Vezetői összefoglaló

Ez a biztonsági frissítés feloldja Windows Hello arcfelismerés megkerülését Windows 10 biztonsági rést, amely lehetővé teszi a támadóknak, hogy lejátsnak egy képet, hogy hozzáférjenek a rendszerhez. Ez a megkerülés fizikai hozzáférést igényel a felhasználó fizikai eszközének teljes hozzáférésével, egyéni hardverrel és egy speciális infravörös (IR) képpel. 

Biztonsági adatok

A 2021–07-es kumulatív biztonsági frissítés a CVE-2021-34466 címeket tartalmazza, és 2021. július 13-án jelent meg.

A sikeres biztonsági rés kiaknázása az alábbi előfeltételeket igényli:

  1. A felhasználónak már regisztrálnia kell arccal Windows Hello hitelesítésre.

  2. A támadóknak fizikai hozzáférésük van az áldozat eszközéhez.

  3. A támadóknak tudomása van az áldozat infravörös képének kieről.

  4. A támadó egy egyéni USB-kamerát készített, amely egy valódi arckamerát Windows Hello utánz. A támadó a kártékony kamerát az áldozat eszközéhez csatlakoztatja, és továbbítja a harmadik elemben említett képkereteket.

Javításokat & megoldásokat

2021. július 13-án a Microsoft az alábbi javításokat kiadta a biztonsági rés javításához:

  • KB5004237 a Windows 10-hez, 2004-es verzió, minden kiadás, Windows 10, 20H2-es verzió, összes kiadás és Windows 10, 21H1-es verzió, minden kiadás

  • KB5004245 Windows 10 Enterprise verzió, 1909-es, Windows 10 Enterprise- és oktatási verzió, 1909-es és Windows 10 IoT Enterprise, 1909-es verzió

  • KB5004244 Windows 10 Enterprise 2019 LTSC és Windows 10 IoT Enterprise 2019 LTSC rendszerhez

  • KB5004281 Windows 10 1803-as verzióhoz (kérésre elérhető)

Megoldás részletei

Ezek a biztonsági frissítések korlátozásokat alkalmaznak, így csak a megbízható kamerák használhatók arc Windows Hello hitelesítéssel.

  • A Windows Hello hitelesítést használó felhasználók – Ezek azok a felhasználók, akik arccal Windows Hello hitelesítésre regisztráltak a frissítés telepítése előtt. Windows frissítés telepítése után a rendszer csak egyszer kéri a PIN-kódjukkal való újra hitelesíteésüket.

  • Új Windows Hello arccal hitelesítést használó felhasználók – Ezek azok a felhasználók, akik ezt a frissítést alkalmazzák, mielőtt arc Windows Hello hitelesítésre regisztrálnak. Windows a rendszer automatikusan megbízik a Windows Hello beléptetéséhez használt kamerában.

Opcionális konfiguráció

Nagy biztonsággal még nagy biztonság esetén a felhasználók az alábbi beállításjegyzékbeli értéket is konfigurálhatják úgy, hogy letiltják az összes külső kamerát a Windows Hello arccal való használatra.

Reg Path: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon] Kulcsnév: "ShouldForoxExternalCameras"

Érték = 1

Típus: DWORD

Tapasztalt felhasználók és INFORMATIKAI szakemberek a fenti beállításjegyzékbeli értéket is hozzáadhatják a rendszergazdai parancssor következő parancsának futtatásával.

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldFornodExternalCameras /t REG_DWORD /d 1 /f

Felhívjuk a figyelmét arra, hogy a beállításjegyzékbeli érték megszakorolásával megakadályozhatja, hogy minden külső USB-kamerát Windows Hello arccal. A felhasználók azonban továbbra is használhatjak a külső kamerát más alkalmazásokkal, például a Microsoft Teams.

Továbbfejlesztett bejelentkezési biztonság

A fokozott Windows Hello biztonsággal védett felhasználók a biztonsági rés ellen védenek. A továbbfejlesztett bejelentkezési biztonság a Windows új biztonsági funkciója, amely speciális hardvereket, illesztőprogramokat és belső vezérlőprogramokat igényel, amelyek eszközgyártók által előre vannak telepítve a rendszerben. Az eszköz gyártójától megtudhatja, hogy az eszközén támogatott-e a továbbfejlesztett bejelentkezési biztonság.

Érintett szoftver

A biztonsági Windows 10 az alábbi biztonsági rendszereket érinti:

  • Windows 10 21H1-es verzió x64-alapú rendszerekhez

  • Windows 10 21H1-es verzió 32 bites rendszerekhez

  • Windows 10 21H1-es verzió ARM64-alapú rendszerekhez

  • Windows 10 21H1-es verzió ARM-alapú rendszerekhez

  • Windows 10 20H2-es verzió x64-alapú rendszerekhez

  • Windows 10 20H2-es verzió 32 bites rendszerekhez

  • Windows 10 20H2-es verzió ARM64-alapú rendszerekhez

  • Windows 10 20H2-es verzió ARM-alapú rendszerekhez

  • Windows 10 2004-es verzió x64-alapú rendszerekhez

  • Windows 10 2004-es verzió 32 bites rendszerekhez

  • Windows 10 2004-es verzió ARM64-alapú rendszerekhez

  • Windows 10 2004-es verzió ARM-alapú rendszerekhez

  • Windows 10 1909-es verzió x64-alapú rendszerekhez

  • Windows 10 1909-es verzió 32 bites rendszerekhez

  • Windows 10 1909-es verzió ARM64-alapú rendszerekhez

  • Windows 10 1909-es verzió ARM-alapú rendszerekhez

  • Windows 10 1809-es verzió x64-alapú rendszerekhez

  • Windows 10 1809-es verzió 32 bites rendszerekhez

  • Windows 10 1809-es verzió ARM64-alapú rendszerekhez

  • Windows 10 1809-es verzió ARM-alapú rendszerekhez

  • Windows 10 1803-as verzió x64-alapú rendszerekhez

  • Windows 10 1803-as verzió 32 bites rendszerekhez

  • Windows 10 1803-as verzió ARM64-alapú rendszerekhez

  • Windows 10 1803-as verzió ARM-alapú rendszerekhez

Gyakori kérdések

Q. Nincs olyan eszközem, amely kompatibilis a Windows Hello való hitelesítéssel, vagy nem engedélyeztem az arcfelismerést a Windows Hello. Aggódnia kell a biztonsági rés miatt?

A. Nem. Ez a biztonsági rés csak olyan felhasználókra érvényes, akik arcfelismeréssel kompatibilis eszközzel Windows Hello arcfelismerési hitelesítést regisztráltak.

Q. Mit kell tennem a felhasználóim védelme érdekében a biztonsági rés ellen?

A. Töltse le és telepítse a fenti frissítéseket.

Q. Konfigurálnom kell a nem kötelező beállításjegyzék-beállítást, hogy biztonságban tud tudjam tenni az eszközeim a biztonsági réstől?

A. Ha csak belső vagy beépített arckamerát Windows Hello, nem kell megadnia a nem kötelező beállításjegyzékbeli értéket. Ha azonban Ön mobilfelhasználó, akkor az eszköz elveszhet vagy ellopható. Ezért ha külső kamerát használ, a külső arckamerák használatának megakadályozásához meg kell adni Windows Hello beállításjegyzékbeli értéket. Felhívjuk a figyelmét arra, hogy a beállításjegyzékbeli érték hozzáadása után az összes külső USB-kamerát le fogja tiltani az Windows Hello arccal való használatban. A felhasználók továbbra is használhatjak a külső kamerát más alkalmazásokkal, például az Microsoft Teams.

Q. Ki lehet használni távolról ezt a biztonsági rést?

A. Nem. A biztonsági rés kihasználásához a támadónak teljes fizikai hozzáféréssel kell lennie az érintett eszközéhez.

K. Továbbra is telepítenem kell ezt a frissítést, ha az eszközöm támogatja a bővített bejelentkezési biztonságot?

A. A továbbfejlesztett bejelentkezési biztonság csökkenti a biztonsági rést, de csak akkor, ha a funkció engedélyezve van. Még ha egy eszköz rendelkezik is a szükséges hardver- és szoftverösszetevőkvel, akkor is szüksége van a fent említett frissítésre, ha a funkció nincs bekapcsolva. Függetlenül attól, hogy más biztonsági javításokhoz továbbra is telepítenie kell ezt a frissítést.

Q. Továbbra is használhatom az arcfelismerést Windows Hello a rendszer frissítése nélkül?

A. Windows Hello arcfelismerés akkor is működik, ha ön nem frissíti a rendszert. Kifejezetten javasoljuk, hogy frissítse a rendszert, különösen ha Ön mobilfelhasználó.

K. Letiltható az Windows Hello arcfelismerés, és folytatható az ujjlenyomat Windows Hello használata?

A. Igen. A Windows Hello arc-hitelesítést a Bejelentkezési lehetőségek>Windows Hello az Arc Windows Hello kikapcsolhatja, és folytathatja a Windows Hello ujjlenyomat használatát.

Facebook LinkedIn E-mail

További segítségre van szüksége?

További lehetőségeket szeretne?

Felfedezés Közösség

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.

Kérdezze meg a Microsoft-közösséget

Microsoft technikai közösség

Windows Insider-résztvevők

Microsoft 365 Insider-résztvevők