エンタープライズ内の信頼されていないフォントのブロック
信頼されていない、または攻撃者が制御するフォント ファイルにより発生する可能性のある攻撃から会社を保護するために、信頼されていないフォントのブロック機能が用意されています。この機能を使用して、グラフィックス デバイス インターフェイス (GDI) を使って処理された、信頼されていないフォントを従業員がネットワークに読み込むことを停止するグローバル設定を有効にすることができます。信頼されていないフォントとは、%windir%/Fonts ディレクトリの外部にインストールされているあらゆるフォントです。信頼されていないフォントをブロックすると、フォント ファイル解析プロセス中に発生する可能性のある、リモート (Web ベースまたはメール ベース) とローカルの両方の EOP 攻撃を防ぐのに役立ちます。
メリット
信頼されていないフォントのブロックは、フォント処理関連の攻撃からのネットワークと従業員の保護を強化するのに役立ちます。既定では、この機能は有効になっていません。
この機能の使用方法
この機能を使用する方法は、次の 3 とおりです。
オン。%windir%/Fonts ディレクトリの外部に、GDI を使って処理されたフォントが読み込まれないようにします。イベント ログの記録も有効になります。
監査。 イベント ログの記録が有効になりますが、場所に関係なく、フォントの読み込みはブロックされません。信頼されていないフォントを使用するアプリの名前が、イベント ログに表示されます。
注 この機能を組織で展開する準備が十分にできていない場合は、監査モードで実行して、信頼されていないフォントの読み込みにより操作性や互換性の問題が発生しないかどうかを確認することはできません。
信頼されていないフォントを読み込むアプリの除外。この機能が有効になっている場合でも、特定のアプリを除外して、信頼されていないフォントの読み込みを許可できます。詳しくは、「ブロックされたフォントのために問題が発生したアプリの修正」をご覧ください。
潜在的な機能低下
この機能を有効にした後は、次の場合に従業員が機能低下に直面する可能性があります。
この機能を使用しており、スプーラー プロセスが具体的に除外されていないリモート プリンター サーバーに印刷ジョブを送信する場合。この場合、既にサーバーの %windir%/Fonts フォルダーで使用可能なフォント以外は使用できなくなります。
インストールされているプリンターのグラフィックス .dll ファイルで提供されている、%windir%/Fonts フォルダー以外にあるフォントを使って印刷する場合。詳しくは、プリンター グラフィックス DLL の概要に関するページをご覧ください。
メモリ ベースのフォントを使用する、ファースト パーティ製またはサード パーティ製のアプリを使用する場合。
Internet Explorer を使って、埋め込みフォントを使用する Web サイトを表示する場合。この場合は、この機能で埋め込みフォントがブロックされるため、Web サイトで既定のフォントが使用されます。ただし、すべてのフォントにすべての文字が含まれるわけではないため、Web サイトでは異なる方法でレンダリングされる場合があります。
デスクトップの Office を使って、埋め込みフォントを含むドキュメントを表示する場合。この場合は、Office が選んだ既定のフォントを使って内容が表示されます。
信頼されていないフォントのブロック機能の有効化と使用
この機能を有効または無効にするか、または監査モードで使用するには、次の手順を実行します。
レジストリ エディター (regedit.exe) を開き、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\ に移動します。
MitigationOptions キーが存在しない場合は、右クリックし、新しい QWORD (64-bit) Value を追加して、その名前を MitigationOptions に変更します。
MitigationOptions キーの Value data を更新し、下の重要な注意事項のように、既存の値が保持されることを確認します。
- この機能を有効にするには、「1000000000000」と入力します。
- この機能を無効にするには、「2000000000000」と入力します。
- この機能を使って監査を行うには、 「3000000000000」と入力します。 重要 既存の MitigationOptions 値は、更新中に保存する必要があります。たとえば、現在の値が 1000 の場合は、更新された値が 1000000001000 となります。
コンピューターを再起動します。
イベント ログの表示
この機能を有効にした後、または監査モードを使い始めた後は、イベント ログで詳細を調べることができます。
.gif "Dn985836.wedge(ja-jp,VS.85).gif")
イベント ログを調べるには
イベント ビューアー (eventvwr.exe) を開き、アプリケーションとサービス ログ/Microsoft/Windows/Win32k/Operational に移動します。
下へ、EventID: 260 までスクロールし、関連するイベントを確認します。
イベントの例 1 - MS Word
WINWORD.EXE は、フォント読み込みポリシーによって制限されているフォントを読み込もうとします。
FontType: Memory
FontPath:
Blocked: true
注 FontType が Memory であるため、関連付けられている FontPath はありません。
イベントの例 2 - Winlogon
Winlogon.exe は、フォント読み込みポリシーによって制限されているフォントを読み込もうとします。
FontType: File
FontPath: \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF
Blocked: true
注 FontType が File であるため、関連付けられている FontPath もあります。
イベントの例 3 - 監査モードで実行されている Internet Explorer
Iexplore.exe は、フォント読み込みポリシーによって制限されているフォントを読み込もうとします。
FontType: Memory
FontPath:
Blocked: false
注 監査モードでは、問題が記録されますが、フォントはブロックされません。
ブロックされたフォントのために問題が発生したアプリの修正
会社では、フォントがブロックされたために問題が発生しているアプリでも、必要な場合があるため、最初にこの機能を監査モードで実行し、問題の原因であるフォントを特定することをお勧めします。
問題があるフォントを特定した後は、アプリを修正するために 2 つの方法を試すことができます。つまり、フォントを %windir%/Fonts ディレクトリに直接インストールするか、基になっているプロセスを除外してフォントの読み込みを可能にします。既定のソリューションとして、問題があるフォントをインストールすることをお勧めします。除外されたアプリは、信頼されているかどうかにかかわらず、すべてのフォントを読み込むことができるため、アプリを除外するより、フォントをインストールする方が安全です。
問題があるフォントをインストールしてアプリを修正するには (推奨)
アプリがインストールされている各コンピューターでフォント名を右クリックし、Install をクリックします。
フォントが自動的に %windir%/Fonts ディレクトリにインストールされます。インストールされない場合は、フォント ファイルを Fonts ディレクトリに手動でコピーし、そこからインストールを実行する必要があります。
プロセスを除外してアプリを修正するには
アプリがインストールされている各コンピューターで、regedit.exe を開き、HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name> に移動します。たとえば、Microsoft Word のプロセスを除外する場合は、HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe を使用します。
ここで、他に除外する必要のある処理を追加し、「信頼されていないフォントのブロック機能の有効化と使用」の手順 2. および 3. に従って、信頼されていないフォントのブロック機能を有効にします。