Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Shrnutí pro vedoucí pracovníky

Tato aktualizace zabezpečení řeší chybu Windows Hello rozpoznávání obličeje v Windows 10, která útočníkovi umožňuje přehrát obrázek, aby získal přístup k systému. Tento obejití vyžaduje fyzický přístup s úplným vlastnictvím fyzického zařízení uživatele, vlastního hardwaru a speciálního infračerveného (IR) obrázku. 

Informace o chybě zabezpečení

Kumulativní aktualizace zabezpečení 2021–07 řeší chybu CVE-2021-34466 a byla vydána 13. července 2021.

Úspěšné zneužití vyžaduje následující předpoklady:

  1. Uživatel už musí být zaregistrovan v Windows Hello ověřování obličeje.

  2. Útočník má fyzický přístup k zařízení obětí.

  3. Útočník má softcopies infračervených snímků obětí.

  4. Útočník si napodobuje vlastní zařízení s USB kamerou, které napodobuje legitimní Windows Hello obličejovou kameru. Útočník zapojte škodlivou kameru do zařízení obětí a streamuje snímky obrázků uvedené v položce 3.

Opravy & omezení rizik

13. července 2021 vydala společnost Microsoft následující opravy této chyby zabezpečení:

  • KB5004237 pro Windows 10, verze 2004, všechny edice, Windows 10, verze 20H2, všechny edice a Windows 10, verze 21H1, všechny edice

  • KB5004245 pro Windows 10 Enterprise, verze 1909, Windows 10 Enterprise a Education, verze 1909 a Windows 10 IoT Enterprise, verze 1909

  • KB5004244 pro Windows 10 Enterprise 2019 LTSC a Windows 10 IoT Enterprise 2019 LTSC

  • KB5004281 pro Windows 10 verze 1803 (k dispozici na vyžádání)

Podrobnosti o řešení

Tyto aktualizace zabezpečení implementují omezení, aby se s ověřováním Windows Hello používat jenom důvěryhodné kamery.

  • Stávající Windows Hello ověřování obličeje – to jsou uživatelé, kteří se zaregistrovali Windows Hello ověřování obličeje před použitím této aktualizace. Windows se jim po instalaci této aktualizace zobrazí výzva k opětovnému ověření pomocí pin kódu.

  • Noví Windows Hello uživatelé ověřování tváří v tvář – to jsou uživatelé, kteří tuto aktualizaci použijí před přihlášením Windows Hello ověřování obličeje. Windows automaticky důvěřuje fotoaparátu použitému pro Windows Hello ověřování obličeje.

Volitelná konfigurace

Uživatelé s vysokou bezpečností mohou také nakonfigurovat následující hodnotu registru tak, aby se všechny externí kamery pro použití s Windows Hello Obličejem.

Reg Path: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Název klíče: "ShouldForbidExternalCameras"

Hodnota = 1

Typ: DWORD

Zkušení uživatelé nebo IT specialisté mohou také přidat výše uvedenou hodnotu registru spuštěním následujícího příkazu z příkazového řádku správce.

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f

Upozorňujeme, že konfigurace této hodnoty registru zabrání použití všech externích USB kamer s Windows Hello Face. Uživatelé ale mohou externí kameru dál používat s jinými aplikacemi, jako je Microsoft Teams.

Vylepšené zabezpečení přihlášení

Zákazníci s Windows Hello zabezpečením rozšířeného přihlášení jsou před touto zranitelností chráněni. Vylepšené zabezpečení přihlášení je nová funkce zabezpečení v Windows, která vyžaduje specializovaný hardware, ovladače a firmware, které jsou v systému předinstalované výrobci zařízení. Obraťte se prosím na výrobce zařízení a přečtěte si informace o podpoře rozšířeného zabezpečení přihlášení na vašem zařízení.

Software obsahující tuto chybu

Touto chybou Windows 10 jsou ovlivněny následující systémy:

  • Windows 10 Verze 21H1 pro systémy s x64

  • Windows 10 Verze 21H1 pro 32bitové systémy

  • Windows 10 Verze 21H1 pro systémy s arm64

  • Windows 10 Verze 21H1 pro ARM systémy

  • Windows 10 Verze 20H2 pro systémy s x64

  • Windows 10 Verze 20H2 pro 32bitové systémy

  • Windows 10 Verze 20H2 pro systémy s arm64

  • Windows 10 Verze 20H2 pro ARM systémy

  • Windows 10 Verze 2004 pro systémy s x64

  • Windows 10 Verze 2004 pro 32bitové systémy

  • Windows 10 Verze 2004 pro systémy s arm64

  • Windows 10 Verze 2004 pro ARM systémy

  • Windows 10 Verze 1909 pro systémy s x64

  • Windows 10 Verze 1909 pro 32bitové systémy

  • Windows 10 Verze 1909 pro systémy s arm64

  • Windows 10 Verze 1909 pro ARM systémy

  • Windows 10 Verze 1809 pro systémy s x64

  • Windows 10 Verze 1809 pro 32bitové systémy

  • Windows 10 Verze 1809 pro systémy s arm64

  • Windows 10 Verze 1809 pro ARM systémy

  • Windows 10 Verze 1803 pro systémy s x64

  • Windows 10 Verze 1803 pro 32bitové systémy

  • Windows 10 Verze 1803 pro systémy s arm64

  • Windows 10 Verze 1803 pro ARM systémy

Nejčastější dotazy

Q. Nemám zařízení, které je kompatibilní s ověřováním Windows Hello obličeje, nebo jsem v systému Windows Hello. Musím se s touto zranitelností obávat?

A. Ne. Tato chyba zabezpečení se vztahuje jenom na uživatele, kteří mají zařízení kompatibilní s Windows Hello obličeje a zaregistrovali se do ověřování rozpoznávání obličeje.

Q. Co mám udělat pro ochranu uživatelů před touto zranitelností?

A. Stáhněte si a nainstalujte výše uvedené aktualizace.

Q. Musím nakonfigurovat volitelné nastavení registru tak, aby byla moje zařízení před touto zranitelností zabezpečená?

A. Pokud používáte jenom interní nebo integrovanou kameru Windows Hello obličeje, nemusíte přidávat nepovinnou hodnotu registru. Pokud jste ale mobilní uživatel, může být vaše zařízení ohroženo ztrátou nebo odcizením. Proto můžete přidat nepovinnou hodnotu registru, abyste zabránili použití externích Windows Hello kamery, pokud používáte externí kameru. Vezměte prosím na vědomí, že po přidání hodnoty registru nebudou po přidání hodnoty registru používány všechny externí Windows Hello USB kamery. Uživatelé mohou dál používat externí kameru s jinými aplikacemi, jako je Microsoft Teams.

Q. Může se tato chyba zabezpečení vzdáleně zneužít?

A. Ne. Aby mohl útočník tuto chybu zabezpečení zneužít, musí mít úplný fyzický přístup k zařízení obětí.

Q. Musím tuto aktualizaci nainstalovat, pokud moje zařízení podporuje rozšířené zabezpečení přihlášení?

A. Rozšířené zabezpečení přihlašování tuto chybu zabezpečení zmírňuje, ale jenom v případě, že je tato funkce povolená. I když má zařízení potřebné hardwarové a softwarové komponenty, budete i nadále potřebovat výše uvedenou aktualizaci, pokud tato funkce není zapnutá. Bez ohledu na to byste měli tuto aktualizaci přesto nainstalovat, abyste mohli získat další opravy zabezpečení.

Q. Můžu dál používat rozpoznávání Windows Hello obličeje bez aktualizace systému?

A. Windows Hello rozpoznávání obličeje bude dál fungovat, i když systém ne aktualizační. Důrazně vám doporučujeme aktualizovat systém, zejména pokud jste mobilní uživatel.

Q. Můžu funkci rozpoznávání Windows Hello obličeje zakázat a dál používat Windows Hello Otisk prstu?

A. Ano. V možnostech přihlášení k oknu Hello můžete odebrat>Windows Hello Face, abyste vypnuli funkci Obličej Windows Hello dál používat otisk prstu Window Hello.

Facebook LinkedIn E-mail

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×