ข้อมูลสรุปของผู้บริหาร

การอัปเดตด้านความปลอดภัยนี้จะแก้ปัญหาช่องโหว่การข้ามการรู้Windows Helloใบหน้าใน Windows 10 ซึ่งช่วยให้ผู้โจมตีสามารถเล่นภาพใหม่เพื่อให้เข้าถึงระบบได้ การเลี่ยงผ่านนี้ต้องมีสิทธิ์การเข้าถึงทางกายภาพโดยสมบูรณ์จากอุปกรณ์จริงของผู้ใช้ ฮาร์ดแวร์แบบปรับแต่งเอง และรูปอินฟราเรดพิเศษ (IR) 

ข้อมูลช่องโหว่

การอัปเดตความปลอดภัยสะสม 2021-07 ที่อยู่ CVE-2021-34466 และเผยแพร่เมื่อวันที่ 13 กรกฎาคม 2021

การแสวงหาผลประโยชน์ที่ประสบความสเร็จต้องมีข้อเบื้องต้นต่อไปนี้:

  1. ผู้ใช้ต้องลงทะเบียนในการรับรองความถูกต้องด้วยWindows Helloหน้าใหม่

  2. ผู้โจมตีมีสิทธิ์เข้าถึงอุปกรณ์ของตกเป็นเหยื่อได้

  3. ผู้โจมตีได้สีอ่อนของรูปอินฟราเรดของตกเป็นเหยื่อ

  4. ช่างออกแบบกล้อง USB ที่ออกแบบเองที่เลียนแบบกล้องหน้าWindows Helloกล้องใบหน้าที่ถูกต้อง ผู้โจมตีจะเสียบกล้องที่เป็นอันตรายเข้ากับอุปกรณ์ของตกเป็นเหยื่อ และสตรีมเฟรมรูปภาพที่กล่าวถึงในรายการที่สาม

การแก้ไข&บรรเทาปัญหา

ในวันที่ 13 กรกฎาคม 2021 Microsoft ได้เผยแพร่การแก้ไขต่อไปนี้เพื่อแก้ไขช่องโหว่นี้:

  • KB5004237 for Windows 10 เวอร์ชัน 2004 ทุกฉบับ Windows 10 เวอร์ชัน 20H2 ทุกฉบับ และ Windows 10 เวอร์ชัน 21H1 ทุกรุ่น

  • KB5004245 Windows 10 Enterprise เวอร์ชัน 1909, Windows 10 Enterprise และ Education เวอร์ชัน 1909 และ Windows 10 IoT Enterprise เวอร์ชัน 1909

  • KB5004244 Windows 10 Enterprise 2019 LTSC Windows 10 IoT Enterprise 2019 LTSC

  • KB5004281 Windows 10เวอร์ชัน 1803 (พร้อมใช้งานเมื่อร้องขอ)

รายละเอียดการแก้ปัญหา

การอัปเดตด้านความปลอดภัยเหล่านี้จะปรับใช้ข้อจํากัดเพื่อให้เฉพาะกล้องที่เชื่อถือได้ได้รับอนุญาตให้ใช้กับการรับรองความถูกต้องด้วยWindows Helloด้วยใบหน้าของคุณ

  • ผู้ใช้Windows Helloการรับรองความถูกต้องด้วยใบหน้าที่มีอยู่ – นี่คือผู้ใช้ที่ลงทะเบียนใน Windows Helloการรับรองความถูกต้องด้วยใบหน้าก่อนที่จะใช้การอัปเดตนี้ Windowsจะพร้อมท์ให้รับรองความถูกต้องอีกครั้งด้วย PIN ของพวกเขาเพียงครั้งเดียวหลังจากติดตั้งการอัปเดตนี้

  • ผู้ใช้Windows Helloการรับรองความถูกต้องด้วยใบหน้าใหม่ – นี่คือผู้ใช้ที่ใช้การอัปเดตนี้ก่อนลงทะเบียนWindows Helloการรับรองความถูกต้องด้วยใบหน้า Windowsจะเชื่อถือกล้องที่ใช้กับการลงทะเบียนWindows Helloด้วยการรับรองความถูกต้องด้วยใบหน้าโดยอัตโนมัติ

การกําหนดค่าเพิ่มเติม

ผู้ใช้ที่ตระหนักถึงความปลอดภัยสูงยังสามารถกําหนดค่ารีจิสทรีต่อไปนี้เพื่อปิดใช้งานกล้องภายนอกทั้งหมดเพื่อใช้กับWindows Helloใบหน้าของคุณ

เส้นทาง Reg: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon] ชื่อคีย์: "ShouldForbidExternalCameras"

ค่า = 1

พิมพ์: DWORD

ผู้ใช้ที่มีประสบการณ์หรือผู้เชี่ยวชาญด้าน IT ยังสามารถเพิ่มค่ารีจิสทรีข้างต้นโดยการเรียกใช้การสั่งต่อไปนี้จากพร้อมท์สั่งผู้ดูแลระบบ

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f

โปรดทราบว่าการกําหนดค่ารีจิสทรีนี้จะป้องกันไม่ให้กล้อง USB ภายนอกทั้งหมดถูกใช้งานWindows Helloใบหน้าของคุณ อย่างไรก็ตาม ผู้ใช้สามารถใช้กล้องภายนอกกับแอปพลิเคชันอื่นเช่น Microsoft Teams ต่อไปได้

เพิ่มประสิทธิภาพในการลงชื่อเข้าใช้

ลูกค้าที่Windows Helloการลงชื่อเข้าใช้ขั้นสูงจะได้รับการป้องกันจากความเสี่ยงนี้ Enhanced Sign-in Security is a new security feature in Windows that requires specialized hardware, drivers, and firmware that are pre-installed on the system by device manufacturers. โปรดติดต่อผู้ผลิตอุปกรณ์ของคุณเพื่อเรียนรู้เกี่ยวกับการสนับสนุนการรักษาความปลอดภัยการลงชื่อเข้าใช้ที่ได้รับการปรับปรุงบนอุปกรณ์ของคุณ

ซอฟต์แวร์ที่ได้รับผลกระทบ

ข้อมูลWindows 10เหล่านี้ได้รับผลกระทบจากช่องโหว่นี้:

  • Windows 10 เวอร์ชัน 21H1 for x64-based Systems

  • Windows 10 เวอร์ชัน 21H1 ของระบบ 32 บิต

  • Windows 10 เวอร์ชัน 21H1 ของระบบ ARM64

  • Windows 10 เวอร์ชัน 21H1 ARMพื้นฐาน

  • Windows 10 เวอร์ชัน 20H2 for x64-based Systems

  • Windows 10 เวอร์ชัน 20H2 ของระบบ 32 บิต

  • Windows 10 เวอร์ชัน 20H2 ของระบบ ARM64

  • Windows 10 เวอร์ชัน 20H2 ARMพื้นฐาน

  • Windows 10 เวอร์ชัน 2004 for x64

  • Windows 10 เวอร์ชัน 2004 ของระบบ 32 บิต

  • Windows 10 เวอร์ชัน 2004 ของระบบ ARM64

  • Windows 10 เวอร์ชัน 2004 ARMพื้นฐาน

  • Windows 10 เวอร์ชัน 1909 for x64

  • Windows 10 เวอร์ชัน 1909 ของระบบ 32 บิต

  • Windows 10 เวอร์ชัน 1909 ของระบบ ARM64

  • Windows 10 เวอร์ชัน 1909 ARMพื้นฐาน

  • Windows 10 เวอร์ชัน 1809 for x64-based Systems

  • Windows 10 เวอร์ชัน 1809 ของระบบ 32 บิต

  • Windows 10 เวอร์ชัน 1809 ของระบบ ARM64

  • Windows 10 เวอร์ชัน 1809 ARMพื้นฐาน

  • Windows 10 เวอร์ชัน 1803 for x64

  • Windows 10 เวอร์ชัน 1803 ของระบบ 32 บิต

  • Windows 10 เวอร์ชัน 1803 ของระบบ ARM64

  • Windows 10 เวอร์ชัน 1803 ARMพื้นฐาน

คำถามที่ถามบ่อย

Q. ฉันไม่มีอุปกรณ์ที่เข้ากันได้กับการรับรองความถูกต้องด้วยใบหน้าแบบWindows Helloหรือฉันไม่ได้เปิดใช้งานการรู้ชื่อใบหน้าด้วยWindows Helloใบหน้า ฉันต้องกังวลเกี่ยวกับช่องโหว่นี้หรือไม่

A. ไม่ ช่องโหว่นี้ใช้ได้กับผู้ใช้ที่มีอุปกรณ์ที่เข้ากันได้กับ Windows Hello Face และลงทะเบียนในการรับรองความถูกต้องการรู้ใบหน้าเท่านั้น

Q. ฉันควรป้องกันผู้ใช้ของฉันจากช่องโหว่นี้อย่างไร

A. ดาวน์โหลดและติดตั้งการอัปเดตข้างต้น

Q. ฉันต้องกําหนดค่าการตั้งค่ารีจิสทรีเพิ่มเติมเพื่อรักษาความปลอดภัยให้กับอุปกรณ์ของฉันจากช่องโหว่นี้หรือไม่

A. ถ้าคุณใช้กล้องใบหน้าแบบมีกล้องภายในWindows Helloในตัว คุณไม่บังคับต้องเพิ่มค่ารีจิสทรีเพิ่มเติม อย่างไรก็ตาม ถ้าคุณเป็นผู้ใช้อุปกรณ์เคลื่อนที่ อุปกรณ์ของคุณอาจเสี่ยงต่อการสูญหายหรือถูกขโมย ดังนั้น คุณสามารถเพิ่มค่ารีจิสทรีเพิ่มเติมเพื่อป้องกันไม่ให้มีการใช้กล้องWindows Helloใบหน้าภายนอก ถ้าคุณใช้กล้องภายนอก โปรดทราบว่ากล้อง USB ภายนอกทั้งหมดจะถูกบล็อกไม่ให้ใช้กับWindows Hello Face หลังจากที่คุณเพิ่มค่ารีจิสทรี ผู้ใช้สามารถใช้กล้องภายนอกกับแอปพลิเคชันอื่นต่อไปได้ เช่น Microsoft Teamsกล้อง

Q. ช่องโหว่นี้จะถูกเอาเปรียบจากระยะไกลได้หรือไม่

A. ไม่ เมื่อต้องการใช้ประโยชน์จากช่องโหว่นี้ ผู้โจมตีต้องมีสิทธิ์เข้าถึงอุปกรณ์ของตกเป็นเหยื่ออย่างเต็มที่

Q. ฉันยังต้องติดตั้งการอัปเดตนี้หรือไม่ หากอุปกรณ์ของฉันสนับสนุนการรักษาความปลอดภัยการลงชื่อเข้าใช้ที่ได้รับการปรับปรุง

A. การรักษาความปลอดภัยการลงชื่อเข้าใช้ได้รับการปรับปรุงจะลดความเสี่ยงนี้ แต่เฉพาะเมื่อเปิดใช้งานฟีเจอร์เท่านั้น แม้ว่าอุปกรณ์จะมีฮาร์ดแวร์และคอมโพเนนต์ของซอฟต์แวร์ที่จําเป็น คุณยังคงต้องอัปเดตที่กล่าวไว้ข้างต้นถ้าฟีเจอร์ดังกล่าวไม่ได้เปิดอยู่ โดยไม่เกี่ยวกับคุณควรติดตั้งการอัปเดตนี้เพื่อรับการแก้ไขด้านความปลอดภัยอื่นๆ

Q. ฉันสามารถใช้การรู้Windows Helloใบหน้าโดยไม่ต้องอัปเดตระบบของฉันได้หรือไม่

A. Windows Helloใบหน้าของคุณจะยังคงสามารถใช้งานต่อไปได้ แม้ว่าคุณจะไม่ได้อัปเดตระบบของคุณ เราขอแนะนาให้คุณอัปเดตระบบของคุณ โดยเฉพาะอย่างยิ่งถ้าคุณเป็นผู้ใช้อุปกรณ์เคลื่อนที่

Q. ฉันสามารถปิดใช้งานการWindows Helloใบหน้าของคุณ และใช้ลายนิ้วมือWindows Helloได้หรือไม่

A. ได้ คุณสามารถลบการตรวจสอบใบหน้า Window Hello ใน ตัวเลือกการลงชื่อเข้าใช้>Windows Helloใบหน้า เพื่อปิด Windows Helloใบหน้าของคุณ และใช้ลายนิ้วมือของ Window Hello ต่อไปได้

Facebook LinkedIn อีเมล

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ค้นพบ ชุมชน

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย

ถามคำถามใน Microsoft Community

ชุมชนด้านเทคนิคของ Microsoft

Windows Insider

Microsoft 365 Insiders