Povzetek
Če želite strankam pomagati prepoznati Osirotele ključe sistema Windows hello for Business (WHfB), ki jih je prizadela ranljivost modula zaupanja TPM, je Microsoft objavil modul PowerShell, ki ga lahko vodijo skrbniki. V tem članku je pojasnjeno, kako odpraviti težavo, opisano v ADV190026 | "Microsoft navodila za čiščenje osiroteli ključi, ustvarjeni na ranljivih TPMs in se uporabljajo za Windows hello for Business."
Pomembna Opomba Pred uporabo whfbtools odstraniti osiroteli ključi, smernice v ADV170012 je treba upoštevati, da posodobite firmware vseh ranljivih TPMS. Če to smernica ni pripadnik, poljuben nov WHfB sklepnik sploditi naprej a načrt s firmware to has ne been modernizirati hoteti še vedno obstati vplivati z CVE-2017-15361 (Roca).
Kako namestiti WHfBTools PowerShell modul
Namestite modul tako, da zaženete naslednje ukaze:
Namestitev WHfBTools PowerShell modul |
Namestitev prek lupine PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Ali napeljati using a travnato gričevje s PowerShell stebrišče
Zaženite PowerShell, kopirajte in zaženite naslednje ukaze: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Namestite odvisnosti za uporabo modula:
Nameščanje odvisnosti za uporabo modula WHfBTools |
Če ste poizvedovanje Azure Active Directory za osiroteli ključi, namestite modul MSAL.PS PowerShell Namestitev prek lupine PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Ali napeljati using a travnato gričevje s PowerShell stebrišče
Zaženite PowerShell, kopirajte in zaženite naslednje ukaze: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Če ste poizvedovanje Active Directory za Osirotele ključe, namestite Remote Server skrbniške orodja (RSAT): Active Directory domenske storitve in lahke imeniške storitve Tools Namestitev prek nastavitev (Windows 10, različica 1809 ali novejša)
Ali napeljati pot PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Ali napeljati pot travnato gričevje
|
Prost dostop WHfBTools PowerShell modul
Če je v vašem okolju združena naprava Azure Active Directory ali hibridni združeni napravi Azure Active Directory, sledite korakom Azure Active Directory za prepoznavanje in odstranjevanje ključev. Selitve ključev v storitvi Azure se bodo sinhronizirale z Active Directory prek Azure AD Connect.
Če je vaše okolje samo krajevno, sledite korakom Active Directory za prepoznavanje in odstranjevanje ključev.
Poizvedovanje za osiroteli ključi in ključi, ki jih CVE-2017-15361 (Roca) |
Poizvedba za ključe v storitvi Azure Active Directory z uporabo tega ukaza: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Ta ukaz bo poizveduje po "contoso.com"najemnik za vse registrirane javne ključe Windows hello for Business in bo te informacijeC:\AzureKeys.csv. Zamenjaticontoso.comz imenom najemnika, da poizveduje o najemniku. Izhod CSV,AzureKeys.csv, bo vseboval naslednje informacije za vsako tipko:
Get-AzureADWHfBKeysbo tudi proizvodnja Povzetek ključev, ki so bili poizveduje. Ta Povzetek vsebuje naslednje informacije:
Opomba V najemniku Azure AD lahko obstajajo zastarele naprave s ključi sistema Windows hello za podjetja, ki so povezani z njimi. Ti ključi ne bodo prijavljeni kot osiroteli, čeprav se te naprave ne uporabljajo aktivno. Priporočamo naslednje : upravljanje zastarele naprave v storitvi AZURE ad za čiščenje zastarele naprave pred poizvedovanje za Osirotele ključe.
Poizvedba za ključe v imeniku Active Directory z uporabo tega ukaza: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Ta ukaz bo poizveduje po "contoso» domena za vse registrirane javne ključe sistema Windows hello for Business in bo te informacijeC:\ADKeys.csv. Zamenjaticontoso z imenom domene, da poizveduje po vaši domeni. Izhod CSV,ADKeys.csv, bo vseboval naslednje informacije za vsako tipko:
Get-ADWHfBKeysbo tudi proizvodnja Povzetek ključev, ki so bili poizveduje. Ta Povzetek vsebuje naslednje informacije:
Opomba: Če imate hibridno okolje s pridružene naprave Azure AD in v krajevni domeni zaženite» zaslužiti-ADWHfBKeys «, število osirotelih ključev morda ni točno. To je zato, ker se naprave Azure AD, ki niso prisotne v imeniku Active Directory, in ključi, povezani s pridruženimi napravami Azure AD, lahko prikažejo kot osiroteli. |
Odstrani Osirotele, Roca občutljive ključe iz imenika |
Odstranite ključe v storitvi Azure Active Directory z naslednjimi koraki:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Ta ukaz Uvozi seznam osirotelih, ranljivih ključev družbe ROCA in jih odstrani izcontoso.comNajemnik. Zamenjaticontoso.com z imenom najemnika, da odstranite ključe od najemnika. N ote Če izbrišete Roca ranljive whfb ključi, ki niso osiroteli še, bo povzročil motnje za vaše uporabnike. Prepričajte se, da so ti ključi osiroteli, preden jih odstranite iz imenika.
Odstranite ključe v imeniku Active Directory z naslednjimi koraki: Opomba odstranjevanje osirotelih ključev iz imenika Active v hibridnih okoljih bo povzročilo, da bodo ključi znova ustvarjeni kot del procesa sinhronizacije Azure ad Connect. Če ste v hibridnem okolju, odstranite ključe samo iz Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Ta ukaz Uvozi seznam osirotelih, ROCA ranljivih ključev in jih odstrani iz vaše domene. Opomba Če izbrišete Roca ranljive whfb ključi, ki niso osiroteli še, bo povzročil motnje za vaše uporabnike. Prepričajte se, da so ti ključi osiroteli, preden jih odstranite iz imenika. |