สรุป
เพื่อช่วยให้ลูกค้าระบุว่าถูกละเลย Windows Hello สำหรับธุรกิจ (WHfB) คีย์ที่ได้รับผลกระทบจากช่องโหว่ TPM Microsoft ได้เผยแพร่โมดูล PowerShell ที่สามารถเรียกใช้โดยผู้ดูแลระบบ บทความนี้อธิบายวิธีแก้ไขปัญหาที่อธิบายไว้ในADV190026 "คำแนะนำของ Microsoft สำหรับการล้างคีย์กำพร้าที่สร้างขึ้นในความเสี่ยง TPMs และใช้สำหรับ Windows Hello สำหรับธุรกิจ"
หมายเหตุสำคัญ ก่อนที่จะใช้เครื่องมือ whfbtools ลบคีย์กำพร้าคำแนะนำในADV170012ควรปฏิบัติตามเพื่อปรับปรุงเฟิร์มแวร์ของ tpms ที่มีความเสี่ยงใดๆ ถ้าคำแนะนำนี้ไม่ได้ตามมา, คีย์ WHfB ใหม่ที่สร้างขึ้นบนอุปกรณ์ที่มีเฟิร์มที่ยังไม่ได้รับการปรับปรุงจะยังคงได้รับผลกระทบโดยCVE-2017-15361 (ROCA).
วิธีการติดตั้งโปรแกรมโมดูล PowerShell WHfBTools
ติดตั้งโมดูลด้วยการเรียกใช้คำสั่งต่อไปนี้:
การติดตั้งโมดูลของ WHfBTools มือ PowerShell |
ติดตั้งผ่านทาง PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools หรือติดตั้งโดยใช้การดาวน์โหลดจากแกลเลอรี่ของ PowerShell
เริ่มการทำงานของ PowerShell คัดลอกและเรียกใช้คำสั่งต่อไปนี้: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
ติดตั้งการอ้างอิงสำหรับการใช้โมดูล:
การติดตั้งการอ้างอิงสำหรับการใช้โมดูล WHfBTools |
ถ้าคุณกำลังสอบถามไดเรกทอรีที่ใช้งานอยู่ของ Azure สำหรับคีย์กำพร้าติดตั้งโมดูล MSAL.PS PowerShell ติดตั้งผ่านทาง PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS หรือติดตั้งโดยใช้การดาวน์โหลดจากแกลเลอรี่ของ PowerShell
เริ่มการทำงานของ PowerShell คัดลอกและเรียกใช้คำสั่งต่อไปนี้: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 ถ้าคุณกำลังสอบถามเกี่ยวกับไดเรกทอรีที่ใช้งานอยู่สำหรับคีย์กำพร้าติดตั้งเครื่องมือผู้ดูแลเซิร์ฟเวอร์ระยะไกล (RSAT): บริการระบบโดเมนไดเรกทอรีที่ใช้งานอยู่และเครื่องมือบริการไดเรกทอรีน้ำหนักเบา ติดตั้งผ่านการตั้งค่า (Windows 10 รุ่น๑๘๐๙หรือใหม่กว่า)
หรือติดตั้งผ่านทาง PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 หรือติดตั้งผ่านการดาวน์โหลด
|
เรียกใช้โมดูล PowerShell เครื่องมือ WHfBTools
ถ้าสภาพแวดล้อมของคุณมี Azure ที่ใช้งานอยู่ไดเรกทอรีร่วมหรือไฮบริดสลี Azure ไดเรกทอรีที่ใช้งานอยู่เข้าร่วมกับอุปกรณ์ให้ทำตามขั้นตอน Azure ที่ใช้งานอยู่ในการระบุและเอาคีย์ การย้ายคีย์ใน Azure จะซิงค์กับไดเรกทอรีที่ใช้งานอยู่ผ่านการเชื่อมต่อ AD Azure
ถ้าสภาพแวดล้อมของคุณอยู่ในสถานที่เท่านั้นให้ทำตามขั้นตอนไดเรกทอรีที่ใช้งานอยู่เพื่อระบุและเอาคีย์ออก
แบบสอบถามสำหรับคีย์กำพร้าและคีย์ที่ได้รับผลกระทบโดยCVE-2017-15361 (ROCA) |
แบบสอบถามสำหรับคีย์ในไดเรกทอรีที่ใช้งานอยู่ของ Azure โดยใช้คำสั่งต่อไปนี้: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv คำสั่งนี้จะสอบถาม "contoso.com"ผู้เช่าสำหรับทั้งหมดลงทะเบียน Windows Hello สำหรับคีย์สาธารณะธุรกิจและจะส่งออกข้อมูลที่จะC:\AzureKeys.csv. แทนcontoso.comกับชื่อผู้เช่าของคุณเพื่อสอบถามผู้เช่าของคุณ เอาต์พุต Csv,AzureKeys.csvจะประกอบด้วยข้อมูลต่อไปนี้สำหรับแต่ละคีย์:
Get-AzureADWHfBKeysจะยังแสดงผลสรุปของคีย์ที่ถูกสอบถามด้วย สรุปนี้มีข้อมูลต่อไปนี้:
ทราบ อาจมีอุปกรณ์เก่าในผู้เช่าโฆษณา Azure ของคุณกับ Windows Hello สำหรับคีย์ธุรกิจที่เกี่ยวข้อง คีย์เหล่านี้จะไม่ถูกรายงานเป็นกำพร้าแม้ว่าอุปกรณ์เหล่านั้นจะไม่ถูกใช้อย่างแข็งขัน. เราขอแนะนำให้ทำตามวิธีการ: จัดการอุปกรณ์เก่าในโฆษณา Azureเพื่อล้างข้อมูลอุปกรณ์เก่าก่อนการสอบถามสำหรับคีย์กำพร้า
สอบถามคีย์ในไดเรกทอรีที่ใช้งานอยู่โดยใช้คำสั่งต่อไปนี้: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv คำสั่งนี้จะสอบถาม "contoso"โดเมนสำหรับการลงทะเบียน Windows Hello สำหรับคีย์สาธารณะธุรกิจและจะส่งออกข้อมูลที่จะC:\ADKeys.csv. แทนcontoso ด้วยชื่อโดเมนของคุณเพื่อสอบถามโดเมนของคุณ เอาต์พุต Csv,ADKeys.csvจะประกอบด้วยข้อมูลต่อไปนี้สำหรับแต่ละคีย์:
Get-ADWHfBKeysจะยังแสดงผลสรุปของคีย์ที่ถูกสอบถามด้วย สรุปนี้มีข้อมูลต่อไปนี้:
หมายเหตุ: ถ้าคุณมีสภาพแวดล้อมไฮบริดสลีกับอุปกรณ์ที่เข้าร่วมโฆษณา Azure และเรียกใช้ "รับ ADWHfBKeys" ในโดเมนของคุณในสถานที่จำนวนของคีย์กำพร้าอาจไม่ถูกต้อง ทั้งนี้เนื่องจากอุปกรณ์ที่เข้าร่วม AD Azure ไม่มีอยู่ในไดเรกทอรีที่ใช้งานอยู่และคีย์ที่เกี่ยวข้องกับอุปกรณ์ที่เข้าร่วมกับ Azure AD อาจแสดงขึ้นเป็นกำพร้า |
เอาออกกำพร้า, ROCA ความเปราะบางคีย์จากไดเรกทอรี |
เอาคีย์ในไดเรกทอรีที่ใช้งานอยู่ของ Azure โดยใช้ขั้นตอนต่อไปนี้:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging คำสั่งนี้นำเข้ารายการของที่ถูกละเลยคีย์ที่มีช่องโหว่และเอาออกจากcontoso.comผู้เช่า . แทนcontoso.com กับชื่อผู้เช่าของคุณเพื่อลบคีย์ออกจากผู้เช่าของคุณ N ถ้าคุณลบที่มีความเสี่ยงที่จะไม่ถูกละเลยในการทำงานของผู้ใช้ของคุณ คุณควรตรวจสอบให้แน่ใจว่าคีย์เหล่านี้ถูกละเลยก่อนที่จะลบออกจากไดเรกทอรี
เอาคีย์ในไดเรกทอรีที่ใช้งานอยู่โดยใช้ขั้นตอนต่อไปนี้: หมายเหตุลบคีย์กำพร้าออกจากไดเรกทอรีที่ใช้งานอยู่ในสภาพแวดล้อมไฮบริดสลีจะส่งผลให้คีย์ถูกสร้างขึ้นเป็นส่วนหนึ่งของกระบวนการซิงค์การเชื่อมต่อโฆษณา Azure ถ้าคุณอยู่ในสภาพแวดล้อมไฮบริดสลีให้เอาคีย์ออกจากโฆษณา Azure เท่านั้น
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging คำสั่งนี้นำเข้ารายการของที่ถูกละเลยคีย์ที่มีช่องโหว่และเอาออกจากโดเมนของคุณ หมายเหตุถ้าคุณลบความเสี่ยงในการทำงานของคีย์ whfb ที่ไม่ถูกละเลยแต่ก็จะก่อให้เกิดการหยุดชะงักให้กับผู้ใช้ของคุณ คุณควรตรวจสอบให้แน่ใจว่าคีย์เหล่านี้ถูกละเลยก่อนที่จะลบออกจากไดเรกทอรี |