Windows 10 Technical Preview dodaje funkcję, która blokuje niezaufane czcionki

  • Artykuł

W tym artykule opisano nową funkcję, która blokuje niezaufane czcionki dla Windows 10 Technical Preview. Przed użyciem tej funkcji można zobaczyć wprowadzenie do funkcji i potencjalne redukcje funkcjonalności . Następnie wykonaj kroki, aby skonfigurować funkcję.

Dotyczy: Windows 10 — wszystkie wersje
Oryginalny numer KB: 3053676

Funkcja blokujących niezaufanych czcionek

Ponieważ czcionki używają złożonych struktur danych i mogą być osadzone w stronach internetowych i dokumentach, mogą być narażone na ataki związane z podniesieniem uprawnień (EOP). Ataki EOP oznaczają, że złośliwy haker może zdalnie uzyskiwać dostęp do komputera użytkownika, gdy użytkownicy udostępniają pliki lub surfują po Internecie. Aby zwiększyć bezpieczeństwo przed tymi atakami, utworzyliśmy funkcję blokującą niezaufane czcionki. Za pomocą tej funkcji można włączyć ustawienie globalne, które uniemożliwia użytkownikom ładowanie niezaufanych czcionek przetwarzanych przez interfejs urządzenia graficznego (GDI). Niezaufane czcionki to czcionki zainstalowane poza katalogiem %windir%/Fonts . Funkcja blokujących niezaufanych czcionek pomaga zatrzymać zarówno zdalne ataki (oparte na sieci Web, jak i na adresach e-mail) oraz lokalne ataki EOP, które mogą wystąpić podczas procesu analizowania plików czcionek.

Jak działa ta funkcja

Istnieją trzy sposoby korzystania z tej funkcji:

  • Na. Pomaga zatrzymać załadowanie dowolnej czcionki, która jest przetwarzana przy użyciu interfejsu GDI i jest instalowana poza katalogiem %windir/Fonts% . Włącza również rejestrowanie zdarzeń.

  • Inspekcji. Włącza rejestrowanie zdarzeń, ale nie blokuje ładowania czcionek, niezależnie od lokalizacji. Nazwy aplikacji korzystających z niezaufanych czcionek są wyświetlane w dzienniku zdarzeń.

    Uwaga

    Jeśli nie jesteś gotowy do wdrożenia tej funkcji w organizacji, możesz uruchomić ją w trybie inspekcji, aby sprawdzić, czy nie ładowanie niezaufanych czcionek powoduje jakiekolwiek problemy z użytecznością lub zgodnością.

  • Wyklucz aplikacje do ładowania niezaufanych czcionek. Można wykluczyć określone aplikacje. Umożliwia im to ładowanie niezaufanych czcionek, nawet gdy funkcja jest włączona.

Potencjalne ograniczenia funkcjonalności

Po włączeniu tej funkcji użytkownicy mogą doświadczyć ograniczonej funkcjonalności w następujących sytuacjach:

  • Wysyłanie zadania drukowania do serwera drukarki udostępnionej, który korzysta z tej funkcji i gdzie proces buforowania nie został wykluczony. W takiej sytuacji nie będą używane żadne czcionki, które nie są jeszcze dostępne w folderze serwera %windir%/Fonts .

  • Drukowanie przy użyciu czcionek dostarczonych przez plik .dll grafiki zainstalowanej drukarki poza folderem %windir%/Fonts . Aby uzyskać więcej informacji, zobacz Wprowadzenie do bibliotek DLL grafiki drukarki.

  • Korzystanie z aplikacji pierwszej lub innej firmy korzystających z czcionek opartych na pamięci.

  • Używanie programu Internet Explorer do wyświetlania witryn internetowych używających czcionek osadzonych. W takiej sytuacji funkcja blokuje czcionkę osadzoną, co powoduje, że witryna internetowa używa czcionki domyślnej. Jednak nie wszystkie czcionki mają wszystkie znaki, więc witryna internetowa może być renderowana inaczej.

  • Wyświetlanie dokumentów z osadzonymi czcionkami przy użyciu pakietu Office dla komputerów stacjonarnych. W takiej sytuacji zawartość jest wyświetlana przy użyciu domyślnej czcionki wybranej przez pakiet Office.

Jak włączyć i użyć funkcji

Aby włączyć, wyłączyć tę funkcję lub użyć trybu inspekcji, użyj jednej z następujących metod.

Użyj zasad grupy

  1. Otwórz zasady grupy Redaktor lokalne.
  2. W obszarze Zasady komputera lokalnego rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Szablony administracyjne, rozwiń węzeł System, a następnie kliknij pozycję Opcje ograniczania ryzyka.
  3. W ustawieniu Blokowanie niezaufanych czcionek można wyświetlić następujące opcje:
    • Blokowanie niezaufanych czcionek i zdarzeń dziennika
    • Nie blokuj niezaufanych czcionek
    • Rejestrowanie zdarzeń bez blokowania niezaufanych czcionek

Używanie Edytora rejestru.

  1. Otwórz Redaktor rejestru (regedit.exe) i przejdź do następującego podklucza rejestru:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

  2. Jeśli klucz MitigationOptions nie istnieje, kliknij prawym przyciskiem myszy i dodaj nową wartość QWORD (64-bitową), określając ją jako MitigationOptions.

  3. Zaktualizuj dane wartości klucza MitigationOptions i upewnij się, że zachowasz istniejącą wartość, tak jak w poniższej ważnej notatce:

    • Aby włączyć tę funkcję, wpisz 10000000000000.
    • Aby wyłączyć tę funkcję, wpisz 20000000000000.
    • Aby zostać poddana inspekcji za pomocą tej funkcji, wpisz 300000000000.

    Ważna

    Istniejące wartości MitigationOptions powinny zostać zapisane podczas aktualizacji. Jeśli na przykład bieżąca wartość to 1000, zaktualizowana wartość powinna być 1000000001000.

  4. Ponownie uruchom komputer.

Wyświetlanie dziennika zdarzeń

Po włączeniu tej funkcji lub rozpoczęciu korzystania z trybu inspekcji możesz sprawdzić dzienniki zdarzeń, aby uzyskać szczegółowe informacje.

Sprawdzanie dziennika zdarzeń

  1. Otwórz Podgląd zdarzeń (eventvwr.exe) i przejdź do następującej ścieżki:

    Dzienniki aplikacji i usług/Microsoft/Windows/Win32k/Operational

  2. Przewiń w dół do pozycji EventID: 260 i przejrzyj odpowiednie zdarzenia.

    • Przykład zdarzenia 1 — Microsoft Word

      Uwaga

      Ponieważ Typ czcionki to Pamięć, nie ma skojarzonego elementu FontPath.

    • Przykład zdarzenia 2 — Winlogon

      Uwaga

      Ponieważ Typ czcionki to Plik, istnieje również skojarzona ścieżka czcionki.

    • Przykład zdarzenia 3 — program Internet Explorer uruchomiony w trybie inspekcji

      Uwaga

      W trybie inspekcji problem jest rejestrowany, ale czcionka nie jest zablokowana.

Rozwiązywanie problemów z aplikacjami z powodu zablokowanych czcionek

Użytkownicy mogą nadal potrzebować aplikacji, które mają problemy z powodu zablokowanych czcionek, dlatego sugerujemy, aby najpierw uruchomić tę funkcję w trybie inspekcji, aby określić, które czcionki powodują problemy. Po ustaleniu problematycznych czcionek możesz spróbować naprawić aplikacje na jeden z dwóch sposobów: bezpośrednio instalując czcionki w katalogu %windir%/Fonts lub wykluczając podstawowe procesy i zezwalając na ładowanie czcionek. Jako rozwiązanie domyślne zdecydowanie zalecamy zainstalowanie problematycznej czcionki. Instalowanie czcionek jest bezpieczniejsze niż wykluczanie aplikacji, ponieważ wykluczone aplikacje mogą ładować dowolną czcionkę, zaufaną lub niezaufaną.

Na każdym komputerze z zainstalowaną aplikacją kliknij prawym przyciskiem myszy nazwę czcionki, a następnie kliknij przycisk Zainstaluj.

Czcionka powinna zostać automatycznie zainstalowana w %windir%/Fonts katalogu. Jeśli tak nie jest, musisz ręcznie skopiować pliki czcionek do katalogu Fonts i uruchomić instalację z tego miejsca.

Naprawianie aplikacji przez wykluczenie procesów

  1. Na każdym komputerze z zainstalowaną aplikacją otwórz Redaktor rejestru i przejdź do następującego podklucza rejestru:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>

    Jeśli na przykład chcesz wykluczyć procesy Word firmy Microsoft, użyj polecenia HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.

  2. Jeśli klucz MitigationOptions nie istnieje, kliknij prawym przyciskiem myszy i dodaj nową wartość QWORD (64-bitową), określając ją jako MitigationOptions.

  3. Dodaj wartość ustawienia żądanego dla tego procesu:

    • Aby włączyć tę funkcję, wpisz 10000000000000.
    • Aby wyłączyć tę funkcję, wpisz 20000000000000.
    • Aby zostać poddana inspekcji za pomocą tej funkcji, wpisz 300000000000.

    Ważna

    Istniejące wartości MitigationOptions powinny zostać zapisane podczas aktualizacji. Jeśli na przykład bieżąca wartość to 1000, zaktualizowana wartość powinna być 1000000001000.

  4. Dodaj wszelkie dodatkowe procesy, które należy wykluczyć, a następnie włącz blokowanie czcionek, wykonując kroki opisane w sekcji Napraw aplikacje, wykluczając procesy .