Використання WHfBTools PowerShell модуль для очищення сиріт Windows Hello для бізнес-ключів

Установка WHfBTools PowerShell модуль

Встановити за допомогою PowerShell

PS> Install-Module WHfBTools

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module WHfBTools

Або встановити за допомогою завантаження з PowerShell галерея

1. Перейти до https://www.powershellgallery.com/Packages/WHfBTools

2. Завантажити файл RAW. nupkg до локальної папки та перейменувати з розширенням. zip

3. Витягніть вміст до локальної папки, наприклад C:\ADV190026

Запустіть PowerShell, скопіюйте та виконайте такі команди:

PS> # Save the current execution policy so it can be reset later

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV190026\WHfBTools

PS> Import-Module .\WHfBTools.psd1

Встановлення залежностей для використання модуля WHfBTools

Якщо запит Azure Active Directory для загублений ключі, інсталюйте модуль MSAL.PS PowerShell

Встановити за допомогою PowerShell

PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1

PS> Import-Module MSAL.PS

Або встановити за допомогою завантаження з PowerShell галерея

1. Перейти до https://www.powershellgallery.com/Packages/MSAL.PS/4.5.1.1

2. Завантажити файл RAW. nupkg до локальної папки та перейменувати з розширенням. zip

3. Витягніть вміст до локальної папки, наприклад C:\MSSAL.CP

Запустіть PowerShell, скопіюйте та виконайте такі команди:

PS> CD C:\MSAL.PS

PS> Import-Module .\MSAL.PS.psd1

Якщо у вас є запит на Active Directory для сиріт ключі, інсталюйте віддалений сервер адміністратора засоби (RSAT): служби доменів Active Directory та полегшені служби каталогів засоби

Інсталяція за допомогою настройок (Windows 10, версія 1809 або пізнішої версії)

1. Перейдіть до налаштування-> додатки-> додаткові функції-> Додати функцію

2. Виберіть RSAT: служби доменів Active Directory та засоби служби каталогів легкий

3. Виберіть встановити

Або встановити за допомогою PowerShell

PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Або встановити за допомогою завантажити

1. Перейти до https://www.Microsoft.com/EN-US/Download/Details.aspx?id=45520 (Windows 10 посилання)

2. Завантажити засоби адміністрування віддаленого сервера для інсталятора Windows 10

3. Запуск інсталятора після завершення завантаження

Запит на загублені ключів і ключів , які постраждали від CVE-2017-15361 (Рока)

Запит на клавіші в Azure Active Directory за допомогою такої команди:

PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv

Ця команда буде запит на "contoso.com"клієнт для всіх зареєстрованих Windows Hello для бізнесу спільних ключів і буде виводити цю інформацію дляC:\AzureKeys.csv. Замінитиcontoso.comз вашим клієнтом ім'я для запиту вашого клієнта.

Вивід CSV,AzureKeys.csv, буде містити такі відомості для кожного ключа:

• Ім'я учасника-користувача

• Орендаря

• Використання

• ІДЕНТИФІКАТОР ключа

• Час створення

• Загублений статус

• Підтримка повідомляти про стан

• Стан вразливість РОКА

Get-AzureADWHfBKeysтакож буде виводити резюме ключі, які були сумніви. Цей підсумок містить такі відомості:

• Кількість користувачів, які скануються

• Кількість відсканованих клавіш

• Кількість користувачів з ключами

• Кількість вразливих клавіш РОКА

Зверніть увагу У вашому клієнті Azure AD можуть бути застарілі пристрої з Windows Hello для пов'язаних з ними ключів. Ці ключі не будуть повідомлені як сироти, навіть якщо ці пристрої не активно використовуються. Ми рекомендуємо , як: керування застарілі пристрої в AZURE AD , щоб очистити застарілі пристрої, перш ніж запит для "Загублені ключі".

Запит для ключів у службі Active Directory за допомогою такої команди:

PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv

Ця команда буде запит на "contoso"домен для всіх зареєстрованих Windows Hello для бізнесу спільних ключів і буде виводити цю інформацію дляC:\ADKeys.csv. Замінитиcontoso з вашим доменним ім'ям для запиту вашого домену.

Вивід CSV,ADKeys.csv, буде містити такі відомості для кожного ключа:

• Домену користувача

• Ім'я облікового запису користувача SAM

• Ім'я користувача

• Ключова версія

• ІДЕНТИФІКАТОР ключа

• Час створення

• Ключовий матеріал

• Джерело ключів

• Використання ключа

• Ключ пристрою ID

• Орієнтовна остання позначка часу входу

• Час створення

• Користувацька Ключова інформація

• Посилання на гіперпосилання

• Загублений статус

• Стан вразливість РОКА

• Значення Клавіладаз

Get-ADWHfBKeysтакож буде виводити резюме ключі, які були сумніви. Цей підсумок містить такі відомості:

• Кількість користувачів, які скануються

• Кількість користувачів з ключами

• Кількість відсканованих клавіш

• Кількість вразливих клавіш РОКА

• Кількість сиротілих ключів (IF-SkipCheckForOrphanedKeys не вказана)

Примітка: Якщо у вас є гібридне середовище з Azure AD до пристроїв і запустити "Get-ADWHfBKeys" у вашому локальному домені, кількість загублений ключі може бути не точним. Це відбувається тому, що Azure AD, які приєдналися до пристроїв немає в Active Directory та ключі, пов'язані з Azure AD-до пристроїв може відображатися як загублений.

Видалити сиріт, Рока уразливі ключі від каталогу

Видалити ключі Azure Active Directory, виконавши такі дії:

1. Фільтруйте загублені та RocaVulnerable стовпціAzureKeys.csvдо справжніх

2. Скопіюйте відфільтровані результати в новий файл,C:\ROCAKeys.csv

3. Запустіть таку команду, щоб видалити ключі:

PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging

Ця команда імпортує список загублений, РОКА уразливі ключі і видаляє їх зcontoso.comОрендаря. Замінитиcontoso.com з іменем свого клієнта, щоб видалити ключі з вашого клієнта.

N OTE , якщо ви видалите Рока уразливі ключі whfb, які ще не сироти, це призведе до порушення ваших користувачів. Ви повинні переконатися, що ці ключі були загублені, перш ніж видалити їх з каталогу.

Видалити ключі в Active Directory за допомогою наступних кроків:

Примітка видалення загублений ключі з Active Directory в гібридних середовищах призведе до розділів, які відтворюється як частина Azure AD-підключення процес синхронізації. Якщо ви перебуваєте в гібридному середовищі, видалити ключі тільки з Azure AD

1. Фільтруйте OrphanedKey і ROCAVulnerable стовпціADKeys.csv до справжніх

2. Скопіюйте відфільтровані результати в новий файл,C:\ROCAKeys.csv

3. Запустіть таку команду, щоб видалити ключі:

PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging

Ця команда імпортує список загублений, РОКА уразливі ключі і видаляє їх з вашого домену.

Примітка Якщо ви видалите Рока вразливим whfb ключі, які ще не сироти, це призведе до порушення ваших користувачів. Ви повинні переконатися, що ці ключі були загублені, перш ніж видалити їх з каталогу.