Windows 10 Technical Previewは、信頼されていないフォントをブロックする機能を追加します

  • [アーティクル]

この記事では、Windows 10 Technical Previewの信頼されていないフォントをブロックする新機能について説明します。 この機能を使用する前に、機能の 概要機能の潜在的な削減に関するセクションを 確認できます。 次 に、手順に従って機能を構成します

適用対象: Windows 10 - すべてのエディション
元の KB 番号: 3053676

信頼されていないフォントのブロック機能

フォントは複雑なデータ構造を使用し、Web ページやドキュメントに埋め込む可能性があるため、特権の昇格 (EOP) 攻撃に対して脆弱になる可能性があります。 EOP 攻撃は、悪意のあるハッカーが、ユーザーがファイルを共有したり、Web を閲覧したりするときに、ユーザーのコンピューターにリモートでアクセスできることを意味します。 これらの攻撃に対するセキュリティを強化するために、信頼されていないフォントをブロックする機能を作成しました。 この機能を使用すると、グラフィックス デバイス インターフェイス (GDI) によって処理される信頼されていないフォントの読み込みをユーザーが停止するグローバル設定を有効にすることができます。 信頼されていないフォントは、ディレクトリの外部にインストールされている任意の %windir%/Fonts フォントです。 信頼されていないフォントをブロックする機能は、フォント ファイル解析プロセス中に発生する可能性があるリモート (Web ベースまたは電子メール ベース) 攻撃とローカル EOP 攻撃の両方を停止するのに役立ちます。

この機能のしくみ

この機能を使用するには、次の 3 つの方法があります。

  • に。 GDI を使用して処理され、ディレクトリの外部にインストールされているフォントが読み込まれるのを %windir/Fonts% 停止するのに役立ちます。 また、イベント ログも有効になります。

  • 監査。 イベント ログを有効にしますが、場所に関係なくフォントの読み込みをブロックしません。 信頼されていないフォントを使用するアプリケーションの名前は、イベント ログに表示されます。

    注:

    この機能をorganizationに展開する準備ができていない場合は、監査モードで実行して、信頼されていないフォントを読み込まないと使いやすさや互換性の問題が発生するかどうかを確認できます。

  • 信頼されていないフォントを読み込むアプリを除外します。 特定のアプリケーションを除外できます。 これにより、機能がオンになっている場合でも、信頼されていないフォントを読み込むことができます。

機能の潜在的な削減

この機能を有効にすると、ユーザーは次の状況で機能が低下する可能性があります。

  • この機能を使用し、スプーラー プロセスが除外されていない共有プリンター サーバーに印刷ジョブを送信する。 この状況では、サーバー %windir%/Fonts のフォルダーでまだ使用できないフォントは使用されません。

  • インストールされているプリンターのグラフィックス .dll ファイルによって提供されるフォントを使用して、フォルダーの外部に %windir%/Fonts 印刷します。 詳細については、「 プリンター グラフィックス DLL の概要」を参照してください。

  • メモリ ベースのフォントを使用するファースト パーティアプリまたはサード パーティ製アプリを使用する。

  • インターネット エクスプローラーを使用して、埋め込みフォントを使用する Web サイトを表示する。 この状況では、この機能によって埋め込みフォントがブロックされ、Web サイトで既定のフォントが使用されます。 ただし、すべてのフォントにすべての文字が含まれているわけではないので、Web サイトのレンダリングが異なる場合があります。

  • デスクトップ Office を使用して、フォントが埋め込まれたドキュメントを表示する。 この状況では、Office によって選択された既定のフォントを使用してコンテンツが表示されます。

機能を有効にして使用する方法

この機能をオン、オフ、または監査モードを使用するには、次のいずれかの方法を使用します。

グループ ポリシーを使用する

  1. [ローカル グループ ポリシー エディター] を開きます。
  2. [ ローカル コンピューター ポリシー] で、[ コンピューターの構成] を展開し、[ 管理用テンプレート] を展開し、[ システム] を展開して、[ 軽減策オプション] をクリックします。
  3. [ 信頼されていないフォント のブロック ] 設定には、次のオプションが表示されます。
    • 信頼されていないフォントとログ イベントをブロックする
    • 信頼されていないフォントをブロックしない
    • 信頼されていないフォントをブロックせずにイベントをログに記録する

レジストリ エディターを使用する

  1. レジストリ エディター (regedit.exe) を開き、次のレジストリ サブキーに移動します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

  2. MitigationOptions キーが存在しない場合は、右クリックして新しい QWORD (64 ビット) 値を追加し、MitigationOptions という名前を付きます。

  3. MitigationOptions キーの Value データを更新し、次の重要な注意事項のように、既存の値を保持していることを確認します。

    • この機能を有効にするには、「10000000000000」と入力します。
    • この機能をオフにするには、「20000000000000」と入力します。
    • この機能で監査するには、「30000000000000」と入力します。

    重要

    既存の MitigationOptions 値は、更新中に保存する必要があります。 たとえば、現在の値が 1000 の場合は、更新された値を1000000001000する必要があります。

  4. コンピューターを再起動します。

イベント ログを表示する

この機能を有効にするか、監査モードの使用を開始すると、イベント ログをチェックして詳細を確認できます。

イベント ログを確認する

  1. イベント ビューアー (eventvwr.exe) を開き、次のパスに移動します。

    アプリケーションとサービス ログ/Microsoft/Windows/Win32k/Operational

  2. [EventID: 260] まで下にスクロールし、関連するイベントを確認します。

    • イベント例 1 - Microsoft Word

      注:

      FontType はメモリであるため、関連する FontPath はありません。

    • イベント例 2 - Winlogon

      注:

      FontType は File であるため、関連する FontPath もあります。

    • イベント例 3 - 監査モードで実行されているインターネット エクスプローラー

      注:

      監査モードでは、問題は記録されますが、フォントはブロックされません。

フォントがブロックされているために問題があるアプリを修正する

ユーザーは、フォントがブロックされているために問題があるアプリが引き続き必要になる場合があるため、最初に監査モードでこの機能を実行して、問題の原因となっているフォントを特定することをお勧めします。 問題のあるフォントを理解したら、%windir%/Fonts ディレクトリにフォントを直接インストールするか、基になるプロセスを除外してフォントを読み込むという 2 つの方法のいずれかでアプリを修正できます。 既定のソリューションとして、問題のあるフォントをインストールすることを強くお勧めします。 除外されたアプリは、信頼または信頼されていない任意のフォントを読み込む可能性があるため、フォントのインストールはアプリを除外するよりも安全です。

アプリがインストールされている各コンピューターで、フォント名を右クリックし、[ インストール] をクリックします。

フォントがディレクトリに自動的に %windir%/Fonts インストールされます。 そうでない場合は、フォント ファイルを Fonts ディレクトリに手動でコピーし、そこからインストールを実行する必要があります。

プロセスを除外してアプリを修正する

  1. アプリがインストールされている各コンピューターで、[レジストリ] エディターを開き、次のレジストリ サブキーに移動します。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>

    たとえば、Microsoft Word プロセスを除外する場合は、 を使用HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exeします。

  2. MitigationOptions キーが存在しない場合は、右クリックして新しい QWORD (64 ビット) 値を追加し、MitigationOptions という名前を付きます。

  3. そのプロセスに必要な設定の値を追加します。

    • この機能を有効にするには、「10000000000000」と入力します。
    • この機能をオフにするには、「20000000000000」と入力します。
    • この機能で監査するには、「30000000000000」と入力します。

    重要

    既存の MitigationOptions 値は、更新中に保存する必要があります。 たとえば、現在の値が 1000 の場合は、更新された値を1000000001000する必要があります。

  4. 除外する必要があるプロセスを追加し、「 プロセスを除外してアプリを修正 する」セクションに記載されている手順を使用してフォント ブロックを有効にします。