Jedan od načina za napad na Windows stroj koji postaje sve rašireniji jest iskoristiti ranjivosti u upravljačkom programu fonta Windowsa preuzimanjem i izvršavanjem posebno izrađene datoteke fonta od strane korisnika. Da bi izveo takav napad, napadač treba samo prisiliti korisnika da otvori posebno dizajniran dokument, web stranicu ili pokrene posebnu aplikaciju (sigurnu u sebe) koja preuzima font sa zlonamjernim kodom iz vanjskog izvora. Windows 10 ima ugrađenu značajku zabraniti preuzimanje i izvršavanje fontova "treće strane", odnosno one koje nisu instalirane u sustavu i nisu smještene u direktoriju% WINDIR% \ Fonts.
Za kontrolu učitavanja fontova treće strane u sustavu Windows 10 pojavila se zasebna postavka Grupnih pravila koja se nalazi u odjeljku konzole. gpedit.msc: Konfiguracija računala -> Administrativni predlošci -> Sustav -> Opcije ublažavanja . Parametar je pozvan Nepovjerljivo blokiranje slova. Postoje tri načina rada za ovo pravilo:
- Blokirajte nepouzdane fontove i zabilježite događaje - potpuno zabraniti aplikacijama da preuzimaju fontove drugih proizvođača iz bilo koje mape osim% windir% Fontova i upisuju sve podatke u dnevnik
- Ne blokirajte nepouzdane fontove - fontovi treće strane nisu blokirani (zadana vrijednost)
- Prijavite događaje bez blokiranja nepouzdanih fontova - takozvani način revizije, prilikom preuzimanja i instaliranja fontova drugih proizvođača nije blokiran, ali se podaci o fontu i aplikaciji koja ga je instalirala bilježe u zapisnik
U kućnim verzijama sustava Windows 10 Home (u kojima ne postoji uređivač pravila grupe) upravljanje ovom zaštitnom funkcijom moguće je samo putem registra. Da biste to učinili, u podružnici registra HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Kernel \ treba stvoriti parametar tipa QWORD (64-bitni) s imenom MitigationOptions. Parametar mora biti postavljen na jednu od sljedećih vrijednosti:
- Omogućeno je zaključavanje slova - 1000000000000
- onesposobljen - 2000000000000
- Način revizije - 3000000000000
Nakon što izvršite promjene, trebate ponovno pokrenuti sustav.
Ako želite spriječiti da politika ograničavanja preuzimanja fonta utječe na određenu aplikaciju, možete je dodati u iznimke. Na primjer, da bi Outlook pravilno prikazao slova s ugrađenim fontovima, to morate u ogranku registra HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Opcije izvršenja slikovnih datoteka stvorite potključ s imenom izvršne aplikacije. U našem će slučaju biti outlook.exe.
Kada omogućite politiku revizije, svi povezani događaji nalaze se u odjeljku sistemskog dnevnika aplikacije Aplikacija-> Dnevnici usluge -> Microsoft -> Windows -> Win32k -> Operativni. Zanimaju nas događaji sa EventID 260
Funkcija blokiranja fontova drugih proizvođača također se može kontrolirati putem Microsoft EMET 5.5. Da biste to učinili, omogućite opciju u EMET sučelju Blokirajte nepouzdane fontove.
