Özet
Bu makale tanımlamak ve Microsoft Güvenlik danışma belgesi ADV170012' de açıklanan güvenlik açığından etkilenen aygıtlarındaki sorunları gidermek yardımcı olur.
Bu işlem aşağıdaki Windows Merhaba üzerinde iş (WHFB) ve Microsoft tarafından sunulan Azure AD (AAD) kullanım senaryoları odaklanır:
-
Azure AD birleştirme
-
Azure AD karma birleştirme
-
Kayıtlı azure AD
Daha fazla bilgi
, AAD kullanım senaryosu tanımlamak
-
Bir komut istemi penceresi açın.
-
Aygıt durumunu aşağıdaki komutu çalıştırarak alın:
dsregcmd.exe /status -
Komut çıkışında, AAD kullanım senaryosu belirlemek için aşağıdaki tabloda listelenen özelliklerin değerlerini inceleyin.
Özelliği
Açıklama
AzureAdJoined
Gösterir olup olmadığını aygıt için Azure AD. katıldı
EnterpriseJoined
Gösterir olup olmadığını t he aygıt için AD FS katıldı. Bu nerede Windows Merhaba iş için dağıtılır ve yönetilir yerinde üzerinde şirket-yalnızca müşteri senaryosu parçasıdır.
DomainJoined
Gösterir olup olmadığını Aygıt geleneksel bir Active Directory etki alanına katılmış.
WorkplaceJoined
Geçerli kullanıcının kendi geçerli profile bir iş veya Okul hesap ekledi olup olmadığını gösterir. Bu kayıtlı Azure ADbilinir. Bu ayar aygıt AzureAdJoined ise sistem tarafından göz ardı edilir.
Karma Azure AD alanına dahil
DomainJoined ve AzureAdJoined Evetise, karma Azure AD alanına bağlı bir aygıttır. Bu nedenle, aygıt Azure Active Directory ve geleneksel bir Active Directory etki alanına katıldı.
İş akışı
Dağıtım ve uygulamaları kuruluşlar arasında değişebilir. Etkilenen tüm aygıtların etkisini azaltmak için kendi iç planı geliştirmek için ihtiyaç duyacağınız araçları sağlamak için aşağıdaki iş akışı tasarladığımız. İş akışı aşağıdaki adımları içerir:
-
Etkilenen aygıtları belirlemek. Ortamınızı güvenilir platform Modülü (TPM'ler), etkilenen tuşları arama ve aygıtlar.
-
Etkilenen aygıtların düzeltme eki. Bu makalede listelenen senaryoya özel adımları izleyerek saptanan aygıtları etkileri gidermek.
TPM'ler temizleme hakkında not
Güvenilen Platform Modülü çeşitli hizmetler tarafından kullanılan bir gizli kod dizeleri depolamak için kullanılır ve uygulamaları, TPM'yi temizlemek olabilir çünkü öngörülemeyen ya da negatif bir iş etkileri. Tüm TPM'yi temizlemeden önce araştırmak ve tüm hizmetleri ve TPM destekli sırlarını kullanan uygulamalar düzgün olarak tanımlanan ve yapılmadığını gizli silme ve dinlenme için hazır olduğunu doğrulamak emin olun.
Etkilenen aygıt tanımlama
Etkilenen TPM'ler tanımlamak için Microsoft Güvenlik danışma belgesi ADV170012bakın.
Düzeltme eki etkilenen aygıtlar nasıl
Etkilenen aygıtlarda AAD kullanım senaryonuza göre aşağıdaki adımları kullanın.
-
Geçerli yerel yönetici hesabı aygıtı veya bir yerel yönetici hesabı oluşturmaküzerinde bulunduğundan emin olun.
Not
Tarafından aygıta yeni yerel yönetici hesabını kullanarak oturum açma hesabı çalışır durumda olduğunu doğrulayın ve yükseltilmiş bir komut istemi açarak doğru izinleri onaylamak için önerilen bir uygulamadır.
-
Aygıt üzerinde bir Microsoft hesap açtınız, ayarları ' na gidin > hesaplar > e-posta & app hesapları ve bağlı hesabı Kaldır.
-
Aygıt için bir bellenim güncelleştirmesi yükleme.
Not
TPM Bellenim güncelleştirmesini uygulamak için OEM'in kılavuzunu kullanın. Bkz. adım 4: "uygun Bellenim güncelleştirmeleri uygulamak" , OEM'den TPM güncelleştirmeyi edinme hakkında bilgi için Microsoft Güvenlik danışma belgesi ADV170012 ' de.
-
Azure AD aygıttan ayrılma.
Not
Devam etmeden önce BitLocker anahtarını güvenli bir yerde yerel bilgisayar dışında yedeklendiğinden emin olun.
-
Ayarlar Git > Sistem > hakkındave sonra Yönet veya iş ya da Okul kesin.
-
< AzureAD > için bağlı ve Bağlantıyı Kes' i tıklatın.
-
Bildirim için sorulduğunda, Evet ' i tıklatın.
-
"Kes" kuruluşundan istendiğinde, Bağlantıyı Kes'i tıklatın.
-
Aygıt için yerel yönetici hesabı bilgilerini girin.
-
' I daha sonra yeniden.
-
-
TPM'yi temizleyin.
Not
TPM'yi temizlemek, tüm anahtarları ve aygıtınızda saklanan parolaları kaldırır. TPM'yi kullanan diğer hizmetleri askıya veya devam etmeden önce doğrulanması emin olun.
Windows 8 veya sonraki sürümü: BitLocker iki önerilen yöntemlerden birini Aşağıda, TPM'yi temizlemek için kullanırsanız, otomatik olarak askıya alınır.Windows 7: Devam etmeden önce BitLocker'ın el ile askıya alma gereklidir. (Bkz: BitLocker'ı askıya alma hakkında daha fazla bilgi.)
-
TPM'yi temizlemek için aşağıdaki yöntemlerden birini kullanın:
-
Microsoft Yönetim Konsolu'nu kullanın.
-
Win + R tuşlarına basın, tpm.msc yazın ve Tamam' ı tıklatın.
-
TPM'yi Temizle'yitıklatın.
-
-
TPM'yi temizleme cmdlet'iniçalıştırın.
-
-
Yeniden Başlat' ı tıklatın.
Not: Başlangıçta TPM'yi temizlemek için istenebilir.
-
-
Aygıtı yeniden başlattıktan sonra aygıta yerel yönetici hesabını kullanarak oturum açın.
-
Azure AD aygıta katılabilir. Sonraki oturum-gelen yeni bir PIN ayarlamak için istenebilir.
-
Aygıtınızda bir Microsoft hesabı ile oturum açıldı, ayarları ' na gidin > hesaplar > e-posta & app hesapları ve bağlı hesabı Kaldır.
-
Yükseltilmiş bir komut isteminden aşağıdaki komutu çalıştırın:
dsregcmd.exe /leave /debugNot
Komut çıktısını AzureADJoined belirtmek: Hayır.
-
Aygıt için bir bellenim güncelleştirmesi yükleme.
Not
Not TPM Bellenim güncelleştirmesini uygulamak için OEM'in kılavuzunu kullanın. Bkz. adım 4: "uygun Bellenim güncelleştirmeleri uygulamak" , OEM'den TPM güncelleştirmeyi edinme hakkında bilgi için Microsoft Güvenlik danışma belgesi ADV170012 ' de.
-
TPM'yi temizleyin.
Not
TPM'yi temizlemek, tüm anahtarları ve aygıtınızda saklanan parolaları kaldırır. TPM'yi kullanan diğer hizmetleri askıya veya devam etmeden önce doğrulanması emin olun.
Windows 8 veya sonraki sürümü: BitLocker iki önerilen yöntemlerden birini Aşağıda, TPM'yi temizlemek için kullanırsanız, otomatik olarak askıya alınır.Windows 7: Devam etmeden önce BitLocker'ın el ile askıya alma gereklidir. (Bkz: BitLocker'ı askıya alma hakkında daha fazla bilgi.)
-
TPM'yi temizlemek için aşağıdaki yöntemlerden birini kullanın:
-
Microsoft Yönetim Konsolu'nu kullanın.
-
Win + R tuşlarına basın, tpm.msc yazın ve Tamam' ı tıklatın.
-
TPM'yi Temizle'yitıklatın.
-
-
TPM'yi temizleme cmdlet'iniçalıştırın.
-
-
Yeniden Başlat' ı tıklatın.
Not: Başlangıçta TPM'yi temizlemek için istenebilir.
-
Aygıt başladığında, Windows yeni anahtarlar oluşturur ve aygıta Azure AD otomatik olarak yeniden katılır. Bu süre boyunca, aygıtı kullanmaya devam edebilirsiniz. Ancak, Microsoft Outlook, OneDrive ve SSO gerektiren diğer uygulamalar gibi kaynaklara erişmek veya koşullu erişim ilkeleri sınırlı olabilir.
Not: Microsoft hesabı kullanıyorsanız, parolasını bilmeniz gerekir.
-
Aygıt için bir bellenim güncelleştirmesi yükleme.
Not
TPM Bellenim güncelleştirmesini uygulamak için OEM'in kılavuzunu kullanın. Bkz. adım 4: "uygun Bellenim güncelleştirmeleri uygulamak" , OEM'den TPM güncelleştirmeyi edinme hakkında bilgi için Microsoft Güvenlik danışma belgesi ADV170012 ' de.
-
Azure AD iş hesabını kaldırın.
-
Ayarlar Git > hesaplar > erişim iş veya Okul, iş veya Okul hesabınızı tıklatın ve sonra Bağlantıyı Kes' i tıklatın.
-
İstemi bağlantıyı kesme işlemini onaylamak için Evet ' i tıklatın.
-
-
TPM'yi temizleyin.
Not
TPM'yi temizlemek, tüm anahtarları ve aygıtınızda saklanan parolaları kaldırır. TPM'yi kullanan diğer hizmetleri askıya veya devam etmeden önce doğrulanması emin olun.
Windows 8 veya sonraki sürümü: BitLocker iki önerilen yöntemlerden birini Aşağıda, TPM'yi temizlemek için kullanırsanız, otomatik olarak askıya alınır.Windows 7: Devam etmeden önce BitLocker'ın el ile askıya alma gereklidir. (Bkz: BitLocker'ı askıya alma hakkında daha fazla bilgi.)
-
TPM'yi temizlemek için aşağıdaki yöntemlerden birini kullanın:
-
Microsoft Yönetim Konsolu'nu kullanın.
-
Win + R tuşlarına basın, tpm.msc yazın ve Tamam' ı tıklatın.
-
TPM'yi Temizle'yitıklatın.
-
-
TPM'yi temizleme cmdlet'iniçalıştırın.
-
-
Yeniden Başlat' ı tıklatın.
Not: Başlangıçta, TPM'yi temizlemek için istenebilir. -
PIN olan bir Microsoft hesap kullandıysanız, aygıta parola kullanarak oturum açmak zorunda.
-
İş hesabı aygıta ekleyin.
-
Ayarlar Git > hesaplar > erişim iş veya Okul ve Bağlan' ı tıklatın.
-
İş hesabınıza girin ve İleri' yi tıklatın.
-
İş hesabı ve parolayı girin ve sonra Oturum Aç'ıtıklatın.
-
Kuruluşunuz, aygıtlar için Azure Reklam katılmak için Azure çok faktörlü kimlik doğrulama yapılandırmışsa, devam etmeden önce ikinci faktör sağlar.
-
Görüntülenen bilgilerin doğru olduğunu doğrulayın ve sonra Katıl' ı tıklatın. Aşağıdaki iletiyi göreceksiniz:
You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.
-
-