid există pe dispozitiv sau crearea unui cont de administrator local.
Notă
Este o practici recomandate pentru a verifica dacă funcționează contul de conectare la dispozitivul utilizând noul cont de administrator local și confirmați permisiunile corecte, deschideți un prompt de comandă privilegiat.
-
Dacă aveți Sign in cu un cont Microsoft pe dispozitivul, accesați Setări > conturi > conturi de E-mail și aplicații și eliminare cont conectat.
-
Instalați o actualizare de firmware pentru dispozitiv.
Notă
Urmaţi de orientare de OEM pentru a aplica actualizarea de firmware TPM. Consultaţi Pasul 4: "Se aplică actualizări de firmware-ul este cazul," în Microsoft Security Advisory ADV170012 pentru informații despre cum se obține actualizarea TPM la OEM.
-
Părăsiţi dispozitivul din Azure AD.
Notă
Asigurați-vă că cheia BitLocker este sigur copii de rezervă altundeva decât computerul local înainte de a continua.
-
Accesați setări > sistem > despreși apoi faceți clic pe gestionare sau deconectați de la școală sau.
-
Conectat la < AzureAD >și faceți clic pe Deconectare.
-
Faceți clic pe Da când vi se solicită confirmarea.
-
Faceți clic pe Deconectare atunci când vi se solicită să "Deconectare din organizație."
-
Introduceți informațiile contului de administrator local pentru dispozitiv.
-
Faceți clic pe repornire mai târziu.
-
-
Debifați TPM.
Notă
Golirea TPM va elimina toate cheile și secretele care sunt stocate pe dispozitivul dumneavoastră. Asigurați-vă că alte servicii care sunt utilizarea TPM se suspendă sau validate înainte de a continua.
Windows 8 sau o versiune ulterioară: BitLocker este suspendat automat dacă utilizați oricare dintre cele două metode recomandate pentru golirea TPM dvs., mai jos.Windows 7: Suspendarea manuală a BitLocker este necesară înainte de a continua. (Vedeți mai multe informații despre suspendați BitLocker.)
-
Pentru a goli TPM, utilizați una dintre următoarele metode:
-
Utilizați Microsoft Management Console.
-
Apăsați Win + R, tastați tpm.msc și faceți clic pe OK.
-
Faceți clic pe Ștergere TPM.
-
-
Executați cmdletul Tpm clar.
-
-
Faceți clic pe repornire.
Notă Se poate solicita să debifați TPM la startup.
-
-
După repornirea dispozitivului, faceți sign in pe dispozitiv, utilizând contul Administrator local.
-
Reasocierea dispozitivul la Azure AD. Se poate solicita să configurați un PIN nou la următoarea conectare.
-
Dacă ați făcut Sign utilizând un cont Microsoft pe dispozitivul dvs., accesați Setări > conturi > conturi de E-mail și aplicații și eliminare cont conectat.
-
De la un prompt de comandă cu drepturi sporite, executaţi următoarea comandă:
dsregcmd.exe /leave /debugNotă
Ieșire comandă ar trebui să indice AzureADJoined: No.
-
Instalați o actualizare de firmware pentru dispozitiv.
Notă
Notă Urmaţi de orientare de OEM pentru a aplica actualizarea de firmware TPM. Consultaţi Pasul 4: "Se aplică actualizări de firmware-ul este cazul," în Microsoft Security Advisory ADV170012 pentru informații despre cum se obține actualizarea TPM la OEM.
-
Debifați TPM.
Notă
Golirea TPM va elimina toate cheile și secretele care sunt stocate pe dispozitivul dumneavoastră. Asigurați-vă că alte servicii care sunt utilizarea TPM se suspendă sau validate înainte de a continua.
Windows 8 sau o versiune ulterioară: BitLocker este suspendat automat dacă utilizați oricare dintre cele două metode recomandate pentru golirea TPM dvs., mai jos.Windows 7: Suspendarea manuală a BitLocker este necesară înainte de a continua. (Vedeți mai multe informații despre suspendați BitLocker.)
-
Pentru a goli TPM, utilizați una dintre următoarele metode:
-
Utilizați Microsoft Management Console.
-
Apăsați Win + R, tastați tpm.msc și faceți clic pe OK.
-
Faceți clic pe Ștergere TPM.
-
-
Executați cmdletul Tpm clar.
-
-
Faceți clic pe repornire.
Notă Se poate solicita să debifați TPM la startup.
-
Când pornește dispozitivul, Windows generează noi chei și se automat dispozitivul la Azure AD. În acest timp, este posibil să continuați să utilizați dispozitivul. Cu toate acestea, accesul la resurse, cum ar fi Microsoft Outlook, OneDrive și alte aplicații care necesită SSO sau politici de acces condițională poate fi limitat.
Notă Dacă utilizați un cont Microsoft, trebuie să știți parola.
-
Instalați o actualizare de firmware pentru dispozitiv.
Notă
Urmaţi de orientare de OEM pentru a aplica actualizarea de firmware TPM. Consultaţi Pasul 4: "Se aplică actualizări de firmware-ul este cazul," în Microsoft Security Advisory ADV170012 pentru informații despre cum se obține actualizarea TPM la OEM.
-
Eliminați contul de serviciu Azure AD.
-
Accesați setări > conturi > școală sau Access, faceți clic pe contul de birou sau la școală și apoi faceți clic pe Deconectare.
-
Faceți clic pe Da în cere să confirmați deconectat.
-
-
Debifați TPM.
Notă
Golirea TPM va elimina toate cheile și secretele care sunt stocate pe dispozitivul dumneavoastră. Asigurați-vă că alte servicii care sunt utilizarea TPM se suspendă sau validate înainte de a continua.
Windows 8 sau o versiune ulterioară: BitLocker este suspendat automat dacă utilizați oricare dintre cele două metode recomandate pentru golirea TPM dvs., mai jos.Windows 7: Suspendarea manuală a BitLocker este necesară înainte de a continua. (Vedeți mai multe informații despre suspendați BitLocker.)
-
Pentru a goli TPM, utilizați una dintre următoarele metode:
-
Utilizați Microsoft Management Console.
-
Apăsați Win + R, tastați tpm.msc și faceți clic pe OK.
-
Faceți clic pe Ștergere TPM.
-
-
Executați cmdletul Tpm clar.
-
-
Faceți clic pe repornire.
Notă Se poate solicita să debifați dumneavoastră TPM la startup. -
Dacă ați folosit un cont Microsoft, care are un PIN, trebuie să faceți sign in pe dispozitivul utilizând parola.
-
Adăugați contul de serviciu la dispozitivul.
-
Accesați setări > conturi > școală sau acces şi faceţi clic pe Connect.
-
Introduceți contul de serviciu, și apoi faceți clic pe Următorul.
-
Introduceți contul de serviciu și parola, și apoi faceți clic pe Sign in.
-
Dacă organizația dvs. are configurat Azure multi-factor Authentication pentru conectare la dispozitivele la Azure AD, furnizați al doilea factor înainte de a continua.
-
Validarea că informațiile afișate este corectă și apoi pe Alăturați-vă. Ar trebui să vedeți următorul mesaj:
You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.
-
-