Поделиться через


Блокирование недоверенных шрифтов в организации

Чтобы защитить вашу компанию от атак, которые могут происходить из ненадежных или контролируемых злоумышленником файлов шрифтов, можно заблокировать ненадежные шрифты. С помощью этой функции вы можете включить глобальный параметр, который предотвращает загрузку сотрудниками в вашей сети недоверенных шрифтов, обрабатываемых с помощью интерфейса графических устройств (GDI). Ненадежные шрифты — это любые шрифты, установленные вне каталога %windir%\Fonts. Блокирование недоверенных шрифтов позволяет предотвратить как удаленные (в Интернете или через электронную почту), так и локальные атаки, связанные с повышением привилегий, которые могут произойти во время анализа файла шрифта.

Что это значит для меня?

Блокирование недоверенных шрифтов позволяет усилить защиту вашей сети и сотрудников от атак, связанных с обработкой шрифтов. По умолчанию эта функция не включена.

Как работает эта функция?

Эту функцию можно использовать тремя способами:

  • Включено. Запрет загрузки всех шрифтов, обработанных с помощью GDI, за пределами каталога %windir%\Fonts. Это также включает регистрацию событий.

  • Аудит. Включает ведение журнала событий, но не блокирует загрузку шрифтов независимо от расположения. В журнале событий регистрируются имена приложений, которые используют ненадежные шрифты.

    Примечание

    Если вы еще не готовы развернуть эту функцию в организации, ее можно запустить в режиме аудита, чтобы узнать, не вызывает ли загрузка ненадежных шрифтов какие-либо проблемы с удобством использования или совместимостью.

  • Создание исключений для приложений, которым необходимо разрешить загружать ненадежные шрифты. Вы можете создать исключения для определенных приложений, разрешив им загружать ненадежные шрифты, даже если эта функция включена. Инструкции см. в разделе Исправление приложений, проблемы в которых возникают из-за заблокированных шрифтов.

Возможное ухудшение функциональных возможностей

После включения этой функции ваши сотрудники могут столкнуться с ограниченными возможностями, если:

  • Отправка задания печати на удаленный сервер принтера, который использует эту функцию и где процесс очереди не был исключен. В этом случае все шрифты, которые еще не доступны в папке %windir%/Fonts сервера, не будут использоваться.
  • Печать с использованием шрифтов, предоставленных графическим .dll файла установленного принтера за пределами папки %windir%/Fonts. Дополнительные сведения см. в статье Общие сведения о библиотеках DLL графики принтера.
  • Использование первых или сторонних приложений, использующих шрифты на основе памяти.
  • Просмотр веб-сайтов со встроенными шрифтами с помощью Internet Explorer. В этой ситуации функция блокирует встроенный шрифт, что приводит к использованию на этом веб-сайте шрифта по умолчанию. Однако не все шрифты имеют необходимые знаки, поэтому веб-сайт может отображаться по-другому.
  • Использование Office на настольном компьютере для просмотра документов со встроенными шрифтами. В этом случае содержимое отображается с использованием шрифта по умолчанию, выбранного приложением Office.

Включение и использование функции блокирования недоверенных шрифтов

Используйте групповую политику или реестр, чтобы включить или отключить эту функцию, а также использовать режим аудита.

Включение и использование функции блокирования недоверенных шрифтов с помощью групповой политики

  1. Откройте редактор групповых политик (gpedit.msc) и перейдите в Computer Configuration\Administrative Templates\System\Mitigation Options\Untrusted Font Blocking.
  2. Выберите Включено , чтобы включить эту функцию, а затем выберите один из следующих вариантов устранения рисков:
    • Блокировать ненадежные шрифты и вести журнал событий. Включает функцию, блокируя ненадежные шрифты и регистрируя попытки установки в журнал событий.
    • Не блокировать ненадежные шрифты. Включает эту функцию, но не блокирует ненадежные шрифты и не регистрирует попытки установки в журнал событий.
    • Вести журнал без блокирования недоверенных шрифтов. Включает функцию, регистрируя попытки установки в журнал событий, но не блокируя недоверенные шрифты.
  3. Нажмите ОК.

Включение и использование функции "Блокировка недоверенных шрифтов" в реестре

Чтобы включить или выключить эту функцию, а также использовать ее в режиме аудита, выполните указанные ниже действия.

  1. Откройте редактор реестра (regedit.exe) и перейдите в группу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\.

  2. Если в ней нет раздела MitigationOptions, щелкните правой кнопкой мыши и добавьте раздел Параметр QWORD (64 бита), а затем задайте для него имя MitigationOptions.

  3. Щелкните правой кнопкой мыши раздел Устранение рисков , а затем выберите Изменить. Откроется окно Изменение значения QWORD (64-бита).

  4. Убедитесь, что для параметра Система исчисления установлено значение Шестнадцатеричная, а затем измените Значение параметра, обязательно сохранив текущее значение, как в важном примечании ниже.

    • Чтобы включить эту функцию, введите 1000000000000.

    • Чтобы выключить эту функцию, введите 2000000000000.

    • Чтобы выполнить аудит с помощью этой функции, введите 3000000000000.

      Важно!

      В процессе изменения значений необходимо сохранить существующие значения раздела MitigationOptions. Например, если текущее значение равно 1000, измененное значение должно быть равно 1000000001000.

  5. Перезапустите компьютер.

Просмотр журнала событий

После включения этой функции или использования режима аудита можно просмотреть журналы событий для получения дополнительных сведений.

Чтобы просмотреть журнал аудита, выполните следующие действия.

  1. Откройте средство "Просмотр событий" (eventvwr.exe) и перейдите в раздел Журналы приложений и служб/Microsoft/Windows/Win32k/Operational.
  2. Прокрутите содержимое окна вниз до строки EventID: 260 и просмотрите соответствующие события.

Пример события 1: Microsoft Word

Приложение WINWORD.EXE пыталось загрузить шрифт, использование которого ограничено политикой загрузки шрифтов.
Тип шрифта: память
Путь к шрифту:
Заблокирован: true

Примечание

Так как FontType имеет значение Memory, у нее нет связанного FontPath.

Пример события 2: Winlogon

Приложение Winlogon.exe пыталось загрузить шрифт, использование которого ограничено политикой загрузки шрифтов.
Тип шрифта: файл
FontPath: \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF
Заблокирован: true

Примечание

Так как fontType имеет значение File, существует также связанный FontPath.

Пример события 3: приложение Internet Explorer, работающее в режиме аудита

Приложение Iexplore.exe пыталось загрузить шрифт, использование которого ограничено политикой загрузки шрифтов.
Тип шрифта: память
Путь к шрифту:
Заблокирован: false

Примечание

В режиме аудита проблема записывается, но шрифт не блокируется.

Исправление приложений, проблемы в которых возникают из-за заблокированных шрифтов

Ваша организация может нуждаться в приложениях, в которых могут возникать проблемы из-за заблокированных шрифтов, поэтому рекомендуем сначала запустить эту функцию в режиме аудита, чтобы определить, какие шрифты приводят к возникновению проблем.

После определения проблемных шрифтов можно попытаться исправить приложения двумя способами: напрямую установив шрифты в каталог %windir%/Fonts или исключив базовые процессы и разрешив загрузку шрифтов. В качестве решения по умолчанию мы настоятельно рекомендуем установку проблемного шрифта. Установка шрифтов безопаснее исключения приложений, так как исключенные приложения смогут загрузить любой шрифт: надежный и ненадежный.

Чтобы исправить работу приложений, установив проблемные шрифты (рекомендуемый способ), выполните следующие действия

На каждом компьютере с установленным приложением щелкните правой кнопкой мыши имя шрифта и выберите Установить. Шрифт должен автоматически установиться в каталог %windir%\Fonts. Если это не так, необходимо вручную скопировать файлы шрифтов в каталог Шрифты и запустить установку оттуда.

Чтобы исправить приложения путем исключения процессов, выполните следующие действия.

  1. На каждом компьютере, где установлено приложение, откройте regedit.exe и перейдите к разделу HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<process_image_name>. Например, если вы хотите исключить процессы Microsoft Word, используйте HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.
  2. Добавьте здесь другие процессы, которые необходимо исключить, а затем включите функцию Блокирование ненадежных шрифтов, выполнив действия, описанные в разделе Включение и использование функции блокировки недоверенных шрифтов ранее в этой статье.