Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Súhrn

Tento článok vám pomáha identifikovať a vyriešiť problémy v zariadení, ktoré sú ovplyvnené zraniteľnosti, ktorá je popísaná v Microsoft Security Advisory ADV170012.

Tento proces sa zameriava na nasledujúce Windows Hello Business (WHFB) a scenáre použitia Azure AD (AAD) k dispozícii od spoločnosti Microsoft:

  • Azure AD pripojiť

  • Hybridné nasadenie Azure AD pripojiť

  • Azure AD zaregistrované

Ďalšie informácie

Identifikovať vaše AAD využitia

  1. Otvorte okno príkazového riadka.

  2. Zobraziť stav zariadenia spustením nasledujúceho príkazu:dsregcmd.exe /status

  3. Vo výstupe príkazu preskúmať hodnôt sú uvedené v nasledujúcej tabuľke využitia vášho AAD.

    Vlastnosť

    Popis

    AzureAdJoined

    Označuje, či zariadenie je pripojený k Azure AD.

    EnterpriseJoined

    Označuje či t zariadenie je pripojený k AD FS. Časť na lokálne-iba zákazníkom scenár, kde Windows Hello pre podniky je nasadiť a spravovať lokálne.

    DomainJoined

    Označuje, či zariadenie je pripojený k tradičnej Active Directory Domain.

    WorkplaceJoined

    Uveďte, či je aktuálny používateľ pridal pracovné alebo školské konto na ich aktuálny profil. Toto sa označuje ako Azure AD zaregistrovaný. Toto nastavenie sa ignoruje systém, ak je zariadenie AzureAdJoined.

Hybridné nasadenie Azure AD Spojené

Ak DomainJoined a AzureAdJoined Áno, zariadenie je hybridný pridal Azure AD. Preto zariadenie je pripojený k Azure Active Directory a tradičné domény Active Directory.

Pracovný postup

Nasadenie a implementácie sa môžu líšiť v organizáciách. Vytvorili sme nasledujúci pracovný postup nástroje, ktoré potrebujete vytvoriť vlastný interný plán zmierniť všetky príslušné zariadenia. Pracovný postup obsahuje nasledujúce kroky:

  1. Identifikácia príslušného zariadenia. Vyhľadávanie prostredia pre vplyv TPM modulov (TPMs), kľúče a zariadenia.

  2. Oprava príslušné zariadenia. Odstránenie účinkov zistených zariadení podľa pokynov pre konkrétny scenár, sú uvedené v tomto článku.

Poznámka: na vymazanie TPMs

Keďže moduly platformy používajú na ukladanie tajomstvo, ktoré používajú rôzne služby a aplikácie vymazaním modulu TPM môže mať neočakávané alebo negatívny vplyv. Pred vyčistením žiadne TPM, nezabudnite preskúmať a overiť, či všetky služby a aplikácie, ktoré používajú podporované TPM tajomstvo boli správne identifikované a tajná odstránenia a rekreáciu.

Identifikovanie príslušného zariadenia

Identifikácia príslušného TPMs, nájdete Microsoft Security Advisory ADV170012.

Ako opraviť príslušné zariadenia

Postupujte podľa nasledovných krokov na príslušné zariadenia podľa vášho AAD využitia.

  1. Skontrolujte, či konto platné lokálneho správcu zariadenia alebo vytvoriť konto lokálneho správcu.

    Poznámka:

    Je to neodporúča overiť funkčnosť konto prihlásením do zariadenia pomocou nového konta lokálneho správcu a potvrdiť správne povolenia, otvorte príkazový riadok s právami správcu.

     

  2. Ak ste sa prihlásili s kontom Microsoft v zariadení, prejdite na nastavenia > kontá > aplikácie & e-mailové kontá a odstrániť pripojeného konta.Odstránenie pripojeného konta

  3. Nainštalujte aktualizáciu firmvéru zariadenia.

    Poznámka:

    Podľa výrobcu OEM pokyny pre aktualizácie firmvéru modulu TPM. Pozrite si krok 4: "Aktualizáciu firmvéru použiť," v Microsoft Security Advisory ADV170012 informácie o možnostiach získania aktualizácie TPM od výrobcu OEM.

     

  4. Odpojenie zariadenia od Azure AD.

    Poznámka:

    Uistite sa, že BitLocker kľúč je bezpečne zálohuje niekde lokálneho počítača pred pokračovaním.

    1. Prejdite na nastavenia > systém > o, a potom kliknite na spravovať alebo odpojiť od práce alebo školy.

    2. Pripojené k < AzureAD >a kliknite na tlačidlo Odpojiť.

    3. Po zobrazení výzvy na potvrdenie kliknite na tlačidlo Áno .

    4. Kliknite na tlačidlo Odpojiť a po zobrazení výzvy na "Odpojiť od organizácie." Odpojenie od organizácie

    5. Zadajte údaje konta lokálneho správcu zariadení.

    6. Kliknite na tlačidlo Reštartovať neskôr. Reštartovanie po odpojení organizácie

  5. Vymazať TPM.

    Poznámka:

    Vymazaním modulu TPM sa odstránia všetky kľúče a tajomstvo, ktoré sú uložené v zariadení. Uistite sa, že iné služby, ktoré využívajú TPM alebo pozastavení overiť pred pokračovaním.

    Windows 8 alebo novšej: Šifrovanie BitLocker automaticky sa pozastaví, ak používate jeden z odporúčaných metód na vymazanie svoje TPM nižšie.

    Windows 7: Pred pokračovaním je potrebné manuálne zastavenie BitLocker. (Viac informácií o pozastavenie BitLocker).  

    1. Modul TPM použite jeden z nasledujúcich postupov:

      • Použitie konzoly Microsoft Management Console.

        1. Stlačte Win + R, zadajte tpm.msc a kliknite na tlačidlo OK.

        2. Kliknutím zrušte začiarknutie TPM.Vymazať TPM MMC

      • Spustením rutiny cmdlet vymazať Tpm.

    2. Kliknite na položku reštartovať.Reštartovanie po odstránení TPMPoznámka: Sa môže zobraziť výzva na vymazanie modulu TPM pri spustení.

  6. Po reštartovaní zariadenia, prihláste sa do zariadenia pomocou konta lokálneho správcu.

  7. Opätovné pripojenie zariadenia k Azure AD. Výzva môže nastaviť nový kód v nasledujúcom prihlásení.

  1. Ak ste prihlásení pomocou konta Microsoft v zariadení, prejdite na nastavenia > kontá > aplikácie & e-mailové kontá a odstrániť pripojeného konta.Odstránenie pripojeného konta

  2. Z príkazového riadka bez obmedzených oprávnení spustite nasledujúci príkaz:dsregcmd.exe /leave /debug

    Poznámka:

    Výstup príkazu indikovať AzureADJoined: Č.

     

  3. Nainštalujte aktualizáciu firmvéru zariadenia.

    Poznámka:

    Poznámka: Podľa výrobcu OEM pokyny pre aktualizácie firmvéru modulu TPM. Pozrite si krok 4: "Aktualizáciu firmvéru použiť," v Microsoft Security Advisory ADV170012 informácie o možnostiach získania aktualizácie TPM od výrobcu OEM.

  4. Vymazať TPM.

    Poznámka:

    Vymazaním modulu TPM sa odstránia všetky kľúče a tajomstvo, ktoré sú uložené v zariadení. Uistite sa, že iné služby, ktoré využívajú TPM alebo pozastavení overiť pred pokračovaním.

    Windows 8 alebo novšej: Šifrovanie BitLocker automaticky sa pozastaví, ak používate jeden z odporúčaných metód na vymazanie svoje TPM nižšie.

    Windows 7: Pred pokračovaním je potrebné manuálne zastavenie BitLocker. (Viac informácií o pozastavenie BitLocker).

     

    1. Modul TPM použite jeden z nasledujúcich postupov:

      • Použitie konzoly Microsoft Management Console.

        1. Stlačte Win + R, zadajte tpm.msc a kliknite na tlačidlo OK.

        2. Kliknutím zrušte začiarknutie TPM.Vymazať TPM MMC

      • Spustením rutiny cmdlet vymazať Tpm.

    2. Kliknite na položku reštartovať.Poznámka: Sa môže zobraziť výzva na vymazanie modulu TPM pri spustení.

Pri spustení, systém Windows vytvorí nové kľúče a automaticky vráti zariadenie Azure AD. Počas tohto času, môžete naďalej používať zariadenia. Prístup k prostriedkom, napríklad Microsoft Outlook, OneDrive a iné aplikácie, ktoré vyžadujú jediného prihlásenia alebo podmieneného prístupu politiky môže byť obmedzená.

Poznámka: Ak používate konto Microsoft, musíte poznať jeho heslo.

  1. Nainštalujte aktualizáciu firmvéru zariadenia.

    Poznámka:

    Podľa výrobcu OEM pokyny pre aktualizácie firmvéru modulu TPM. Pozrite si krok 4: "Aktualizáciu firmvéru použiť," v Microsoft Security Advisory ADV170012 informácie o možnostiach získania aktualizácie TPM od výrobcu OEM.

     

  2. Odstránenie konta Azure AD prácu.

    1. Prejdite na nastavenia > kontá > prístup práce alebo školy, kliknite na pracovné alebo školské konto a kliknite na tlačidlo Odpojiť.

    2. Výzvu na potvrdenie odpojenie, kliknite na tlačidlo Áno .

  3. Vymazať TPM.

    Poznámka:

    Vymazaním modulu TPM sa odstránia všetky kľúče a tajomstvo, ktoré sú uložené v zariadení. Uistite sa, že iné služby, ktoré využívajú TPM alebo pozastavení overiť pred pokračovaním.

    Windows 8 alebo novšej: Šifrovanie BitLocker automaticky sa pozastaví, ak používate jeden z odporúčaných metód na vymazanie svoje TPM nižšie.

    Windows 7: Pred pokračovaním je potrebné manuálne zastavenie BitLocker. (Viac informácií o pozastavenie BitLocker).

     

    1. Modul TPM použite jeden z nasledujúcich postupov:

      • Použitie konzoly Microsoft Management Console.

        1. Stlačte Win + R, zadajte tpm.msc a kliknite na tlačidlo OK.

        2. Kliknutím zrušte začiarknutie TPM.

      • Spustením rutiny cmdlet vymazať Tpm.

    2. Kliknite na položku reštartovať.Poznámka: Môžete byť vyzvaní vymazať svoje TPM pri spustení.

    3. Ak používate konto s PIN, budete musieť prihlásiť do zariadenia pomocou hesla.

    4. Pridajte konto práce na zariadení.

      1. Prejdite na nastavenia > kontá > prístup práce alebo školy a kliknite na tlačidlo pripojiť.Pripojenie a školy

      2. Zadajte pracovné konto a kliknite na tlačidlo ďalej.Pracovné alebo školské konto

      3. Zadajte pracovné konto a heslo a kliknite na položku Prihlásiť.

      4. Ak vaša organizácia nakonfiguroval Azure viacnásobné overovanie pre pripojenie zariadení Azure AD, poskytujú druhý faktor pred pokračovaním.

      5. Overiť správnosť informácií a kliknite na tlačidlo pripojiť. Zobrazia sa nasledujúce hlásenie:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365