Использование модуля WHfBTools PowerShell для очистки осиротевших Windows Hello for Business Keys

Установка модуля WHfBTools PowerShell

Установка через PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Или установите с помощью загрузки из галереи PowerShell

1. Перейти к https://www.powershellgallery.com/packages/WHfBTools

2. Скачать необработанный файл .nupkg в локальную папку и переименовать с расширением .zip

3. Извлеките содержимое в локальную папку, например C:ADV190026

Запустите PowerShell, скопируйте и запустите следующие команды:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

Установка зависимостей для использования модуля WHfBTools

Если вы захотите запросить Active Directory Azure для осиротевших ключей, установите модуль MSAL.PS PowerShell

Установка через PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Или установите с помощью загрузки из powerShell Галерея

1. Перейти к https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

2. Скачать необработанный файл .nupkg в локальную папку и переименовать с расширением .zip

3. Извлеките содержимое в локальную папку, например C:'MSAL.PS

Запустите PowerShell, скопируйте и запустите следующие команды:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Если вы захотите "Активный каталог" для осиротевших ключей, установите инструменты администратора удаленного сервера (RSAT): службы домена Active Directory и легкие инструменты справочников

Установка через настройки (Windows 10, версия 1809 или более поздняя)

1. Перейти к настройкам - й gt; Приложения - »gt; Дополнительные функции -

2. Выберите RSAT: Активные службы домена каталога и легкие инструменты обслуживания каталогов

3. Выберите Установку

Или установите через PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Или установить через скачать

1. Перейти к https://www.microsoft.com/download/details.aspx?id=45520 (Windows 10 Ссылка)

2. Скачать инструменты управления удаленным сервером для установки Windows 10

3. Запуск установки после загрузки завершена

Запрос на ключи и ключи от осиротевших детей, затронутые CVE-2017-15361 (ROCA)

Запрос ключей в Active Directory Azure с использованием следующей команды:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Эта команда будет запрос :contoso.com" арендатор для всех зарегистрированных Windows Hello для бизнеса общедоступные ключи и будет вывод, что информацияC:\AzureKeys.csv. Заменитьcontoso.comс вашим именем арендатора для запроса вашего арендатора.

Выход Csv,AzureKeys.csv, будет содержать следующую информацию для каждого ключа:

• Имя пользователя

• Арендатор

• Использование

• Идентификатор ключа

• Время создания

• Статус сирот

• Поддерживает Уведомить о статусе

• Статус уязвимости ROCA

Get-AzureADWHfBKeysтакже выводит резюме запрошенных ключей. В этом резюме приводится следующая информация:

• Количество отсканированных пользователей

• Количество отсканированных ключей

• Количество пользователей с ключами

• Количество уязвимых ключей ROCA

Заметка В вашем агостике Azure AD могут быть устаревшие устройства с ключами Windows Hello для бизнеса. Эти ключи не будут сообщены как сироты, даже если эти устройства не активно используются. Мы рекомендуем следить за тем, как: управлять устаревшими устройствами в Azure AD для очистки устаревших устройств, прежде чем запросить ключи для осиротевших.

Запрос ключей в Active Directory с использованием следующей команды:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Эта команда будет запрос :contoso" домена для всех зарегистрированных Windows Hello for Business общедоступные ключи и будет вывод, что информацияC:\ADKeys.csv. Заменитьcontoso с вашим доменным именем для запроса домена.

Выход Csv,ADKeys.csv, будет содержать следующую информацию для каждого ключа:

• Домен пользователя

• Имя учетной записи пользователя SAM

• Имя пользователя Уважаемое

• Ключевая версия

• Идентификатор ключа

• Время создания

• Ключевой материал

• Ключевой источник

• Использование ключей

• Идентификатор ключа

• Приблизительный Последний Логин Timestamp

• Время создания

• Пользовательская ключевая информация

• KeyLinkTargetdN

• Статус сирот

• Статус уязвимости ROCA

• KeyRawLDAPValue

Get-ADWHfBKeysтакже выводит резюме запрошенных ключей. В этом резюме приводится следующая информация:

• Количество отсканированных пользователей

• Количество пользователей с ключами

• Количество отсканированных ключей

• Количество уязвимых ключей ROCA

• Количество ключей для детей-сирот (если -SkipCheckForOrphanedKeys не указана)

Примечание: Если у вас есть гибридная среда с устройствами, объединенными Azure AD, и запуском "Get-ADWHfBKeys" в вашем домене, количество ключей-сирот может быть неточным. Это связано с тем, что устройства, объединенные в Azure AD, не присутствуют в Active Directory, а ключи, связанные с устройствами, связанными с Azure AD, могут отображаться как осиротевшие.

Удалить уязвимые ключи ROCA из каталога

Удалите клавиши в Active Directory Azure с помощью следующих шагов:

1. Фильтр осиротевших и RocaVulnerable столбцыAzureKeys.csvк истине

2. Копирование отфильтрованных результатов в новый файл,C:\ROCAKeys.csv

3. Выполнить следующую команду, чтобы удалить ключи:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Эта команда импортирует список осиротевших, ROCA уязвимых ключей и удаляет их изcontoso.comАрендатор. Заменитьcontoso.com с вашим именем арендатора, чтобы удалить ключи от вашего арендатора.

N ote Если вы удалите уязвимые wHfB-ключи ROCA, которые еще не осиротели, это вызовет сбои в работе пользователей. Вы должны убедиться, что эти ключи осиротели, прежде чем удалить их из каталога.

Удалите клавиши в Active Directory с помощью следующихшагов:

Заметка Удаление осиротевших ключей из Active Directory в гибридных средах приведет к воссозданию ключей в процессе синхронизации Azure AD Connect. Если вы находитесь в гибридной среде, удалите ключи только из Azure AD

1. Фильтр СиротыКey и ROCAVulnerable столбцыADKeys.csv к истине

2. Копирование отфильтрованных результатов в новый файл,C:\ROCAKeys.csv

3. Выполнить следующую команду, чтобы удалить ключи:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Эта команда импортирует список осиротевших, ROCA уязвимых ключей и удаляет их из вашего домена.

Обратите внимание, что если вы удалите уязвимые wHfB-ключи ROCA, которые еще не осиротели, это вызовет сбои в работе пользователей. Вы должны убедиться, что эти ключи осиротели, прежде чем удалить их из каталога.