Bloquer les polices non approuvées dans une entreprise

Pour protéger votre entreprise des attaques pouvant provenir de fichiers de polices non approuvées ou contrôlées par une personne malveillante, nous avons créé la fonctionnalité Blocage des polices non approuvées. En utilisant cette fonctionnalité, vous pouvez activer un paramètre global qui empêche vos employés de charger les polices non approuvées traitées à l’aide de l’interface GDI sur votre réseau. Les polices non approuvées désignent toutes les polices installées en dehors du répertoire %windir%/Fonts. Le blocage des polices non approuvées permet d’éviter les attaques EOP à distance (sur le web ou par messagerie électronique) et locales qui peuvent se produire pendant le processus d’analyse de fichier de police.

Qu’est-ce que cela signifie pour moi ?

Le blocage des polices non approuvées permet d’améliorer votre réseau et protège vos employés contre les attaques liées au traitement des polices. Cette fonctionnalité est désactivée par défaut.

Comment fonctionne cette fonctionnalité ?

Il existe trois moyens d’utiliser cette fonctionnalité :

• Activé. Permet de bloquer le chargement en dehors du répertoire %windir%/Fontsde toutes les polices traitées à l’aide de l’interface GDI. Cela active également la journalisation des événements.

• Audit. Active la journalisation des événements, mais ne bloque pas le chargement des polices, quel que soit l’emplacement. Les noms des applications qui utilisent des polices non approuvées s’affichent dans le journal des événements.

  Remarque  Si vous n’êtes pas encore prêt à déployer cette fonctionnalité dans votre organisation, vous pouvez l’exécuter en mode Audit pour voir si le fait de ne pas charger les polices non approuvées entraîne des problèmes de compatibilité ou d’utilisation.

   

• Empêcher des applications de charger des polices non approuvées. Vous pouvez toutefois autoriser certaines applications spécifiques à charger des polices non approuvées, même si cette fonctionnalité est activée. Pour obtenir des instructions, voir Corriger les applications rencontrant des problèmes liés aux polices bloquées.

Réductions potentielles de fonctionnalité

Une fois cette fonctionnalité activée, vos employés peuvent rencontrer des problèmes de fonctionnalité réduite dans les cas suivants :

• Envoi d’un travail d’impression vers un serveur d’impression distant qui utilise cette fonctionnalité et dans lequel le processus du spouleur n’a pas été explicitement exclu. Dans ce cas, les polices qui ne sont pas déjà disponibles dans le dossier %windir%/Fonts du serveur ne seront pas utilisées.

• Impression à l’aide de polices fournies par le fichier .dll de graphiques de l’imprimante installée, en dehors du dossier %windir%/Fonts. Pour plus d’informations, voir la rubrique Présentation des fichiers DLL de graphiques de l’imprimante.

• Utilisation d’applications internes ou tierces qui utilisent des polices basées sur la mémoire.

• Utilisation d’Internet Explorer pour consulter des sites web qui utilisent des polices intégrées. Dans ce cas, la fonctionnalité bloque la police incorporée, ce qui oblige le site web à utiliser une police par défaut. Cependant, certaines polices ne possédant pas tous les caractères, le site web peut les afficher différemment.

• Utilisation de Microsoft Office pour consulter des documents contenant des polices intégrées. Dans ce cas, le contenu s’affiche à l’aide d’une police par défaut choisie par Office.

Activer et utiliser la fonctionnalité Blocage des polices non approuvées

Pour activer cette fonctionnalité, la désactiver ou l’utiliser en mode audit :

1. Ouvrez l’Éditeur du Registre (regedit.exe) et accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\.

2. Si la touche MitigationOptions n’existe pas, faites un clic à l’aide du bouton droit et ajoutez un nouveau QWORD (64-bit) Value, en le renommant MitigationOptions.

3. Mettez à jour la valeur Value data de la touche MitigationOptions, en vous assurant de conserver la valeur existante, comme indiqué dans la remarque importante ci-dessous :

   • Pour activer cette fonctionnalité. Entrez 1000000000000.
   • Pour désactiver cette fonctionnalité. Entrez 2000000000000.
   • Pour effectuer un audit avec cette fonctionnalité. Entrez 3000000000000. Important  Les valeurs MitigationOptions existantes doivent être enregistrées pendant la mise à jour. Par exemple, si la valeur actuelle est 1000, la valeur mise à jour doit être 1000000001000.  

4. Redémarrez votre ordinateur.

Afficher le journal des événements

Une fois que vous activez cette fonctionnalité ou que vous commencez à utiliser le mode Audit, vous pouvez consulter vos journaux d’événements pour plus de détails.

Consulter le journal des événements

1. Ouvrez l’observateur d’événements (eventvwr.exe) et accédez à Journaux des applications et du service/Microsoft/Windows/Win32k/Opérationnel.

2. Faites défiler l’écran vers le bas jusqu’à EventID: 260 et examinez les événements pertinents.

   Exemple d’événement 1 - MS Word

   WINWORD. EXE a tenté de charger une police qui est limitée par la stratégie de chargement de police.

   FontType : Mémoire

   FontPath :

   Bloqué : True

   Remarque  Étant donné que le FontType est Memory, aucun FontPath n’est associé.

    

   Exemple d’événement 2 - Winlogon

   Winlogon.exe a tenté de charger une police qui est limitée par la stratégie de chargement de police.

   FontType : Fichier

   FontPath : \??\C:\PROGRAM FILES (X86)\FICHIERS COMMUNS\MICROSOFT SHARED\ÉQUATION\MTEXTRA.TTF

   Bloqué : True

   Remarque  Étant donné que le FontType est File, il est également associé à un FontPath.

    

   Exemple d’événement 3 - Internet Explorer s’exécutant en mode audit

   Iexplore.exe a tenté de charger une police qui est limitée par la stratégie de chargement de police.

   FontType : Mémoire

   FontPath :

   Bloqué : False

   Remarque  En mode Audit, le problème est enregistré, mais la police n’est pas bloquée.

    

Corriger les applications rencontrant des problèmes liés aux polices bloquées

Votre société peut avoir besoin d’utiliser des applications qui rencontrent des problèmes liés aux polices bloqués. Nous vous suggérons de commencer à exécuter cette fonctionnalité en mode Audit pour identifier les polices qui sont à l’origine des problèmes.

Une fois que vous avez identifié les polices qui posent problème, vous pouvez essayer de corriger vos applications de deux manières : en installant directement les polices dans le répertoire %windir%/Fonts ou en excluant les processus sous-jacents et en autorisant le chargement des polices. Par défaut, nous recommandons l’installation de la police problématique. L’installation des polices est plus sûre que l’exclusion des applications, car les applications exclues peuvent charger toutes les polices, approuvées ou non approuvées.

Corriger vos applications en installant les polices problématiques (recommandé)

• Sur chaque ordinateur disposant de l’application, cliquez avec le bouton droit sur le nom de la police, puis cliquez sur Install.

  La police doit automatiquement s’installer dans votre répertoire %windir%/Fonts. Si ce n’est pas le cas, vous devez copier manuellement les fichiers de polices dans le répertoire Polices, puis exécuter l’installation à partir de cet emplacement.

Corriger vos applications en excluant des processus

1. Sur chaque ordinateur disposant de l’application, ouvrez regedit.exe et accédez à HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>. Par exemple, si vous souhaitez exclure des processus de Microsoft Word, vous pouvez utiliser HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.

2. Ajoutez tous les autres processus qui doivent être exclus ici, puis activez la fonctionnalité Blocage des polices non approuvées, en suivant les étapes 2 et 3 de l’article Activer et utiliser la fonctionnalité Blocage des polices non approuvées.