Windows 10 Technical Preview voegt een functie toe die niet-vertrouwde lettertypen blokkeert

In dit artikel wordt een nieuwe functie beschreven waarmee niet-vertrouwde lettertypen voor Windows 10 Technical Preview worden geblokkeerd. Voordat u de functie gebruikt, kunt u de sectie Over de functie en de mogelijke functionaliteitsverminderingen zien. Volg vervolgens de stappen om de functie te configureren.

Van toepassing op: Windows 10 - alle edities
Origineel KB-nummer: 3053676

De functie niet-vertrouwde lettertypen blokkeren

Omdat lettertypen gebruikmaken van complexe gegevensstructuren en kunnen worden ingesloten in webpagina's en documenten, kunnen ze kwetsbaar zijn voor EOP-aanvallen (uitbreiding van bevoegdheden). EOP-aanvallen betekenen dat een kwaadwillende hacker op afstand toegang heeft tot de computer van een gebruiker wanneer gebruikers bestanden delen of op internet surfen. Om de beveiliging tegen deze aanvallen te versterken, hebben we een functie gemaakt om niet-vertrouwde lettertypen te blokkeren. Met deze functie kunt u een globale instelling inschakelen die voorkomt dat gebruikers niet-vertrouwde lettertypen laden die worden verwerkt door de Graphics Device Interface (GDI). Niet-vertrouwde lettertypen zijn lettertypen die buiten de %windir%/Fonts map zijn geïnstalleerd. Met de functie voor het blokkeren van niet-vertrouwde lettertypen kunt u zowel externe (web- of e-mailgebaseerde) als lokale EOP-aanvallen stoppen die kunnen optreden tijdens het parseren van lettertypebestanden.

Hoe werkt deze functie?

Er zijn drie manieren om deze functie te gebruiken:

• Op. Hiermee kunt u voorkomen dat een lettertype wordt geladen dat wordt verwerkt met behulp van GDI en buiten de %windir/Fonts% map wordt geïnstalleerd. Ook wordt logboekregistratie van gebeurtenissen ingeschakeld.

• Audit. Hiermee schakelt u logboekregistratie van gebeurtenissen in, maar wordt het laden van lettertypen niet geblokkeerd, ongeacht de locatie. De namen van de toepassingen die niet-vertrouwde lettertypen gebruiken, worden weergegeven in uw gebeurtenislogboek.

  Opmerking

  Als u niet klaar bent om deze functie in uw organisatie te implementeren, kunt u deze uitvoeren in de controlemodus om te zien of het niet laden van niet-vertrouwde lettertypen problemen veroorzaakt met de bruikbaarheid of compatibiliteit.

• Apps uitsluiten om niet-vertrouwde lettertypen te laden. U kunt specifieke toepassingen uitsluiten. Hiermee kunnen ze niet-vertrouwde lettertypen laden, zelfs wanneer de functie is ingeschakeld.

Mogelijke functionaliteitsverminderingen

Nadat u deze functie hebt ingeschakeld, kunnen gebruikers in de volgende situaties te maken hebben met verminderde functionaliteit:

• Een afdruktaak verzenden naar een gedeelde printerserver die gebruikmaakt van deze functie en waar het spoolerproces niet is uitgesloten. In deze situatie worden lettertypen die nog niet beschikbaar zijn in de map van %windir%/Fonts de server, niet gebruikt.

• Afdrukken met lettertypen die afkomstig zijn van de grafische .dll-bestand van de geïnstalleerde printer, buiten de %windir%/Fonts map. Zie Inleiding tot printergrafische DLL's voor meer informatie.

• Apps van derden of apps van derden gebruiken die gebruikmaken van lettertypen op basis van geheugen.

• Internet Explorer gebruiken om websites weer te geven die gebruikmaken van ingesloten lettertypen. In dit geval blokkeert de functie het ingesloten lettertype, waardoor de website een standaardlettertype gebruikt. Niet alle lettertypen bevatten echter alle tekens, dus de website kan anders worden weergegeven.

• Office op het bureaublad gebruiken om documenten met ingesloten lettertypen weer te geven. In deze situatie wordt inhoud weergegeven met behulp van een standaardlettertype dat is gekozen door Office.

De functie inschakelen en gebruiken

Gebruik een van de volgende methoden om deze functie in, uit te schakelen of de controlemodus te gebruiken.

Groepsbeleid gebruiken

1. Open Lokaal groepsbeleid Editor.
2. Vouw onder Beleid voor lokale computers computerconfiguratie uit, vouw Beheersjablonen uit, vouw Systeem uit en klik vervolgens op Risicobeperkingsopties.
3. In de instelling Niet-vertrouwde lettertypeblokkering ziet u de volgende opties:
   • Niet-vertrouwde lettertypen en logboekgebeurtenissen blokkeren
   • Niet-vertrouwde lettertypen niet blokkeren
   • Logboekgebeurtenissen zonder niet-vertrouwde lettertypen te blokkeren

De register-editor gebruiken

1. Open Register Editor (regedit.exe) en ga naar de volgende registersubsleutel:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

2. Als de sleutel MitigationOptions niet aanwezig is, klikt u met de rechtermuisknop en voegt u een nieuwe QWORD-waarde (64-bits) toe, waarbij u deze naam geeft als MitigationOptions.

3. Werk de waardegegevens van de MitigationOptions-sleutel bij en zorg ervoor dat u uw bestaande waarde behoudt, zoals de belangrijke opmerking hieronder:

   • Als u deze functie wilt inschakelen, typt u 100000000000.
   • Als u deze functie wilt uitschakelen, typt u 200000000000.
   • Als u deze functie wilt controleren, typt u 3000000000000.

   Belangrijk

   Uw bestaande MitigationOptions-waarden moeten tijdens de update worden opgeslagen. Als de huidige waarde bijvoorbeeld 1000 is, moet de bijgewerkte waarde 1000000001000 zijn.

4. Start de computer opnieuw op.

Het gebeurtenislogboek weergeven

Nadat u deze functie hebt ingeschakeld of de controlemodus hebt gebruikt, kunt u uw gebeurtenislogboeken controleren voor gedetailleerde informatie.

Het gebeurtenislogboek controleren

1. Open de Logboeken (eventvwr.exe) en ga naar het volgende pad:

   Toepassings- en servicelogboeken/Microsoft/Windows/Win32k/Operationeel

2. Schuif omlaag naar EventID: 260 en bekijk de relevante gebeurtenissen.

   • Voorbeeld van gebeurtenis 1 - Microsoft Word

     Opmerking

     Omdat het FontType Geheugen is, is er geen gekoppeld FontPath.

   • Voorbeeld van gebeurtenis 2 - Winlogon

     Opmerking

     Omdat het FontType Bestand is, is er ook een gekoppeld FontPath.

   • Voorbeeld van gebeurtenis 3: Internet Explorer wordt uitgevoerd in de controlemodus

     Opmerking

     In de controlemodus wordt het probleem vastgelegd, maar het lettertype wordt niet geblokkeerd.

Apps oplossen die problemen ondervinden vanwege geblokkeerde lettertypen

Gebruikers hebben mogelijk nog steeds apps nodig die problemen hebben vanwege geblokkeerde lettertypen. Daarom raden we u aan deze functie eerst uit te voeren in de controlemodus om te bepalen welke lettertypen de problemen veroorzaken. Nadat u de problematische lettertypen hebt gevonden, kunt u proberen uw apps op twee manieren op te lossen: door de lettertypen rechtstreeks in de map %windir%/Fonts te installeren of door de onderliggende processen uit te sluiten en de lettertypen te laten laden. Als standaardoplossing raden we u ten zeerste aan om het problematische lettertype te installeren. Het installeren van lettertypen is veiliger dan het uitsluiten van apps, omdat uitgesloten apps elk lettertype kunnen laden, vertrouwd of niet-vertrouwd.

Apps oplossen door de problematische lettertypen te installeren (aanbevolen)

Klik op elke computer waarop de app is geïnstalleerd met de rechtermuisknop op de naam van het lettertype en klik vervolgens op Installeren.

Het lettertype moet automatisch in uw %windir%/Fonts map worden geïnstalleerd. Als dit niet het geval is, moet u de lettertypebestanden handmatig kopiëren naar de map Lettertypen en de installatie daar uitvoeren.

Apps oplossen door processen uit te sluiten

1. Op elke computer waarop de app is geïnstalleerd, opent u Register Editor en gaat u naar de volgende registersubsleutel:

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>

   Als u bijvoorbeeld Microsoft Word-processen wilt uitsluiten, gebruikt HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exeu .

2. Als de sleutel MitigationOptions niet aanwezig is, klikt u met de rechtermuisknop en voegt u een nieuwe QWORD-waarde (64-bits) toe, waarbij u deze naam geeft als MitigationOptions.

3. Voeg de waarde toe voor de gewenste instelling voor dat proces:

   • Als u deze functie wilt inschakelen, typt u 100000000000.
   • Als u deze functie wilt uitschakelen, typt u 200000000000.
   • Als u deze functie wilt controleren, typt u 3000000000000.

   Belangrijk

   Uw bestaande MitigationOptions-waarden moeten tijdens de update worden opgeslagen. Als de huidige waarde bijvoorbeeld 1000 is, moet de bijgewerkte waarde 1000000001000 zijn.

4. Voeg eventuele extra processen toe die moeten worden uitgesloten en schakel vervolgens lettertypeblokkering in met behulp van de stappen in de sectie Apps oplossen door processen uit te sluiten .