Обзор
В этой статье помогает определить и устранить неполадки устройства, которые подвержены уязвимости, описанной в Рекомендации ADV170012 безопасности корпорации Майкрософт.
Этот процесс фокусируется на следующем Windows Hello для бизнеса (WHFB) и сценарии использования Azure AD (AAD) , предлагаемых корпорацией Майкрософт:
-
Соединения azure AD
-
Соединения гибридный Azure AD
-
Зарегистрирован azure AD
Дополнительные сведения
Идентифицировать ваш сценарий использования AAD
-
Откройте окно командной строки.
-
Получите состояние устройства, выполнив следующую команду:dsregcmd.exe /status
-
В выходных данных команды проверьте значения свойств, перечисленных в следующей таблице, чтобы определить ваш сценарий использования AAD.
Свойство
Описание
AzureAdJoined
Указывает, является ли устройство входит в Azure AD.
EnterpriseJoined
Указывает, является ли t устройство он присоединен к AD FS. Это является частью сценария клиента на помещений только где Windows Hello для бизнеса развертывается и управляются на предприятии.
DomainJoined
Указывает, является ли устройство присоединен к традиционным домена Active Directory.
WorkplaceJoined
Указывают ли текущий пользователь добавлен в свой текущий профиль учетной работы или школы. Это называется Azure AD зарегистрирован. Этот параметр игнорируется системой, если это устройство является AzureAdJoined.
Соединенные гибридный Azure AD
Если Да, DomainJoined и AzureAdJoined, устройство является гибридный объединенных Azure AD. Таким образом устройство присоединяется к Azure Active Directory и традиционных домена Active Directory.
Рабочий процесс
Развертывания и реализации могут различаться в разных организациях. Мы разработали следующий рабочий процесс предоставлять средства, необходимые для разработки внутреннего плана по снижению соответствующих устройств. Рабочий процесс состоит из следующих шагов.
-
Определение уязвимых устройств. Среду для особой доверенным платформенным модулей (доверенными платформенными модулями), ключи поиска и устройств.
-
Исправление, затрагиваемых устройств. Исправить эффекты на определенных устройствах по шагам отдельных сценариев, описанных в этой статье.
Обратите внимание на удаление доверенных платформенных модулях
Так как доверенные модули платформы позволяют хранить секретные данные, которые используются различными службами и приложениями, очистка модуля TPM могут иметь бизнес непредвиденные или отрицательные последствия. Перед очисткой любой доверенный платформенный модуль, убедитесь, что для изучения и проверки, всех служб и приложений, использующих доверенный платформенный модуль резервного секреты были правильно определены и подготовлен секретный удаления и отдых.
Определение уязвимых устройств
Чтобы определить затронутые доверенными платформенными модулями, обратитесь к ADV170012 рекомендации безопасности Microsoft.
Как исправить затрагиваемых устройств
На соответствующих устройствах согласно сценарию использования AAD, выполните следующие действия.
-
Убедитесь в том, что существует допустимое локальную учетную запись администратора на устройстве или Создать учетную запись локального администратора.
Примечание
Это рекомендуется для убедитесь, что учетная запись работает вход на устройстве с помощью учетной записи локального администратора и подтверждения разрешения, откройте командную строку с повышенными правами.
-
Если выполнен вход с использованием учетной записи Майкрософт на устройстве, перейдите на страницу настройки > учетные записи > учетные записи электронной почты и приложений и удаление подключенной учетной записью.
-
Обновление микропрограммного обеспечения устройства.
Примечание
Следуйте указаниям изготовителя вычислительной Техники для применения обновления встроенного по доверенного платформенного МОДУЛЯ. См. шаг 4: «Применять обновления микропрограммного» в ADV170012 рекомендации безопасности корпорации Майкрософт для получения сведений о том, как получить обновление TPM от изготовителя вычислительной Техники.
-
Отсоединить устройство от Azure AD.
Примечание
Убедитесь, что ключ BitLocker безопасного резервного копирования где-нибудь не с локального компьютера перед продолжением.
-
Откройте настройки > Система > о, а затем нажмите Управление или отключиться от работы или школы.
-
Нажмите кнопку подключения < AzureAD >и нажмите кнопку Отключить.
-
Для подтверждения нажмите кнопку Да .
-
Нажмите кнопку Отключить , когда появится «Отключить из организации».
-
Введите данные учетной записи локального администратора для устройства.
-
Нажмите кнопку Перезагрузить позже.
-
-
Очистить доверенный платформенный модуль.
Примечание
Очистка TPM будут удалены все ключи и секретные данные, которые хранятся на устройстве. Убедитесь в том, приостановлено или проверяться перед продолжением других служб, использующих доверенный платформенный модуль.
Windows 8 или более поздней версии: BitLocker автоматически приостанавливается, если вы используете один из рекомендуемых способов очистки TPM, ниже.
Windows 7: Перед продолжением необходимо вручную приостановки BitLocker. (Дополнительные сведения о приостановке BitLocker см.)
-
Чтобы очистить доверенный платформенный модуль, используйте один из следующих методов:
-
Использование консоли управления Microsoft.
-
Нажмите клавишу Win + R, введите tpm.msc и нажмите кнопку ОК.
-
Нажмите кнопку Очистить доверенный платформенный модуль.
-
-
Выполните очистку Tpm командлета.
-
-
Нажмите кнопку перезагрузить.
-
-
После перезагрузки устройство вход устройства с помощью учетной записи локального администратора.
-
Повторного присоединения устройства для Azure AD. Может быть предложено установить новый ПИН-код при следующем входе на.
-
Если вы выполнили вход с использованием учетной записи Майкрософт на устройстве, перейдите на страницу настройки > учетные записи > учетные записи электронной почты и приложений и удаление подключенной учетной записью.
-
Из командной строки с повышенными привилегиями выполните следующую команду:dsregcmd.exe /leave /debug
Примечание
Выходные данные команды следует указать AzureADJoined: Нет.
-
Обновление микропрограммного обеспечения устройства.
Примечание
Примечание Следуйте указаниям изготовителя вычислительной Техники для применения обновления встроенного по доверенного платформенного МОДУЛЯ. См. шаг 4: «Применять обновления микропрограммного» в ADV170012 рекомендации безопасности корпорации Майкрософт для получения сведений о том, как получить обновление TPM от изготовителя вычислительной Техники.
-
Очистить доверенный платформенный модуль.
Примечание
Очистка TPM будут удалены все ключи и секретные данные, которые хранятся на устройстве. Убедитесь в том, приостановлено или проверяться перед продолжением других служб, использующих доверенный платформенный модуль.
Windows 8 или более поздней версии: BitLocker автоматически приостанавливается, если вы используете один из рекомендуемых способов очистки TPM, ниже.
Windows 7: Перед продолжением необходимо вручную приостановки BitLocker. (Дополнительные сведения о приостановке BitLocker см.)
-
Чтобы очистить доверенный платформенный модуль, используйте один из следующих методов:
-
Использование консоли управления Microsoft.
-
Нажмите клавишу Win + R, введите tpm.msc и нажмите кнопку ОК.
-
Нажмите кнопку Очистить доверенный платформенный модуль.
-
-
Выполните очистку Tpm командлета.
-
-
Нажмите кнопку перезагрузить.Примечание. Может быть предложено очистить доверенный платформенный модуль при запуске.
-
При запуске устройства Windows создает новые ключи и автоматически присоединится устройства для Azure AD. В течение этого времени могут продолжать использовать устройство. Тем не менее, доступ к ресурсам, таким как Microsoft Outlook, OneDrive и других приложений, требующих единого входа или политики условного доступа могут быть ограничены.
Примечание. При использовании учетной записи Microsoft, необходимо знать пароль.
-
Обновление микропрограммного обеспечения устройства.
Примечание
Следуйте указаниям изготовителя вычислительной Техники для применения обновления встроенного по доверенного платформенного МОДУЛЯ. См. шаг 4: «Применять обновления микропрограммного» в ADV170012 рекомендации безопасности корпорации Майкрософт для получения сведений о том, как получить обновление TPM от изготовителя вычислительной Техники.
-
Удаление учетной записи рабочих Azure AD.
-
Откройте настройки > учетные записи > доступ к работе и в школе, выберите учетную запись работы или школы и выберите команду Отключить.
-
Щелкните Да для подтверждения отключения.
-
-
Очистить доверенный платформенный модуль.
Примечание
Очистка TPM будут удалены все ключи и секретные данные, которые хранятся на устройстве. Убедитесь в том, приостановлено или проверяться перед продолжением других служб, использующих доверенный платформенный модуль.
Windows 8 или более поздней версии: BitLocker автоматически приостанавливается, если вы используете один из рекомендуемых способов очистки TPM, ниже.
Windows 7: Перед продолжением необходимо вручную приостановки BitLocker. (Дополнительные сведения о приостановке BitLocker см.)
-
Чтобы очистить доверенный платформенный модуль, используйте один из следующих методов:
-
Использование консоли управления Microsoft.
-
Нажмите клавишу Win + R, введите tpm.msc и нажмите кнопку ОК.
-
Нажмите кнопку Очистить доверенный платформенный модуль.
-
-
Выполните очистку Tpm командлета.
-
-
Нажмите кнопку перезагрузить.Примечание. Может быть предложено очистить доверенный платформенный модуль при запуске.
-
При использовании учетной записи Майкрософт с ПИН-кодом, необходимо войти в устройство с помощью пароля.
-
Добавьте счет работы устройства.
-
Откройте настройки > учетные записи > доступ к работе и в школе и нажмите кнопку Подключить.
-
Введите учетную запись рабочих и нажмите кнопку Далее.
-
Рабочей учетной записи и пароль и нажмите кнопку Вход.
-
Если в организации настроена Azure многофакторную проверку подлинности для присоединения устройства к Azure AD, обеспечивают второй фактор, прежде чем продолжить.
-
Проверьте правильность отображаемые сведения и нажмите кнопку соединения. Вы увидите следующее сообщение:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.
-
-
