そのブロックの信頼関係のないフォントにフィーチャーを追加する Windows の 10 の技術的なプレビュー


10 テクニカル プレビューの Windows の新機能について説明します。機能を使用する前に、機能の概要機能が制限を表示できます。次にの機能を構成する手順に従います

ブロック機能を信頼されていないフォントについて


フォントが複雑なデータ構造を使用して、web ページやドキュメントに埋め込むことができるため、特権の昇格 (EOP) 攻撃に対する脆弱性ができます。EOP の攻撃は、ハッカーが悪意のあるリモートからアクセスできるユーザーのコンピューター ユーザーがファイルを共有したり、web を閲覧するときを意味します。これらの攻撃に対するセキュリティを強化するために信頼されていないフォントをブロックする機能を作成しました。この機能を使用すると、グラフィックス デバイス インターフェイス (GDI) によって処理される信頼されていないフォントをロードすることからユーザーを停止するグローバル設定にできます。信頼されていないフォントは、%windir%/Fonts ディレクトリの外部にインストールされているフォントです。ブロック機能により、信頼されていないフォントでは、リモート (web ベースや電子メール ベース) とフォント ファイルの解析処理中に発生する可能性があるローカルの EOP 攻撃の両方を停止します。

この機能を使用します。


この機能を使用する 3 つの方法があります。
  • On.読み込まれている GDI を使用して処理され、%windir/Fonts% ディレクトリの外部にインストールされているフォントを阻止します。イベント ログにもオンにします。
  • 監査します。イベントのログを有効にしますが、フォントの場所に関係なく、読み込みはブロックされません。信頼されていないフォントを使用するアプリケーションの名前は、イベント ログに表示されます。

    注: いない組織では、この機能を展開する準備が整ったらを参照してくださいするのには監査モードで実行することができますされていない場合、利便性や互換性の問題を信頼されていないフォントをロードします。
  • 信頼されていないフォントを読み込むアプリケーションを除外します。特定のアプリケーションを除外することができます。機能がオンになっている場合でも、信頼されていないフォントをロードすることができます。


機能面での潜在的な削減


この機能を有効にした後ユーザーで次のような機能の制限が発生する可能性があります。
  • 印刷ジョブを送信するプリンターの共有サーバーにこの機能を使用して、スプーラーの処理で除外されていない具体的には。この状況では既に利用できないサーバーの %windir%/Fonts フォルダーにすべてのフォントは使用されません。
  • %Windir%/Fonts フォルダー以外のインストールされているプリンターのグラフィックス .dll ファイルによって提供されるフォントを使用して印刷します。詳細については、プリンターのグラフィックスの Dll の概要を参照してください。
  • メモリ ベースのフォントを使用する最初のまたはサード パーティ製のアプリケーションを使用しています。
  • 埋め込みフォントを使用する web サイトを表示するのには Internet Explorer を使用します。この状況では、機能は、既定のフォントを使用する web サイトを原因と、埋め込まれたフォントをブロックします。ただし、すべてのフォントはあるので、web サイトの表示形式が異なりますが、すべての文字です。
  • フォントが埋め込まれているドキュメントを表示するデスクトップの Office を使用しています。このような状況では、Office を選択、既定のフォントを使用してコンテンツを表示します。

有効にして、ブロッキングの信頼されていないフォント機能を使用する方法


この機能が有効、無効、または、監査モードを使用するには、次の方法のいずれかを使用します。

グループ ポリシーを使用します。

  1. ローカル グループ ポリシー エディターを開きます。
  2. ローカル コンピューター ポリシーでは、コンピューターの構成を展開、管理用テンプレートを展開システム] を展開し、軽減のオプション] をクリックします。
  3. 信頼されていないフォントのブロックの設定には、次のオプションを確認できます。
    • 信頼されていないフォントをブロックし、イベントをログに記録
    • 信頼されていないフォントをブロックしません。
    • 信頼されていないフォントをブロックすることがなくイベントをログに記録します。

レジストリ エディターを使用してください。

  1. レジストリ エディター (regedit.exe) を開き、次のレジストリ サブキーに移動します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\
  2. MitigationOptionsキーがない場合を右クリックし、新しいQWORD (64 ビット) の値MitigationOptionsとして名前を追加します。
  3. MitigationOptionsキーの値のデータを更新し、次の重要事項と同様に、既存の値を保持するかどうかを確認します。
    • をこの機能をオンにします1000000000000を入力します。
    • するにはこの機能のオフ2000000000000を入力します。
    • この機能を監査します3000000000000を入力します。


    重要 更新中に、既存のMitigationOptions値を保存する必要があります。たとえば、現在の値が 1000 の場合は、更新された値は、1000000001000 をはずです。
  4. コンピューターを再起動します。

詳細