Windows 10 Technical Preview lägger till en funktion som blockerar ej betrodda teckensnitt

Den här artikeln beskriver en ny funktion som blockerar ej betrodda teckensnitt för Windows 10 Technical Preview. Innan du använder funktionen kan du se avsnittet funktionsintroduktion och potentiella funktionsminskningar . Följ sedan stegen för att konfigurera funktionen.

Gäller för: Windows 10 – alla utgåvor
Ursprungligt KB-nummer: 3053676

Funktionen blockerande ej betrodda teckensnitt

Eftersom teckensnitt använder komplexa datastrukturer och kan bäddas in i webbsidor och dokument kan de vara sårbara för attacker med utökade privilegier (EOP). EOP-attacker innebär att en obehörig hackare kan fjärransluta till en användares dator när användare delar filer eller surfar på webben. För att stärka säkerheten mot dessa attacker har vi skapat en funktion för att blockera obetrodda teckensnitt. Med den här funktionen kan du aktivera en global inställning som hindrar användare från att läsa in ej betrodda teckensnitt som bearbetas av GDI (Graphics Device Interface). Obetrodda teckensnitt är alla teckensnitt som installeras utanför %windir%/Fonts katalogen. Funktionen blockerande ej betrodda teckensnitt hjälper till att stoppa både fjärranslutna (webbaserade eller e-postbaserade) och lokala EOP-attacker som kan inträffa under teckensnittsfilens parsningsprocess.

Hur fungerar den här funktionen?

Det finns tre sätt att använda den här funktionen:

• På. Hjälper till att förhindra att teckensnitt läses in som bearbetas med hjälp av GDI och installeras utanför %windir/Fonts% katalogen. Den aktiverar även händelseloggning.

• Revision. Aktiverar händelseloggning, men blockerar inte teckensnitt från att läsas in, oavsett plats. Namnen på de program som använder ej betrodda teckensnitt visas i händelseloggen.

  Obs!

  Om du inte är redo att distribuera den här funktionen i din organisation kan du köra den i granskningsläge för att se om inläsning av ej betrodda teckensnitt orsakar problem med användbarhet eller kompatibilitet.

• Undanta appar för att läsa in obetrodda teckensnitt. Du kan exkludera specifika program. Det gör att de kan läsa in obetrodda teckensnitt, även när funktionen är aktiverad.

Potentiella funktionsminskningar

När du har aktiverat den här funktionen kan användarna uppleva nedsatt funktionalitet i följande situationer:

• Skicka ett utskriftsjobb till en delad skrivarserver som använder den här funktionen och där buffertprocessen inte har exkluderats. I det här fallet används inte teckensnitt som inte redan är tillgängliga i serverns %windir%/Fonts mapp.

• Skriva ut med teckensnitt som tillhandahålls av den installerade skrivarens grafikfil .dll utanför %windir%/Fonts mappen. Mer information finns i Introduktion till skrivargrafik-DLL:er.

• Använda appar från första eller tredje part som använder minnesbaserade teckensnitt.

• Använda Internet Explorer för att visa webbplatser som använder inbäddade teckensnitt. I det här fallet blockerar funktionen det inbäddade teckensnittet, vilket gör att webbplatsen använder ett standardteckensnitt. Alla teckensnitt har dock inte alla tecken, så webbplatsen kan återges på olika sätt.

• Använda skrivbordsversionen av Office för att visa dokument som har inbäddade teckensnitt. I det här fallet visas innehållet med hjälp av ett standardteckensnitt som valts av Office.

Så här aktiverar och använder du funktionen

Om du vill aktivera, inaktivera eller använda granskningsläge använder du någon av följande metoder.

Använd Grupprincip

1. Öppna Lokal grupprincip Editor.
2. Under Princip för lokal dator expanderar du Datorkonfiguration, expanderar Administrativa mallar, expanderarSystem och klickar sedan på Åtgärdsalternativ.
3. I inställningen Ej betrodd teckensnittsblockering kan du se följande alternativ:
   • Blockera ej betrodda teckensnitt och logghändelser
   • Blockera inte ej betrodda teckensnitt
   • Logga händelser utan att blockera ej betrodda teckensnitt

Använda Registereditorn

1. Öppna Registry Editor (regedit.exe) och gå till följande registerundernyckel:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

2. Om nyckeln MitigationOptions inte finns där högerklickar du på och lägger till ett nytt QWORD-värde (64-bitars) och namnger det som MitigationOptions.

3. Uppdatera värdedata för nyckeln MitigationOptions och se till att du behåller ditt befintliga värde, som den viktiga anmärkningen nedan:

   • Om du vill aktivera den här funktionen skriver du 10000000000000.
   • Om du vill inaktivera den här funktionen skriver du 20000000000000.
   • Om du vill granska med den här funktionen skriver du 3000000000000.

   Viktigt

   Dina befintliga MitigationOptions-värden bör sparas under uppdateringen. Om det aktuella värdet till exempel är 1 000 ska det uppdaterade värdet vara 1000000001000.

4. Starta om datorn.

Visa händelseloggen

När du har aktiverat den här funktionen eller börjat använda granskningsläget kan du kontrollera händelseloggarna för detaljerad information.

Kontrollera händelseloggen

1. Öppna Loggboken (eventvwr.exe) och gå till följande sökväg:

   Program- och tjänstloggar/Microsoft/Windows/Win32k/Operational

2. Rulla ned till EventID: 260 och granska relevanta händelser.

   • Händelseexempel 1 – Microsoft Word

     Obs!

     Eftersom FontType är minne finns det ingen associerad FontPath.

   • Händelseexempel 2 – Winlogon

     Obs!

     Eftersom FontType är Fil finns det också en associerad FontPath.

   • Händelseexempel 3 – Internet Explorer körs i granskningsläge

     Obs!

     I granskningsläge registreras problemet, men teckensnittet blockeras inte.

Åtgärda appar som har problem på grund av blockerade teckensnitt

Användare kan fortfarande behöva appar som har problem på grund av blockerade teckensnitt, så vi föreslår att du först kör den här funktionen i granskningsläge för att avgöra vilka teckensnitt som orsakar problemen. När du har listat ut de problematiska teckensnitten kan du försöka åtgärda dina appar på något av två sätt: genom att direkt installera teckensnitten i katalogen %windir%/Fonts eller genom att exkludera de underliggande processerna och låta teckensnitten läsas in. Som standardlösning rekommenderar vi starkt att du installerar det problematiska teckensnittet. Det är säkrare att installera teckensnitt än att exkludera appar eftersom exkluderade appar kan läsa in alla teckensnitt, betrodda eller ej betrodda.

Åtgärda appar genom att installera problematiska teckensnitt (rekommenderas)

Högerklicka på teckensnittsnamnet på varje dator där appen är installerad och klicka sedan på Installera.

Teckensnittet bör installeras automatiskt i katalogen %windir%/Fonts . Om den inte gör det måste du kopiera teckensnittsfilerna manuellt till katalogen Teckensnitt och köra installationen därifrån.

Åtgärda appar genom att exkludera processer

1. Öppna Registry Editor på varje dator där appen är installerad och gå till följande registerundernyckel:

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>

   Om du till exempel vill undanta Microsoft Word processer använder HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exedu .

2. Om nyckeln MitigationOptions inte finns där högerklickar du på och lägger till ett nytt QWORD-värde (64-bitars) och namnger det som MitigationOptions.

3. Lägg till värdet för den inställning som du vill använda för den processen:

   • Om du vill aktivera den här funktionen skriver du 10000000000000.
   • Om du vill inaktivera den här funktionen skriver du 20000000000000.
   • Om du vill granska med den här funktionen skriver du 3000000000000.

   Viktigt

   Dina befintliga MitigationOptions-värden bör sparas under uppdateringen. Om det aktuella värdet till exempel är 1 000 ska det uppdaterade värdet vara 1000000001000.

4. Lägg till ytterligare processer som måste undantas och aktivera sedan teckensnittsblockering med hjälp av stegen i avsnittet Åtgärda appar genom att exkludera processer .