Sammanfattning

Den här säkerhetsuppdateringen löser Windows Hello bort gå förbi ansiktsigenkänning i Windows 10 som gör att en attackerare kan spela upp en bild för att få åtkomst till ett system. Den här förbikopplingen kräver fysisk åtkomst med fullständig kontroll över en användares fysiska enhet, anpassad maskinvara och en särskild IR-bild (IR).

Sårbarhetsinformation

Adresser för den kumulativa säkerhetsuppdateringen 2021-07 CVE-2021-34466 och släpptes den 13 juli 2021.

En lyckad sårbarhet kräver följande krav:

  1. Användaren måste redan vara registrerad i Windows Hello ansiktsautentisering.

  2. Attackeraren har fysisk åtkomst till den skadade personens enhet.

  3. Attackeraren har en softcopies av det finns IR-bilder.

  4. Attackerare en egen USB-kameraenhet som imiterar en legitim Windows Hello kamera. Då ansluter attackeraren den skadliga kameran till den skadades enhet och strömmar bildrutorna som nämns i objekt tre.

Korrigeringar & åtgärder

Den 13 juli 2021 släppte Microsoft följande korrigeringar för att korrigera problemet:

  • KB5004237 för Windows 10, version 2004, alla utgåvor, Windows 10, version 20H2, alla utgåvor samt Windows 10, version 21H1, alla utgåvor

  • KB5004245 för Windows 10 Enterprise, version 1909, Windows 10 Enterprise and Education, version 1909 och Windows 10 IoT Enterprise, version 1909

  • KB5004244 för Windows 10 Enterprise 2019 LTSC Windows 10 IoT Enterprise 2019 LTSC

  • KB5004281 för Windows 10 version 1803 (tillgänglig på begäran)

Lösningsinformation

Dessa säkerhetsuppdateringar implementerar begränsningar så att endast betrodda kameror får användas med Windows Hello ansiktsautentisering.

  • Befintliga Windows Hello för ansiktsautentisering – Det här är användare som har registrerat Windows Hello ansiktsautentisering innan du använder den här uppdateringen. Windows de uppmanas att autentisera igen med PIN-koden en gång efter att uppdateringen installerats.

  • Nya Windows Hello av ansiktsautentisering – det här är användare som använder den här uppdateringen innan de registrerar sig Windows Hello ansiktsautentisering. Windows automatiskt lita på den kamera som används för Windows Hello ansiktsautentisering.

Valfri konfiguration

Användare med hög säkerhet kan också konfigurera följande registervärde för att inaktivera alla externa kameror och använda Windows Hello ansikte.

Reg Path: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Nyckelnamn: "ShouldForbidExternalCameras"

Värde = 1

Typ: DWORD

Erfarna användare eller IT-personal kan också lägga till registervärdet ovan genom att köra följande kommando från administratörens kommandotolk.

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f

Observera att om du konfigurerar det här registervärdet förhindras alla externa USB-kameror att Windows Hello ansikte. Men användare kan fortsätta att använda den externa kameran med andra program, till exempel Microsoft Teams.

Förbättrad inloggningssäkerhet

Kunder Windows Hello Enhanced Sign-in Security är skyddade mot det här problemet. Förbättrad inloggningssäkerhet är en ny säkerhetsfunktion i Windows som kräver särskild maskinvara, drivrutiner och inbyggd programvara som är förinstallerade på systemet av enhetstillverkare. Kontakta tillverkaren av din enhet för mer information om support för utökad inloggningssäkerhet på din enhet.

Påverkad programvara

Följande Windows 10 system påverkas av det här problemet:

  • Windows 10 Version 21H1 för x64-baserade system

  • Windows 10 Version 21H1 för 32-bitars system

  • Windows 10 Version 21H1 för ARM64-baserade system

  • Windows 10 Version 21H1 för ARM-baserade system

  • Windows 10 Version 20H2 för x64-baserade system

  • Windows 10 Version 20H2 för 32-bitars system

  • Windows 10 Version 20H2 för ARM64-baserade system

  • Windows 10 Version 20H2 för ARM-baserade system

  • Windows 10 Version 2004 för x64-baserade system

  • Windows 10 Version 2004 för 32-bitars system

  • Windows 10 Version 2004 för ARM64-baserade system

  • Windows 10 Version 2004 för ARM-baserade system

  • Windows 10 Version 1909 för x64-baserade system

  • Windows 10 Version 1909 för 32-bitars system

  • Windows 10 Version 1909 för ARM64-baserade system

  • Windows 10 Version 1909 för ARM-baserade system

  • Windows 10 Version 1809 för x64-baserade system

  • Windows 10 Version 1809 för 32-bitars system

  • Windows 10 Version 1809 för ARM64-baserade system

  • Windows 10 Version 1809 för ARM-baserade system

  • Windows 10 Version 1803 för x64-baserade system

  • Windows 10 Version 1803 för 32-bitars system

  • Windows 10 Version 1803 för ARM64-baserade system

  • Windows 10 Version 1803 för ARM-baserade system

Vanliga frågor

Q. Jag har ingen enhet som är kompatibel med Windows Hello ansiktsautentisering eller så har jag inte aktiverat ansiktsigenkänning med Windows Hello. Behöver jag oroa mig för den här sårbarheten?

A. Nej. Problemet gäller endast de användare som har en enhet som är kompatibel med Windows Hello ansikte och har registrerat sig för ansiktsigenkänning.

Q. Vad ska jag göra för att skydda mina användare mot den här sårbarheten?

A. Ladda ned och installera ovanstående uppdateringar.

Q. Behöver jag konfigurera den valfria registerinställningen för att skydda mina enheter från den här sårbarheten?

A. Om du bara använder en intern eller inbyggd Windows Hello kamera, behöver du inte lägga till det valfria registervärdet. Om du däremot använder en mobil enhet kan den riskera att försvinna eller bli stulen. Du kan därför lägga till det valfria registervärdet för att förhindra att externa kameror används Windows Hello om du använder en extern kamera. Observera att alla externa USB-kameror kommer att blockeras från att användas med Windows Hello ansikte när du har lagt till registervärdet. Användare kan fortsätta att använda en extern kamera med andra program, till exempel Microsoft Teams.

Q. Kan problemet utnyttjas på distans?

A. Nej. För att utnyttja det här problemet måste attackerarna ha fullständig fysisk åtkomst till den skadades enhet.

F. Måste jag installera den här uppdateringen om min enhet har stöd för utökad inloggningssäkerhet?

A. Förbättrad inloggningssäkerhet minimerar det här problemet, men bara om funktionen är aktiverad. Även om en enhet har nödvändig maskinvara och programvarukomponenter behöver du uppdateringen som nämns ovan om funktionen inte är aktiverad. Du bör dock fortfarande installera den här uppdateringen för att få andra säkerhetskorrigeringar.

Q. Kan jag fortsätta att använda Windows Hello ansiktsigenkänning utan att uppdatera systemet?

A. Windows Hello ansiktsigenkänning fungerar även om du inte uppdaterar systemet. Vi rekommenderar starkt att du uppdaterar ditt system, särskilt om du är mobilanvändare.

F. Kan jag inaktivera Windows Hello ansiktsigenkänning och fortsätta använda Windows Hello fingeravtryck?

A. Ja. Du kan ta bort autentisering med Window Hello-ansikte i inloggningsalternativen>Windows Hello ansikte för att stänga av Windows Hello ansikte och fortsätta att använda Window Hello-fingeravtryck.

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med översättningskvaliteten?

Vad påverkade din upplevelse?

Har du ytterligare feedback? (Valfritt)

Tack för din feedback!

×