Bloquear fontes não confiáveis em uma empresa

  • Artigo

Para ajudar a proteger sua empresa contra ataques que podem surgir de arquivos de fontes não confiáveis ou controladas por hackers, criamos o recurso Bloqueio de Fontes Não Confiáveis. Ao usar esse recurso, você pode ativar uma configuração global que impede que seus funcionários carreguem fontes não confiáveis processadas usando GDI (Graphics Device Interface) em sua rede. Fonte não confiável é qualquer fonte instalada fora do diretório %windir%/Fonts. O bloqueio de fontes não confiáveis ajuda a evitar ataques EOP remotos (baseados em email ou na Web) e locais que podem ocorrer durante o processo de análise de arquivo de fonte.

O que isso significa para mim?

O bloqueio de fontes não confiáveis ajuda a melhorar a proteção da sua rede e de funcionários contra ataques relacionados ao processamento de fontes. Por padrão, esse recurso não está ativado.

Como funciona esse recurso?

Há três maneiras de usar o recurso:

  • Ativado. Ajuda a impedir que qualquer fonte processada usando GDI seja carregada fora do diretório %windir%/Fonts. Ele também ativa o log de eventos.

  • Auditoria. Ativa o log de eventos, mas não bloqueia o carregamento de fontes, independentemente do local. O nome dos aplicativos que usam fontes não confiáveis aparece no log de eventos.

    Observação  Se você ainda não estiver preparado para implantar esse recurso na organização, execute-o no modo de auditoria para verificar se haverá problemas de usabilidade e compatibilidade caso fontes não confiáveis não sejam carregadas.

     

  • Excluir aplicativos para carregar fontes não confiáveis. Você pode excluir aplicativos específicos, permitindo que eles carreguem fontes não confiáveis, mesmo enquanto este recurso estiver ativado. Para obter instruções, consulte Corrigir aplicativos que estão apresentando problemas por causa de fontes bloqueadas.

Possíveis reduções na funcionalidade

Depois da ativação desse recurso, seus funcionários podem perceber redução na funcionalidade ao:

  • Enviar um trabalho de impressão a um servidor de impressora remota que usa esse recurso e onde o processo de spooler não tiver sido especificamente excluído. Nessa situação, fontes que ainda não estiverem disponíveis na pasta %windir%/Fonts do servidor não serão usadas.

  • Imprimir usando as fontes fornecidas pelo arquivo .dll de elementos gráficos da impressora instalada, fora da pasta %windir%/Fonts. Para saber mais, consulte Introdução a DLLs de elementos gráficos da impressora.

  • Usar aplicativos internos ou de terceiros que usam fontes baseadas em memória.

  • Usar o Internet Explorer para exibir sites que usam fontes inseridas. Nessa situação, o recurso bloqueia a fonte inserida, fazendo com que o site use uma fonte padrão. No entanto, nem todas as fontes têm todos os caracteres, portanto o site pode ser renderizado de maneira diferente.

  • Usar o Office da área de trabalho para exibir documentos com fontes inseridas. Nessa situação, o conteúdo é exibido usando uma fonte padrão selecionada pelo Office.

Ativar e usar o recurso Bloqueio de Fontes Não Confiáveis

Para ativar e desativar o recurso ou usar o modo de auditoria:

  1. Abra o editor do Registro (regedit.exe) e vá para HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\.

  2. Se a chave MitigationOptions não estiver ali, clique com o botão direito do mouse e adicione um novo QWORD (64-bit) Value, renomeando-o para MitigationOptions.

  3. Atualize o valor Value data da chave MitigationOptions, certificando-se de manter o valor existente, assim como na observação importante abaixo:

    • Para ativar esse recurso. Digite 1000000000000.
    • Para desativar esse recurso. Digite 2000000000000.
    • Para auditar com esse recurso. Digite 3000000000000. Importante  Os valores MitigationOptions existentes devem ser salvos durante a atualização. Por exemplo, se o valor atual for 1000, o valor atualizado deverá ser 1000000001000.  

  4. Reinicie o computador.

Exibir o log de eventos

Depois de ativar esse recurso, ou começar a usar o modo de auditoria, você pode examinar os logs de eventos para obter detalhes.

Dn985836.wedge(pt-br,VS.85).gifPara exibir o log de eventos

  1. Abra o visualizador de eventos (eventvwr.exe) e acesse Application and Service Logs/Microsoft/Windows/Win32k/Operational.

  2. Role para baixo até EventID: 260 e analise os eventos relevantes.

    Exemplo de evento 1 – MS Word

    WINWORD.EXE tentou carregar uma fonte restrita pela política de carregamento de fontes.

    FontType: Memory

    FontPath:

    Blocked: true

    Observação  Uma vez que FontType é Memory, não há FontPath associado.

     

    Exemplo de evento 2 – Winlogon

    Winlogon.exe tentou carregar uma fonte restrita pela política de carregamento de fontes.

    FontType: File

    FontPath: \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF

    Blocked: true

    Observação  Uma vez que FontType é File, há também um FontPath associado.

     

    Exemplo de evento 3 – Internet Explorer em execução no Modo de auditoria

    Iexplore.exe tentou carregar uma fonte restrita pela política de carregamento de fontes.

    FontType: Memory

    FontPath:

    Blocked: false

    Observação  No modo de auditoria, o problema é registrado, mas a fonte não é bloqueada.

     

Corrigir aplicativos que estão apresentando problemas por causa de fontes bloqueadas

Sua empresa ainda pode precisar de aplicativos que estão apresentando problemas por causa de fontes bloqueadas, por isso sugerimos que você execute primeiro esse recurso no modo de auditoria para determinar quais fontes estão causando problemas.

Depois de descobrir as fontes problemáticas, você pode tentar corrigir seus aplicativos de duas maneiras: instalando diretamente as fontes no diretório %windir%/Fonts ou excluindo os processos subjacentes e permitindo o carregamento das fontes. Como solução padrão, é altamente recomendável que você instale a fonte problemática. Instalar fontes é mais seguro do que excluir aplicativos, pois aplicativos excluídos podem carregar qualquer fonte, confiável ou não.

Dn985836.wedge(pt-br,VS.85).gifPara corrigir aplicativos com a instalação das fontes problemáticas (recomendado)

  • Em cada computador com o aplicativo instalado, clique com o botão direito do mouse no nome da fonte, depois clique em Install.

    A fonte deve ser instalada automaticamente no diretório %windir%/Fonts. Se isso não acontecer, será necessário copiar manualmente os arquivos de fonte no diretório Fontes e executar a instalação desse ponto.

Dn985836.wedge(pt-br,VS.85).gifPara corrigir aplicativos com a exclusão de processos

  1. Em cada computador com o aplicativo instalado, abra regedit.exe e vá para HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>. Da mesma forma, para excluir processos do Microsoft Word, use HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.

  2. Adicione os processos que precisam ser excluídos aqui e ative o recurso Bloqueio de Fontes Não Confiáveis, seguindo as etapas 2 e 3 em Ativar e usar o recurso Bloqueio de Fontes Não Confiáveis.