Blockieren von nicht vertrauenswürdigen Schriftarten in einem Unternehmen

Um Ihr Unternehmen vor Angriffen zu schützen, die möglicherweise auf nicht vertrauenswürdige oder vom Angreifer gesteuerte Schriftartdateien zurückgehen, haben wir das Feature zum Blockieren nicht vertrauenswürdiger Schriftarten erstellt. Mit diesem Feature können Sie eine globale Einstellung aktivieren, mit der für Ihre Mitarbeiter das Laden von nicht vertrauenswürdigen Schriftarten verhindert wird, die mit der Graphics Device Interface (GDI) in Ihrem Netzwerk verarbeitet werden. Nicht vertrauenswürdige Schriftarten sind alle Schriftarten, die außerhalb des Verzeichnisses %windir%/Fonts installiert sind. Das Blockieren von nicht vertrauenswürdigen Schriftarten verhindert sowohl EOP-Remoteangriffe (webbasiert oder E-Mail-basiert) als auch lokale EOP-Angriffe, die beim Analysieren von Schriftartdateien auftreten können.

Was bedeutet das für mich?

Wenn Sie nicht vertrauenswürdige Schriftarten blockieren, verbessert dies den Schutz des Netzwerks und der Mitarbeiter vor Angriffen, die mit der Verarbeitung von Schriftarten zusammenhängen. Dieses Feature ist standardmäßig nicht aktiviert.

Wie funktioniert dieses Feature?

Es gibt drei Möglichkeiten, dieses Feature zu verwenden:

• Aktiviert: Verhindert, dass per GDI verarbeitete Schriftarten außerhalb des Verzeichnisses %windir%/Fonts geladen werden. Außerdem wird die Ereignisprotokollierung aktiviert.

• Überwachung: Aktiviert die Ereignisprotokollierung, aber das Laden von Schriftarten wird – unabhängig vom Speicherort – nicht blockiert. Die Namen der Apps, in denen nicht vertrauenswürdige Schriftarten verwendet werden, sind in Ihrem Ereignisprotokoll aufgeführt.

  Hinweis  Wenn Sie noch nicht bereit dafür sind, dieses Feature in Ihrem Unternehmen bereitzustellen, können Sie es im Überwachungsmodus ausführen. So können Sie testen, ob das Blockieren des Ladens von nicht vertrauenswürdigen Schriftarten zu Problemen bei der Benutzerfreundlichkeit oder Kompatibilität führt.

   

• Blockierung von nicht vertrauenswürdigen Schriftarten für Apps ausschließen: Sie können bestimmte Apps ausschließen, damit dafür nicht vertrauenswürdige Schriftarten auch dann geladen werden können, wenn dieses Feature aktiviert ist. Eine Anleitung hierzu finden Sie unter Beheben von App-Problemen aufgrund von blockierten Schriftarten.

Mögliche Reduzierung der Funktionalität

Wenn Sie dieses Feature aktivieren, kann in folgenden Fällen die Funktionalität für die Mitarbeiter eingeschränkt sein:

• Senden eines Druckauftrags an einen Remotedruckerserver, für den dieses Feature verwendet wird und der Spoolerprozess nicht explizit ausgeschlossen wurde. In diesem Fall werden all die Schriftarten nicht verwendet, die nicht bereits im Ordner %windir%/Fonts des Servers verfügbar sind.

• Drucken von Schriftarten, die über die installierte DLL-Grafikdatei des Druckers bereitgestellt werden und außerhalb des Ordners %windir%/Fonts vorliegen. Weitere Informationen hierzu finden Sie unter Einführung in DLL-Grafikdateien von Druckern.

• Mithilfe von Erstanbieter- oder Drittanbieter-Apps, für die arbeitsspeicherbasierte Schriftarten verwendet werden.

• Mit Internet Explorer, um Websites anzuzeigen, für die eingebettete Schriftarten verwendet werden. In diesem Fall sperrt das Feature die eingebettete Schriftart, sodass für die Website die Verwendung einer Standardschriftart erzwungen wird. Da nicht alle Schriftarten über alle Zeichen verfügen, kann es sein, dass die Website anders dargestellt wird.

• Bei Office für Desktops, wenn Dokumente mit eingebetteten Schriftarten angezeigt werden. In diesem Fall werden Inhalte in einer Standardschriftart angezeigt, die in Office ausgewählt wird.

Aktivieren und Verwenden des Features zum Blockieren nicht vertrauenswürdiger Schriftarten

So können Sie dieses Feature aktivieren bzw. deaktivieren oder im Überwachungsmodus verwenden

1. Öffnen Sie den Registrierungs-Editor (regedit.exe), und wechseln Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\.

2. Falls der Schlüssel MitigationOptions nicht vorhanden ist, klicken Sie mit der rechten Maustaste und fügen den neuen Wert QWORD (64-bit) Value hinzu. Benennen Sie ihn in MitigationOptions um.

3. Aktualisieren Sie den Wert Value data des Schlüssels MitigationOptions, und achten Sie darauf, dass Sie Ihren vorhandenen Wert beibehalten. Dies ist im folgenden wichtigen Hinweis dargestellt:

   • Feature aktivieren: Geben Sie 1000000000000 ein.
   • Feature deaktivieren: Geben Sie 2000000000000 ein.
   • So aktivieren Sie den Überwachungsmodus für dieses Feature Geben Sie 3000000000000 ein. Wichtig  Beim Aktualisierungsvorgang sollten Ihre vorhandenen Werte unter MitigationOptions gespeichert werden. Wenn der aktuelle Wert beispielsweise 1000 lautet, sollte der aktualisierte Wert 1000000001000 lauten.  

4. Starten Sie den Computer neu.

Anzeigen des Ereignisprotokolls

Nachdem Sie dieses Feature aktiviert oder den Überwachungsmodus gestartet haben, können Sie die Ereignisprotokolle mit den Details anzeigen.

So zeigen Sie das Ereignisprotokoll an

1. Öffnen Sie die Ereignisanzeige (eventvwr.exe), und wechseln Sie zu Anwendungs- und Dienstprotokolle/Microsoft/Windows/Win32k/Operational.

2. Führen Sie einen Bildlauf nach unten zu EventID: 260 durch, und überprüfen Sie die entsprechenden Ereignisse.

   Ereignisbeispiel 1 – MS Word

   WINWORD.EXE hat versucht, eine Schriftart zu laden, für die eine Einschränkung durch eine Richtlinie zum Laden von Schriftarten besteht.

   FontType: Memory

   FontPath:

   Blocked: true

   Hinweis  Da FontType den Wert Memory hat, ist keine Zuordnung von FontPath vorhanden.

    

   Ereignisbeispiel 2 – Windows-Anmeldung

   Winlogon.exe hat versucht, eine Schriftart zu laden, für die eine Einschränkung durch eine Richtlinie zum Laden von Schriftarten besteht.

   FontType: File

   FontPath: \??\C:\PROGRAMME (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF

   Blocked: true

   Hinweis  Da FontType den Wert File hat, ist auch eine Zuordnung von FontPath vorhanden.

    

   Ereignisbeispiel 3 – Im Überwachungsmodus ausgeführter Internet Explorer

   Iexplore.exe hat versucht, eine Schriftart zu laden, für die eine Einschränkung durch eine Richtlinie zum Laden von Schriftarten besteht.

   FontType: Memory

   FontPath:

   Blocked: false

   Hinweis  Im Überwachungsmodus wird das Problem aufgezeichnet, aber die Schriftart wird nicht blockiert.

    

Beheben von App-Problemen aufgrund von blockierten Schriftarten

Es kann sein, dass Sie in Ihrem Unternehmen Apps benötigen, für die aufgrund von blockierten Schriftarten Probleme auftreten. Daher empfehlen wir, dieses Feature zuerst im Überwachungsmodus auszuführen, um zu ermitteln, welche Schriftarten Probleme verursachen.

Nachdem Sie die problematischen Schriftarten ermittelt haben, haben Sie zwei Möglichkeiten, dies für Ihre Apps zu beheben: Sie können die Schriftarten direkt im Verzeichnis %windir%/Fonts installieren oder die zugrunde liegenden Prozesse ausschließen und das Laden der Schriftarten zulassen. Als Standardlösung wird dringend empfohlen, die problematische Schriftart zu installieren. Das Installieren von Schriftarten ist sicherer als das Ausschließen von Apps, da von ausgeschlossenen Apps alle Schriftarten – ob vertrauenswürdig oder nicht – geladen werden können.

So lösen Sie das Problem für Apps, indem Sie die problematischen Schriftarten installieren (empfohlen)

• Klicken Sie auf jedem Computer, auf dem die App installiert ist, mit der rechten Maustaste auf den Namen der Schriftart, und klicken Sie dann auf Install.

  Die Schriftart sollte automatisch im Verzeichnis %windir%/Fonts installiert werden. Ist dies nicht der Fall, müssen Sie die Schriftartendateien manuell in das Verzeichnis Schriftarten kopieren und die Installation von dort ausführen.

So beheben Sie das Problem für Apps durch das Ausschließen von Prozessen

1. Öffnen Sie „regedit.exe“ auf jedem Computer, auf dem die App installiert ist, und wechseln Sie zu HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>. Wenn Sie beispielsweise Microsoft Word-Prozesse ausschließen möchten, verwenden Sie HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.

2. Fügen Sie hier alle zusätzlichen Prozesse hinzu, die ausgeschlossen werden sollen. Aktivieren Sie anschließend das Feature zum Blockieren nicht vertrauenswürdiger Schriftarten, indem Sie die Schritte 2 und 3 unter Aktivieren und Verwenden des Features zum Blockieren nicht vertrauenswürdiger Schriftarten ausführen.