Mit Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Zusammenfassung der Geschäftsleitung

Dieses Sicherheitsupdate behebt eine Windows Hello-Gesichtserkennungsumgehungslücke in Windows 10, die es einem Angreifer ermöglicht, ein Bild wieder zu wiedergeben, um Zugriff auf ein System zu erhalten. Diese Umgehung erfordert physischen Zugriff mit vollständigem Besitz des physischen Geräts eines Benutzers, benutzerdefinierter Hardware und einem speziellen Infrarotbild (IR). 

Informationen zu Sicherheitslücken

Das kumulative Sicherheitsupdate 2021-07 adressen CVE-2021-34466 und wurde am 13. Juli 2021 veröffentlicht.

Für eine erfolgreiche Exploit-Nutzung sind die folgenden Voraussetzungen erforderlich:

  1. Der Benutzer muss bereits für die Authentifizierung Windows Hello Gesichtsauthentifizierung registriert sein.

  2. Der Angreifer hat physischen Zugriff auf das Gerät des Geschädigten.

  3. Der Angreifer verfügt über Softcops der Infrarotbilder des Angreifers.

  4. Der Angreifer simuliert ein benutzerdefiniertes USB-Kameragerät, das eine legitime Kamera Windows Hello nachahmt. Der Angreifer stecken die böswillige Kamera in das Gerät des Schädlichs und streamt die Bildframes, die in Element 3 erwähnt sind.

Korrekturen & Schadensbegrenzungen

Am 13. Juli 2021 hat Microsoft die folgenden Korrekturen veröffentlicht, um dieses Sicherheitsrisiko zu beheben:

  • KB5004237 für Windows 10, Version 2004, alle Editionen, Windows 10, Version 20H2, alle Editionen und Windows 10, Version 21H1, alle Editionen

  • KB5004245 für Windows 10 Enterprise, Version 1909, Windows 10 Enterprise and Education, Version 1909 und Windows 10 IoT Enterprise, Version 1909

  • KB5004244 für Windows 10 Enterprise 2019 LTSC und Windows 10 IoT Enterprise 2019 LTSC

  • KB5004281 für Windows 10 Version 1803 (auf Anfrage verfügbar)

Details zur Auflösung

Diese Sicherheitsupdates implementieren Einschränkungen, sodass nur vertrauenswürdige Kameras zusammen mit der Authentifizierung Windows Hello verwendet werden können.

  • Vorhandene Windows Hello der Gesichtsauthentifizierung – Dies sind Benutzer, die sich für die Authentifizierung Windows Hello Gesichtsauthentifizierung registriert haben, bevor Sie dieses Update anwenden. Windows werden sie nach der Installation dieses Updates nur einmal aufgefordert, sich mit ihrer PIN erneut zu authentifizieren.

  • Benutzer Windows Hello neue Gesichtsauthentifizierung – Dies sind Benutzer, die dieses Update anwenden, bevor sie sich für die Windows Hello-Gesichtsauthentifizierung registrieren. Windows wird automatisch der Kamera vertraut, die für die Registrierung Windows Hello Gesichtsauthentifizierung verwendet wurde.

Optionale Konfiguration

Mit hohem Sicherheitsrisiko können Benutzer auch den folgenden Registrierungswert konfigurieren, um alle externen Kameras für die Verwendung mit Windows Hello deaktivieren.

Reg Path: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Schlüsselname: "ShouldForbidExternalCameras"

Wert = 1

Typ: DWORD

Erfahrene Benutzer oder IT-Experten können den obigen Registrierungswert auch hinzufügen, indem Sie den folgenden Befehl über die Administrator-Eingabeaufforderung ausführen.

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f

Beachten Sie, dass durch das Konfigurieren dieses Registrierungswerts verhindert wird, dass alle externen USB-Kameras mit Windows Hello verwendet werden. Benutzer können die externe Kamera jedoch weiterhin mit anderen Anwendungen wie Microsoft Teams.

Erweiterte Anmeldesicherheit

Kunden mit Windows Hello erweiterten Anmeldesicherheit sind vor diesem Sicherheitsrisiko geschützt. Enhanced Sign-in Security ist ein neues Sicherheitsfeature in Windows, das spezielle Hardware, Treiber und Firmware erfordert, die von Geräteherstellern auf dem System vorinstalliert wurden. Wenden Sie sich an den Gerätehersteller, um Informationen zu erhalten, wie erweiterte Anmeldesicherheit auf Ihrem Gerät unterstützt wird.

Betroffene Software

Die folgenden Windows 10-basierten Systeme sind von diesem Sicherheitsrisiko betroffen:

  • Windows 10 Version 21H1 für x64-basierte Systeme

  • Windows 10 Version 21H1 für 32-Bit-Systeme

  • Windows 10 Version 21H1 für ARM64-basierte Systeme

  • Windows 10 Version 21H1 für ARM-basierte Systeme

  • Windows 10 Version 20H2 für x64-basierte Systeme

  • Windows 10 Version 20H2 für 32-Bit-Systeme

  • Windows 10 Version 20H2 für ARM64-basierte Systeme

  • Windows 10 Version 20H2 für ARM-basierte Systeme

  • Windows 10 Version 2004 für x64-basierte Systeme

  • Windows 10 Version 2004 für 32-Bit-Systeme

  • Windows 10 Version 2004 für ARM64-basierte Systeme

  • Windows 10 Version 2004 für ARM-basierte Systeme

  • Windows 10 Version 1909 für x64-basierte Systeme

  • Windows 10 Version 1909 für 32-Bit-Systeme

  • Windows 10 Version 1909 für ARM64-basierte Systeme

  • Windows 10 Version 1909 für ARM-basierte Systeme

  • Windows 10 Version 1809 für x64-basierte Systeme

  • Windows 10 Version 1809 für 32-Bit-Systeme

  • Windows 10 Version 1809 für ARM64-basierte Systeme

  • Windows 10 Version 1809 für ARM-basierte Systeme

  • Windows 10 Version 1803 für x64-basierte Systeme

  • Windows 10 Version 1803 für 32-Bit-Systeme

  • Windows 10 Version 1803 für ARM64-basierte Systeme

  • Windows 10 Version 1803 für ARM-basierte Systeme

Häufig gestellte Fragen

Q. Ich habe kein Gerät, das mit der Authentifizierung Windows Hello Gesichtserkennung kompatibel ist, oder ich habe die Gesichtserkennung mit Gesichtserkennung nicht Windows Hello. Muss ich mich um dieses Sicherheitsrisiko kümmern?

A. Nein. Diese Sicherheitslücke gilt nur für Benutzer, die über ein Mit Windows Hello-Gesichtserkennung kompatibles Gerät verfügen und sich für die Gesichtserkennungsauthentifizierung registriert haben.

Q. Was sollte ich tun, um meine Benutzer vor dieser Sicherheitslücke zu schützen?

A. Laden Sie die oben genannten Updates herunter, und installieren Sie sie.

Q. Muss ich die optionale Registrierungseinstellung konfigurieren, um meine Geräte vor diesem Sicherheitsrisiko zu schützen?

A. Wenn Sie nur eine interne oder integrierte Kamera Windows Hello, müssen Sie den optionalen Registrierungswert nicht hinzufügen. Wenn Sie jedoch ein mobiler Benutzer sind, besteht das Risiko, dass Ihr Gerät verloren geht oder gestohlen wird. Daher können Sie den optionalen Registrierungswert hinzufügen, um die Verwendung externer Windows Hello kameras zu verhindern, wenn Sie eine externe Kamera verwenden. Beachten Sie, dass alle externen USB-Kameras nach dem Hinzufügen des Registrierungswerts nicht mehr Windows Hello verwendet werden können. Benutzer können weiterhin eine externe Kamera mit anderen Anwendungen wie Microsoft Teams.

Q. Kann diese Sicherheitslücke remote ausgenutzt werden?

A. Nein. Um diese Sicherheitslücke auszunutzen, muss der Angreifer vollständigen physischen Zugriff auf das Gerät des Angreifers haben.

Q. Muss ich dieses Update immer noch installieren, wenn mein Gerät erweiterte Anmeldesicherheit unterstützt?

A. Die erweiterte Anmeldesicherheit entschärft dieses Sicherheitsrisiko, aber nur, wenn das Feature aktiviert ist. Auch wenn ein Gerät über die erforderlichen Hardware- und Softwarekomponenten verfügt, benötigen Sie das oben genannte Update, wenn das Feature nicht aktiviert ist. Unabhängig davon sollten Sie dieses Update weiterhin installieren, um weitere Sicherheitsupdates zu erhalten.

Q. Kann ich die Gesichtserkennung weiterhin Windows Hello, ohne mein System zu aktualisieren?

A. Windows Hello Gesichtserkennung funktioniert auch dann weiterhin, wenn Sie Ihr System nicht aktualisieren. Es wird dringend empfohlen, das System zu aktualisieren, insbesondere, wenn Sie ein mobiler Benutzer sind.

Q. Kann ich die Windows Hello Gesichtserkennung deaktivieren und den Fingerabdruck weiterhin Windows Hello verwenden?

A. Ja. Sie können die Window Hello-Gesichtsauthentifizierung inden Anmeldeoptionen>Windows Hello Windows Hello Gesichtserkennung entfernen, um die Gesichtserkennung zu deaktivieren und Windows Hello-Fingerabdruck weiterhin zu verwenden.

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?

Vielen Dank für Ihr Feedback!

×