Använda WHfBTools PowerShell-modul för att städa upp föräldralösa Windows Hello för Business Keys

Installera WHfBTools PowerShell-modul

Installera via PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Eller installera med hjälp av en hämtning från PowerShell-galleriet

1. Gå till https://www.powershellgallery.com/packages/WHfBTools

2. Data överför den rå. nupkg arkivera till en lokal broschyren och ge nytt namn med det. zip utsträckande

3. Extrahera innehållet till en lokal mapp, till exempel C:\ADV190026

Starta PowerShell, kopiera och kör följande kommandon:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

Installera beroenden för att använda modulen WHfBTools

Om du frågar Azure Active Directory för föräldralösa nycklar, installera den MSAL.PS PowerShell-modulen

Installera via PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Eller installera med hjälp av en hämtning från PowerShell-galleriet

1. Gå till https://www.powershellgallery.com/packages/MSAL.PS/4.5.1.1

2. Data överför den rå. nupkg arkivera till en lokal broschyren och ge nytt namn med det. zip utsträckande

3. Extrahera innehållet till en lokal mapp, till exempel C:\MSAL.PS

Starta PowerShell, kopiera och kör följande kommandon:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Om du frågar Active Directory efter överblivna nycklar installerar du verktyg för Fjärrserveradministratör (RSAT): Active Directory Domain Services och Lightweight Directory Services-verktyg

Installera via inställningar (Windows 10, version 1809 eller senare)

1. Gå till Inställningar-> appar-> valfria funktioner-> lägga till en funktion

2. Välj RSAT: Active Directory Domain Services och Lightweight Directory Services-verktyg

3. Välj Installera

Eller installera via PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Eller installera via Download

1. Gå till https://www.Microsoft.com/en-US/download/details.aspx?id=45520 (Windows 10 länk)

2. Hämta installationsprogrammet för Fjärrserveradministrationsverktyg för Windows 10

3. Starta installationsprogrammet när nedladdningen är klar

Fråga efter överblivna nycklar och nycklar som påverkas av CVE-2017-15361 (Roca)

Fråga efter nycklar i Azure Active Directory med hjälp av följande kommando:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Det här kommandot frågar "contoso.com"klient för alla registrerade Windows Hello för företag offentliga nycklar och kommer att mata ut den informationen tillC:\AzureKeys.csv. Ersättacontoso.commed ditt klientnamn för att fråga din klient.

CSV-utdata,AzureKeys.csv, kommer att innehålla följande information för varje nyckel:

• Användarens huvudnamn

• Hyresgästen

• Användning

• Nyckel-ID

• Skapandetid

• Överblivna status

• Stöder meddela status

• ROCA sårbarhets status

Get-AzureADWHfBKeyskommer också att utdata en sammanfattning av de nycklar som har efterfrågats. Denna sammanfattning innehåller följande information:

• Antal skannade användare

• Antal skannade tangenter

• Antal användare med nycklar

• Antal ROCA-sårbara tangenter

Notera Det kan finnas inaktuella enheter i din Azure AD-klient med Windows Hello för Business nycklar som är associerade med dem. Dessa nycklar rapporteras inte som föräldralösa trots att dessa enheter inte används aktivt. Vi rekommenderar att du följer hur du: hantera inaktuella enheter i Azure AD för att rensa inaktuella enheter innan du frågar efter överblivna nycklar.

Fråga efter nycklar i Active Directory med hjälp av följande kommando:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Det här kommandot frågar "contoso"domän för alla registrerade Windows Hello för företag offentliga nycklar och kommer att mata ut denna information tillC:\ADKeys.csv. Ersättacontoso med ditt domännamn för att fråga din domän.

CSV-utdata,ADKeys.csv, kommer att innehålla följande information för varje nyckel:

• Användardomän

• Användarnamn för SAM-konto

• Unikt namn för användare

• Nyckel version

• Nyckel-ID

• Skapandetid

• Nyckel material

• Nyckel källa

• Nyckelanvändning

• ID för nyckelenhet

• Ungefärlig tidsstämpel för senaste inloggning

• Skapandetid

• Anpassad nyckelinformation

• KeyLinkTargetDN

• Överblivna status

• ROCA sårbarhets status

• KeyRawLDAPValue

Get-ADWHfBKeyskommer också att utdata en sammanfattning av de nycklar som har efterfrågats. Denna sammanfattning innehåller följande information:

• Antal skannade användare

• Antal användare med nycklar

• Antal skannade tangenter

• Antal ROCA-sårbara tangenter

• Antal föräldralösa nycklar (om-SkipCheckForOrphanedKeys har inte angetts)

Anmärkning: Om du har en hybrid miljö med Azure AD-anslutna enheter och kör "Get-ADWHfBKeys" i din lokala domän, kan antalet överblivna nycklar inte vara korrekt. Detta beror på att Azure AD-anslutna enheter inte finns i Active Directory och nycklar som är associerade med Azure AD-anslutna enheter kan visas som överblivna.

Ta bort föräldralösa, Roca sårbara nycklar från katalogen

Ta bort nycklar i Azure Active Directory med hjälp av följande steg:

1. Filtrera de föräldralösa och rocavulnerable kolumnerna iAzureKeys.csvtill true

2. Kopiera de filtrerade resultaten till en ny fil,C:\ROCAKeys.csv

3. Kör följande kommando för att ta bort nycklar:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Detta kommando importerar listan över föräldralösa, ROCA sårbara nycklar och tar bort dem fråncontoso.comHyresgästen. Ersättacontoso.com med ditt klientnamn för att ta bort nycklar från din klient.

N OTE om du tar bort Roca sårbara whfb nycklar som inte är föräldralösa ännu, kommer det att orsaka störningar för användarna. Du bör se till att dessa nycklar är föräldralösa innan du tar bort dem från katalogen.

Ta bort nycklar i Active Directory med hjälp av följande steg:

Ta bort överblivna nycklar från Active Directory i hybridmiljöer kommer att resultera i nycklarna återskapas som en del av Azure AD Connect-synkroniseringsprocessen. Om du är i en hybrid miljö, ta bort nycklar endast från Azure AD

1. Filtrera de orphanedkey och rocavulnerable kolumnerna iADKeys.csv till true

2. Kopiera de filtrerade resultaten till en ny fil,C:\ROCAKeys.csv

3. Kör följande kommando för att ta bort nycklar:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Det här kommandot importerar listan över föräldralösa, ROCA sårbara nycklar och tar bort dem från din domän.

Om du tar bort Roca sårbara whfb nycklar som inte är föräldralösa ännu, kommer det att orsaka störningar för användarna. Du bör se till att dessa nycklar är föräldralösa innan du tar bort dem från katalogen.