Vpišite se z Microsoftovim
Vpišite se ali ustvarite račun.
Pozdravljeni,
Izberite drug račun.
Imate več računov
Izberite račun, s katerim se želite vpisati.

Povzetek

Če želite strankam pomagati prepoznati Osirotele ključe sistema Windows hello for Business (WHfB), ki jih je prizadela ranljivost modula zaupanja TPM, je Microsoft objavil modul PowerShell, ki ga lahko vodijo skrbniki. V tem članku je pojasnjeno, kako odpraviti težavo, opisano v ADV190026 | "Microsoft navodila za čiščenje osiroteli ključi, ustvarjeni na ranljivih TPMs in se uporabljajo za Windows hello for Business."

Pomembna Opomba Pred uporabo whfbtools odstraniti osiroteli ključi, smernice v ADV170012 je treba upoštevati, da posodobite firmware vseh ranljivih TPMS. Če to smernica ni pripadnik, poljuben nov WHfB sklepnik sploditi naprej a načrt s firmware to has ne been modernizirati hoteti še vedno obstati vplivati z CVE-2017-15361 (Roca).

Kako namestiti WHfBTools PowerShell modul

Namestite modul tako, da zaženete naslednje ukaze:

Namestitev WHfBTools PowerShell modul

Namestitev prek lupine PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Ali napeljati using a travnato gričevje s PowerShell stebrišče

  1. Pojdi na https://www.powershellgallery.com/Packages/WHfBTools

  2. Travnato gričevje surovo. nupkg pila v a tukajšnji zgibalnik ter preimenovati s. zip razsežnost

  3. Izvleček vsebine v lokalno mapo, na primer C:\ADV190026

 

Zaženite PowerShell, kopirajte in zaženite naslednje ukaze:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

Namestite odvisnosti za uporabo modula:

Nameščanje odvisnosti za uporabo modula WHfBTools

Če ste poizvedovanje Azure Active Directory za osiroteli ključi, namestite modul MSAL.PS PowerShell

Namestitev prek lupine PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Ali napeljati using a travnato gričevje s PowerShell stebrišče

  1. Pojdite na https://www.powershellgallery.com/Packages/MSAL.PS/4.5.1.1

  2. Travnato gričevje surovo. nupkg pila v a tukajšnji zgibalnik ter preimenovati s. zip razsežnost

  3. Izvleček vsebine v lokalno mapo, na primer C:\MSAL.PS

Zaženite PowerShell, kopirajte in zaženite naslednje ukaze:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Če ste poizvedovanje Active Directory za Osirotele ključe, namestite Remote Server skrbniške orodja (RSAT): Active Directory domenske storitve in lahke imeniške storitve Tools

Namestitev prek nastavitev (Windows 10, različica 1809 ali novejša)

  1. Pojdi na nastavitve-> apps-> izbirne funkcije-> Dodaj funkcijo

  2. Izbrati RSAT: dejanje naslovnik področje usluga ter lahek naslovnik usluga rokodelsko orodje

  3. Izberite namesti

Ali napeljati pot PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Ali napeljati pot travnato gričevje

  1. Pojdi na https://www.Microsoft.com/en-us/Download/details.aspx?id=45520 (Windows 10 link)

  2. Prenesite orodja za skrbništvo oddaljenega strežnika za namestitveni program za Windows 10

  3. Zaženite namestitveni program, ko je prenos končan

 

Prost dostop WHfBTools PowerShell modul

Če je v vašem okolju združena naprava Azure Active Directory ali hibridni združeni napravi Azure Active Directory, sledite korakom Azure Active Directory za prepoznavanje in odstranjevanje ključev. Selitve ključev v storitvi Azure se bodo sinhronizirale z Active Directory prek Azure AD Connect.

Če je vaše okolje samo krajevno, sledite korakom Active Directory za prepoznavanje in odstranjevanje ključev.

Poizvedovanje za osiroteli ključi in ključi, ki jih CVE-2017-15361 (Roca)

Poizvedba za ključe v storitvi Azure Active Directory z uporabo tega ukaza:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Ta ukaz bo poizveduje po "contoso.com"najemnik za vse registrirane javne ključe Windows hello for Business in bo te informacijeC:\AzureKeys.csv. Zamenjaticontoso.comz imenom najemnika, da poizveduje o najemniku.

Izhod CSV,AzureKeys.csv, bo vseboval naslednje informacije za vsako tipko:

  • Ime glavnega uporabnika

  • Najemnik

  • Uporabe

  • ID ključa

  • Čas ustvarjanja

  • Status osirotelega

  • Podpira status obvestila

  • Status ranljivosti ROCA

Get-AzureADWHfBKeysbo tudi proizvodnja Povzetek ključev, ki so bili poizveduje. Ta Povzetek vsebuje naslednje informacije:

  • Število pregledanih uporabnikov

  • Število skeniranih tipk

  • Število uporabnikov s ključi

  • Število ranljivih ključev družbe ROCA

Opomba V najemniku Azure AD lahko obstajajo zastarele naprave s ključi sistema Windows hello za podjetja, ki so povezani z njimi. Ti ključi ne bodo prijavljeni kot osiroteli, čeprav se te naprave ne uporabljajo aktivno. Priporočamo naslednje : upravljanje zastarele naprave v storitvi AZURE ad za čiščenje zastarele naprave pred poizvedovanje za Osirotele ključe.

 

Poizvedba za ključe v imeniku Active Directory z uporabo tega ukaza:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Ta ukaz bo poizveduje po "contoso» domena za vse registrirane javne ključe sistema Windows hello for Business in bo te informacijeC:\ADKeys.csv. Zamenjaticontoso z imenom domene, da poizveduje po vaši domeni.

Izhod CSV,ADKeys.csv, bo vseboval naslednje informacije za vsako tipko:

  • Uporabniška domena

  • Uporabnik SAM račun ime

  • Razločevalno ime uporabnika

  • Ključna različica

  • ID ključa

  • Čas ustvarjanja

  • Ključni material

  • Vir ključa

  • Uporaba tipk

  • ID naprave ključa

  • Približna zadnji prijavni časovni žig

  • Čas ustvarjanja

  • Informacije o ključu po meri

  • KeyLinkTargetDN

  • Status osirotelega

  • Status ranljivosti ROCA

  • KeyRawLDAPValue

Get-ADWHfBKeysbo tudi proizvodnja Povzetek ključev, ki so bili poizveduje. Ta Povzetek vsebuje naslednje informacije:

  • Število pregledanih uporabnikov

  • Število uporabnikov s ključi

  • Število skeniranih tipk

  • Število ranljivih ključev družbe ROCA

  • Število osirotelih ključev (če-Skipcheckforsiroedkeys ni določen)

Opomba: Če imate hibridno okolje s pridružene naprave Azure AD in v krajevni domeni zaženite» zaslužiti-ADWHfBKeys «, število osirotelih ključev morda ni točno. To je zato, ker se naprave Azure AD, ki niso prisotne v imeniku Active Directory, in ključi, povezani s pridruženimi napravami Azure AD, lahko prikažejo kot osiroteli.

 

Odstrani Osirotele, Roca občutljive ključe iz imenika

Odstranite ključe v storitvi Azure Active Directory z naslednjimi koraki:

  1. Filter osirotelih in rocavulnerable stolpcevAzureKeys.csvna True

  2. Filtrirane rezultate kopirajte v novo datoteko,C:\ROCAKeys.csv

  3. Če želite izbrisati ključe, zaženite ta ukaz:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Ta ukaz Uvozi seznam osirotelih, ranljivih ključev družbe ROCA in jih odstrani izcontoso.comNajemnik. Zamenjaticontoso.com z imenom najemnika, da odstranite ključe od najemnika.

N ote Če izbrišete Roca ranljive whfb ključi, ki niso osiroteli še, bo povzročil motnje za vaše uporabnike. Prepričajte se, da so ti ključi osiroteli, preden jih odstranite iz imenika.

 

Odstranite ključe v imeniku Active Directory z naslednjimi koraki:

Opomba odstranjevanje osirotelih ključev iz imenika Active v hibridnih okoljih bo povzročilo, da bodo ključi znova ustvarjeni kot del procesa sinhronizacije Azure ad Connect. Če ste v hibridnem okolju, odstranite ključe samo iz Azure AD

  1. Filter orphanedkey in rocavulnerable stolpceADKeys.csv na True

  2. Filtrirane rezultate kopirajte v novo datoteko,C:\ROCAKeys.csv

  3. Če želite izbrisati ključe, zaženite ta ukaz:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Ta ukaz Uvozi seznam osirotelih, ROCA ranljivih ključev in jih odstrani iz vaše domene.

Opomba Če izbrišete Roca ranljive whfb ključi, ki niso osiroteli še, bo povzročil motnje za vaše uporabnike. Prepričajte se, da so ti ključi osiroteli, preden jih odstranite iz imenika.

 

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Odkrijte Skupnost

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.

Vprašajte Microsoftovo skupnost

Microsoftova tehnična skupnost

Preskuševalci sistema Windows

Preskuševalci storitve Microsoft 365

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?
Če pritisnete »Pošlji«, bomo vaše povratne informacije uporabili za izboljšanje Microsoftovih izdelkov in storitev. Vaš skrbnik za IT bo lahko zbiral te podatke. Izjavi o zasebnosti.

Zahvaljujemo se vam za povratne informacije.

×