若要協助保護貴公司免於來自不受信任或攻擊者控制字型檔案的攻擊,您可以封鎖不受信任的字型。 使用此功能時,您可以開啟通用設定以阻止您的員工將使用圖形裝置介面 (GDI) 處理的未受信任字型載入到您的網路上。 未受信任字型是指安裝在
%windir%\Fonts
目錄外的任何字型。 封鎖未受信任字型,可協助防止可能在字型檔案剖析程序中發生的遠端 (Web 或電子郵件) 和本機 EOP 攻擊。
對我來說這代表什麼?
「封鎖未受信任字型」可協助改善網路和員工保護,以防止與字型處理程序相關的攻擊。 根據預設,此功能不會開啟。
這項功能如何運作?
有三種方式可以使用這項功能:
開啟。
協助阻止從
%windir%\Fonts
目錄外載入任何使用 GDI 處理的字型。 它也會開啟事件記錄。
稽核。
開啟事件記錄,但不論位置為何,都不會封鎖字型載入。 使用未受信任字型之應用程式的名稱會顯示在您的事件記錄檔中。
如果您尚未準備好將此功能部署到您的組織,您可以在稽核模式中執行它,以查看未載入未受信任的字型是否會造成任何可用性或相容性問題。
排除應用程式以載入未受信任的字型。
您可以排除特定的應用程式,即使在開啟這項功能時允許它們載入未受信任的字型。 如需相關指示,請參閱
修正因封鎖字型而發生問題的應用程式
。
可能導致功能減少
開啟這項功能之後,您的員工可能會在下列情況遇到功能降低的狀況:
將列印作業傳送至遠端印表機伺服器,該伺服器使用這項功能,而且尚未排除多任務緩衝處理程序進程。 在此情況下,將不會使用伺服器 %windir%/Fonts 資料夾中尚未提供的任何字型。
在 %windir%/Fonts 資料夾外部,使用已安裝印表機圖形 .dll 檔案所提供的字型進行列印。 如需詳細資訊,請參閱
印表機圖形 DLL 的簡介
。
使用使用記憶體型字型的第一個或非Microsoft應用程式。
使用 Internet Explorer 查看使用內嵌字型的網站。 在此情況下,此功能會封鎖內嵌字型,因而導致網站使用預設字型。 不過,並非所有字型都具有全部的字元,因此網站可能會以不同的方式呈現。
使用傳統型 Office 查看含有內嵌字型的文件。 在此情況下,內容會以 Office 挑選的預設字型顯示。
開啟並使用「封鎖未受信任字型」功能
使用群組原則或登錄來開啟、關閉這項功能,或使用稽核模式。
透過群組原則開啟及使用「封鎖未受信任字型」功能
開啟群組原則編輯器 (gpedit.msc),並移至
Computer Configuration\Administrative Templates\System\Mitigation Options\Untrusted Font Blocking
。
選
取 [已啟用
] 以開啟功能,然後選取下列其中一個
風險降低選項
:
-
封鎖未受信任字型和記錄事件。
開啟功能,封鎖不受信任的字型,並記錄事件記錄檔的安裝嘗試。
-
不封鎖未受信任信任的字型。
開啟功能,但不會封鎖不受信任的字型,也不會嘗試記錄事件記錄檔的安裝嘗試。
記錄事件而不封鎖未受信任的字型
。 開啟功能,記錄安裝會嘗試對事件記錄檔進行安裝,但不會封鎖不受信任的字型。
-
選取
[確定]
。
若要透過登錄開啟及使用封鎖未受信任字型功能
若要開啟、關閉這項功能,或使用稽核模式:
-
開啟登錄編輯程式 (regedit.exe) 並移至
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\
。
-
如果
MitigationOptions
索引鍵不在該處,按一下滑鼠右鍵並加入新的
QWORD (64 位元) 值
,將它重新命名為
MitigationOptions
。
-
以滑鼠右鍵選取
MitigationOptions
鍵,然後選取[
修改]
。
\[編輯 QWORD (64 位元) 值\]
方塊開啟。
-
確認
\[基底\]
選項為
\[十六進位\]
,然後更新
\[數值資料\]
,並確實保有現有的值,如以下重要事項:
-
若要開啟這項功能。
請輸入
1000000000000
。
-
若要關閉這項功能。
請輸入
2000000000000
。
-
若要使用此功能稽核。
請輸入
3000000000000
。
在您更新期間,應該儲存您現有的
MitigationOptions
值。 舉例來說,若目前的值是
1000
,您更新後的值應該是
1000000001000
。
若要查看您的事件記錄檔
-
開啟事件檢視器 (eventvwr.exe) 並移至
Application and Service Logs/Microsoft/Windows/Win32k/Operational
。
-
向下捲動至
事件識別碼:260
並檢閱相關的事件。
事件範例 1 - MS Word
WINWORD.EXE 嘗試載入受字型載入原則限制的字型。
FontType: Memory
FontPath:
Blocked: true
因為
FontType
是
Memory
,所以沒有相關聯的
FontPath
。
事件範例 2 - Winlogon
Winlogon.exe 嘗試載入受字型載入原則限制的字型。
FontType: File
FontPath:
\??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF
Blocked: true
因為
FontType
是
File
,所以也有相關聯的
FontPath
。
事件範例 3 - 在稽核模式中執行的 Internet Explorer
Iexplore.exe 嘗試載入受字型載入原則限制的字型。
FontType: Memory
FontPath:
Blocked: false
在稽核模式中,會記錄問題,但不會封鎖字型。
修正因封鎖字型而發生問題的應用程式
您的公司可能仍需要使用因為封鎖字型而發生問題的應用程式,所以我們建議先以 \[稽核\] 模式執行這項功能,以判斷是因為哪些字型被封鎖而造成問題。
找出有問題的字型之後,您可以嘗試以兩種方式修正您的應用程式:直接將字型安裝到 %windir%/Fonts 目錄,或排除基礎進程並讓字型載入。 我們強烈地建議您安裝這些封鎖後會造成問題的字型,這也是預設的解決方案。 相較於排除應用程式,安裝字型較為安全,因為排除應用程式後會載入所有字型 (信任或未受信任)。
透過安裝封鎖後會造成問題的字型來修正您的應用程式 (建議選項)
在每部已安裝應用程式的計算機上,以滑鼠右鍵按下字型名稱,然後選取 [
安裝]
。 字型應該就會自動安裝到您的
%windir%\Fonts
目錄中。 如果沒有,您必須手動將字型檔案複製到
Fonts
目錄,然後從該處執行安裝。
透過排除處理程序修正應用程式
-
在每部已安裝應用程式的電腦上,開啟 regedit.exe 然後移至
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<process_image_name>
。 例如,如果您想要排除Microsoft Word 進程,則會使用
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe
。
-
新增需要在此處排除的其他程式,然後使用本文稍早開
啟並使用封鎖未受信任
字型功能中的步驟,開啟 [封鎖未受信任的字型] 功能。
