Windows 10 Technical Preview agrega una característica que bloquea fuentes que no son de confianza

En este artículo se describe una nueva característica que bloquea las fuentes que no son de confianza para Windows 10 Technical Preview. Antes de usar la característica, puede ver la introducción a la característica y las posibles reducciones en la funcionalidad . A continuación, siga los pasos para configurar la característica.

Se aplica a todas las ediciones de Windows 10
Número de KB original: 3053676

Característica de bloqueo de fuentes que no son de confianza

Dado que las fuentes usan estructuras de datos complejas y se pueden insertar en páginas web y documentos, pueden ser vulnerables a ataques de elevación de privilegios (EOP). Los ataques EOP significan que un hacker malintencionado puede acceder de forma remota al equipo de un usuario cuando los usuarios comparten archivos o navegan por la web. Para reforzar la seguridad frente a estos ataques, hemos creado una característica para bloquear fuentes que no son de confianza. Con esta característica, puede activar una configuración global que impide que los usuarios carguen fuentes que no son de confianza que se procesan mediante la interfaz de dispositivo gráfico (GDI). Las fuentes que no son de confianza son las fuentes que se instalan fuera del %windir%/Fonts directorio. La característica de bloqueo de fuentes que no son de confianza ayuda a detener los ataques remotos (basados en web o en correo electrónico) y los ataques EOP locales que pueden producirse durante el proceso de análisis de archivos de fuente.

¿Cómo funciona esta característica?

Hay tres maneras de usar esta característica:

• En. Ayuda a detener cualquier fuente que se cargue que se procese mediante GDI y se instale fuera del %windir/Fonts% directorio. También activa el registro de eventos.

• Auditoría. Activa el registro de eventos, pero no impide que las fuentes se carguen, independientemente de la ubicación. Los nombres de las aplicaciones que usan fuentes que no son de confianza aparecen en el registro de eventos.

  Nota:

  Si no está listo para implementar esta característica en su organización, puede ejecutarla en modo auditoría para ver si no cargar fuentes que no son de confianza provoca problemas de uso o compatibilidad.

• Excluir aplicaciones para cargar fuentes que no son de confianza. Puede excluir aplicaciones específicas. Les permite cargar fuentes que no son de confianza, incluso cuando la característica está activada.

Posibles reducciones de la funcionalidad

Después de activar esta característica, los usuarios pueden experimentar una funcionalidad reducida en las siguientes situaciones:

• Enviar un trabajo de impresión a un servidor de impresora compartido que usa esta característica y donde no se ha excluido el proceso de cola. En esta situación, no se usarán las fuentes que no estén disponibles en la carpeta del %windir%/Fonts servidor.

• Imprimir con fuentes proporcionadas por los gráficos de la impresora instalada .dll archivo, fuera de la %windir%/Fonts carpeta. Para obtener más información, consulte Introducción a los archivos DLL de gráficos de impresora.

• Uso de aplicaciones propias o de terceros que usan fuentes basadas en memoria.

• Uso de Internet Explorer para ver sitios web que usan fuentes incrustadas. En esta situación, la característica bloquea la fuente incrustada, lo que hace que el sitio web use una fuente predeterminada. Sin embargo, no todas las fuentes tienen todos los caracteres, por lo que el sitio web podría representarse de forma diferente.

• Uso de Office de escritorio para ver documentos que tienen fuentes incrustadas. En esta situación, el contenido se muestra mediante una fuente predeterminada seleccionada por Office.

Cómo activar y usar la característica

Para activar, desactivar o usar el modo de auditoría, use uno de los métodos siguientes.

Usar la directiva de grupo

1. Abra Directiva de grupo Editor local.
2. En Directiva de equipo local, expanda Configuración del equipo, Plantillas administrativas, Sistemay, a continuación, haga clic en Opciones de mitigación.
3. En la configuración Bloqueo de fuentes que no son de confianza, puede ver las siguientes opciones:
   • Bloquear fuentes y eventos de registro que no son de confianza
   • No bloquear fuentes que no son de confianza
   • Registrar eventos sin bloquear fuentes que no son de confianza

usar el Editor del Registro

1. Abra Editor del Registro (regedit.exe) y vaya a la siguiente subclave del Registro:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

2. Si la clave MitigationOptions no está allí, haga clic con el botón derecho y agregue un nuevo valor QWORD (64 bits), así como MitigationOptions.

3. Actualice los datos value de la clave MitigationOptions y asegúrese de mantener el valor existente, como la nota importante siguiente:

   • Para activar esta característica, escriba 1000000000000000.
   • Para desactivar esta característica, escriba 20000000000000000.
   • Para auditar con esta característica, escriba 300000000000000.

   Importante

   Los valores de MitigationOptions existentes se deben guardar durante la actualización. Por ejemplo, si el valor actual es 1000, se debe 1000000001000 el valor actualizado.

4. Restart your computer.

Visualización del registro de eventos

Después de activar esta característica o empezar a usar el modo auditoría, puede comprobar los registros de eventos para obtener información detallada.

Comprobación del registro de eventos

1. Abra el Visor de eventos (eventvwr.exe) y vaya a la ruta de acceso siguiente:

   Registros de aplicaciones y servicios/Microsoft/Windows/Win32k/Operational

2. Desplácese hacia abajo hasta EventID: 260 y revise los eventos pertinentes.

   • Ejemplo de evento 1: Microsoft Word

     Nota:

     Dado que FontType es Memory, no hay ningún FontPath asociado.

   • Ejemplo de evento 2: Winlogon

     Nota:

     Dado que FontType es File, también hay un FontPath asociado.

   • Ejemplo de evento 3: Internet Explorer en ejecución en modo auditoría

     Nota:

     En el modo auditoría, el problema se registra, pero la fuente no está bloqueada.

Corrección de aplicaciones que tienen problemas debido a fuentes bloqueadas

Es posible que los usuarios sigan necesitando aplicaciones que tengan problemas debido a fuentes bloqueadas, por lo que se recomienda que ejecute primero esta característica en modo auditoría para determinar qué fuentes están causando los problemas. Después de averiguar las fuentes problemáticas, puede intentar corregir las aplicaciones de una de estas dos maneras: instalando directamente las fuentes en el directorio %windir%/Fonts o excluyendo los procesos subyacentes y dejando que se carguen las fuentes. Como solución predeterminada, se recomienda encarecidamente instalar la fuente problemática. Instalar fuentes es más seguro que excluir aplicaciones porque las aplicaciones excluidas pueden cargar cualquier fuente, de confianza o que no sea de confianza.

Corrección de aplicaciones mediante la instalación de fuentes problemáticas (recomendado)

En cada equipo que tenga instalada la aplicación, haga clic con el botón derecho en el nombre de la fuente y, a continuación, haga clic en Instalar.

La fuente debe instalarse automáticamente en el %windir%/Fonts directorio. Si no es así, tiene que copiar manualmente los archivos de fuente en el directorio Fuentes y ejecutar la instalación desde allí.

Corrección de aplicaciones mediante la exclusión de procesos

1. En cada equipo que tenga instalada la aplicación, abra registry Editor y vaya a la siguiente subclave del Registro:

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>

   Por ejemplo, si desea excluir los procesos de Microsoft Word, usaría HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.

2. Si la clave MitigationOptions no está allí, haga clic con el botón derecho y agregue un nuevo valor QWORD (64 bits), así como MitigationOptions.

3. Agregue el valor de la configuración deseada para ese proceso:

   • Para activar esta característica, escriba 1000000000000000.
   • Para desactivar esta característica, escriba 20000000000000000.
   • Para auditar con esta característica, escriba 300000000000000.

   Importante

   Los valores de MitigationOptions existentes se deben guardar durante la actualización. Por ejemplo, si el valor actual es 1000, se debe 1000000001000 el valor actualizado.

4. Agregue los procesos adicionales que deban excluirse y, a continuación, active el bloqueo de fuentes mediante los pasos que se proporcionan en la sección Corregir aplicaciones excluyendo procesos .