摘要
本文章說明確定及修正受 Microsoft 資訊安全諮詢 ADV170012 中描述的弱點影響的裝置中的問題。
此過程重點介紹 Microsoft 提供的以下 Windows Hello for Business (WHFB) 和 Azure AD (AAD) 使用情況:
-
加入 Azure AD
-
加入 Hybrid Azure AD
-
註冊 Azure AD
其他相關資訊
確定您的 AAD 使用情況
-
開啟 [命令提示字元] 視窗。
-
透過執行以下命令獲取裝置狀態:dsregcmd.exe /status
-
在命令輸出中,檢查下表中列出的屬性值以確定您的 AAD 使用情況。
內容
描述
AzureAdJoined
表明裝置是否已加入 Azure AD.
EnterpriseJoined
表明裝置是否已加入 AD FS. 這是僅在內部部署的客戶方案的一部分,其中 Windows Hello for Business 是在內部部署和管理的。
DomainJoined
表明裝置是否已加入傳統的 Active Directory 網域。
WorkplaceJoined
表明當前使用者是否已將工作或學校帳戶新增至其當前設定檔。 這被稱為註冊 Azure AD。 如果裝置為 AzureAdJoined,則系統會忽略該設定。
已加入 Hybrid Azure AD
如果 DomainJoined 和 AzureAdJoined 為是,則裝置為已加入 Hybrid Azure AD。 因此,裝置已加入 Azure Active Directory 和傳統的 Active Directory 網域。
工作流程
組織間的部署和實作可能有所不同。 我們設計了以下工作流程,提供您開發自己的內部計劃以減輕任何受影響裝置所需的工具。 此工作流程具有以下步驟:
-
識別受影響的裝置。 在您的環境中搜尋受影響的信賴平台模組 (TPM) 、金鑰和裝置。
-
修補受影響的裝置。 透過執行本文章中列出的特定方案步驟,修正 已識別裝置上的影響。
清除 TPM 的注意事項
由於 信賴平台模組用於儲存多個服務和應用程式所使用的密碼,清除 TPM 可能會產生意外或負面的業務影響。 在清除任何 TPM 之前,請務必調查並確認使用 TPM 支持密碼的所有服務和應用程式是否已被正確識別並準備好進行密碼刪除和重新建立。
如何識別受影響的裝置
若要識別受影響的 TPM,請參閱 Microsoft 資訊安全諮詢 ADV170012。
如何修補受影響的裝置
根據您的 AAD 使用情況,在受影響裝置上執行以下步驟。
-
請確保裝置上存在有效的本機管理帳戶或建立本機管理帳戶。
注意
建議的做法是透過使用新的本機管理帳戶登錄裝置來驗證 帳戶是否工作,以及透過打開提升權限的命令提示字元來確認 正確的權限。
-
如果您使用裝置上的 Microsoft 帳戶登錄,請前往設定 > 帳戶 > 電子郵件和應用程式帳戶,然後刪除已連接的帳戶。
-
為裝置安裝韌體更新。
注意
按照您的 OEM’ 指導來套用 TPM 韌體更新。 請參閱步驟 4: Microsoft 資訊安全諮詢 ADV170012 中的 「套用可用的韌體更新」 ,瞭解有關如何從 OEM 中獲取 TPM 更新的資訊。
-
裝置退出 Azure AD。
注意
繼續之前,請確保您的 BitLocker 金鑰已安全備份在除本機 電腦之外的其他地方。
-
前往設定 > 系統 > 關於,然後按一下管理或從工作或學校斷開連接。
-
按一下連接至<AzureAD>,然後按一下斷開連接。
-
當出現提示要求確認時,按一下[是]。
-
當系統提示您「從組織斷開連接」時,按一下斷開連接。
-
輸入裝置的本機管理帳戶資訊。
-
按一下稍後重新啟動。
-
-
清除 TPM。
注意
清除 TPM 將會刪除您的裝置上儲存的所有金鑰和密碼。 繼續之前,請確保使用 TPM 的其他服務已暫停或得到確認。
Windows 7: 繼續之前需要手動暫停 BitLocker。 (參閱有關 暫停 BitLocker 的更多資訊。)
-
若要清除 TPM,使用下列方法之一:
-
使用 Microsoft Management Console。
-
按 Win + R,輸入 tpm.msc ,然後按一下 OK。
-
按一下清除 TPM。
-
-
執行 Clear-Tpm cmdlet。
-
-
按一下 [重新啟動]。
注意:啟動時,系統可能會提示您清除 TPM。
-
-
裝置重新啟動後,透過使用本機管理帳戶登錄裝置。
-
將裝置重新加入 Azure AD。 下次登錄時,系統可能會提示您設定新的 PIN 碼。
-
如果您使用裝置上的 Microsoft 帳戶登錄,請前往設定 > 帳戶 > 電子郵件和應用程式帳戶,然後刪除已連接的帳戶。
-
在提升權限的命令提示字元中,執行下列命令:dsregcmd.exe /leave /debug
注意
命令輸出應表明 AzureADJoined: 否。
-
為裝置安裝韌體更新。
注意
注意: 按照您的 OEM’ 指導來套用 TPM 韌體更新。 請參閱步驟 4: Microsoft 資訊安全諮詢 ADV170012 中的 「套用可用的韌體更新」 ,瞭解有關如何從 OEM 中獲取 TPM 更新的資訊。
-
清除 TPM。
注意
清除 TPM 將會刪除您的裝置上儲存的所有金鑰和密碼。 繼續之前,請確保使用 TPM 的其他服務已暫停或得到確認。
Windows 7: 繼續之前需要手動暫停 BitLocker。 (參閱有關 暫停 BitLocker 的更多資訊。)
-
若要清除 TPM,使用下列方法之一:
-
使用 Microsoft Management Console。
-
按 Win + R,輸入 tpm.msc ,然後按一下 OK。
-
按一下清除 TPM。
-
-
執行 Clear-Tpm cmdlet。
-
-
按一下 [重新啟動]。
注意:啟動時,系統可能會提示您清除 TPM。
-
裝置啟動時,Windows 會生成新的金鑰並自動將裝置重新加入 Azure AD。 在此期間,您可以繼續使用裝置。 但是,存取 Microsoft Outlook、OneDrive 以及其他需要 SSO 或有條件存取原則的應用程式資源可能會受到限制。
注意:如果您使用 Microsoft 帳戶,您必須知道密碼。
-
為裝置安裝韌體更新。
注意
按照您的 OEM’ 指導來套用 TPM 韌體更新。 請參閱 步驟 4: Microsoft 資訊安全諮詢 ADV170012 中的 「套用可用的韌體更新」 ,瞭解有關如何從 OEM 中獲取 TPM 更新的資訊。
-
刪除 Azure AD 工作帳戶。
-
前往設定 > 帳戶 > 存取工作或學校,按一下您的工作或學校帳戶,然後按一下斷開連接。
-
在提示中按一下是以確認斷開連接。
-
-
清除 TPM。
注意
清除 TPM 將會刪除您的裝置上儲存的所有金鑰和密碼。 繼續之前,請確保使用 TPM 的其他服務已暫停或得到確認。
Windows 7: 繼續之前需要手動暫停 BitLocker。 (參閱有關 暫停 BitLocker 的更多資訊。)
-
若要清除 TPM,使用下列方法之一:
-
使用 Microsoft Management Console。
-
按 Win + R,輸入 tpm.msc ,然後按一下 OK。
-
按一下清除 TPM。
-
-
執行 Clear-Tpm cmdlet。
-
-
按一下 [重新啟動]。
注意:啟動時,系統可能會提示您清除 TPM。 -
如果您使用具有 PIN 碼的 Microsoft 帳戶,您必須使用密碼來登錄裝置。
-
將工作帳戶新增回至裝置。
-
前往設定 > 帳戶 > 存取工作或學校,然後按一下連接。
-
輸入您的工作帳戶,然後按一下下一步。
-
輸入您的工作帳戶和密碼,然後按一下登錄。
-
如果您的組織已為將裝置加入 Azure AD 設定了 Azure 多重要素驗證,請在繼續之前提供第二要素。
-
確認顯示的資訊是否正確,然後按一下加入。 您應該看到以下訊息:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.
-
-