封鎖不受信任的字型功能- Windows Client

封鎖不受信任的字型功能

因為字型使用複雜的數據結構，而且可以內嵌到網頁和檔中，所以它們很容易受到特權提升（EOP）攻擊。 EOP 攻擊表示惡意駭客可以在使用者共用檔案或瀏覽網頁時遠端訪問用戶的電腦。為了加強這些攻擊的安全性，我們建立了一項功能來封鎖不受信任的字型。使用此功能，您可以開啟全域設定，以阻止使用者載入圖形裝置介面（GDI）所處理的不受信任的字型。不受信任的字型是安裝在目錄外部 %windir%/Fonts 的任何字型。封鎖不受信任的字型功能有助於停止在字型檔案剖析程序期間可能發生的遠端（網頁式或電子郵件型）和本機 EOP 攻擊。

此功能的運作方式

使用這項功能的方式有三種：

[開啟]。協助停止使用 GDI 處理且安裝在目錄外部 %windir/Fonts% 的任何字型。它也會開啟事件記錄。

稽核。開啟事件記錄，但不會封鎖字型載入，無論位置為何。使用不受信任字型的應用程式名稱會出現在事件記錄檔中。

如果您尚未準備好在組織中部署此功能，您可以在稽核模式中執行此功能，以查看未載入不受信任的字型是否會導致任何可用性或相容性問題。

排除應用程式以載入不受信任的字型。您可以排除特定應用程式。它可讓它們載入不受信任的字型，即使功能已開啟。

功能可能減少

開啟此功能之後，使用者在下列情況下可能會遇到功能降低的情況：

將列印作業傳送至使用此功能的共用印表機伺服器，以及尚未排除多任務緩衝處理程式的位置。在此情況下，將不會使用伺服器 %windir%/Fonts 資料夾中尚未提供的任何字型。

使用已安裝印表機圖形.dll檔案 %windir%/Fonts 以外的字型列印。如需詳細資訊，請參閱印表機圖形 DLL 簡介。

使用使用記憶體型字型的第一方或第三方應用程式。

使用 Internet Explorer 來檢視使用內嵌字型的網站。在此情況下，此功能會封鎖內嵌字型，導致網站使用預設字型。不過，並非所有字型都有所有字元，因此網站可能會以不同的方式呈現。

使用桌面 Office 檢視具有內嵌字型的檔。在此情況下，內容會使用 Office 挑選的預設字型來顯示。

如何開啟和使用功能

若要開啟、關閉或使用稽核模式，請使用下列其中一種方法。

使用群組原則

開啟 [本地組原則編輯器]。

在 [本機計算機原則] 底下，依序展開 [計算機設定 ]、 [系統管理範本 ] 和 [系統 ]，然後按兩下 [ 風險降低選項 ]。

在 [ 不受信任的字型封鎖 ] 設定中，您可以看到下列選項：

封鎖不受信任的字型和記錄事件
請勿封鎖不受信任的字型
記錄事件而不封鎖不受信任的字型

使用登錄編輯程式

開啟註冊表編輯器（regedit.exe），然後移至下列登錄子機碼：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\
如果MitigationOptions 機碼不存在，請以滑鼠右鍵按下並新增新的 QWORD（64位）值 ，將其命名為 MitigationOptions 。
更新 MitigationOptions 索引鍵的 Value 數據 ，並確定您保留現有的值，如下所示：
若要開啟此功能，請輸入 1000000000000。
若要關閉此功能，請輸入 2000000000000。
若要使用此功能進行稽核，請輸入 3000000000000。

更新期間應該儲存現有的 MitigationOptions 值。例如，如果目前的值為 1000，則更新的值應該1000000001000。

Restart your computer.

檢視事件記錄檔

開啟此功能或開始使用稽核模式之後，您可以檢查事件記錄檔以取得詳細資訊。

檢查事件記錄檔
開啟事件檢視器（eventvwr.exe），然後移至下列路徑：

應用程式和服務記錄/Microsoft/Windows/Win32k/Operational
向下卷動至 EventID：260 並檢閱相關事件。
事件範例 1 - Microsoft Word

因為 FontType 是 Memory，因此沒有相關聯的 FontPath。
事件範例 2 - Winlogon

因為 FontType 是 File，因此也有相關聯的 FontPath。
事件範例 3 - 以稽核模式執行的 Internet Explorer

在稽核模式中，會記錄問題，但不會封鎖字型。

修正因字型封鎖而發生問題的應用程式

使用者可能仍然需要因字型封鎖而發生問題的應用程式，因此建議您先在稽核模式中執行這項功能，以判斷哪些字型會造成問題。找出有問題的字型之後，您可以嘗試使用下列兩種方式之一來修正您的應用程式：直接將字型安裝到 %windir%/Fonts 目錄，或排除基礎程式並讓字型載入。作為默認解決方案，強烈建議您安裝有問題的字型。安裝字型比排除應用程式更安全，因為排除的應用程式可以載入任何字型、受信任或不受信任。

安裝有問題的字型來修正應用程式（建議）

在已安裝應用程式的每部計算機上，以滑鼠右鍵按下字型名稱，然後按兩下 [ 安裝 ]。

字型應該會自動安裝到您的 %windir%/Fonts 目錄中。如果沒有，您必須手動將字型檔案複製到 Fonts 目錄，然後從該處執行安裝。

排除進程來修正應用程式
在已安裝應用程式的每部計算機上，開啟 [註冊表編輯器]，然後移至下列登錄子機碼：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>

例如，如果您想要排除 Microsoft Word 進程，您可以使用 HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe 。
如果MitigationOptions 機碼不存在，請以滑鼠右鍵按下並新增新的 QWORD（64位）值 ，將其命名為 MitigationOptions 。
為該程式所需的設定新增值：
若要開啟此功能，請輸入 1000000000000。
若要關閉此功能，請輸入 2000000000000。
若要使用此功能進行稽核，請輸入 3000000000000。

更新期間應該儲存現有的 MitigationOptions 值。例如，如果目前的值為 1000，則更新的值應該1000000001000。

新增需要排除的任何其他程式，然後使用排除進程一節中提供的步驟來開啟字型封鎖。