Vadītājs kopsavilkums

Šis drošības atjauninājums novērš Windows Hello sejas atpazīšanas apiešanu ar ievainojamību programmā Windows 10, kas uzbrukumam ļauj atkārtoti parādīt attēlu, lai piekļūtu sistēmai. Šai apiešanai ir nepieciešama fiziska piekļuve ar pilnu lietotāja fiziskās ierīces, pielāgotas aparatūras un specializētu infrasarkano (IR) attēlu. 

Ievainojamības informācija

2021.–07. gada kumulatīvajā drošības atjauninājumā ir adreses CVE-2021-34466, un tas tika izlaists 2021. gada 13. jūlijā.

Lai izmantošana būtu sekmīga, ir nepieciešami šādi priekšnosacījumi:

  1. Lietotājam jau ir jābūt reģistrētam Windows Hello autentifikācijai ar sejas autentifikāciju.

  2. Uzbrucējam ir fiziska piekļuve upurim.

  3. Ievainojamības uzbrukumam ir softkopijas no ievainojamības attēliem.

  4. Uzbrucējs izveidojiet pielāgotu USB kameras ierīci, kas atdarina likumīgu sejas Windows Hello kameru. Uzbrucējs pievieno ļaunprātīgu kameru upuris un straumē 3. attēlā minētos rāmjus.

Problēmu novēršana & risku mazināšanai

2021. gada 13. jūlijā Microsoft izlaida tālāk norādītos šīs ievainojamības ielāpus:

  • KB5004237 Windows 10, versija 2004, visi izdevumi, Windows 10, 20H2 versija, visi izdevumi un Windows 10, versija 21H1, visi izdevumi

  • KB5004245 Windows 10 Enterprise, versija 1909, Windows 10 Enterprise education, versija 1909 un Windows 10 IoT Enterprise versija 1909

  • KB5004244 Windows 10 Enterprise 2019 LTSC un Windows 10 IoT Enterprise 2019 LTSC

  • KB5004281 operētājsistēmas Windows 10 1803 (Pieejama pēc pieprasījuma)

Detalizēti par atrisināšanu

Šie drošības atjauninājumi ievieš ierobežojumus, lai tikai uzticamās kameras atļautu izmantot kopā ar Windows Hello autentifikāciju.

  • Esošie Windows Hello autentifikācijas lietotāji — tie ir lietotāji, kas Windows Hello sejas autentifikāciju pirms šī atjauninājuma lietošanas. Windows jautās, vai atkārtoti autentificēties ar savu PIN kodu tikai vienu reizi pēc šī atjauninājuma instalēšanas.

  • Jauni Windows Hello autentifikācijas lietotāji — tie ir lietotāji, kas lieto šo atjauninājumu pirms reģistrēšanās Windows Hello sejas autentifikāciju. Windows automātiski uzticēsies kamerai, kas tiek Windows Hello sejas autentifikācijas reģistrācijai.

Neobligāta konfigurācija

Lietotāji, kuriem ir liela drošība, var konfigurēt tālāk norādīto reģistra vērtību, lai atspējotu visas ārējās kameras izmantošanai ar Windows Hello sejas attēlu.

Reg ceļš: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon] Atslēgas nosaukums: "ShouldForcheExternalCameras"

Vērtība = 1

Tips: DWORD

Pieredzējuši lietotāji vai IT speciālisti var arī pievienot iepriekš norādīto reģistra vērtību, administratora komandu uzvednē izpildot šādu komandu.

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForcheExternalCameras /t REG_DWORD /d 1 /f

Ņemiet vērā, ka, konfigurējot šo reģistra vērtību, visas ārējās USB kameras netiks izmantotas kopā ar Windows Hello sejas kameru. Tomēr lietotāji var turpināt izmantot ārējo kameru ar citām lietojumprogrammām, piemēram, Microsoft Teams.

Uzlabota pierakstīšanās drošība

Klienti, kuriem Windows Hello uzlabotā pierakstīšanās drošība, tiek aizsargāti pret šo ievainojamību. Uzlabota pierakstīšanās drošība ir jauns Windows līdzeklis, kam nepieciešama īpaša aparatūra, draiveri un aparātprogrammatūra, kas ir iepriekš instalēta sistēmā pēc ierīču ražotājiem. Lai uzzinātu par uzlabotās pierakstīšanās drošību savā ierīcē, sazinieties ar ierīces ražotāju.

Ietekmētā programmatūra

Šī Windows 10 ietekmē šādas no šīm sistēmām:

  • Windows 10 21H1 versija x64 sistēmām

  • Windows 10 21H1 versija 32 bitu sistēmām

  • Windows 10 Versija 21H1 ARM64 sistēmām

  • Windows 10 Versija 21H1 ARM sistēmām

  • Windows 10 20H2 versija x64 sistēmām

  • Windows 10 20H2 versija 32 bitu sistēmām

  • Windows 10 20H2 versija ARM64 sistēmām

  • Windows 10 20H2 versija ARM sistēmām

  • Windows 10 2004. gada versija x64 sistēmām

  • Windows 10 2004. gada versija 32 bitu sistēmām

  • Windows 10 Versija 2004 ARM64 sistēmām

  • Windows 10 Versija 2004 ARM sistēmām

  • Windows 10 Versija 1909 x64 sistēmām

  • Windows 10 1909 versija 32 bitu sistēmām

  • Windows 10 Versija 1909 ARM64 sistēmām

  • Windows 10 Versija 1909 ARM sistēmām

  • Windows 10 Versija 1809 x64 sistēmām

  • Windows 10 1809 versija 32 bitu sistēmām

  • Windows 10 Versija 1809 ARM64 sistēmām

  • Windows 10 Versija 1809 ARM sistēmām

  • Windows 10 Versija 1803 x64 sistēmām

  • Windows 10 1803 versija 32 bitu sistēmām

  • Windows 10 Versija 1803 ARM64 sistēmām

  • Windows 10 Versija 1803 ARM sistēmām

Bieži uzdotie jautājumi

Q. Man nav ierīces, kas ir saderīga ar sejas autentifikāciju Windows Hello, vai esmu iespējojis sejas atpazīšanu ar Windows Hello. Vai man ir jāuztraucas par šo ievainojamību?

A. Nē. Šī ievainojamība attiecas tikai uz tiem lietotājiem, kuriem ir ierīce, kas ir saderīga ar sejas atpazīšanas Windows Hello sejas atpazīšanas autentifikāciju un ir reģistrēta sejas atpazīšanas autentifikācijai.

Q. Kā rīkoties, lai aizsargātu lietotājus no šīs ievainojamības?

A. Lejupielādējiet un instalējiet iepriekš minētos atjauninājumus.

Q. Vai ir jākonfigurē neobligātais reģistra iestatījums, lai aizsargātu manas ierīces no šīs ievainojamības?

A. Ja izmantojat tikai iekšēju vai iebūvētu Windows Hello sejas kameru, neobligātā reģistra vērtība nav jāpievieno. Tomēr, ja esat mobilais lietotājs, jūsu ierīce var būt nozaudēta vai nozagta. Tāpēc varat pievienot neobligāto reģistra vērtību, lai neļautu izmantot ārējās sejas Windows Hello, ja izmantojat ārējo kameru. Ņemiet vērā, ka visas ārējās USB kameras tiks bloķētas, lai tās varētu Windows Hello sejas attēlu pēc reģistra vērtības pievienošanas. Lietotāji var turpināt izmantot ārējo kameru ar citām programmām, piemēram, Microsoft Teams.

Q. Vai šo ievainojamību var izmantot attāli?

A. Nē. Lai izmantotu šo ievainojamību, uzbrucējam ir jābūt pilnīgai fiziskai piekļuvei upes ierīcei.

Q. Vai man joprojām ir jāinstalē šis atjauninājums, ja mana ierīce atbalsta uzlabotās pierakstīšanās drošību?

A. Uzlabota pierakstīšanās drošība novērš šo ievainojamību, taču tikai tad, ja līdzeklis ir iespējots. Pat tad, ja ierīcē ir nepieciešamie aparatūras un programmatūras komponenti, ja līdzeklis nav ieslēgts, nepieciešams iepriekš minētais atjauninājums. Neatkarīgi no tā, vai ir jāinstalē šis atjauninājums, lai iegūtu citus drošības labojumus.

Q. Vai varu turpināt izmantot sejas Windows Hello bez sistēmas atjaunināšanas?

A. Windows Hello sejas atpazīšana turpinās darboties arī tad, ja neatatjauninat sistēmu. Mēs ļoti iesakām atjaunināt savu sistēmu, īpaši, ja esat mobilais lietotājs.

Q. Vai varu atspējot sejas Windows Hello un turpināt izmantot Windows Hello pirksta nospiedumu?

A. Jā. Varat noņemt Window Hello sejas autentifikāciju pierakstīšanās opcijās>Windows Hello Face, lai izslēgtu Windows Hello Sejas atpazīšana un turpiniet izmantot Window Hello pirkstu nospiedumu.

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.