Загальні відомості
Щоб допомогти клієнтам визначити загублений Windows Hello для бізнесу (WHfB) ключі, які постраждали від ВРАЗЛИВОСТІ TPM, Microsoft опублікував модуль PowerShell, який можна запустити адміністратори. У цій статті пояснюється, як вирішити проблему, описану в ADV190026 | "Microsoft керівництво для очищення сироти ключів, згенерованих на вразливі тиску в шинах і використовується для Windows Hello для бізнесу".
Важлива Примітка Перед використанням whfbtools для видалення сиріту ключів, керівництво в ADV170012 слід дотримуватися, щоб оновити прошивку будь-якого вразливого тиску в шинах. Якщо це керівництво не послідувало, будь-які нові WHfB ключі, створені на пристрої з прошивкою, яка не була оновлена все ще буде залежати від CVE-2017-15361 (Рока).
Як встановити модуль PowerShell WHfBTools
Інсталюйте модуль, виконавши такі команди:
Установка WHfBTools PowerShell модуль |
Встановити за допомогою PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Або встановити за допомогою завантаження з PowerShell галерея
Запустіть PowerShell, скопіюйте та виконайте такі команди: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Встановити залежності для використання модуля:
Встановлення залежностей для використання модуля WHfBTools |
Якщо запит Azure Active Directory для загублений ключі, інсталюйте модуль MSAL.PS PowerShell Встановити за допомогою PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Або встановити за допомогою завантаження з PowerShell галерея
Запустіть PowerShell, скопіюйте та виконайте такі команди: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Якщо у вас є запит на Active Directory для сиріт ключі, інсталюйте віддалений сервер адміністратора засоби (RSAT): служби доменів Active Directory та полегшені служби каталогів засоби Інсталяція за допомогою настройок (Windows 10, версія 1809 або пізнішої версії)
Або встановити за допомогою PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Або встановити за допомогою завантажити
|
Запустити модуль PowerShell WHfBTools
Якщо у вашому середовищі Azure Active Directory приєднався або змішаний Azure Active Directory, з'єднані пристроїв, виконайте дії Azure Active Directory, щоб визначити та видалити ключі. Видалення ключа в Azure буде синхронізовано з Active Directory через Azure AD-підключення.
Якщо середовище лише локально, виконайте дії Active Directory, щоб визначити та видалити ключі.
Запит на загублені ключів і ключів , які постраждали від CVE-2017-15361 (Рока) |
Запит на клавіші в Azure Active Directory за допомогою такої команди: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Ця команда буде запит на "contoso.com"клієнт для всіх зареєстрованих Windows Hello для бізнесу спільних ключів і буде виводити цю інформацію дляC:\AzureKeys.csv. Замінитиcontoso.comз вашим клієнтом ім'я для запиту вашого клієнта. Вивід CSV,AzureKeys.csv, буде містити такі відомості для кожного ключа:
Get-AzureADWHfBKeysтакож буде виводити резюме ключі, які були сумніви. Цей підсумок містить такі відомості:
Зверніть увагу У вашому клієнті Azure AD можуть бути застарілі пристрої з Windows Hello для пов'язаних з ними ключів. Ці ключі не будуть повідомлені як сироти, навіть якщо ці пристрої не активно використовуються. Ми рекомендуємо , як: керування застарілі пристрої в AZURE AD , щоб очистити застарілі пристрої, перш ніж запит для "Загублені ключі".
Запит для ключів у службі Active Directory за допомогою такої команди: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Ця команда буде запит на "contoso"домен для всіх зареєстрованих Windows Hello для бізнесу спільних ключів і буде виводити цю інформацію дляC:\ADKeys.csv. Замінитиcontoso з вашим доменним ім'ям для запиту вашого домену. Вивід CSV,ADKeys.csv, буде містити такі відомості для кожного ключа:
Get-ADWHfBKeysтакож буде виводити резюме ключі, які були сумніви. Цей підсумок містить такі відомості:
Примітка: Якщо у вас є гібридне середовище з Azure AD до пристроїв і запустити "Get-ADWHfBKeys" у вашому локальному домені, кількість загублений ключі може бути не точним. Це відбувається тому, що Azure AD, які приєдналися до пристроїв немає в Active Directory та ключі, пов'язані з Azure AD-до пристроїв може відображатися як загублений. |
Видалити сиріт, Рока уразливі ключі від каталогу |
Видалити ключі Azure Active Directory, виконавши такі дії:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Ця команда імпортує список загублений, РОКА уразливі ключі і видаляє їх зcontoso.comОрендаря. Замінитиcontoso.com з іменем свого клієнта, щоб видалити ключі з вашого клієнта. N OTE , якщо ви видалите Рока уразливі ключі whfb, які ще не сироти, це призведе до порушення ваших користувачів. Ви повинні переконатися, що ці ключі були загублені, перш ніж видалити їх з каталогу.
Видалити ключі в Active Directory за допомогою наступних кроків: Примітка видалення загублений ключі з Active Directory в гібридних середовищах призведе до розділів, які відтворюється як частина Azure AD-підключення процес синхронізації. Якщо ви перебуваєте в гібридному середовищі, видалити ключі тільки з Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Ця команда імпортує список загублений, РОКА уразливі ключі і видаляє їх з вашого домену. Примітка Якщо ви видалите Рока вразливим whfb ключі, які ще не сироти, це призведе до порушення ваших користувачів. Ви повинні переконатися, що ці ключі були загублені, перш ніж видалити їх з каталогу. |