Share via

Bloquear fuentes que no son de confianza en una empresa

  • Artículo

A fin de proteger la empresa contra los ataques provocados con archivos de fuentes controlados por el atacante o poco confiables, hemos creado la característica de bloqueo de fuentes que no son de confianza. Con esta característica, puedes activar una configuración global que evite que los empleados carguen fuentes que no son de confianza procesadas mediante la Interfaz de dispositivo gráfico (GDI) en tu red. Las fuentes que no son de confianza incluyen cualquier fuente fuera del directorio %windir%/Fonts. El bloqueo de fuentes que no son de confianza ayuda a evitar ataques remotos (basados en web o en correo electrónico) y ataques de EOP locales que pueden producirse durante el proceso de análisis de archivos de fuentes.

¿Qué significa esto para mí?

El bloqueo de fuentes que no son de confianza te ayuda a mejorar la protección de la red y de los empleados contra los ataques relacionados con el procesamiento de fuentes. De manera predeterminada, esta característica no está activada.

¿Cómo funciona esta característica?

Hay tres formas de usar esta característica:

  • Activada. Evita que cualquier fuente procesada mediante la GDI se cargue fuera del directorio %windir%/Fonts. También activa el registro de eventos.

  • Auditoría. Activa el registro de eventos pero no bloquea la carga de las fuentes, independientemente de la ubicación. El nombre de las aplicaciones que usan fuentes que no son de confianza aparece en el registro de eventos.

    Nota  Si no estás preparado para implementar esta característica en tu organización, puedes ejecutarla en modo Auditoría para ver si el hecho de no cargar fuentes que no son de confianza provoca problemas de compatibilidad o facilidad de uso.

     

  • Excluir aplicaciones para cargar fuentes que no son de confianza. Puedes excluir aplicaciones específicas y permitir que carguen fuentes que no son de confianza incluso si la característica está activada. Para obtener instrucciones, consulta Corregir aplicaciones que tienen problemas a causa de fuentes bloqueadas.

Posibles reducciones de la funcionalidad

Después de activar esta característica, tus empleados pueden experimentar una funcionalidad reducida cuando:

  • Envían un trabajo de impresión a un servidor de impresora remoto que usa esta característica y en el que el proceso del administrador de trabajos en cola no se ha excluido específicamente. En esta situación, las fuentes que todavía no estén disponibles en la carpeta %windir%/Fonts del servidor no se usarán.

  • Imprimen usando fuentes proporcionadas por el archivo .dll de elementos gráficos de la impresora instalada, fuera de la carpeta %windir%/Fonts. Para más información, consulta el tema de introducción a los archivos DLL de elementos gráficos de impresora.

  • Usan aplicaciones propias o de terceros que usan fuentes basadas en memoria.

  • Usan Internet Explorer para ver sitios web que usan fuentes incrustadas. En esta situación, la característica bloquea la fuente incrustada, lo que provoca que el sitio web use una fuente predeterminada. Sin embargo, no todas las fuentes tienen todos los caracteres, por lo que es posible que la representación del sitio web sea diferente.

  • Usan Office de escritorio para ver documentos con fuentes incrustadas. En esta situación, el contenido se muestra con una fuente predeterminada que Office elige.

Activar y usar la característica de bloqueo de fuentes que no son de confianza

Para activar esta característica, desactivarla o usar el modo auditoría:

  1. Abre el editor del registro (regedit.exe) y ve a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\.

  2. Si la clave MitigationOptions no está allí, haz clic con el botón derecho, agrega un nuevo QWORD (64-bit) Value y cambia el nombre a MitigationOptions.

  3. Actualiza los Value data de la clave de MitigationOptions y asegúrate de conservar el valor existente, como en la nota importante que se incluye a continuación:

    • Para activar esta característica. Escribe 1000000000000.
    • Para desactivar esta característica. Escribe 2000000000000.
    • Para auditar con esta característica. Escribe 3000000000000. Importante  Los valores existentes de MitigationOptions deberían guardarse durante la actualización. Por ejemplo, si el valor actual es 1000, el valor actualizado debería ser 1000000001000.  

  4. Reinicia el equipo.

Ver el registro de eventos

Después de activar esta característica o empezar a usar el modo Auditoría, puedes ver los registros de eventos para obtener más información.

Dn985836.wedge(es-es,VS.85).gifPara ver el registro de eventos

  1. Abre el Visor de eventos (eventvwr.exe) y ve a Registros de aplicaciones y servicios/Microsoft/Windows/Win32k/Operational.

  2. Desplázate hacia abajo hasta EventID: 260 y revisa los eventos pertinentes.

    Ejemplo de evento 1: Microsoft Word

    WINWORD.EXE intentó cargar una fuente que está restringida por la directiva de carga de fuentes.

    FontType: memoria

    FontPath:

    Bloqueado: true

    Nota  Dado que FontType es Memory, no hay ningún valor de FontPath asociado.

     

    Ejemplo de evento 2: WinLogon

    Winlogon.exe intentó cargar una fuente que está restringida por la directiva de carga de fuentes.

    FontType: archivo

    FontPath: \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF

    Bloqueado: true

    Nota  Dado que FontType es File, tampoco hay ningún valor de FontPath asociado.

     

    Ejemplo de evento 3: Internet Explorer ejecutado en modo auditoría

    Iexplore.exe intentó cargar una fuente que está restringida por la directiva de carga de fuentes.

    FontType: memoria

    FontPath:

    Bloqueado: false

    Nota  En modo Auditoría, se registra el problema pero no se bloquea la fuente.

     

Corregir aplicaciones que tienen problemas a causa de fuentes bloqueadas

Es posible que tu empresa necesite aplicaciones que tienen problemas a causa de fuentes bloqueadas, por lo que se recomienda ejecutar primero esta característica en el modo Auditoría para determinar qué fuentes están causando los problemas.

Después de averiguar las fuentes problemáticas, puedes intentar corregir las aplicaciones de dos maneras: instalando directamente las fuentes en el directorio %windir%/Fonts o excluyendo los procesos subyacentes y dejando que se carguen las fuentes. Como solución predeterminada, es muy recomendable que instale la fuente problemática. La instalación de fuentes es más segura que la exclusión de aplicaciones porque las aplicaciones excluidas pueden cargar cualquier fuente, ya sea de confianza o no.

Dn985836.wedge(es-es,VS.85).gifPara corregir las aplicaciones mediante la instalación de las fuentes problemáticas (recomendado)

  • En cada equipo con la aplicación instalada, haz clic con el botón derecho en el nombre de la fuente y haz clic en Install.

    La fuente se debe instalar automáticamente en el directorio %windir%/Fonts. Si no se instala, deberás copiar manualmente los archivos de la fuente en el directorio Fuentes y ejecutar la instalación desde allí.

Dn985836.wedge(es-es,VS.85).gifPara corregir las aplicaciones mediante la exclusión de procesos

  1. En cada equipo con la aplicación instalada, abre regedit.exe y ve a HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>. Del mismo modo, si quieres excluir procesos de Microsoft Word, usarás HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.

  2. Agrega los procesos adicionales que se deben excluir aquí y luego activa la característica de bloqueo de fuentes que no son de confianza siguiendo los pasos 2 y 3 de Activar y usar la característica de bloqueo de fuentes que no son de confianza.