Súhrn
Pomôcť zákazníkom identifikovať osirelé Windows Hello for Business (WHfB) kľúčov postihnutých TPM zraniteľnosti, Microsoft vydala PowerShell modul, ktorý možno spustiť správcovia. Tento článok vysvetľuje, ako riešiť problém popísaný v ADV190026 | "Microsoft pokyny pre vyčistenie osirelé kľúče generované na zraniteľné TPMs a používa pre Windows Hello for Business."
Dôležitá poznámka Pred použitím whfbtools odstrániť osirelé kľúče, vedenie v ADV170012 by mali byť dodržiavané aktualizovať firmware všetkých zraniteľných TPMS. Ak toto usmernenie nie je dodržiavané, všetky nové WHfB kľúče generované na zariadení s firmware, ktorý nebol aktualizovaný bude stále ovplyvnená CVE-2017-15361 (Roca).
Ako nainštalovať WHfBTools PowerShell modul
Nainštalujte modul spustením nasledujúcich príkazov:
Inštalácia WHfBTools PowerShell modul |
Inštalácia cez PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Alebo nainštalovať pomocou stiahnuť z PowerShell galérie
Spustite PowerShell, skopírujte a spustite nasledujúce príkazy: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Inštalácia závislostí pre použitie modulu:
Inštalácia závislostí pre použitie modulu WHfBTools |
Ak ste dotazy Azure Active Directory pre osirelé kľúče, nainštalujte MSAL.PS PowerShell modul Inštalácia cez PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Alebo nainštalovať pomocou stiahnuť z PowerShell galérie
Spustite PowerShell, skopírujte a spustite nasledujúce príkazy: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Ak ste dotazy služby Active Directory pre osirelé kľúče, nainštalujte Remote Server správca nástroje (RSAT): doménové služby Active Directory a Lightweight Directory Services nástroje Inštalácia cez nastavenia (Windows 10, verzia 1809 alebo novšia)
Alebo nainštalovať cez PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Alebo nainštalovať cez download
|
Spustiť WHfBTools PowerShell modul
Ak vaše prostredie Azure Active Directory pripojil alebo hybridné Azure Active Directory pripojené zariadenia, postupujte Azure Active Directory kroky na identifikáciu a odstránenie kľúčov. Odstránenie kľúčov v Azure sa zosynchronizuje so služby Active Directory prostredníctvom Azure AD Connect.
Ak je vaše prostredie lokálne, postupujte podľa krokov služby Active Directory na identifikáciu a odstránenie kľúčov.
Zadávanie dotazov na osirelé kľúče a kľúče ovplyvnené CVE-2017-15361 (Roca) |
Dotaz na kľúče v Azure Active Directory pomocou nasledujúceho príkazu: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Tento príkaz bude dotaz "contoso.com"nájomca pre všetky registrované Windows Hello pre obchodné verejné kľúče a bude výstup týchto informácií naC:\AzureKeys.csv. Nahradiťcontoso.coms názvom nájomcu na dotaz nájomcu. CSV výstup,AzureKeys.csv, bude obsahovať nasledujúce informácie pre každý kľúč:
Get-AzureADWHfBKeysbude tiež výstup súhrn kľúčov, ktoré boli dotazované. Toto zhrnutie poskytuje nasledujúce informácie:
Poznámka: V nájomníkovi Azure AD môžu byť zastarané zariadenia s Windows Hello pre obchodné kľúče s nimi spojené. Tieto kľúče sa neoznamujú ako osirelé, aj keď tieto zariadenia nie sú aktívne používané. Odporúčame nasledovné : správa zastarané zariadenia v Azure AD vyčistiť zastarané zariadenia pred dotazovanie osirelé kľúče.
Dotaz na kľúče v službe Active Directory pomocou nasledujúceho príkazu: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Tento príkaz bude dotaz "contoso"doména pre všetky registrované Windows Hello pre obchodné verejné kľúče a bude výstup týchto informácií naC:\ADKeys.csv. Nahradiťcontoso s názvom domény na dotaz vašej domény. CSV výstup,ADKeys.csv, bude obsahovať nasledujúce informácie pre každý kľúč:
Get-ADWHfBKeysbude tiež výstup súhrn kľúčov, ktoré boli dotazované. Toto zhrnutie poskytuje nasledujúce informácie:
Poznámka: Ak máte hybridné prostredie s Azure AD pripojené zariadenia a spustiť "Get-ADWHfBKeys" v lokálnej doméne, počet osirelé kľúče nemusia byť presné. Dôvodom je skutočnosť, že Azure AD pripojené zariadenia nie sú prítomné v službe Active Directory a kľúče spojené s Azure AD pripojené zariadenia sa môže zobraziť ako osirelé. |
Odstrániť osirelé, Roca citlivé kľúče z adresára |
Odstrániť kľúče v Azure Active Directory pomocou nasledujúcich krokov:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Tento príkaz importuje zoznam osirelé, ROCA zraniteľné kľúče a odstraňuje ich zcontoso.comNájomca. Nahradiťcontoso.com s názvom nájomcu odstrániť kľúče od nájomcu. N OTE Ak odstránite Roca zraniteľné whfb kľúče, ktoré nie sú osirelé ešte, to spôsobí narušenie vašich užívateľov. Mali by ste zabezpečiť, aby tieto kľúče sú osirelé pred ich odstránením z adresára.
Odstrániť kľúče v službe Active Directory pomocou nasledujúcich krokov: Poznámka Odstránenie osamotené kľúče zo služby Active Directory v hybridnom prostredí bude mať za následok kľúče sa znovu ako súčasť procesu Azure AD Connect synchronizácie. Ak ste v prostredí hybridné, odstrániť kľúče iba z Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Tento príkaz importuje zoznam osirelé, ROCA zraniteľné kľúče a odstraňuje ich z vašej domény. Poznámka: Ak odstránite Roca zraniteľné whfb kľúče, ktoré nie sú osirelé ešte, to spôsobí narušenie vašich užívateľov. Mali by ste zabezpečiť, aby tieto kľúče sú osirelé pred ich odstránením z adresára. |