Calcweb.ru

Информационный портал
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как в Windows 10 включить функцию блокировки недоверенных шрифтов

Блокирование недоверенных шрифтов в организации

Дополнительные сведения о том, какие компоненты и функции поддерживаются в каждом выпуске Windows, см. в разделе Сравнение выпусков Windows 10.

Чтобы защитить вашу компанию от атак, которые могут возникнуть из файлов шрифтов, управляемых злоумышленниками, мы создали функцию Blocking Untrusted Fonts. С помощью этой функции вы можете включить глобальный параметр, который предотвращает загрузку сотрудниками в вашей сети недоверенных шрифтов, обрабатываемых с помощью интерфейса графических устройств (GDI). Ненадежные шрифты — это любые шрифты, установленные вне каталога %windir%/Fonts . Блокирование недоверенных шрифтов позволяет предотвратить как удаленные (в Интернете или через электронную почту), так и локальные атаки, связанные с повышением привилегий, которые могут произойти во время анализа файла шрифта.

Что это значит для меня?

Блокирование недоверенных шрифтов позволяет усилить защиту вашей сети и сотрудников от атак, связанных с обработкой шрифтов. По умолчанию эта функция не включена.

Как работает эта функция?

Есть 3 способа использования этой функции.

Включено. Запрет загрузки всех шрифтов, обработанных с помощью GDI, за пределами каталога %windir%/Fonts . Это также включает регистрацию событий.

Аудит. Включает регистрацию событий, но не блокирует загрузку шрифтов независимо от их местоположения. В журнале событий регистрируются имена приложений, которые используют ненадежные шрифты.

Если вы еще не готовы развернуть эту функцию в организации, ее можно запустить в режиме аудита, чтобы увидеть, не вызывает ли загрузка ненарушимых шрифтов какие-либо проблемы с юзабью или совместимостью.

Создание исключений для приложений, которым необходимо разрешить загружать ненадежные шрифты. Вы можете создать исключения для определенных приложений, разрешив им загружать ненадежные шрифты, даже если эта функция включена. Инструкции см. в разделе Исправление приложений, проблемы в которых возникают из-за заблокированных шрифтов.

Возможное ухудшение функциональных возможностей

После включения этой функции ваши сотрудники могут заметить снижение функциональных возможностей в следующих случаях.

Отправка задания печати на удаленный сервер печати, который использует эту функцию и на котором процесс очереди печати не был исключен явным образом. В этой ситуации все шрифты, которые еще недоступны в папке %windir%/Fonts сервера, не будут использоваться.

Печать с использованием шрифтов, предоставленных установленным DLL-файлом графики принтера и расположенных за пределами папки %windir%/Fonts. Дополнительные сведения см. в статье Общие сведения о библиотеках DLL графики принтера.

Использование собственных или сторонних приложений, которые задействуют размещенные в памяти шрифты.

Читайте так же:
Новые социальные сети 2021

Просмотр веб-сайтов со встроенными шрифтами с помощью Internet Explorer. В этой ситуации функция блокирует встроенный шрифт, что приводит к использованию на этом веб-сайте шрифта по умолчанию. Однако не все шрифты имеют необходимые знаки, поэтому веб-сайт может отображаться по-другому.

Использование Office на настольном компьютере для просмотра документов со встроенными шрифтами. В этом случае содержимое отображается с использованием шрифта по умолчанию, выбранного приложением Office.

Включение и использование функции блокирования недоверенных шрифтов

Используйте групповую политику или реестр, чтобы включить или отключить эту функцию, а также использовать режим аудита.

Включение и использование функции блокирования недоверенных шрифтов с помощью групповой политики

Откройте редактор групповых политик (gpedit.msc) и перейдите в Computer ConfigurationAdministrative TemplatesSystemMitigation OptionsUntrusted Font Blocking .

Щелкните Включено, чтобы включить функцию, а затем нажмите один из следующихвариантов смягчения:

Блокировать ненадежные шрифты и вести журнал событий. Включает функцию, блокирует ненадежные шрифты и записывает попытки их установки в журнал событий.

Не блокировать ненадежные шрифты. Включает функцию, но не блокирует ненадежные шрифты и не записывает попытки их установки в журнал событий.

Вести журнал без блокирования недоверенных шрифтов. Включает функцию, записывает попытки установки в журнал событий, но не блокирует ненадежные шрифты.

Нажмите кнопку OK.

Включение и использование функции блокирования недоверенных шрифтов в реестре Чтобы включить или выключить эту функцию, а также использовать режим аудита, выполните следующие действия.

Откройте редактор реестра (regedit.exe) и перейдите в группу HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKernel .

Если в ней нет раздела MitigationOptions, щелкните правой кнопкой мыши и добавьте раздел Параметр QWORD (64бита), а затем задайте для него имя MitigationOptions.

Щелкните правой кнопкой мыши ключ MitigationOptions и нажмите Изменить.

Откроется окно Изменение значения QWORD (64-бита).

Убедитесь, что для параметра Система исчисления установлено значение Шестнадцатеричная, а затем измените Значение параметра, обязательно сохранив текущее значение, как в важном примечании ниже.

Чтобы включить эту функцию, введите 1000000000000.

Чтобы выключить эту функцию, введите 2000000000000.

Чтобы выполнить аудит с помощью этой функции, введите 3000000000000.

В процессе изменения значений необходимо сохранить существующие значения раздела MitigationOptions. Например, если текущее значение равно 1000, измененное значение должно быть равно 1000000001000.

Просмотр журнала событий

После включения этой функции или ее запуска в режиме аудита вы сможете просматривать сведения в журналах событий.

Читайте так же:
Код ошибки 118, 105, 101, 137 в Стиме

Чтобы просмотреть журнал аудита, выполните следующие действия.

Откройте средство "Просмотр событий" (eventvwr.exe) и перейдите в раздел Журналы приложений и служб/Microsoft/Windows/Win32k/Operational.

Прокрутите содержимое окна вниз до строки EventID:260 и просмотрите соответствующие события.

Пример события1: Microsoft Word
Приложение WINWORD.EXE пыталось загрузить шрифт, использование которого ограничено политикой загрузки шрифтов.
Тип шрифта: память
Путь к шрифту:
Заблокирован: true

Так как параметр Тип шрифта имеет значение Память, то у него нет связанного параметра Путь к шрифту.

Пример события2: Winlogon
Приложение Winlogon.exe пыталось загрузить шрифт, использование которого ограничено политикой загрузки шрифтов.
Тип шрифта: файл
Путь к шрифту: ??C:PROGRAM FILES (X86)COMMON FILESMICROSOFT SHAREDEQUATIONMTEXTRA.TTF
Заблокирован: true

Так как параметр Тип шрифта имеет значение Файл, то у него есть связанный параметр Путь к шрифту.

Пример события3: приложение Internet Explorer, работающее в режиме аудита
Приложение Iexplore.exe пыталось загрузить шрифт, использование которого ограничено политикой загрузки шрифтов.
Тип шрифта: память
Путь к шрифту:
Заблокирован: false

В режиме аудита проблема регистрируется, однако шрифт не блокируется.

Исправление приложений, проблемы в которых возникают из-за заблокированных шрифтов

Ваша организация может нуждаться в приложениях, в которых могут возникать проблемы из-за заблокированных шрифтов, поэтому рекомендуем сначала запустить эту функцию в режиме аудита, чтобы определить, какие шрифты приводят к возникновению проблем.

После того как вы выявите проблемные шрифты, вы можете попробовать решить проблему двумя способами: установить шрифты непосредственно в каталог %windir%/Fonts или создать исключения для соответствующих процессов и разрешить загрузку шрифтов. В качестве решения по умолчанию мы настоятельно рекомендуем установку проблемного шрифта. Установка шрифтов безопаснее исключения приложений, так как исключенные приложения смогут загрузить любой шрифт: надежный и ненадежный.

Чтобы исправить работу приложений, установив проблемные шрифты (рекомендуемый способ), выполните следующие действия

    На каждом компьютере, на котором установлено приложение, щелкните правой кнопкой мыши имя шрифта, затем щелкните Установить.

Чтобы исправить приложения путем исключения процессов, выполните следующие действия.

На каждом компьютере, где установлено приложение, откройте regedit.exe и перейдите к разделу HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options<process_image_name> .

Например, если необходимо исключить процессы Microsoft Word, следует использовать значение HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsWinword.exe .

Добавьте дополнительные процессы, которые необходимо исключить здесь, а затем включив функцию Блокировка ненадзорных шрифтов, используя действия в включаемой и используйте функцию Blocking Untrusted Fonts, ранее в этой статье.

Читайте так же:
Как в uTorrent отключить рекламу, не заходя в настройки клиента

Как в Windows 10 предотвратить загрузку ненадежных шрифтов

Как в Windows 10 предотвратить загрузку ненадежных шрифтовОбеспечение безопасности ИТ-инфраструктуры организации – вот одна из основных задач каждого администратора парка компьютеров, подключенных к центральной машине. Большинство пользователей даже не подозревают, что при инсталляции сторонних программ, некоторые из них устанавливают в систему дополнительные шрифты, которые необходимы для корректной работы самой программы. Если программа оправдывает их ожидания, пользователи продолжают использовать ее дальше и совершенно забывают о возможной угрозе безопасности системы со стороны конкретного программного обеспечения.

Не все программы являются ом уязвимостей, но некоторые из них вполне могут быть таковыми. Таким образом, с точки зрения безопасности, очень важно принять меры предосторожности заранее, чтобы избежать любой непредвиденной ситуации.

Из текста этой статьи вы узнаете, как включить новую функцию безопасности в Windows 10, которая позволяет дополнительно защитить систему путем предотвращения загрузки недоверенных шрифтов программами. Недоверенным шрифтом операционная система будет считать любой шрифт, устанавливаемый в любой каталог, отличный от корневого каталога шрифтов Windows (%windir%Fonts).

ПРИМЕЧАНИЕ: «Редактор локальной групповой политики» доступен только в профессиональных и корпоративных редакциях Windows.

Итак, нажмите Как в Windows 10 предотвратить загрузку ненадежных шрифтов+ R и введите gpedit.msc в строку диалогового окна «Выполнить». Затем нажмите Ввод или OK, чтобы открыть «Редактор локальной групповой политики».

Как в Windows 10 предотвратить загрузку ненадежных шрифтов

В окне GPEdit проследуйте по следующему пути:

Конфигурация компьютера -> Административные шаблоны -> Система -> Параметры уменьшения рисков

Как в Windows 10 предотвратить загрузку ненадежных шрифтов

В правой части окна вы увидите политику под названием «Блокирование недоверенных шрифтов», которая позволяет развернуть глобальный параметр, запрещающий программам устанавливать в систему ненадежные шрифты. По умолчанию эта политика не настроена. Щелкните дважды, чтобы увидеть это:

Как в Windows 10 предотвратить загрузку ненадежных шрифтов

В настройках политики выберите «Включено», а затем укажите один из трех режимов работы функции в разделе «Параметры уменьшения рисков»:

Закончив с настройками, нажмите «Применить», а затем «OK». Закройте окно Group Policy Editor и выполните перезагрузку, чтобы изменения могли вступить в силу.

Блокировка загрузки недоверенных шрифтов в Windows 10

date26.11.2018
useritpro
directoryWindows 10
commentsКомментариев пока нет

Одним из способов атаки на Windows машины, который получает все более широкое распространение, является эксплуатация уязвимостей в драйвере шрифтов Windows через загрузку и выполнение пользователем специально сформированного файла шрифта. Чтобы реализовать такую атаку – злоумышленнику достаточно вынудить пользователя открыть специально сконструированный документ, веб-страницу или запустить специальное приложение (безопасное само по себе), которое загружает шрифт с вредоносным кодом из внешнего источника. В Windows 10 появилась встроенная возможность запретить загрузку и выполнение «сторонних» шрифтов, т.е. тех, которые не уставлены в системе и не располагаются в каталоге %WINDIR%Fonts.

Читайте так же:
Как в Windows 10 Redstone 4 можно будет контролировать трафик, потребляемый приложениями и Центром обновлений

Для управления загрузкой сторонних шрифтов в Windows 10 появился отдельный параметр групповой политики, который находится в разделе консоли gpedit.msc: Computer Configuration -> Administrative Templates -> System -> Mitigation Options . Параметр называется Untrusted Font Blocking. Доступны 3 режима работы данной политики:

  • Block untrusted fonts and log events – полностью запретить приложениям загружать сторонние шрифты из любой папки, кроме %windir%Fonts и записывать всю информацию в журнал
  • Do not block untrusted fonts – сторонние шрифты не блокируются (значение по умолчанию)
  • Log events without blocking untrusted fonts – так называемый режим аудита, когда загрузка и установка сторонних шрифтов не блокируется, но информация о шрифте и установившем его приложении записывается в журнал

Политика блокировки установки шрифтов

В домашних версиях Windows 10 Home (в которых отсутствует редактор групповых политик), управление этой защитной функцией возможно только через реестр. Для этого в ветке реестре HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKernel нужно создать параметр типа QWORD (64-bit) с именем MitigationOptions. Параметру нужно задать одно из следующих значений:

  • Блокировка шрифтов включена – 1000000000000
  • Отключен – 2000000000000
  • Режим аудита – 3000000000000

Параметр реестра MitigationOptions для запрета загрузки сторонних шрифтов

После внесения изменений нужно перезагрузить систему.

Если нужно, чтобы политика запрета загрузки шрифтов не действовала на конкретное приложение, его можно добавить в исключения. К примеру, чтобы Outlook корректно отображал письма со встроенными шрифтами, нужно в ветке реестра HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options создать подключ с именем исполняемого файла приложения. В нашем случае это будет outlook.exe.

Файлы программ исключенных из политики

При включении политики аудита, все связанные события находится в разделе системного журнала приложения Application-> Service Logs -> Microsoft -> Windows -> Win32k ->Operational. Нас интересуют события с EventID 260

Microsoft EMET 5.5 Block Untrusted Fonts

Функцией блокировка сторонних шрифтов также можно управлять через Microsoft EMET 5.5. Для этого в интерфейсе EMET нужно включить опцию Block Untrusted Fonts.

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

Как в Windows 10 отключить загрузку недоверенных шрифтов

В то время, когда разработчики Microsoft стремятся сделать Windows более безопасной и защищённой, злоумышленники ищут уязвимости и способы обхода защиты. В последнее время всё больше внимания они стали уделять уязвимости в драйвере шрифтов, позволяющей загружать в систему шрифты с вредоносным кодом, причём, чтобы установить такой шрифт, злоумышленнику достаточно заманить пользователя на специально созданную веб-страницу или вынудить его открыть текстовый документ.

Читайте так же:
Как в Windows защититься от новой уязвимости PrintNightmare

К счастью, в Windows 10 имеется функция, позволяющая блокировать загрузку и установку любых недостоверных (сторонних) шрифтов, под коими следует понимать все шрифты, которые не располагаются в системной папке Fonts. Получить к функции доступ можно либо через редактор локальных групповых политик, либо через реестр, что может иметь место если первый отсутствует в системе.

Командой gpedit.msc откройте редактор политик и последовательно раскройте в левой колонке ветку Конфигурация компьютера → Административные шаблоны → Параметры уменьшения рисков .

В последнем подразделе имеется параметр «Блокирование недоверенных шрифтов». Кликните по нему два раза, в открывшемся диалоговом окне переключите радиокнопку в положение «Включено», а затем выберите в расположенном ниже выпадающем списке режим «Блокировать недоверенные шрифты и файлы журнала». Его активация запрещает использование системой любых шрифтов, кроме тех, которые располагаются в папке Fonts, а также предотвращает запись данных о событии в журнал.

Режим «Не блокировать недоверенные шрифты» используются в Windows 10 по умолчанию. Если его выставить, система будет загружать и использовать любые шрифты, в том числе сторонние. При использовании третьего режима «События журнала без блокирования ненадёжных шрифтов» сторонние шрифты будут устанавливаться, а сведение о нём и установившем его приложении будет записываться в журнал событий.

Ту же самую настройку можно выполнить через реестр.

  1. Командой regedit откройте редактор реестра и разверните ветку HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Kemel.
  2. Создайте в последнем подразделе новый параметр типа QWORD (64-bit) с именем MitigationOptions и установите в качестве его значения 1000000000000.
  3. Также параметр MitigationOptions может принимать значение 2000000000000 (установка недоверенных шрифтов разрешена) и 3000000000000 (установка шрифтов с записью данных в журнал событий). Чтобы новые настройки вступили в силу, после внесения изменений необходимо перезагрузить компьютер.

Примечание: обращаем ваше внимание, что после отключения загрузки недоверенных шрифтов, в некоторых вполне безопасных приложениях — тех, которые используют собственных шрифты, последние могут отображаться некорректно.

Решить эту проблему можно добавлением приложения в исключения. Для этого в реестре необходимо развернуть ветку HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и добавить в конец ещё один подраздел с именем и расширением исполняемого файла приложения.

голоса
Рейтинг статьи
Ссылка на основную публикацию