Rezime

Da bi pomogao korisnicima da identifikuju neobjavljene Windows Hello za poslovne (WHfB) ključeve koje utiče na TPM ranjivost, Microsoft je objavio modul PowerShell koji administratori mogu da pokrenu. Ovaj članak sadrži objašnjenja o tome kako se rešava problem opisan u ADV190026 | "Microsoft Vodič za čišćenje nekorišćenih ključeva generisanih na ranjivim TPMs-u i koristi se za" Windows Hello "za posao."

Važna beleška Pre korišćenja whfbtools da biste uklonili nepraćene ključeve, smernice u ADV170012 treba slediti da bi se ažurirale firmver bilo kog ranjivih tpms. Ako se ova smernica ne prati, sve nove, WHfB ključevi generisane na uređaju sa firmverom koji nije ažuriran, i dalje će uticati cve-2017-15361 (Roca).

Instalacija PowerShell modula za WHfBTools

Instalirajte modul pokretanjem sledećih komandi:

Instalacija programa za instalaciju PowerShell modula

Instaliraj pomoću PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Ili instaliranje pomoću download galerije PowerShell

  1. Posetite lokaciju https://www.powershellgallery.com/packages/WHfBTools

  2. Preuzmite datoteku RAW. nupkg u lokalnu fasciklu i preimenujte sa oznakom tipa datoteke. zip

  3. Izdvojite sadržaj u lokalnu fasciklu, na primer C:\ADV190026

 

Pokrenite PowerShell, kopirajte i pokrenite sledeće komande:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

 

Treba da instalirate zavisne stavke za korišćenje modula:

Instaliranje zavisnih elemenata za korišćenje modula "WHfBTools"

Ako tražite neaktivnih ključeva za izdavanje upita, instalirajte MSAL.PS PowerShell modul

Instaliraj pomoću PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Ili instaliranje pomoću download galerije PowerShell

  1. Posetite lokaciju https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

  2. Preuzmite datoteku RAW. nupkg u lokalnu fasciklu i preimenujte sa oznakom tipa datoteke. zip

  3. Izdvoji sadržaj u lokalnu fasciklu, na primer C:\MSAL.PS

Pokrenite PowerShell, kopirajte i pokrenite sledeće komande:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Ako imate upit o aktivnom direktorijumu za neaktivnih ključeva, instalirajte alatke "administrator udaljenog servera" (RSAT): usluge domena aktivnog direktorijuma i alatke za usluge lakih direktorijuma

Instaliraj pomoću postavki (Windows 10, verzija 1809 ili noviji)

  1. Idi na postavke-> aplikacije-> opcionalne funkcije-> Dodavanje funkcije

  2. Izaberi RSAT: usluge domena aktivnog direktorijuma i alatke za usluge u sistemu lakih direktorijuma

  3. Izaberite Instaliraj

Ili Instaliraj preko PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Ili Instaliraj preko preuzimanja

  1. Posetite lokaciju https://www.Microsoft.com/en-US/download/details.aspx?id=45520 (Windows 10 Link)

  2. Preuzmite alatke za administriranje udaljenog servera za Windows 10 Installer

  3. Pokreni instalator kada se preuzimanje dovrši

 

Pokretanje modula PowerShell alatke "WHfBTools"

Ako vaše okruženje ima Azure ili hibridno aktivni direktorijum koji je pridružen aktivnim direktorijumom, pratite sledeće korake u okviru Azure aktivnog direktorijuma da biste identifikovali i uklonili ključeve. Ključne uklanjanja u programu Azure sinhronizovaće se sa aktivnim direktorijumom preko Azure oglasa.

Ako se vaše okruženje nalazi samo na samo u prostorijama, pratite korake aktivnog direktorijuma da biste identifikovali i uklonili ključeve.

Ispitivanje za nedodeljena ključa i ključeva na koje se odnosi cve-2017-15361 (Roca)

Upit za tastere u Azure aktivnom direktorijumu pomoću sledeće komande:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Ova komanda će ispitati "contoso.com"stanarka za sve registrovane Windows Hello za poslovne javne ključeve i Prebiće izvoz tih informacija uC:\AzureKeys.csv. Zamenicontoso.comsa vašim stannim imenom da biste upite svog tenanta.

CSV izlaz,AzureKeys.csv, sadržaće sledeće informacije za svaki ključ:

  • Glavno ime korisnika

  • Stanar

  • Korišćenje

  • ID ključa

  • Vreme kreiranja

  • Status nedodeljena

  • Podržava status obaveštavanja

  • Status ranjivosti ROCA

Get-AzureADWHfBKeysTakođe će biti izlazni rezime ključeva koji su bili upit. Ovaj rezime obezbeđuje sledeće informacije:

  • Broj skeniranog korisnika

  • Broj skeniranih ključeva

  • Broj korisnika sa ključevima

  • Broj ROCA ranjivih ključeva

Belešku Za poslovne ključeve koji su povezani sa programom Windows Hello možete da imate zastarele uređaje na vašem Azure uređaju. Ovi ključevi neće biti prijavljeni kao nepovezani iako se ti uređaji ne koriste aktivno. Preporučujemo da sledeći način: Upravljajte zastareli uređajima u programu Azure da biste očistili zastarele uređaje pre nego što budete imali upit za nedodeljena ključa.

 

Upit za tastere u aktivnom direktorijumu pomoću sledeće komande:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Ova komanda će ispitati "contoso"domen za sve registrovane Windows Hello za poslovne javne ključeve i biće izlazniC:\ADKeys.csv. Zamenicontoso sa imenom domena da biste mogli da izvršavate upit za vaš domen.

CSV izlaz,ADKeys.csv, sadržaće sledeće informacije za svaki ključ:

  • Korisnički domen

  • Ime korisnika SAM naloga

  • Istaknuto ime korisnika

  • Verzija ključa

  • ID ključa

  • Vreme kreiranja

  • Ključni materijal

  • Izvor ključeva

  • Korišćenje ključa

  • ID ključa uređaja

  • Približna poslednja vremenska oznaka za prijavljivanje

  • Vreme kreiranja

  • Informacije o prilagođenim ključevima

  • KeyLinkTargetDN

  • Status nedodeljena

  • Status ranjivosti ROCA

  • Keyrawldapvrijednost

Get-ADWHfBKeysTakođe će biti izlazni rezime ključeva koji su bili upit. Ovaj rezime obezbeđuje sledeće informacije:

  • Broj skeniranog korisnika

  • Broj korisnika sa ključevima

  • Broj skeniranih ključeva

  • Broj ROCA ranjivih ključeva

  • Broj nedodeljena ključeva (ako-SkipCheckForOrphanedKeys nije naveden)

Napomena: Ako imate hibridni ambijent sa Azure priključnim uređajima i pokrećete "Get-adiskeys" u vašem domenu na vašem prostoru, broj nebrojnih ključeva možda neće biti tačan. To je zbog toga što se ne nalaze uređaji koji se ne prikazuju u aktivnom direktorijumu i ključevima povezanim sa Azure uređajima koji se priključeni na program, mogu da se prikažu kao nedodeljena.

 

Ukloni zaostale, ROCA osetljive ključeve iz kataloga

Uklonite ključeve u Azure aktivnom direktorijumu koristeći sledeće korake:

  1. Filtrirajte Nezaostale koloneAzureKeys.csvna vrednost TRUE

  2. Kopirajte filtrirane rezultate u novu datoteku,C:\ROCAKeys.csv

  3. Pokrenite sledeću komandu da biste obrisali ključeve:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Ova komanda uvozi listu nesirotog, ROCA ranjivih ključeva i uklanja ih sacontoso.comStanar. Zamenicontoso.com sa vašim stannim imenom da biste uklonili ključeve od tenanta.

N OTE , ako izbrišete Roca ranjive whfb ključeve koji još uvek nisu siročići, on će izazvati prekid vaših korisnika. Trebalo bi da se uverite da su ovi ključevi nepovezani pre nego što ih uklonite iz direktorijuma.

 

Uklonite ključeve u aktivnom direktorijumu koristeći sledeće korake:

Napomena Uklanjanje neaktivnih ključeva iz aktivnog direktorijuma u hibridnim okruženjima dovešće do toga da se ključevi ponovo instaliraju kao deo procesa sinhronizacije "Azure AD Connect". Ako ste u hibridnom okruženju, uklonite ključeve samo sa Azure oglasa

  1. Filtrirajte OrphanedKey i rocavulnerable koloneADKeys.csv na vrednost TRUE

  2. Kopirajte filtrirane rezultate u novu datoteku,C:\ROCAKeys.csv

  3. Pokrenite sledeću komandu da biste obrisali ključeve:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Ova komanda uvozi listu nesirotog, ROCA ranjivih ključeva i uklanja ih sa vašeg domena.

Napomena Ako izbrišete Roca ranjive whfb ključeve koji još uvek nisu siročići, on će izazvati prekid vaših korisnika. Trebalo bi da se uverite da su ovi ključevi nepovezani pre nego što ih uklonite iz direktorijuma.

 

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom prevoda?
Šta je uticalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×