封鎖企業中未受信任字型
為協助保護您的公司避免遭到來自未受信任或攻擊者控制的字型檔案的攻擊,我們已建立了「封鎖未受信任字型」功能。使用此功能時,您可以開啟通用設定以阻止您的員工將使用圖形裝置介面 (GDI) 處理的未受信任字型載入到您的網路上。未受信任字型是指安裝在 %windir%/Fonts 目錄外的任何字型。封鎖未受信任字型,可協助防止可能在字型檔案剖析程序中發生的遠端 (Web 或電子郵件) 和本機 EOP 攻擊。
對我來說這代表什麼?
「封鎖未受信任字型」可協助改善網路和員工保護,以防止與字型處理程序相關的攻擊。此功能預設為關閉。
這項功能如何運作?
有 3 種方式可使用這項功能:
**開啟。**協助阻止從 %windir%/Fonts 目錄外載入任何使用 GDI 處理的字型。它也會開啟事件記錄。
稽核。 開啟事件記錄,但不會封鎖字型載入,無論字型的位置為何。使用未受信任字型之應用程式的名稱會顯示在您的事件記錄檔中。
注意 如果您還沒完全準備好在您的組織中部署這項功能,可以使用 [稽核] 模式執行此功能,以查看若不載入未受信任字型,是否會發生任何可用性或相容性問題。
**排除應用程式以允許其載入未受信任字型。**您可以排除特定的應用程式,允許它們即使在此功能開啟時也能載入未受信任字型。如需相關指示,請參閱修正因封鎖字型而發生問題的應用程式。
可能導致功能減少
啟用這項功能後,您的員工可能會在以下情況中遇到功能減少問題:
將列印工作傳送到使用這項功能且尚未明確排除多工緩衝處理器處理程序的遠端印表機伺服器。在此情況下,將不會使用任何未在伺服器的 %windir%/Fonts 資料夾中的字型。
使用由已安裝之印表機圖形.dll 檔案提供的字型 (在 %windir%/Fonts 資料夾之外) 列印。如需詳細資訊,請參閱印表機圖形 DLL 的簡介。
使用運用記憶體字型的第一方或第三方應用程式。
使用 Internet Explorer 查看使用內嵌字型的網站。在此情況下,此功能會封鎖內嵌字型,因而導致網站使用預設字型。不過,並非所有字型都具有全部的字元,因此網站可能會以不同的方式呈現。
使用傳統型 Office 查看含有內嵌字型的文件。在此情況下,內容會以 Office 挑選的預設字型顯示。
開啟並使用「封鎖未受信任字型」功能
若要開啟、關閉這項功能,或使用稽核模式:
開啟登錄編輯程式 (regedit.exe) 並移至 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\。
如果沒有 MitigationOptions 金鑰,請以右鍵按一下,然後新增新的 QWORD (64-bit) Value,並將它重新命名為 MitigationOptions。
更新 MitigationOptions 金鑰的 Value data,請務必確認您保留現有的值,如下方的重要事項所述:
- **若要開啟這項功能。**請輸入 1000000000000。
- **若要關閉這項功能。**請輸入 2000000000000。
- 若要使用此功能稽核。 請輸入 3000000000000。 重要事項 您現有的 MitigationOptions 值應該會在您更新過程中儲存。舉例來說,若目前的值是 1000,您更新後的值應該是 1000000001000。
重新啟動電腦。
檢視事件記錄檔
在開啟這項功能,或使用稽核模式之後,您可以查看您的事件記錄檔以取得詳細資訊。
若要查看您的事件記錄檔
開啟事件檢視器 (eventvwr.exe) 並移至 Application and Service Logs/Microsoft/Windows/Win32k/Operational。
向下捲動至 EventID: 260 並檢閱相關事件。
事件範例 1 - MS Word
WINWORD.EXE 嘗試載入受字型載入原則限制的字型。
FontType: Memory
FontPath:
Blocked: true
注意 因為 FontType 是 Memory,沒有相關聯的 FontPath。
事件範例 2 - Winlogon
Winlogon.exe 嘗試載入受字型載入原則限制的字型。
FontType: File
FontPath: \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF
Blocked: true
注意 因為 FontType 是 File,同時有相關聯的 FontPath。
事件範例 3 - 在稽核模式中執行的 Internet Explorer
Iexplore.exe 嘗試載入受字型載入原則限制的字型。
FontType: Memory
FontPath:
Blocked: false
注意 在稽核模式中,會記錄問題,但不會封鎖字型。
修正因封鎖字型而發生問題的應用程式
您的公司可能仍需要使用因為封鎖字型而發生問題的應用程式,所以我們建議先以 [稽核] 模式執行這項功能,以判斷是因為哪些字型被封鎖而造成問題。
找出因為封鎖而造成問題的字型之後,您可以嘗試透過 2 種方式修正應用程式:直接將字型安裝到 %windir%/Fonts 目錄,或排除基礎處理程序讓字型載入。我們強烈地建議您安裝這些封鎖後會造成問題的字型,這也是預設的解決方案。相較於排除應用程式,安裝字型較為安全,因為排除應用程式後會載入所有字型 (信任或未受信任)。
透過安裝封鎖後會造成問題的字型來修正您的應用程式 (建議選項)
在每部已安裝應用程式的電腦上,以滑鼠右鍵按一下字型名稱,然後按一下 Install。
字型應該就會自動安裝到您的 %windir%/Fonts 目錄中。如果沒有,您將需要手動將字型檔案複製到字型目錄,並從該處執行安裝。
若要透過排除處理程序修正應用程式
在每部已安裝應用程式的電腦上,開啟 regedit.exe 然後移至 HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>。例如,若您想排除 Microsoft Word 處理程序,您可以使用 HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe。
在這裡新增其他需要排除的處理程序,然後開啟 [封鎖未受信任字型] 功能 (透過開啟並使用封鎖未受信任字型功能中的步驟 2 和 3)。