Blokowanie niezaufanych czcionek, aby sieć była bezpieczna w systemie Windows 10

Czcionki wydają się niewinne, gdy znajdują się na komputerze. Przez większość czasu nie zwracamy uwagi na czcionki na stronach internetowych, z wyjątkiem sytuacji, gdy są zbyt trudne dla oczu. Ale niezaufanych czcionek na stronach internetowych może być nadużywanych przez hakerów w celu złamania zabezpieczeń sieci. W tym poście wyjaśniono, jak blokować niezaufane czcionki w Windows 10 .

Podczas pracy lokalnie prawie wszystkie czcionki, których używamy, pochodzą z folderu % windir% / fonts. Oznacza to, że czcionki są instalowane w folderze czcionek systemu Windows po zainstalowaniu systemu Windows lub dowolnej innej aplikacji. Są to zaufane czcionki i nie stanowią żadnego zagrożenia. Kiedy napotykamy takie czcionki na stronach internetowych, są one ładowane z lokalnego folderu czcionek.

Ale gdy czcionki na stronie nie są obecne na naszym komputerze - tj. Lokalny folder czcionek - kopia tej czcionki jest ładowana do naszego pamięć komputera i to wtedy cyberprzestępca może uzyskać dostęp do twojej sieci.

Niebezpieczeństwa niezaufanych czcionek

Gdy strona internetowa używa czcionki, która jest już obecna w lokalnym folderze czcionek, przeglądarka pobiera czcionki z lokalny folder do renderowania strony. Ponieważ czcionki w lokalnym folderze czcionek są sprawdzane przez programy antywirusowe podczas instalacji, nie stanowią zagrożenia.

Gdy strona internetowa lub strona internetowa używa czcionki, która nie jest obecna w lokalnym folderze lub folderze czcionek, przeglądarki będą wymagać "podniesienia przywileje ", aby załadować kopię czcionek do pamięci lokalnej, pobierając je na komputer. Proste pobieranie nie stanowi większego problemu, ponieważ pakiety antymalware wykryją, czy czcionki zawierają złośliwe oprogramowanie. Nie ma zagrożenia złośliwym oprogramowaniem takimi czcionkami. Chodzi o "podwyższone przywileje", które mogą znaleźć i wykorzystać cyberprzestępcy. Jeśli przejmą kontrolę nad przeglądarką w takiej sytuacji, mogą wyrządzić wiele szkody nie tylko komputerowi, ale całej sieci.

Najlepszą metodą jest unikanie korzystania przez przeglądarki z "podwyższonych przywilejów" i można to zrobić w systemie Windows 10, blokując czcionki, których nie ma w folderze lokalnym. W takich przypadkach witryna będzie renderowana poprzez zastąpienie niezaufanych czcionek witryny zaufanymi czcionkami w folderze lokalnym. Może to jednak spowodować nieprawidłową renderowanie strony i problemy podczas drukowania.

Trzy stany dostępne dla niezaufanych czcionek w systemie Windows 10

Dostępne są trzy opcje, jeśli chodzi o niezaufane czcionki w systemie Windows 10. to:

1. Blokuj czcionki
2. Tryb kontroli: nie blokujesz czcionki, ale prowadzisz dziennik, który pokazuje, czy zostały załadowane niezaufane czcionki, a jeśli tak, która strona i aplikacja ich używały
3. Wykluczenie aplikacji: Możesz dodać do białej listy niektóre aplikacje w systemie Windows 10, aby używać niezaufanych czcionek, jeśli uważasz, że nie będą one problemem; Na przykład, jeśli zainstalujesz aplikację Word na białej liście, może ona korzystać z czcionek innych firm pochodzących z Internetu, nawet jeśli zablokowałeś niezaufane czcionki

Najlepszą metodą, według mnie, biorąc pod uwagę ograniczoną liczbę opcji, jest zablokowanie wszystkich niezaufanych czcionek czcionek i białej listy tylko te aplikacje, które stwarzają mniejsze zagrożenie poprzez pobieranie czcionek do pamięci lokalnej. W porównaniu z przeglądarkami aplikacje takie jak Microsoft Word, Excel itp. Stanowią mniejsze zagrożenie, ponieważ po pobraniu czcionek uruchamiane jest anty-złośliwe oprogramowanie, a jeśli znajdzie coś niepożądanego, wyświetli komunikat lub zablokuje pobrane czcionki. Z drugiej strony przeglądarki są złożoną architekturą (polegającą na silnikach renderujących i procesorach itp.), Więc nawet jeśli antymalware blokuje czcionki w pamięci, cyberprzestępcy mogą nadal łatwo przejąć kontrolę nad maszyną.

Blokuj niezaufane czcionki w przedsiębiorstwie

Korzystanie z edytora rejestru

Aby zablokować niezaufane czcionki w systemie Windows 10 i dodać do białej listy aplikacje, które mogą korzystać z niezaufanych czcionek, należy użyć Edytora rejestru systemu Windows. W tej chwili nie ma graficznego interfejsu użytkownika, który ułatwia administratorom. Poniżej wyjaśniono, jak blokować niezaufane czcionki w systemie Windows 10.

1. 1. Naciśnij klawisz WinKey + R i w wyświetlonym oknie dialogowym Uruchom wpisz regedit i naciśnij klawisz Enter

• Przejdź do HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager Kernel
• Wyszukaj wpis o nazwie MitigationOptions . Jeśli go tam nie ma, utwórz wpis QWORD o długości 64 bitów i nadaj mu nazwę MitigationOptions
• . Będzie już istnieć wartość dla wpisu QWORD, który utworzyliśmy; skopiuj następujące wartości do PRZED wartością, aby wartość znalazła się na końcu wklejanej wartości.
• Aby wyłączyć niezaufane czcionki , wprowadź 1000000000000 . Aby uruchomić tryb kontroli , wprowadź 3000000000000 . Aby wyłączyć , wprowadź 2000000000000 . Na przykład, jeśli w utworzonym przez nas QWORD jest już wartość 1000, powinna ona wyglądać 30000000000001000
• Zamknij edytor rejestru, zapisz pracę w innych aplikacjach, które mogą być otwarte i ponownie uruchom komputer.

Jak wspomniano wcześniej, mogą wystąpić problemy z wyświetlaniem stron internetowych lub drukowaniem po wyłączeniu niezaufanych czcionek. Aby obejść ten problem, zaleca się ręczne pobranie i zainstalowanie czcionki w folderze% windir% / fonts. Dzięki temu bezpieczniej będzie przeglądać witrynę za pomocą tej czcionki. Chociaż można wykluczyć lub dodać do białej listy aplikacje, należy to zrobić tylko wtedy, gdy z pewnych przyczyn można zainstalować czcionki.

Korzystanie z edytora zasad grupy

Jeśli używasz systemów Windows 10 Enterprise i Windows 10 Pro, możesz skorzystać z Edytor lokalnych zasad grupy.

Uruchom gpedit.msc, aby otworzyć Edytor zasad grupy lokalnej i przejść do następującego ustawienia:

Konfiguracja komputera> Szablony administracyjne> System> Opcje łagodzenia.

W prawym okienku zobaczysz Niezaufane blokowanie czcionek . Wybierz opcję Włączone, a następnie wybierz opcję Blokuj niezaufane czcionki i rejestruj zdarzenia z menu rozwijanego.

Ta funkcja zabezpieczeń zapewnia ustawienie globalne, które uniemożliwia programom ładowanie niezaufanych czcionek. Niezaufane czcionki to dowolna czcionka zainstalowana poza katalogiem% windir% Fonts. Ta funkcja może być skonfigurowana w 3 trybach: Włączony, Wyłączony i Audyt. Domyślnie jest wyłączona i nie są blokowane żadne czcionki. Jeśli nie jesteś jeszcze gotowy do wdrożenia tej funkcji w swojej organizacji, możesz uruchomić ją w trybie kontroli, aby sprawdzić, czy blokowanie niezaufanych czcionek powoduje problemy z użytecznością lub kompatybilnością.

UWAGA : to ustawienie zasad może spowodować, że ikony będą Brakuje czcionek w IE11.

Używanie zestawu narzędzi EMET 5.5 i nowszych

Rozszerzone narzędzie do minimalizowania problemów teraz pozwala blokować niezaufane czcionki.

Przeglądanie dziennika aplikacji uzyskujących dostęp do niezaufanych czcionek

Jeśli wybierzesz metodę kontroli, okaże się, że żadna z niezaufanych czcionek nie jest zablokowana. Zamiast tego zostanie utworzony dziennik, za pomocą którego można sprawdzić, która aplikacja uzyskała dostęp do informacji o typie niezaufanych czcionek i gdzie, kiedy, itp. Aby wyświetlić dziennik, otwórz Windows Event Viewer. Przejdź do Dzienniki aplikacji i usług / Microsoft / Windows / Win32k / Operational.

Pod identyfikatorem zdarzenia: 260 znajdują się wszystkie wpisy dziennika związane z dostępem do niezaufanych czcionek przez różne przeglądarki i aplikacje w czasie działania komputer lokalny. Przykładowy dziennik zdarzeń wygląda następująco:

WINWORD.EXE próbował załadować czcionkę, która jest ograniczona przez zasady ładowania czcionek.

FontType: Memory

FontPath:

Blocked: true

This Typ wpisu zostanie wyświetlony po całkowitym zablokowaniu niezaufanych czcionek przed załadowaniem na komputery lokalne. Pokazuje również, że pobieranie niezaufanej czcionki nastąpiło, ale zostało zablokowane przez zasady utworzone za pomocą Edytora rejestru systemu Windows.

Inny przykład może wyglądać następująco:

Iexplore.exe próbował załadować czcionkę, która jest ograniczona przez zasady ładowania czcionek.

FontType: Memory

FontPath:

Blocked: false

W powyższym przypadku niezaufane czcionki nie są blokowane zgodnie z tym, co pokazuje pozycja. Pokazuje również, że przeglądarka podjęła próbę pobrania czcionek do pamięci lokalnej i została użyta.

Powyższe wyjaśnia niezaufane fonty, zagrożenia stwarzane przez niezaufane fonty i wreszcie, jak blokować niezaufane czcionki w Windows 10. Jeśli masz jakiekolwiek wątpliwości lub cokolwiek do dodania, proszę komentarz.

Źródło: TechNet.