Sammanfattning
Microsoft har publicerat en PowerShell-modul som kan köras av administratörer för att hjälpa kunder att identifiera överblivna Windows Hello för företag (WHfB)-nycklar som påverkas av ett TPM-säkerhetsproblem. Den här artikeln förklarar hur du åtgärdar problemet som beskrivs i ADV190026 | "Microsoft vägledning för att rensa föräldralösa nycklar som genereras på sårbara TPM: er och används för Windows Hello för företag."
Viktig anmärkning Innan du använder whfbtools att ta bort föräldralösa nycklar, vägledning i ADV170012 bör följas för att uppdatera firmware för alla utsatta TPMS. Om den här vägledningen inte följs kommer alla nya WHfB-nycklar som genereras på en enhet med inbyggd programvara som inte har uppdaterats att påverkas av CVE-2017-15361 (Roca).
Så här installerar du WHfBTools PowerShell-modulen
Installera modulen genom att köra följande kommandon:
Installera WHfBTools PowerShell-modul |
Installera via PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Eller installera med hjälp av en hämtning från PowerShell-galleriet
Starta PowerShell, kopiera och kör följande kommandon: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Installera beroenden för att använda modulen:
Installera beroenden för att använda modulen WHfBTools |
Om du frågar Azure Active Directory för föräldralösa nycklar, installera den MSAL.PS PowerShell-modulen Installera via PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Eller installera med hjälp av en hämtning från PowerShell-galleriet
Starta PowerShell, kopiera och kör följande kommandon: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Om du frågar Active Directory efter överblivna nycklar installerar du verktyg för Fjärrserveradministratör (RSAT): Active Directory Domain Services och Lightweight Directory Services-verktyg Installera via inställningar (Windows 10, version 1809 eller senare)
Eller installera via PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Eller installera via Download
|
Kör PowerShell-modulen WHfBTools
Om din miljö har Azure Active Directory-anslutna eller hybrid Azure Active Directory-anslutna enheter följer du Azure Active Directory-stegen för att identifiera och ta bort nycklar. Viktiga borttagningar i Azure synkroniseras till Active Directory via Azure AD Connect.
Om din miljö är endast lokalt, följ Active Directory-stegen för att identifiera och ta bort nycklar.
Fråga efter överblivna nycklar och nycklar som påverkas av CVE-2017-15361 (Roca) |
Fråga efter nycklar i Azure Active Directory med hjälp av följande kommando: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Det här kommandot frågar "contoso.com"klient för alla registrerade Windows Hello för företag offentliga nycklar och kommer att mata ut den informationen tillC:\AzureKeys.csv. Ersättacontoso.commed ditt klientnamn för att fråga din klient. CSV-utdata,AzureKeys.csv, kommer att innehålla följande information för varje nyckel:
Get-AzureADWHfBKeyskommer också att utdata en sammanfattning av de nycklar som har efterfrågats. Denna sammanfattning innehåller följande information:
Notera Det kan finnas inaktuella enheter i din Azure AD-klient med Windows Hello för Business nycklar som är associerade med dem. Dessa nycklar rapporteras inte som föräldralösa trots att dessa enheter inte används aktivt. Vi rekommenderar att du följer hur du: hantera inaktuella enheter i Azure AD för att rensa inaktuella enheter innan du frågar efter överblivna nycklar.
Fråga efter nycklar i Active Directory med hjälp av följande kommando: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Det här kommandot frågar "contoso"domän för alla registrerade Windows Hello för företag offentliga nycklar och kommer att mata ut denna information tillC:\ADKeys.csv. Ersättacontoso med ditt domännamn för att fråga din domän. CSV-utdata,ADKeys.csv, kommer att innehålla följande information för varje nyckel:
Get-ADWHfBKeyskommer också att utdata en sammanfattning av de nycklar som har efterfrågats. Denna sammanfattning innehåller följande information:
Anmärkning: Om du har en hybrid miljö med Azure AD-anslutna enheter och kör "Get-ADWHfBKeys" i din lokala domän, kan antalet överblivna nycklar inte vara korrekt. Detta beror på att Azure AD-anslutna enheter inte finns i Active Directory och nycklar som är associerade med Azure AD-anslutna enheter kan visas som överblivna. |
Ta bort föräldralösa, Roca sårbara nycklar från katalogen |
Ta bort nycklar i Azure Active Directory med hjälp av följande steg:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Detta kommando importerar listan över föräldralösa, ROCA sårbara nycklar och tar bort dem fråncontoso.comHyresgästen. Ersättacontoso.com med ditt klientnamn för att ta bort nycklar från din klient. N OTE om du tar bort Roca sårbara whfb nycklar som inte är föräldralösa ännu, kommer det att orsaka störningar för användarna. Du bör se till att dessa nycklar är föräldralösa innan du tar bort dem från katalogen.
Ta bort nycklar i Active Directory med hjälp av följande steg: Ta bort överblivna nycklar från Active Directory i hybridmiljöer kommer att resultera i nycklarna återskapas som en del av Azure AD Connect-synkroniseringsprocessen. Om du är i en hybrid miljö, ta bort nycklar endast från Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Det här kommandot importerar listan över föräldralösa, ROCA sårbara nycklar och tar bort dem från din domän. Om du tar bort Roca sårbara whfb nycklar som inte är föräldralösa ännu, kommer det att orsaka störningar för användarna. Du bör se till att dessa nycklar är föräldralösa innan du tar bort dem från katalogen. |