Tóm tắt
Để giúp khách hàng xác định đơn lẻ Windows Hello cho doanh nghiệp (WHfB) phím bị ảnh hưởng bởi một lỗ hổng TPM, Microsoft đã xuất bản một mô-đun PowerShell có thể chạy bởi quản trị viên. Bài viết này giải thích cách khắc phục sự cố được mô tả trong ADV190026 | "Microsoft hướng dẫn để làm sạch lên khoá đơn lẻ tạo ra trên TPMs dễ bị tổn thương và được sử dụng cho Windows Hello cho doanh nghiệp."
Lưu ý quan trọng Trước khi sử dụng whfbtools để loại bỏ các phím mồ côi, hướng dẫn trong ADV170012 nên được theo sau để cập nhật firmware của bất kỳ TPMS dễ bị tổn thương. Nếu hướng dẫn này không được theo sau, bất kỳ khóa WHfB mới được tạo trên thiết bị với phần mềm chưa được Cập Nhật sẽ vẫn bị ảnh hưởng bởi CVE-2017-15361 (ROCA).
Cách cài đặt mô-đun PowerShell WHfBTools
Cài đặt mô-đun bằng chạy các lệnh sau:
Cài đặt mô-đun PowerShell WHfBTools |
Cài đặt qua PowerShell PS> Install-Module WHfBTools PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module WHfBTools Hoặc cài đặt bằng cách sử dụng một tải về từ PowerShell Gallery
Khởi động PowerShell, sao chép và chạy các lệnh sau: PS> # Save the current execution policy so it can be reset later PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV190026\WHfBTools PS> Import-Module .\WHfBTools.psd1 |
Cài đặt các phụ thuộc để sử dụng mô-đun:
Cài đặt các phụ thuộc để sử dụng mô-đun WHfBTools |
Nếu bạn đang truy vấn Azure Active Directory cho các phím đơn lẻ, cài đặt mô-đun MSAL.PS PowerShell Cài đặt qua PowerShell PS> Install-Module -Name MSAL.PS -RequiredVersion 4.5.1.1 PS> Import-Module MSAL.PS Hoặc cài đặt bằng cách sử dụng một tải về từ PowerShell Gallery
Khởi động PowerShell, sao chép và chạy các lệnh sau: PS> CD C:\MSAL.PS PS> Import-Module .\MSAL.PS.psd1 Nếu bạn đang truy vấn Active Directory cho các phím đơn lẻ, cài đặt công cụ quản trị viên máy chủ từ xa (RSAT): Dịch vụ miền Active Directory và công cụ dịch vụ thư mục nhẹ Cài đặt qua cài đặt (Windows 10, phiên bản 1809 hoặc mới hơn)
Hoặc cài đặt qua PowerShell PS> dism /online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 Hoặc cài đặt qua tải về
|
Chạy mô-đun PowerShell WHfBTools
Nếu môi trường của bạn có Azure Active Directory tham gia hoặc kết hợp Azure Active Directory tham gia thiết bị, hãy làm theo các bước Azure Active Directory để xác định và loại bỏ khóa. Xóa khoá trong Azure sẽ đồng bộ hoá Active Directory thông qua Azure AD kết nối.
Nếu môi trường của bạn chỉ tại chỗ, hãy làm theo các bước Active Directory để xác định và loại bỏ khóa.
Truy vấn cho các phím và khoá đơn lẻ bị ảnh hưởng bởi CVE-2017-15361 (ROCA) |
Truy vấn cho các khóa trong Azure Active Directory bằng cách sử dụng các lệnh sau: PS> Get-AzureADWHfBKeys -Logging -Report -Tenant contoso.com -All | Export-Csv C:\AzureKeys.csv Lệnh này sẽ truy vấn "contoso.com"thuê cho tất cả đăng ký Windows Hello cho doanh nghiệp chìa khóa công cộng và sẽ ra thông tin đó đểC:\AzureKeys.csv. Thay thếcontoso.comvới tên thuê của bạn để truy vấn đối tượng thuê của bạn. Đầu ra CSV,AzureKeys.csv, sẽ chứa các thông tin sau cho mỗi phím:
Get-AzureADWHfBKeyscũng sẽ xuất ra một bản tóm tắt các phím được truy vấn. Tóm tắt này cung cấp các thông tin sau:
Lưu ý Có thể có các thiết bị cũ trong đối tượng thuê Azure AD của bạn với các phím Windows Hello cho doanh nghiệp được liên kết với họ. Các phím này sẽ không được báo cáo là mồ côi ngay cả khi các thiết bị không được sử dụng chủ động. Chúng tôi khuyên bạn nên làm theo cách: quản lý các thiết bị cũ trong AZURE AD để làm sạch các thiết bị cũ trước khi truy vấn cho các phím đơn lẻ.
Truy vấn cho các phím trong Active Directory bằng cách sử dụng các lệnh sau: PS> Get-ADWHfBKeys -Logging -Report -Domain contoso | Export-Csv C:\ADKeys.csv Lệnh này sẽ truy vấn "contoso"tên miền cho tất cả các đăng ký Windows Hello cho doanh nghiệp chìa khóa công cộng và sẽ ra thông tin đó đểC:\ADKeys.csv. Thay thếcontoso với tên miền của bạn để truy vấn tên miền của bạn. Đầu ra CSV,ADKeys.csv, sẽ chứa các thông tin sau cho mỗi phím:
Get-ADWHfBKeyscũng sẽ xuất ra một bản tóm tắt các phím được truy vấn. Tóm tắt này cung cấp các thông tin sau:
Lưu ý: Nếu bạn có một môi trường kết hợp với Azure AD tham gia thiết bị và chạy "Get-ADWHfBKeys" trong miền tại chỗ của bạn, số phím đơn lẻ có thể không chính xác. Điều này là do Azure AD tham gia thiết bị không có trong Active Directory và khóa liên quan đến Azure AD tham gia thiết bị có thể hiển thị là mồ côi. |
Loại bỏ đơn lẻ, ROCA dễ bị khoá từ thư mục |
Loại bỏ các phím trong Azure Active Directory bằng cách sử dụng các bước sau:
PS> Import-Csv C:\ROCAKeys.csv | Remove-AzureADWHfBKey -Tenant contoso.com -Logging Lệnh này nhập danh sách đơn lẻ, ROCA dễ bị tổn thương phím và loại bỏ chúng khỏicontoso.comThuê. Thay thếcontoso.com với tên thuê của bạn để loại bỏ các khóa từ đối tượng thuê của bạn. N OTE nếu bạn xóa ROCA dễ bị tổn thương whfb phím mà không mồ côi chưa, nó sẽ gây ra sự gián đoạn cho người dùng của bạn. Bạn nên đảm bảo rằng các phím này là mồ côi trước khi loại bỏ chúng khỏi thư mục.
Loại bỏ các phím trong Active Directory bằng cách sử dụng các bước sau: Lưu ý loại bỏ khoá mồ côi Active Directory trong môi trường kết hợp sẽ kết quả trong các phím được tái tạo như một phần của quá trình đồng bộ hoá quảng cáo Azure kết nối. Nếu bạn đang ở trong một môi trường kết hợp, loại bỏ phím từ Azure AD
PS> Import-Csv C:\ROCAKeys.csv | Remove-ADWHfBKey -Logging Lệnh này nhập danh sách đơn lẻ, ROCA dễ bị tổn thương phím và loại bỏ chúng khỏi miền của bạn. Lưu ý nếu bạn xoá ROCA dễ bị tấn whfb phím không mồ côi nào, nó sẽ gây ra sự gián đoạn cho người dùng của bạn. Bạn nên đảm bảo rằng các phím này là mồ côi trước khi loại bỏ chúng khỏi thư mục. |