Özet
Müşterilerin TPM güvenlik açığından etkilenen yetim Windows Hello (WHfB) anahtarlarını tanımlamasına yardımcı olmak için Microsoft, yöneticiler tarafından çalıştırılabilen bir PowerShell modülü yayımladı. Bu makalede, ADV190026'daaçıklanan sorunun nasıl ele alınılsüreceğini açıklar | "Microsoft Kılavuzu, güvenlik açığı olan TPM'lerde oluşturulan ve Windows Hello for Business için kullanılan yetim anahtarları temizlemek için kullanılır."
Önemli Not Yetim anahtarları kaldırmak için WHfBTools kullanmadan önce, ADV170012'deki kılavuz, herhangi bir savunmasız TPM'nin firmware'ini güncellemek için izlenmelidir. Bu kılavuza uyulmazsa, güncelleştirilmeyen firmware'li bir cihazda oluşturulan yeni WHfB anahtarları Yine CVE-2017-15361 (ROCA) tarafından etkilenir.
WHfBTools PowerShell Modülü nasıl yüklenir?
Aşağıdaki komutları çalıştırarak modülü yükleyin:
WHfBTools PowerShell modülü kurulumu |
PowerShell üzerinden yükleyin PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Veya PowerShell Gallery'den indirme yi kullanarak yükleyin
PowerShell'i başlatın, aşağıdaki komutları kopyalayın ve çalıştırın: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Modülü kullanmak için bağımlılıkları yükleyin:
WHfBTools modüllerini kullanmak için bağımlılıkların yüklenmesi |
Otomatik anahtarlar için Azure Active Directory'yi sorgulıyorsanız, MSAL.PS PowerShell modüllerini yükleyin PowerShell üzerinden yükleyin PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Veya PowerShell Gallery'den indirme yi kullanarak yükleyin
PowerShell'i başlatın, aşağıdaki komutları kopyalayın ve çalıştırın: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Adverilen anahtarlar için Active Directory'yi sorgulıyorsanız, Uzaktan Sunucu Yönetici Araçları'nı (RSAT): Etkin Dizin Etki Alanı Hizmetleri ve Hafif Dizin Hizmetleri Araçlarını yükleyin Ayarlar (Windows 10, sürüm 1809 veya sonrası) üzerinden yükleme
Veya PowerShell üzerinden yükleyin PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Veya download üzerinden yükleyin
|
WHfBTools PowerShell Modüllerini Çalıştırın
Ortamınızda Azure Active Directory'ye katıldıysa veya Azure Active Directory'ye katılan aygıtları hibrit hale verdiyse, anahtarları tanımlamak ve kaldırmak için Azure Etkin Dizin adımlarını izleyin. Azure'daki anahtar kaldırmalar, Azure AD Connect aracılığıyla Active Directory ile eşitlenecektir.
Ortamınız yalnızca şirket içindeyse, anahtarları tanımlamak ve kaldırmak için Etkin Dizin adımlarını izleyin.
CVE-2017-15361 (ROCA) tarafındanetkilenen yetim anahtarlar ve anahtarlar için sorgulama |
Aşağıdaki komutu kullanarak Azure Etkin Dizini'ndeki anahtarlar için sorgula: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Bu komut sorgulayacak "contoso.com" Tüm kayıtlı Windows Hello for Business ortak anahtarları için kiracı ve bu bilgileriC:\AzureKeys.csv. Değiştirmekcontoso.comkiracınızı sorgulamak için kiracı adınız ile. Csv çıkışı,AzureKeys.csv, her anahtar için aşağıdaki bilgileri içerecektir:
Get-AzureADWHfBKeysayrıca sorgulandı anahtarların bir özetini çıkaracaktır. Bu özet aşağıdaki bilgileri sağlar:
Not Azure AD kiracınızda, windows hello for Business tuşları ile ilişkili eski aygıtlar olabilir. Bu aygıtlar etkin olarak kullanılmasa bile bu anahtarlar yetim olarak bildirilmez. Artık anahtarları sorgulamadan önce eski aygıtları temizlemek için Azure AD'deki eski aygıtları yönetme yi izlemenizi öneririz.
Aşağıdaki komutu kullanarak Active Directory'deki anahtarlar için sorgu: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Bu komut sorgulayacak "contoso" Tüm kayıtlı Windows Hello for Business ortak anahtarları için etki alanı ve bu bilgileriC:\ADKeys.csv. Değiştirmekcontoso etki alanınızı sorgulamak için etki alanı adınızı ile. Csv çıkışı,ADKeys.csv, her anahtar için aşağıdaki bilgileri içerecektir:
Get-ADWHfBKeysayrıca sorgulandı anahtarların bir özetini çıkaracaktır. Bu özet aşağıdaki bilgileri sağlar:
Not: Azure AD'nin birleştiği aygıtlara sahip karma bir ortamınız varsa ve şirket içi etki alanınızda "Get-ADWHfBKeys" çalıştırıyorsanız, yetim anahtarların sayısı doğru olmayabilir. Bunun nedeni, Azure AD'ye katılan aygıtların Etkin Dizin'de bulunmaması ve Azure AD'ye katılan aygıtlarla ilişkili tuşların öksüz olarak gösterilebis olmasıdır. |
Yetim, ROCA savunmasız anahtarları dizinden kaldırma |
Aşağıdaki adımları kullanarak Azure Etkin Dizini'ndeki tuşları kaldırın:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Bu komut, öksüz, ROCA savunmasız anahtarlarının listesini içeri aktarım ve bunlarıcontoso.comKiracı. Değiştirmekcontoso.com anahtarları kiracınızdan kaldırmak için kiracı adınızı kullanarak. N ote RocA'nın henüz yetim olmayan savunmasız WHfB tuşlarını silerseniz, kullanıcılarınızda kesintiye neden olur. Bu anahtarların dizinden çıkarmadan önce bu anahtarların yetim olduğundan emin olmalısınız.
Aşağıdaki adımları kullanarak Active Directory'deki anahtarlarıkaldırın: Not Karma ortamlarda Etkin Dizini'nden kaldırılan anahtarlar, anahtarların Azure AD Connect eşitleme işleminin bir parçası olarak yeniden oluşturulmasına neden olur. Karma bir ortamdaysanız, tuşları yalnızca Azure AD'den kaldırın
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Bu komut, öksüz, ROCA savunmasız anahtarlarının listesini içeri aktarım ve bunları etki alanınızdan kaldırır. Not Henüz yetim kalınmayan ROCA savunmasız WHfB tuşlarını silerseniz, kullanıcılarınızda kesintiye neden olur. Bu anahtarların dizinden çıkarmadan önce bu anahtarların yetim olduğundan emin olmalısınız. |