Блокировка ненадежных шрифтов в организации

  • Статья

Чтобы помочь вам защитить свою компанию от атак, источником которых могут быть ненадежные или управляемые злоумышленником файлы шрифтов, мы создали функцию блокирования ненадежных шрифтов. С помощью этой функции вы можете включить глобальный параметр, который предотвращает загрузку сотрудниками в вашей сети ненадежных шрифтов, обрабатываемых с помощью интерфейса графических устройств (GDI). Ненадежные шрифты — это любые шрифты, установленные вне каталога %windir%/Fonts. Блокирование ненадежных шрифтов позволяет предотвратить как удаленные (в Интернете или через электронную почту), так и локальные атаки, связанные с повышением привилегий, которые могут произойти во время анализа файла шрифта.

Что это значит для меня?

Блокирование ненадежных шрифтов позволяет усилить защиту вашей сети и сотрудников от атак, связанных с обработкой шрифтов. По умолчанию эта функция не включена.

Как работает эта функция?

Есть 3 способа использования этой функции.

  • Вкл. Останавливает обработку с помощью GDI любых шрифтов, загружаемых извне каталога %windir%/Fonts. Это также включает регистрацию событий.

  • Аудит. Включает регистрацию событий, но не блокирует загрузку шрифтов независимо от их местоположения. Имена приложений, которые используют ненадежные шрифты, также отображаются в журнале событий.

    Примечание  Если вы еще не готовы к развертыванию этой функциональной возможности в вашей организации, можно использовать ее в режиме аудита, чтобы оценить, не вызывает ли загрузка ненадежных шрифтов проблем с использованием или совместимостью.

     

  • Исключить приложения, которые смогут загружать ненадежные шрифты. Можно исключить определенные приложения, которые смогут загружать ненадежные шрифты, даже если эта функция включена. Инструкции см. в разделе Исправление приложений, проблемы в которых возникают из-за заблокированных шрифтов.

Возможное ухудшение функциональных возможностей

После включения этой функции ваши сотрудники могут заметить снижение функциональных возможностей в следующих случаях.

  • Отправка задания печати на удаленный сервер печати, который использует эту функцию и на котором процесс очереди печати не был исключен явным образом. В этой ситуации любые шрифты, которые еще не доступны в папке %windir%/Fonts сервера, использоваться не будут.

  • Печать с использованием шрифтов, предоставленных установленным DLL-файлом графики принтера вне папки %windir%/Fonts. Дополнительные сведения см. в разделе Введение в DLL-библиотеки графики принтера.

  • Использование собственных или сторонних приложений, которые задействуют размещенные в памяти шрифты.

  • Просмотр веб-сайтов со встроенными шрифтами с помощью Internet Explorer. В этой ситуации функция блокирует встроенный шрифт, что приводит к использованию на этом веб-сайте шрифта по умолчанию. Однако не все шрифты имеют необходимые знаки, поэтому веб-сайт может отображаться по-другому.

  • Использование Office на настольном компьютере для просмотра документов со встроенными шрифтами. В этом случае содержимое отображается с использованием шрифта по умолчанию, выбранного приложением Office.

Включение и использование функции блокирования ненадежных шрифтов

Чтобы включить или отключить эту функцию, а также использовать ее в режиме аудита, выполните следующие действия.

  1. Откройте редактор реестра (regedit.exe) и перейдите к разделу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\.

  2. Если раздел MitigationOptions отсутствует, щелкните правой кнопкой мыши и добавьте новое значение QWORD (64-bit) Value, переименовав его в MitigationOptions.

  3. Обновите Value data раздела MitigationOptions, обязательно сохранив текущее значение, как, к примеру, показано ниже:

    • Чтобы включить эту функцию, введите 1000000000000.
    • Чтобы выключить эту функцию, введите 2000000000000.
    • Чтобы выполнить аудит с помощью этой функции, выполните следующие действия. Введите 3000000000000. Важно  Существующие значения MitigationOptions должны быть сохранены во время обновления. Например, если текущее значение равно 1000, обновленное значение должно быть 1000000001000.  

  4. Перезагрузите компьютер.

Просмотр журнала событий

После включения этой функции или ее запуска в режиме аудита можно просмотреть подробности в журналах событий.

Dn985836.wedge(ru-ru,VS.85).gifЧтобы просмотреть журнал аудита, выполните следующие действия.

  1. Откройте Средство просмотра событий (eventvwr.exe) и перейдите в раздел Журналы приложений и служб/Microsoft/Windows/Win32k/Операционный.

  2. Прокрутите вниз до EventID: 260 и просмотрите соответствующие события.

    Пример события 1 — Microsoft Word

    Приложение WINWORD.EXE пыталось загрузить шрифт, использование которого ограничено политикой загрузки шрифтов.

    Тип шрифта: память

    Путь к шрифту:

    Заблокирован: true

    Примечание  Так как Типом шрифта является Memory, нет связанного пути к шрифту.

     

    Пример события 2 — Winlogon

    Приложение Winlogon.exe пыталось загрузить шрифт, использование которого ограничено политикой загрузки шрифтов.

    Тип шрифта: файл

    Путь к шрифту: \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF

    Заблокирован: true

    Примечание  Так как Типом шрифта является File, есть также соответствующий путь к шрифту.

     

    Пример события 3 — запуск Internet Explorer в режиме аудита

    Приложение Iexplore.exe пыталось загрузить шрифт, использование которого ограничено политикой загрузки шрифтов.

    Тип шрифта: память

    Путь к шрифту:

    Блокируется: false

    Примечание  В режиме аудита проблема регистрируется, однако шрифт не блокируется.

     

Исправление приложений, проблемы в которых возникают из-за заблокированных шрифтов

Ваша организация может нуждаться в приложениях, в которых могут возникать проблемы из-за заблокированных шрифтов, поэтому рекомендуем сначала запустить эту функцию в режиме аудита, чтобы определить, какие шрифты приводят к возникновению проблем.

После того как вы выясните, какие шрифты являются проблемными, можно попробовать исправить приложения двумя способами: установить шрифты напрямую в каталог %windir%/Fonts или исключить соответствующие процессы и разрешить загрузку шрифтов. В качестве решения по умолчанию мы настоятельно рекомендуем установку проблемного шрифта. Установка шрифтов безопаснее исключения приложений, так как исключенные приложения смогут загрузить любой шрифт: надежный и ненадежный.

Dn985836.wedge(ru-ru,VS.85).gifЧтобы исправить работу приложений, установив проблемные шрифты (рекомендуемый способ), выполните следующие действия

  • На каждом компьютере, где установлено приложение, щелкните правой кнопкой мыши имя шрифта, затем щелкните Install.

    Шрифт должен автоматически установиться в каталог %windir%/Fonts. Если этого не произошло, необходимо вручную скопировать файлы шрифтов в каталог Шрифты и выполнить установку оттуда.

Dn985836.wedge(ru-ru,VS.85).gifЧтобы исправить приложения путем исключения процессов, выполните следующие действия.

  1. На каждом компьютере, где установлено приложение, откройте regedit.exe и перейдите к разделу HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>. Например, если необходимо исключить процессы Microsoft Word, следует использовать значение HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.

  2. Добавьте любые дополнительные процессы, которые следует исключить, а затем включите функцию блокирования ненадежных шрифтов, выполнив шаги 2 и 3 в разделе Включение и использование функции блокирования ненадежных шрифтов.