Ledelsesresume
Denne sikkerhedsopdatering løser et problem, Windows Hello ansigtsgenkendelse tilsidesætter en sikkerhedsrisiko i Windows 10, der gør det muligt for en hacker at afspille et billede for at få adgang til et system. Denne bypass kræver fysisk adgang, hvor du har fuldstændig adgang til en brugers fysiske enhed, brugerdefineret hardware og et særligt infrarødt billede (IR).
Oplysninger om sikkerhedsrisiko
Den kumulative sikkerhedsopdatering 2021-07 adresser CVE-2021-34466 og blev udgivet d. 13. juli 2021.
En vellykket udnyttelse kræver følgende forudsætninger:
-
Brugeren skal allerede være tilmeldt godkendelse med Windows Hello ansigtsgodkendelse.
-
Hackeren har fysisk adgang til offerets enhed.
-
Hackeren har softkopier af offerets infrarøde billeder.
-
Hackeren udformer en brugerdefineret USB-kameraenhed, der efterligner et legitimt Windows Hello ansigtskamera. Hackeren sætter det ondsindede kamera i offerets enhed og streamer de billedrammer, der er nævnt i punkt tre.
Løsninger & afhjælpninger
Den 13. juli 2021 udsendte Microsoft følgende rettelser til programrettelser af sikkerhedsrisikoen:
-
KB5004237 til Windows 10, version 2004, alle udgaver, Windows 10, version 20H2, alle udgaver og Windows 10, version 21H1, alle udgaver
-
KB5004245 til Windows 10 Enterprise, version 1909, Windows 10 Enterprise and Education, version 1909 og Windows 10 IoT Enterprise, version 1909
-
KB5004244 til Windows 10 Enterprise 2019 LTSC og Windows 10 IoT Enterprise 2019 LTSC
-
KB5004281 til Windows 10 version 1803 (tilgængelig på anmodning)
Detaljer om løsning
Disse sikkerhedsopdateringer implementerer begrænsninger, så kun pålidelige kameraer må bruges sammen med Windows Hello ansigtsgodkendelse.
-
Eksisterende Windows Hello-brugere – Dette er brugere, der er tilmeldt Windows Hello ansigtsgodkendelse, før denne opdatering anvendes. Windows vil kun én gang bede dem om at godkende deres pinkode igen, når du har installeret denne opdatering.
-
Nye Windows Hello-brugere – Dette er brugere, der anvender denne opdatering, før de tilmelder sig Windows Hello ansigtsgodkendelse. Windows automatisk have tillid til det kamera, der Windows Hello til registrering af ansigtsgodkendelse.
Valgfri konfiguration
Stærkt sikkerhedsbevidste brugere kan også konfigurere følgende registreringsdatabaseværdi for at deaktivere alle eksterne kameraer til brug Windows Hello Face.
Reg Path: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Nøglenavn: "ShouldForbidExternalCameras"Værdi = 1
Type: DWORD
Erfarne brugere eller it-fagfolk kan også tilføje den ovenstående registreringsdatabaseværdi ved at køre følgende kommando fra administratorkommandoprompten.
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
Bemærk, at konfiguration af denne registreringsdatabaseværdi forhindrer alle eksterne USB-kameraer i at blive brugt sammen Windows Hello Face. Brugere kan dog fortsætte med at bruge det eksterne kamera sammen med andre programmer, f.eks Microsoft Teams.
Udvidet sikkerhed ved logon
Kunder med Windows Hello login-sikkerhed er beskyttet mod denne sikkerhedsrisiko. Udvidet logonsikkerhed er en ny sikkerhedsfunktion i Windows, der kræver særlig hardware, drivere og firmware, som er forudinstalleret på systemet af enhedsproducenter. Kontakt producenten af enheden for at få mere at vide om understøttelse af udvidet sikkerhed ved logon på din enhed.
Påvirkede software
Følgende Windows 10 baserede systemer er påvirket af denne sikkerhedsrisiko:
-
Windows 10 Version 21H1 til x64-baserede systemer
-
Windows 10 Version 21H1 til 32-bit systemer
-
Windows 10 Version 21H1 til ARM64-baserede systemer
-
Windows 10 Version 21H1 til ARM-baserede systemer
-
Windows 10 Version 20H2 til x64-baserede systemer
-
Windows 10 Version 20H2 til 32-bit systemer
-
Windows 10 Version 20H2 til ARM64-baserede systemer
-
Windows 10 Version 20H2 til ARM-baserede systemer
-
Windows 10 Version 2004 til x64-baserede systemer
-
Windows 10 Version 2004 til 32-bit systemer
-
Windows 10 Version 2004 til ARM64-baserede systemer
-
Windows 10 Version 2004 til ARM-baserede systemer
-
Windows 10 Version 1909 til x64-baserede systemer
-
Windows 10 Version 1909 til 32-bit systemer
-
Windows 10 Version 1909 til ARM64-baserede systemer
-
Windows 10 Version 1909 til ARM-baserede systemer
-
Windows 10 Version 1809 til x64-baserede systemer
-
Windows 10 Version 1809 til 32-bit systemer
-
Windows 10 Version 1809 til ARM64-baserede systemer
-
Windows 10 Version 1809 til ARM-baserede systemer
-
Windows 10 Version 1803 til x64-baserede systemer
-
Windows 10 Version 1803 til 32-bit systemer
-
Windows 10 Version 1803 til ARM64-baserede systemer
-
Windows 10 Version 1803 til ARM-baserede systemer
Ofte stillede spørgsmål
Q. Jeg har ikke en enhed, der er kompatibel med Windows Hello ansigtsgodkendelse, eller jeg har ikke aktiveret ansigtsgenkendelse med Windows Hello. Skal jeg bekymre mig om denne sikkerhedsrisiko?
A. Nej. Denne sikkerhedsrisiko gælder kun for de brugere, der har en enhed, der er kompatibel med Windows Hello Face og har tilmeldt sig ansigtsgenkendelsesgodkendelse.
Q. Hvad skal jeg gøre for at beskytte mine brugere mod denne sikkerhedsrisiko?
A. Download og installér de ovenstående opdateringer.
Q. Skal jeg konfigurere den valgfrie indstilling i registreringsdatabasen for at sikre mine enheder mod denne sikkerhedsrisiko?
A. Hvis du kun bruger et internt eller indbygget kamera Windows Hello, behøver du ikke at tilføje den valgfrie registreringsdatabaseværdi. Men hvis du er mobilbruger, kan enheden være i risiko for at miste eller blive stjålet. Derfor kan du tilføje den valgfrie registreringsdatabaseværdi for at forhindre brug af eksterne Windows Hello-kameraerne, hvis du bruger et eksternt kamera. Bemærk, at alle eksterne USB-kameraer vil være blokeret fra at blive brugt sammen Windows Hello Face, når du har tilføjet registreringsdatabaseværdien. Brugere kan fortsætte med at bruge et eksternt kamera sammen med andre programmer, f.eks Microsoft Teams.
Q. Kan denne sikkerhedsrisiko udnyttes eksternt?
A. Nej. For at udnytte sikkerhedsrisikoen skal hackeren have fuld fysisk adgang til offerets enhed.
Q. Skal jeg stadig installere denne opdatering, hvis min enhed understøtter udvidet logonsikkerhed?
A. Udvidet logonsikkerhed afhjælper denne sikkerhedsrisiko, men kun hvis funktionen er aktiveret. Selvom en enhed har de nødvendige hardware- og softwarekomponenter, skal du stadig bruge den opdatering, der er nævnt ovenfor, hvis funktionen ikke er slået til. Uanset hvad, skal du stadig installere denne opdatering for at få andre sikkerhedsrettelser.
Q. Kan jeg fortsætte med at bruge Windows Hello ansigtsgenkendelse uden at opdatere mit system?
A. Windows Hello ansigtsgenkendelse fungerer fortsat, selvom du ikke opdaterer dit system. Vi anbefaler på det kraftigste, at du opdaterer dit system, især hvis du er mobilbruger.
Q. Kan jeg deaktivere Windows Hello ansigtsgenkendelse og fortsætte med at bruge Windows Hello fingeraftryk?
A. Ja. Du kan fjerne godkendelse med Window Hello-ansigt i Logonindstillinger>Windows Hello Face for at deaktivere Windows Hello Face og fortsætte med at bruge Window Hello-fingeraftryk.