Blockieren von nicht vertrauenswürdigen Schriftarten in einem Unternehmen

Gilt für:

  • Windows 10

Unter Vergleichen von Windows 10-Editionen erfahren Sie, welche Features und Funktionen von den einzelnen Windows-Editionen unterstützt werden.

Um Ihr Unternehmen vor Angriffen zu schützen, die möglicherweise aus nicht vertrauenswürdigen oder vom Angreifer gesteuerten Schriftartdateien stammen, haben wir das Feature zum Blockieren nicht vertrauenswürdiger Schriftarten erstellt. Mit diesem Feature können Sie eine globale Einstellung aktivieren, mit der für Ihre Mitarbeiter das Laden von nicht vertrauenswürdigen Schriftarten verhindert wird, die mit der Graphics Device Interface (GDI) in Ihrem Netzwerk verarbeitet werden. Nicht vertrauenswürdige Schriftarten sind alle Schriftarten, die außerhalb des Verzeichnisses %windir%/Fonts installiert sind. Das Blockieren von nicht vertrauenswürdigen Schriftarten verhindert sowohl EOP-Remoteangriffe (webbasiert oder E-Mail-basiert) als auch lokale EOP-Angriffe, die beim Analysieren von Schriftartdateien auftreten können.

Was bedeutet das für mich?

Wenn Sie nicht vertrauenswürdige Schriftarten blockieren, verbessert dies den Schutz des Netzwerks und der Mitarbeiter vor Angriffen, die mit der Verarbeitung von Schriftarten zusammenhängen. Dieses Feature ist standardmäßig nicht aktiviert.

Wie funktioniert dieses Feature?

Es gibt drei Möglichkeiten, dieses Feature zu verwenden:

  • Ein. Verhindert, dass per GDI verarbeitete Schriftarten außerhalb des Verzeichnisses %windir%/Fonts geladen werden. Außerdem wird die Ereignisprotokollierung aktiviert.

  • Überwachung: Aktiviert die Ereignisprotokollierung, aber das Laden von Schriftarten wird – unabhängig vom Speicherort – nicht blockiert. Die Namen der Apps, in denen nicht vertrauenswürdige Schriftarten verwendet werden, sind in Ihrem Ereignisprotokoll aufgeführt.

    Hinweis

    Wenn Sie noch nicht bereit sind, dieses Feature in Ihrer Organisation bereitzustellen, können Sie es im Überwachungsmodus ausführen, um festzustellen, ob das Laden nicht vertrauenswürdiger Schriftarten zu Benutzerfreundlichkeits- oder Kompatibilitätsproblemen führt.

  • Blockierung von nicht vertrauenswürdigen Schriftarten für Apps ausschließen. Sie können bestimmte Apps ausschließen, damit dafür nicht vertrauenswürdige Schriftarten auch dann geladen werden können, wenn dieses Feature aktiviert ist. Eine Anleitung hierzu finden Sie unter Beheben von App-Problemen aufgrund von blockierten Schriftarten.

Mögliche Reduzierung der Funktionalität

Wenn Sie dieses Feature aktivieren, kann in folgenden Fällen die Funktionalität für die Mitarbeiter eingeschränkt sein:

  • Senden eines Druckauftrags an einen Remotedruckerserver, für den dieses Feature verwendet wird und der Spoolerprozess nicht explizit ausgeschlossen wurde. In diesem Fall werden alle Schriftarten, die nicht bereits im Ordner „%windir%/Fonts“ des Servers verfügbar sind, nicht verwendet.

  • Drucken von Schriftarten, die über die installierte DLL-Grafikdatei des Druckers bereitgestellt werden und außerhalb des Ordners „%windir%/Fonts“ vorliegen. Weitere Informationen hierzu finden Sie unter Einführung in DLL-Grafikdateien von Druckern.

  • Mithilfe von Erstanbieter- oder Drittanbieter-Apps, für die arbeitsspeicherbasierte Schriftarten verwendet werden.

  • Mit Internet Explorer, um Websites anzuzeigen, für die eingebettete Schriftarten verwendet werden. In diesem Fall sperrt das Feature die eingebettete Schriftart, sodass für die Website die Verwendung einer Standardschriftart erzwungen wird. Da nicht alle Schriftarten über alle Zeichen verfügen, kann es sein, dass die Website anders dargestellt wird.

  • Bei Office für Desktops, wenn Dokumente mit eingebetteten Schriftarten angezeigt werden. In diesem Fall werden Inhalte in einer Standardschriftart angezeigt, die in Office ausgewählt wird.

Aktivieren und Verwenden des Features zum Blockieren nicht vertrauenswürdiger Schriftarten

Verwenden Sie Gruppenrichtlinien oder die Registrierung, um dieses Feature zu aktivieren, zu deaktivieren oder im Überwachungsmodus zu verwenden.

So aktivieren und verwenden Sie Features zum Blockieren nicht vertrauenswürdiger Schriftarten über die Gruppenrichtlinien

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc), und navigieren Sie zu Computer Configuration\Administrative Templates\System\Mitigation Options\Untrusted Font Blocking.

  2. Klicken Sie auf "Aktiviert", um das Feature zu aktivieren, und klicken Sie dann auf eine der folgenden Gegenmaßnahmen:

    • Blockieren von nicht vertrauenswürdigen Schriftarten und Ereignisprotokollen. Aktiviert das Feature, blockiert nicht vertrauenswürdige Schriftarten und protokolliert Installationsversuche, in das Ereignisprotokoll schreiben.

    • Blockieren Sie nicht vertrauenswürdige Schriftarten nicht. Aktiviert das Feature, blockiert allerdings die nicht vertrauenswürdigen Schriftarten nicht oder protokolliert nicht die Installationsversuche, in das Ereignisprotokoll schreiben.

    • Ereignisse protokollieren, ohne nicht vertrauenswürdige Schriftarten zu blockieren. Aktiviert das Feature, protokolliert Installationsversuche, in das Ereignisprotokoll schreiben, aber blockiert nicht vertrauenswürdige Schriftarten.

  3. Klicken Sie auf OK.

So aktivieren und verwenden Sie Features zum Blockieren nicht vertrauenswürdiger Schriftarten über die Registrierung Um dieses Feature zu aktivieren, deaktivieren oder im Überwachungsmodus verwenden:

  1. Öffnen Sie den Registrierungs-Editor (regedit.exe), und wechseln Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\.

  2. Ist der Schlüssel MitigationOptions nicht vorhanden, klicken Sie mit der rechten Maustaste, und fügen Sie einen neuen Wert vom Typ QWORD-Wert (64-Bit) hinzu. Geben Sie ihm den Namen MitigationOptions.

  3. Klicken Sie mit der rechten Maustaste auf den Schlüssel MitigationOptions, und klicken Sie anschließend auf Ändern.

    Das Feld QWORD-Wert (64-Bit) bearbeiten wird geöffnet.

  4. Stellen Sie sicher, das die Option Base auf Hexadezimal festgelegt ist und aktualisieren Sie den Wert Wertdaten des Schlüssels MitigationOptions, und achten Sie darauf, dass Sie Ihren vorhandenen Wert beibehalten. Dies ist im folgenden wichtigen Hinweis dargestellt:

    • Feature aktivieren: Geben Sie 1000000000000 ein.

    • Feature deaktivieren: Geben Sie 2000000000000 ein.

    • Überwachungsmodus für dieses Feature aktivieren: Geben Sie 3000000000000 ein.

      Wichtig

      Beim Aktualisierungsvorgang sollten Ihre vorhandenen Werte für MitigationOptions gespeichert werden. Wenn der aktuelle Wert beispielsweise 1000 lautet, sollte der aktualisierte Wert 1000000001000 lauten.

  5. Starten Sie den Computer neu.

Anzeigen des Ereignisprotokolls

Nachdem Sie dieses Feature aktiviert oder den Überwachungsmodus gestartet haben, können Sie die Ereignisprotokolle mit den Details anzeigen.

So zeigen Sie das Ereignisprotokoll an

  1. Öffnen Sie die Ereignisanzeige (eventvwr.exe), und wechseln Sie zu Anwendungs- und Dienstprotokolle/Microsoft/Windows/Win32k/Operational.

  2. Scrollen Sie nach unten zu EventID: 260, und überprüfen Sie die entsprechenden Ereignisse.

    Ereignisbeispiel1– MSWord
    WINWORD.EXE hat versucht, eine Schriftart zu laden, für die eine Einschränkung durch eine Richtlinie zum Laden von Schriftarten besteht.
    FontType: Memory
    FontPath:
    Blocked: true

    Hinweis

    Da FontType den Wert Memory hat, ist keine Zuordnung von FontPath vorhanden.

    Ereignisbeispiel2– Windows-Anmeldung
    Winlogon.exe hat versucht, eine Schriftart zu laden, für die eine Einschränkung durch eine Richtlinie zum Laden von Schriftarten besteht.
    FontType: File
    FontPath: \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF
    Blocked: true

    Hinweis

    Da FontType den Wert File hat, ist auch eine Zuordnung von FontPath vorhanden.

    Ereignisbeispiel3– Im Überwachungsmodus ausgeführter Internet Explorer
    Iexplore.exe hat versucht, eine Schriftart zu laden, für die eine Einschränkung durch eine Richtlinie zum Laden von Schriftarten besteht.
    FontType: Memory
    FontPath:
    Blocked: false

    Hinweis

    Im Überwachungsmodus wird das Problem aufgezeichnet, aber die Schriftart wird nicht blockiert.

Beheben von App-Problemen aufgrund von blockierten Schriftarten

Es kann sein, dass Sie in Ihrem Unternehmen Apps benötigen, für die aufgrund von blockierten Schriftarten Probleme auftreten. Daher empfehlen wir, dieses Feature zuerst im Überwachungsmodus auszuführen, um zu ermitteln, welche Schriftarten Probleme verursachen.

Nachdem Sie die problematischen Schriftarten ermittelt haben, haben Sie zwei Möglichkeiten, dies für Ihre Apps zu beheben: Sie können die Schriftarten direkt im Verzeichnis „%windir%/Fonts“ installieren oder die zugrunde liegenden Prozesse ausschließen und das Laden der Schriftarten zulassen. Als Standardlösung wird dringend empfohlen, die problematische Schriftart zu installieren. Das Installieren von Schriftarten ist sicherer als das Ausschließen von Apps, da von ausgeschlossenen Apps alle Schriftarten – ob vertrauenswürdig oder nicht – geladen werden können.

So lösen Sie das Problem für Apps, indem Sie die problematischen Schriftarten installieren (empfohlen)

  • Klicken Sie auf jedem Computer, auf dem die App installiert ist, mit der rechten Maustaste auf den Namen der Schriftart, und klicken Sie dann auf Installieren.

    Die Schriftart sollte automatisch im Verzeichnis %windir%/Fonts installiert werden. Ist dies nicht der Fall, müssen Sie die Schriftartendateien manuell in das Verzeichnis Schriftarten kopieren und die Installation von dort ausführen.

So beheben Sie das Problem für Apps durch das Ausschließen von Prozessen

  1. Öffnen Sie „regedit.exe“ auf jedem Computer, auf dem die App installiert ist, und wechseln Sie zu HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<process_image_name>.

    Wenn Sie beispielsweise Microsoft Word-Prozesse ausschließen möchten, verwenden Sie HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.

  2. Fügen Sie hier alle zusätzlichen Prozesse hinzu, die ausgeschlossen werden müssen, und aktivieren Sie dann das Feature zum Blockieren nicht vertrauenswürdiger Schriftarten mithilfe der Schritte unter Aktivieren und Verwenden des Features "Blockieren nicht vertrauenswürdiger Schriftarten"weiter oben in diesem Artikel.

Verwandte Themen