Rezime
Da bi pomogao korisnicima da identifikuju neobjavljene Windows Hello za poslovne (WHfB) ključeve koje utiče na TPM ranjivost, Microsoft je objavio modul PowerShell koji administratori mogu da pokrenu. Ovaj članak sadrži objašnjenja o tome kako se rešava problem opisan u ADV190026 | "Microsoft Vodič za čišćenje nekorišćenih ključeva generisanih na ranjivim TPMs-u i koristi se za" Windows Hello "za posao."
Važna beleška Pre korišćenja whfbtools da biste uklonili nepraćene ključeve, smernice u ADV170012 treba slediti da bi se ažurirale firmver bilo kog ranjivih tpms. Ako se ova smernica ne prati, sve nove, WHfB ključevi generisane na uređaju sa firmverom koji nije ažuriran, i dalje će uticati cve-2017-15361 (Roca).
Instalacija PowerShell modula za WHfBTools
Instalirajte modul pokretanjem sledećih komandi:
Instalacija programa za instalaciju PowerShell modula |
Instaliraj pomoću PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Ili instaliranje pomoću download galerije PowerShell
Pokrenite PowerShell, kopirajte i pokrenite sledeće komande: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Treba da instalirate zavisne stavke za korišćenje modula:
Instaliranje zavisnih elemenata za korišćenje modula "WHfBTools" |
Ako tražite neaktivnih ključeva za izdavanje upita, instalirajte MSAL.PS PowerShell modul Instaliraj pomoću PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Ili instaliranje pomoću download galerije PowerShell
Pokrenite PowerShell, kopirajte i pokrenite sledeće komande: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Ako imate upit o aktivnom direktorijumu za neaktivnih ključeva, instalirajte alatke "administrator udaljenog servera" (RSAT): usluge domena aktivnog direktorijuma i alatke za usluge lakih direktorijuma Instaliraj pomoću postavki (Windows 10, verzija 1809 ili noviji)
Ili Instaliraj preko PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Ili Instaliraj preko preuzimanja
|
Pokretanje modula PowerShell alatke "WHfBTools"
Ako vaše okruženje ima Azure ili hibridno aktivni direktorijum koji je pridružen aktivnim direktorijumom, pratite sledeće korake u okviru Azure aktivnog direktorijuma da biste identifikovali i uklonili ključeve. Ključne uklanjanja u programu Azure sinhronizovaće se sa aktivnim direktorijumom preko Azure oglasa.
Ako se vaše okruženje nalazi samo na samo u prostorijama, pratite korake aktivnog direktorijuma da biste identifikovali i uklonili ključeve.
Ispitivanje za nedodeljena ključa i ključeva na koje se odnosi cve-2017-15361 (Roca) |
Upit za tastere u Azure aktivnom direktorijumu pomoću sledeće komande: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Ova komanda će ispitati "contoso.com"stanarka za sve registrovane Windows Hello za poslovne javne ključeve i Prebiće izvoz tih informacija uC:\AzureKeys.csv. Zamenicontoso.comsa vašim stannim imenom da biste upite svog tenanta. CSV izlaz,AzureKeys.csv, sadržaće sledeće informacije za svaki ključ:
Get-AzureADWHfBKeysTakođe će biti izlazni rezime ključeva koji su bili upit. Ovaj rezime obezbeđuje sledeće informacije:
Belešku Za poslovne ključeve koji su povezani sa programom Windows Hello možete da imate zastarele uređaje na vašem Azure uređaju. Ovi ključevi neće biti prijavljeni kao nepovezani iako se ti uređaji ne koriste aktivno. Preporučujemo da sledeći način: Upravljajte zastareli uređajima u programu Azure da biste očistili zastarele uređaje pre nego što budete imali upit za nedodeljena ključa.
Upit za tastere u aktivnom direktorijumu pomoću sledeće komande: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Ova komanda će ispitati "contoso"domen za sve registrovane Windows Hello za poslovne javne ključeve i biće izlazniC:\ADKeys.csv. Zamenicontoso sa imenom domena da biste mogli da izvršavate upit za vaš domen. CSV izlaz,ADKeys.csv, sadržaće sledeće informacije za svaki ključ:
Get-ADWHfBKeysTakođe će biti izlazni rezime ključeva koji su bili upit. Ovaj rezime obezbeđuje sledeće informacije:
Napomena: Ako imate hibridni ambijent sa Azure priključnim uređajima i pokrećete "Get-adiskeys" u vašem domenu na vašem prostoru, broj nebrojnih ključeva možda neće biti tačan. To je zbog toga što se ne nalaze uređaji koji se ne prikazuju u aktivnom direktorijumu i ključevima povezanim sa Azure uređajima koji se priključeni na program, mogu da se prikažu kao nedodeljena. |
Ukloni zaostale, ROCA osetljive ključeve iz kataloga |
Uklonite ključeve u Azure aktivnom direktorijumu koristeći sledeće korake:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Ova komanda uvozi listu nesirotog, ROCA ranjivih ključeva i uklanja ih sacontoso.comStanar. Zamenicontoso.com sa vašim stannim imenom da biste uklonili ključeve od tenanta. N OTE , ako izbrišete Roca ranjive whfb ključeve koji još uvek nisu siročići, on će izazvati prekid vaših korisnika. Trebalo bi da se uverite da su ovi ključevi nepovezani pre nego što ih uklonite iz direktorijuma.
Uklonite ključeve u aktivnom direktorijumu koristeći sledeće korake: Napomena Uklanjanje neaktivnih ključeva iz aktivnog direktorijuma u hibridnim okruženjima dovešće do toga da se ključevi ponovo instaliraju kao deo procesa sinhronizacije "Azure AD Connect". Ako ste u hibridnom okruženju, uklonite ključeve samo sa Azure oglasa
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Ova komanda uvozi listu nesirotog, ROCA ranjivih ključeva i uklanja ih sa vašeg domena. Napomena Ako izbrišete Roca ranjive whfb ključeve koji još uvek nisu siročići, on će izazvati prekid vaših korisnika. Trebalo bi da se uverite da su ovi ključevi nepovezani pre nego što ih uklonite iz direktorijuma. |