Podsumowanie dla kierownictwa

Ta aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach Windows Hello rozpoznawania twarzy w programie Windows 10 umożliwiającą atakującemu odtwarzanie obrazu w celu uzyskania dostępu do systemu. To obejście wymaga dostępu fizycznego z pełną sprawnością urządzenia fizycznego użytkownika, sprzętu niestandardowego i specjalistycznego obrazu na podczerwień (IR). 

Informacje o lukach w zabezpieczeniach

Skumulowana aktualizacja zabezpieczeń 2021–07 ma adresy CVE-2021-34466, która została wydana 13 lipca 2021 r.

Pomyślne wykorzystanie wymaga następujących wymagań wstępnych:

  1. Użytkownik musi już być zarejestrowany w usłudze uwierzytelniania Windows Hello twarzy.

  2. Atakujący ma fizyczny dostęp do urządzenia tej osoby.

  3. Atakujący ma softcopies obrazów na podczerwień tej osoby.

  4. Atakujący wymierzył niestandardowe urządzenie kamery USB naśladujące legalną Windows Hello kamerę na twarz. Atakujący podłącza złośliwy aparat do urządzenia tej osoby i przesyła strumieniowo ramki obrazów wymienione w pozycji 3.

Poprawki & środki zaradcze

13 lipca 2021 r. firma Microsoft wydała następujące poprawki naprawiające tę lukę:

  • KB5004237 dla systemu Windows 10, wersja 2004, wszystkie wersje, Windows 10, wersja 20H2, wszystkie wersje i Windows 10, wersja 21H1, wszystkie wersje

  • KB5004245 dla Windows 10 Enterprise, wersja 1909, Windows 10 Enterprise i Education, wersja 1909 i Windows 10 IoT Enterprise, wersja 1909

  • KB5004244 dla Windows 10 Enterprise LTSC 2019 i Windows 10 IoT Enterprise 2019 LTSC

  • KB5004281 dla Windows 10 wersji 1803 (dostępne na żądanie)

Szczegóły rozwiązania

Te aktualizacje zabezpieczeń wdrażają ograniczenia, dzięki czemu tylko zaufane kamery mogą być używane z Windows Hello uwierzytelnianiem twarzy.

  • Istniejący Windows Hello uwierzytelniania twarzą — ci użytkownicy, którzy załocili konto w usłudze Windows Hello uwierzytelniania twarzą, przed zastosowaniem tej aktualizacji. Windows monit o ponowne uwierzytelnienie przy użyciu numeru PIN tylko raz po zainstalowaniu tej aktualizacji.

  • Nowi Windows Hello uwierzytelniania twarzy — to użytkownicy, którzy zastosują tę aktualizację przed zarejestrowaniem się Windows Hello uwierzytelniania twarzą. Windows automatycznie zaufać aparatowi używanemu do rejestracji uwierzytelniania Windows Hello twarzy.

Konfiguracja opcjonalna

Użytkownicy, którzy mają duże bezpieczeństwo, mogą również skonfigurować następującą wartość rejestru, aby wyłączyć wszystkie kamery zewnętrzne do używania z Windows Hello twarzy.

Ścieżka reg: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon] Nazwa klucza: "ShouldForbidExternalCameras"

Wartość = 1

Typ: DWORD

Doświadczeni użytkownicy lub informatycy mogą również dodać powyższe wartości rejestru, uruchamiając następujące polecenie z wiersza polecenia administratora.

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f

Pamiętaj, że skonfigurowanie tej wartości rejestru zapobiegnie użyciu wszystkich zewnętrznych kamer USB razem z Windows Hello twarzą. Jednak użytkownicy mogą nadal korzystać z kamery zewnętrznej z innymi aplikacjami, takimi jak Microsoft Teams.

Ulepszone zabezpieczenia logowania

Klienci z Windows Hello zabezpieczeniami rozszerzonego logowania są chronieni przed tą luką. Ulepszone zabezpieczenia logowania to nowa funkcja zabezpieczeń w aplikacji Windows wymaga specjalistycznego sprzętu, sterowników i oprogramowania układowego, które są preinstalowany w systemie przez producentów urządzeń. Skontaktuj się z producentem urządzenia, aby uzyskać informacje na temat pomocy technicznej dotyczącej rozszerzonych zabezpieczeń logowania na twoim urządzeniu.

Oprogramowanie, którego dotyczy problem

Na następujące Windows 10 oparte na zabezpieczeniach wpływa ta luka:

  • Windows 10 Wersja 21H1 dla systemów opartych na proc. x64

  • Windows 10 Wersja 21H1 dla systemów 32-bitowych

  • Windows 10 Wersja 21H1 dla systemów opartych na procesorze ARM64

  • Windows 10 Wersja 21H1 dla ARM opartych na systemach

  • Windows 10 Wersja 20H2 dla systemów opartych na proc. x64

  • Windows 10 Wersja 20H2 dla systemów 32-bitowych

  • Windows 10 Wersja 20H2 dla systemów opartych na procesorze ARM64

  • Windows 10 Wersja 20H2 dla ARM opartych na systemach

  • Windows 10 Wersja 2004 dla systemów opartych na proc. x64

  • Windows 10 Wersja 2004 dla systemów 32-bitowych

  • Windows 10 Wersja 2004 dla systemów opartych na procesorze ARM64

  • Windows 10 Wersja 2004 dla ARM opartych na systemach

  • Windows 10 Wersja 1909 dla systemów opartych na proc. x64

  • Windows 10 Wersja 1909 dla systemów 32-bitowych

  • Windows 10 Wersja 1909 dla systemów opartych na procesorze ARM64

  • Windows 10 Wersja 1909 dla ARM opartych na systemach

  • Windows 10 Wersja 1809 dla systemów opartych na proc. x64

  • Windows 10 Wersja 1809 dla systemów 32-bitowych

  • Windows 10 Wersja 1809 dla systemów opartych na procesorze ARM64

  • Windows 10 Wersja 1809 dla ARM opartych na systemach

  • Windows 10 Wersja 1803 dla systemów opartych na proc. x64

  • Windows 10 Wersja 1803 dla systemów 32-bitowych

  • Windows 10 Wersja 1803 dla systemów opartych na procesorze ARM64

  • Windows 10 Wersja 1803 dla ARM opartych na systemach

Często zadawane pytania

Q. Nie mam urządzenia zgodnego z uwierzytelnianiem twarzy przez program Windows Hello lub nie włączono opcji rozpoznawania twarzy przy użyciu funkcji Windows Hello. Czy muszę martwić się o tę lukę?

A. Nie. Ta luka ma zastosowanie tylko w przypadku użytkowników, którzy mają urządzenie zgodne z programem Windows Hello Face i zarejestrowane w uwierzytelniania do rozpoznawania twarzy.

Q. Co należy zrobić, aby chronić użytkowników przed luką w zabezpieczeniach?

A. Pobierz i zainstaluj powyższe aktualizacje.

Q. Czy muszę skonfigurować opcjonalne ustawienie rejestru, aby zabezpieczyć urządzenia przed luką w zabezpieczeniach?

A. Jeśli używasz tylko wewnętrznej lub wbudowanej kamery Windows Hello twarzy, nie musisz dodawać opcjonalnej wartości rejestru. Jeśli jednak korzystasz z urządzenia przenośnego, Twoje urządzenie może zostać zgubione lub skradzione. Dlatego możesz dodać opcjonalną wartość rejestru, aby zapobiec używaniu zewnętrznych aparatów fotograficznych Windows Hello przypadku używania kamery zewnętrznej. Pamiętaj, że po dodaniu wartości rejestru nie będzie można używać wszystkich zewnętrznych kamer USB razem z Windows Hello face. Użytkownicy mogą nadal korzystać z kamery zewnętrznej z innymi aplikacjami, takimi jak Microsoft Teams.

Q. Czy można wykorzystać tę lukę zdalnie?

A. Nie. Aby można było wykorzystać tę lukę, atakujący musi mieć pełny dostęp fizyczny do urządzenia tej osoby.

Q. Czy nadal muszę instalować tę aktualizację, jeśli urządzenie obsługuje rozszerzone zabezpieczenia logowania?

A. Ulepszone zabezpieczenia logowania eliminują luki w zabezpieczeniach, ale tylko jeśli ta funkcja jest włączona. Nawet jeśli urządzenie jest wyposażone w niezbędne składniki sprzętowe i programowe, aktualizacja wspomniano powyżej, nawet jeśli ta funkcja nie jest włączona. Niezależnie od tego należy zainstalować tę aktualizację, aby uzyskać inne poprawki zabezpieczeń.

Q. Czy mogę nadal korzystać z rozpoznawania Windows Hello twarzy bez aktualizowania systemu?

A. Windows Hello twarzy będzie nadal działać, nawet jeśli system nie zostanie uaktualniny. Zdecydowanie zalecamy aktualizację systemu, zwłaszcza w przypadku użytkowników urządzeń przenośnych.

Q. Czy mogę wyłączyć funkcję rozpoznawania Windows Hello twarzy i kontynuować korzystanie z funkcji linii papilarnych Windows Hello linii papilarnych?

A. Tak. Możesz usunąć uwierzytelnianie przy użyciu funkcji Windows Hello przy użyciu uwierzytelniania twarzy w opcjach logowania>Windows Hello Twarzy, aby wyłączyć rozpoznawanie twarzy Windows Hello i nadal korzystać z funkcji Rozpoznawania linii papilarnych funkcji Windows Hello.

Facebook LinkedIn Adres e-mail

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu