Blokirajte preuzimanje nepouzdanih fontova u sustavu Windows 10

Jedan od načina za napad na Windows stroj koji postaje sve rašireniji jest iskoristiti ranjivosti u upravljačkom programu fonta Windowsa preuzimanjem i izvršavanjem posebno izrađene datoteke fonta od strane korisnika. Da bi izveo takav napad, napadač treba samo prisiliti korisnika da otvori posebno dizajniran dokument, web stranicu ili pokrene posebnu aplikaciju (sigurnu u sebe) koja preuzima font sa zlonamjernim kodom iz vanjskog izvora. Windows 10 ima ugrađenu značajku zabraniti preuzimanje i izvršavanje fontova "treće strane", odnosno one koje nisu instalirane u sustavu i nisu smještene u direktoriju% WINDIR% \ Fonts.

Za kontrolu učitavanja fontova treće strane u sustavu Windows 10 pojavila se zasebna postavka Grupnih pravila koja se nalazi u odjeljku konzole. gpedit.msc: Konfiguracija računala -> Administrativni predlošci -> Sustav -> Opcije ublažavanja . Parametar je pozvan Nepovjerljivo blokiranje slova. Postoje tri načina rada za ovo pravilo:

  • Blokirajte nepouzdane fontove i zabilježite događaje - potpuno zabraniti aplikacijama da preuzimaju fontove drugih proizvođača iz bilo koje mape osim% windir% Fontova i upisuju sve podatke u dnevnik
  • Ne blokirajte nepouzdane fontove - fontovi treće strane nisu blokirani (zadana vrijednost)
  • Prijavite događaje bez blokiranja nepouzdanih fontova - takozvani način revizije, prilikom preuzimanja i instaliranja fontova drugih proizvođača nije blokiran, ali se podaci o fontu i aplikaciji koja ga je instalirala bilježe u zapisnik

U kućnim verzijama sustava Windows 10 Home (u kojima ne postoji uređivač pravila grupe) upravljanje ovom zaštitnom funkcijom moguće je samo putem registra. Da biste to učinili, u podružnici registra HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Kernel \ treba stvoriti parametar tipa QWORD (64-bitni) s imenom MitigationOptions. Parametar mora biti postavljen na jednu od sljedećih vrijednosti:

  • Omogućeno je zaključavanje slova - 1000000000000
  • onesposobljen - 2000000000000
  • Način revizije - 3000000000000

Nakon što izvršite promjene, trebate ponovno pokrenuti sustav.

Ako želite spriječiti da politika ograničavanja preuzimanja fonta utječe na određenu aplikaciju, možete je dodati u iznimke. Na primjer, da bi Outlook pravilno prikazao slova s ​​ugrađenim fontovima, to morate u ogranku registra HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Opcije izvršenja slikovnih datoteka stvorite potključ s imenom izvršne aplikacije. U našem će slučaju biti outlook.exe.

vijeće. Imajte na umu da se aktivnim pravilima blokiranja fonta neki programi mogu prestati ispravno prikazivati. Zbog toga se preporučuje da najprije proučite rad popularnih korporativnih aplikacija u režimu revizije. Potrebne datoteke trećih strana mogu se centralno instalirati u paketnoj skripti.

Kada omogućite politiku revizije, svi povezani događaji nalaze se u odjeljku sistemskog dnevnika aplikacije Aplikacija-> Dnevnici usluge -> Microsoft -> Windows -> Win32k -> Operativni. Zanimaju nas događaji sa EventID 260

Funkcija blokiranja fontova drugih proizvođača također se može kontrolirati putem Microsoft EMET 5.5. Da biste to učinili, omogućite opciju u EMET sučelju Blokirajte nepouzdane fontove.

U nekim slučajevima, prije upotrebe pravila, preporučuje se resetiranje svih fontova i njihovih postavki u sustavu Windows na standard.