摘要
本文有助于识别和纠正受 Microsoft 安全公告 ADV170012 中描述的漏洞影响的设备中的问题。
此过程专注于以下由 Microsoft 提供的 Windows Hello 企业版 (WHFB) 和 Azure AD (AAD) 使用方案:
-
Azure AD 加入
-
混合 Azure AD 加入
-
已注册 Azure AD
更多信息
识别 AAD 使用方案
-
打开命令提示符窗口。
-
通过运行以下命令获取设备状态:
dsregcmd.exe /status -
在命令输出中,检查下表中列出的属性值以确定 AAD 使用方案。
属性
说明
AzureAdJoined
指示设备是否加入 Azure AD。
EnterpriseJoined
指示设备是否加入 AD FS。 这是仅本地客户方案的一部分,其中在本地部署和管理 Windows Hello 企业版。
DomainJoined
指示设备是否加入传统 Active Directory 域。
WorkplaceJoined
指示当前用户是否向其当前配置文件中添加了工作或学校帐户。 这称为已注册 Azure AD。 如果设备为 AzureAdJoined,则系统会忽略此设置。
已加入混合 Azure AD
如果 DomainJoined 和 AzureAdJoined 为“是”,则设备已加入混合 Azure AD。 因此,设备已加入 Azure Active Directory 和传统 Active Directory 域。
工作流
组织中的部署和实现可能有所不同。 我们设计了以下工作流,为开发自己的内部计划来缓解任意受影响的设备提供所需的工具。 工作流的步骤如下:
-
识别受影响的设备。在环境中搜索受影响的受信任平台模块 (TPM)、密钥和设备。
-
修补受影响的设备。通过遵循本文中列出的方案特定的步骤来纠正对识别设备的影响。
清除 TPM 的注意事项
由于受信任的平台模块用于存储多个服务和应用程序使用的密码,清除 TPM 会产生无法预见或负面的业务影响。 在清除任何 TPM 之前,务必调查并验证使用 TPM 备份的密码的所有服务和应用程序已正确识别并已准备好进行密码删除和重新创建。
如何识别受影响的设备
要识别受影响的 TPM,请参阅 Microsoft 安全公告 ADV170012。
如何修补受影响的设备
根据 AAD 使用方案,在受影响的设备上使用以下步骤。
-
确保设备上存在有效的本地管理员帐户或创建本地管理员帐户。
注意
使用新的本地管理员帐户登录设备并打开提升的命令提示符确认正确权限,是验证帐户是否工作的推荐做法。
-
如果在设备上使用 Microsoft 帐户登录,请转到“设置”>“帐户”>“电子邮件和应用帐户”,然后删除连接的帐户。
-
为设备安装固件更新。
注意
请遵循 OEM 指南应用 TPM 固件更新。 请参阅 Microsoft 安全公告 ADV170012 中的步骤 4: “应用适用的固件更新”,了解有关如何从 OEM 获取 TPM 更新的信息。
-
将设备从 Azure AD 中脱离。
注意
继续之前,确保将 BitLocker 密钥安全备份于本地计算机之外的某个位置。
-
转到“设置”>“系统”>“关于”,然后单击“从工作或学校进行管理或与其断开连接”。
-
依次单击“已连接到 <AzureAD>”和“断开连接”。
-
提示确认时单击“是”。
-
提示“断开与组织的连接”时,单击“断开连接”。
-
输入设备的本地管理员帐户。
-
单击“稍后重启”。
-
-
清除 TPM。
注意
清除 TPM 将删除设备上存储的所有密钥和密码。 继续之前,确保已挂起或验证其他利用 TPM 的服务。
Windows 8 或更高版本: 如果使用下列两个清除 TPM 的推荐方法之一,则会自动挂起 BitLocker。Windows 7: 需要在继续之前手动挂起 BitLocker。 (请参阅有关挂起 BitLocker 的详细信息。)
-
要清除 TPM,请使用下列方法之一:
-
使用 Microsoft 管理控制台。
-
按 Win + R,键入 tpm.msc ,然后单击“确定”。
-
单击“清除 TPM”。
-
-
运行 Clear-Tpm cmdlet。
-
-
单击“重启”。
注意,可能会提示你在启动时清除 TPM。
-
-
设备重启后,使用本地管理员帐户登录设备。
-
将设备重新加入 Azure AD。 可能会提示你在下次登录时设置新的 PIN。
-
如果使用了设备上的 Microsoft 帐户登录,请转到“设置”>“帐户”>“电子邮件和应用帐户”,然后删除连接的帐户。
-
在提升的命令提示符处,运行以下命令:
dsregcmd.exe /leave /debug注意
命令输出应指示 AzureADJoined: “否”。
-
为设备安装固件更新。
注意
注意 ,遵循 OEM 指南应用 TPM 固件更新。 请参阅 Microsoft 安全公告 ADV170012 中的步骤 4: “应用适用的固件更新”,了解有关如何从 OEM 获取 TPM 更新的信息。
-
清除 TPM。
注意
清除 TPM 将删除设备上存储的所有密钥和密码。 继续之前,确保已挂起或验证其他利用 TPM 的服务。
Windows 8 或更高版本: 如果使用下列两个清除 TPM 的推荐方法之一,则会自动挂起 BitLocker。Windows 7: 需要在继续之前手动挂起 BitLocker。 (请参阅有关挂起 BitLocker 的详细信息。)
-
要清除 TPM,请使用下列方法之一:
-
使用 Microsoft 管理控制台。
-
按 Win + R,键入 tpm.msc ,然后单击“确定”。
-
单击“清除 TPM”。
-
-
运行 Clear-Tpm cmdlet。
-
-
单击“重启”。
注意,可能会提示你在启动时清除 TPM。
-
设备启动时,Windows 会自动生成新密钥,并自动将设备重新加入 Azure AD。 在此期间,可以继续使用设备。 但是,访问 Microsoft Outlook、OneDrive 和其他需要 SSO 或条件访问策略的应用程序可能会受限。
注意,如果使用 Microsoft 帐户,必须知道密码。
-
为设备安装固件更新。
注意
请遵循 OEM 指南应用 TPM 固件更新。 请参阅 Microsoft 安全公告 ADV170012 中的 步骤 4: “应用适用的固件更新”,了解有关如何从 OEM 获取 TPM 更新的信息。
-
删除 Azure AD 工作帐户。
-
转到“设置”>“帐户”>“访问工作或学校”,单击工作或学校帐户,然后单击“断开连接”。
-
在提示符中单击“是”,确认断开连接。
-
-
清除 TPM。
注意
清除 TPM 将删除设备上存储的所有密钥和密码。 继续之前,确保已挂起或验证其他利用 TPM 的服务。
Windows 8 或更高版本: 如果使用下列两个清除 TPM 的推荐方法之一,则会自动挂起 BitLocker。Windows 7: 需要在继续之前手动挂起 BitLocker。 (请参阅有关挂起 BitLocker 的详细信息。)
-
要清除 TPM,请使用下列方法之一:
-
使用 Microsoft 管理控制台。
-
按 Win + R,键入 tpm.msc ,然后单击“确定”。
-
单击“清除 TPM”。
-
-
运行 Clear-Tpm cmdlet。
-
-
单击“重启”。
注意,可能会提示你在启动时清除 TPM。 -
如果使用的 Microsoft 帐户有 PIN,则必须使用密码登录设备。
-
将工作帐户重新添加到设备。
-
转到“设置”>“帐户”>“访问工作或学校”,然后单击“连接”。
-
输入工作帐户,然后单击“下一步”。
-
输入工作帐户和密码,然后单击“登录”。
-
如果贵组织为设备加入 Azure AD 配置了 Azure 多重身份验证,请在继续之前提供第二重身份验证因素。
-
验证显示的信息正确无误,然后单击“加入”。应该会看到以下消息:
You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.
-
-
