Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

Súhrn

Pomôcť zákazníkom identifikovať osirelé Windows Hello for Business (WHfB) kľúčov postihnutých TPM zraniteľnosti, Microsoft vydala PowerShell modul, ktorý možno spustiť správcovia. Tento článok vysvetľuje, ako riešiť problém popísaný v ADV190026 | "Microsoft pokyny pre vyčistenie osirelé kľúče generované na zraniteľné TPMs a používa pre Windows Hello for Business."

Dôležitá poznámka Pred použitím whfbtools odstrániť osirelé kľúče, vedenie v ADV170012 by mali byť dodržiavané aktualizovať firmware všetkých zraniteľných TPMS. Ak toto usmernenie nie je dodržiavané, všetky nové WHfB kľúče generované na zariadení s firmware, ktorý nebol aktualizovaný bude stále ovplyvnená CVE-2017-15361 (Roca).

Ako nainštalovať WHfBTools PowerShell modul

Nainštalujte modul spustením nasledujúcich príkazov:

Inštalácia WHfBTools PowerShell modul

Inštalácia cez PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Alebo nainštalovať pomocou stiahnuť z PowerShell galérie

  1. Prejdite na https://www.powershellgallery.com/Packages/WHfBTools

  2. Prevezmite súbor RAW. nupkg do lokálneho priečinka a premenujte ho na príponu. zip

  3. Extrahujte obsah do lokálneho priečinka, napríklad C:\ADV190026

 

Spustite PowerShell, skopírujte a spustite nasledujúce príkazy:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

Inštalácia závislostí pre použitie modulu:

Inštalácia závislostí pre použitie modulu WHfBTools

Ak ste dotazy Azure Active Directory pre osirelé kľúče, nainštalujte MSAL.PS PowerShell modul

Inštalácia cez PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Alebo nainštalovať pomocou stiahnuť z PowerShell galérie

  1. Prejdite na https://www.powershellgallery.com/Packages/MSAL.PS/4.5.1.1

  2. Prevezmite súbor RAW. nupkg do lokálneho priečinka a premenujte ho na príponu. zip

  3. Extrahujte obsah do lokálneho priečinka, napríklad C:\MSAL.PS

Spustite PowerShell, skopírujte a spustite nasledujúce príkazy:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Ak ste dotazy služby Active Directory pre osirelé kľúče, nainštalujte Remote Server správca nástroje (RSAT): doménové služby Active Directory a Lightweight Directory Services nástroje

Inštalácia cez nastavenia (Windows 10, verzia 1809 alebo novšia)

  1. Prejsť na Nastavenia-> apps-> voliteľné funkcie-> Pridať funkciu

  2. Vyberte RSAT: doménové služby Active Directory a Lightweight Directory Services nástroje

  3. Vyberte položku inštalovať

Alebo nainštalovať cez PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Alebo nainštalovať cez download

  1. Prejsť na https://www.Microsoft.com/en-us/download/details.aspx?id=45520 (Windows 10 odkaz)

  2. Prevezmite si nástroje na vzdialenú správu servera pre Inštalátor systému Windows 10

  3. Spustenie inštalátora po dokončení preberania

 

Spustiť WHfBTools PowerShell modul

Ak vaše prostredie Azure Active Directory pripojil alebo hybridné Azure Active Directory pripojené zariadenia, postupujte Azure Active Directory kroky na identifikáciu a odstránenie kľúčov. Odstránenie kľúčov v Azure sa zosynchronizuje so služby Active Directory prostredníctvom Azure AD Connect.

Ak je vaše prostredie lokálne, postupujte podľa krokov služby Active Directory na identifikáciu a odstránenie kľúčov.

Zadávanie dotazov na osirelé kľúče a kľúče ovplyvnené CVE-2017-15361 (Roca)

Dotaz na kľúče v Azure Active Directory pomocou nasledujúceho príkazu:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Tento príkaz bude dotaz "contoso.com"nájomca pre všetky registrované Windows Hello pre obchodné verejné kľúče a bude výstup týchto informácií naC:\AzureKeys.csv. Nahradiťcontoso.coms názvom nájomcu na dotaz nájomcu.

CSV výstup,AzureKeys.csv, bude obsahovať nasledujúce informácie pre každý kľúč:

  • Hlavné meno používateľa

  • Nájomca

  • Použitie

  • Identifikácia kľúča

  • Čas vytvorenia

  • Osamotený stav

  • Podporuje stav upozorňovať

  • ROCA zraniteľnosť stav

Get-AzureADWHfBKeysbude tiež výstup súhrn kľúčov, ktoré boli dotazované. Toto zhrnutie poskytuje nasledujúce informácie:

  • Počet kontrolovaných používateľov

  • Počet naskenovaných tlačidiel

  • Počet používateľov s klávesmi

  • Počet citlivých kľúčov ROCA

Poznámka: V nájomníkovi Azure AD môžu byť zastarané zariadenia s Windows Hello pre obchodné kľúče s nimi spojené. Tieto kľúče sa neoznamujú ako osirelé, aj keď tieto zariadenia nie sú aktívne používané. Odporúčame nasledovné : správa zastarané zariadenia v Azure AD vyčistiť zastarané zariadenia pred dotazovanie osirelé kľúče.

 

Dotaz na kľúče v službe Active Directory pomocou nasledujúceho príkazu:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Tento príkaz bude dotaz "contoso"doména pre všetky registrované Windows Hello pre obchodné verejné kľúče a bude výstup týchto informácií naC:\ADKeys.csv. Nahradiťcontoso s názvom domény na dotaz vašej domény.

CSV výstup,ADKeys.csv, bude obsahovať nasledujúce informácie pre každý kľúč:

  • Doména používateľa

  • Názov konta používateľa SAM

  • Rozlišujúci názov používateľa

  • Verzia kľúča

  • Identifikácia kľúča

  • Čas vytvorenia

  • Kľúčový materiál

  • Kľúčový zdroj

  • Použitie kľúča

  • Identifikácia kľúča zariadenia

  • Približná Posledná prihlasovacia časová pečiatka

  • Čas vytvorenia

  • Informácie o vlastnom kľúči

  • KeyLinkTargetDN

  • Osamotený stav

  • ROCA zraniteľnosť stav

  • KeyRawLDAPValue

Get-ADWHfBKeysbude tiež výstup súhrn kľúčov, ktoré boli dotazované. Toto zhrnutie poskytuje nasledujúce informácie:

  • Počet kontrolovaných používateľov

  • Počet používateľov s klávesmi

  • Počet naskenovaných tlačidiel

  • Počet citlivých kľúčov ROCA

  • Počet osirelé kľúčov (if-SkipCheckForOrphanedKeys nešpecifikované)

Poznámka: Ak máte hybridné prostredie s Azure AD pripojené zariadenia a spustiť "Get-ADWHfBKeys" v lokálnej doméne, počet osirelé kľúče nemusia byť presné. Dôvodom je skutočnosť, že Azure AD pripojené zariadenia nie sú prítomné v službe Active Directory a kľúče spojené s Azure AD pripojené zariadenia sa môže zobraziť ako osirelé.

 

Odstrániť osirelé, Roca citlivé kľúče z adresára

Odstrániť kľúče v Azure Active Directory pomocou nasledujúcich krokov:

  1. Filtrovať osirelé a rocavulnerable stĺpceAzureKeys.csvna True

  2. Skopírujte filtrované výsledky do nového súboru,C:\ROCAKeys.csv

  3. Ak chcete odstrániť kľúče, spustite nasledovný príkaz:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Tento príkaz importuje zoznam osirelé, ROCA zraniteľné kľúče a odstraňuje ich zcontoso.comNájomca. Nahradiťcontoso.com s názvom nájomcu odstrániť kľúče od nájomcu.

N OTE Ak odstránite Roca zraniteľné whfb kľúče, ktoré nie sú osirelé ešte, to spôsobí narušenie vašich užívateľov. Mali by ste zabezpečiť, aby tieto kľúče sú osirelé pred ich odstránením z adresára.

 

Odstrániť kľúče v službe Active Directory pomocou nasledujúcich krokov:

Poznámka Odstránenie osamotené kľúče zo služby Active Directory v hybridnom prostredí bude mať za následok kľúče sa znovu ako súčasť procesu Azure AD Connect synchronizácie. Ak ste v prostredí hybridné, odstrániť kľúče iba z Azure AD

  1. Filter orphanedkEY a rocavulnerable stĺpceADKeys.csv na True

  2. Skopírujte filtrované výsledky do nového súboru,C:\ROCAKeys.csv

  3. Ak chcete odstrániť kľúče, spustite nasledovný príkaz:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Tento príkaz importuje zoznam osirelé, ROCA zraniteľné kľúče a odstraňuje ich z vašej domény.

Poznámka: Ak odstránite Roca zraniteľné whfb kľúče, ktoré nie sú osirelé ešte, to spôsobí narušenie vašich užívateľov. Mali by ste zabezpečiť, aby tieto kľúče sú osirelé pred ich odstránením z adresára.

 

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×