Windows 10 Technical Preview ajoute une fonctionnalité qui bloque les polices non approuvées
Cet article décrit une nouvelle fonctionnalité qui bloque les polices non approuvées pour Windows 10 Technical Preview. Avant d’utiliser la fonctionnalité, vous pouvez voir l’introduction de la fonctionnalité et les réductions potentielles dans la section fonctionnalités. Ensuite, suivez les étapes pour configurer la fonctionnalité.
Applicabilité : Windows 10 - Toutes les éditions
Numéro de base de connaissances d’origine : 3053676
Étant donné que les polices utilisent des structures de données complexes et peuvent être incorporées dans des pages web et des documents, elles peuvent être vulnérables aux attaques d’élévation de privilèges (EOP). Les attaques EOP signifient qu’un pirate malveillant peut accéder à distance à l’ordinateur d’un utilisateur lorsque les utilisateurs partagent des fichiers ou naviguent sur le web. Pour renforcer la sécurité contre ces attaques, nous avons créé une fonctionnalité pour bloquer les polices non approuvées. Cette fonctionnalité vous permet d’activer un paramètre global qui empêche les utilisateurs de charger des polices non approuvées traitées par l’interface GDI (Graphics Device Interface). Les polices non approuvées sont toutes les polices installées en dehors du %windir%/Fonts répertoire. La fonctionnalité blocage des polices non approuvées permet d’arrêter les attaques EOP locales (basées sur le web ou basées sur le web) et EOP locales qui peuvent se produire pendant le processus d’analyse de fichier de police.
Il existe trois façons d’utiliser cette fonctionnalité :
Activé. Permet d’arrêter toute police chargée qui est traitée à l’aide de GDI et est installée en dehors du
%windir/Fonts%répertoire. Elle active également la journalisation des événements.Audit. Active la journalisation des événements, mais ne bloque pas le chargement des polices, quel que soit l’emplacement. Les noms des applications qui utilisent des polices non approuvées apparaissent dans votre journal des événements.
Notes
Si vous n’êtes pas prêt à déployer cette fonctionnalité dans votre organisation, vous pouvez l’exécuter en mode Audit pour voir si le chargement de polices non approuvées provoque des problèmes d’utilisation ou de compatibilité.
Excluez les applications pour charger des polices non approuvées. Vous pouvez exclure des applications spécifiques. Il leur permet de charger des polices non approuvées, même lorsque la fonctionnalité est activée.
Une fois cette fonctionnalité activée, les utilisateurs peuvent rencontrer des fonctionnalités réduites dans les situations suivantes :
Envoi d’un travail d’impression à un serveur d’imprimantes partagé qui utilise cette fonctionnalité et où le processus du spouleur n’a pas été exclu. Dans ce cas, toutes les polices qui ne sont pas déjà disponibles dans le dossier du
%windir%/Fontsserveur ne seront pas utilisées.Impression à l’aide de polices fournies par le fichier graphique de l’imprimante installée .dll, en dehors du
%windir%/Fontsdossier. Pour plus d’informations, consultez Présentation des DLL graphics d’imprimante.Utilisation d’applications internes ou tierces qui utilisent des polices basées sur la mémoire.
Utilisation d’Internet Explorer pour afficher les sites web qui utilisent des polices incorporées. Dans ce cas, la fonctionnalité bloque la police incorporée, ce qui entraîne l’utilisation d’une police par défaut sur le site web. Toutefois, toutes les polices n’ont pas tous les caractères, de sorte que le site web peut s’afficher différemment.
Utilisation d’Office de bureau pour afficher les documents qui ont des polices incorporées. Dans ce cas, le contenu s’affiche à l’aide d’une police par défaut choisie par Office.
Pour activer ou désactiver cette fonctionnalité ou utiliser le mode audit, utilisez l’une des méthodes suivantes.
- Ouvrez l’Éditeur de stratégie de groupe local.
- Sous Stratégie d’ordinateur local, développez Configuration de l’ordinateur, développez Modèles d’administration, développez Système, puis cliquez sur Options d’atténuation.
- Dans le paramètre Blocage de police non approuvé, vous pouvez voir les options suivantes :
- Bloquer les polices non approuvées et les événements de journal
- Ne pas bloquer les polices non approuvées
- Journaliser les événements sans bloquer les polices non approuvées
Ouvrez l’Éditeur du Registre (regedit.exe) et accédez à la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\Si la clé MitigationOptions n’est pas là, cliquez avec le bouton droit et ajoutez une nouvelle valeur QWORD (64 bits), en le nommant atténuationOptions.
Mettez à jour les données Value de la clé MitigationOptions et assurez-vous que vous conservez votre valeur existante, comme la remarque importante ci-dessous :
- Pour activer cette fonctionnalité, tapez 10000000000000.
- Pour désactiver cette fonctionnalité, tapez 20000000000000.
- Pour effectuer un audit avec cette fonctionnalité, tapez 3000000000000.
Important
Vos valeurs MitigationOptions existantes doivent être enregistrées pendant votre mise à jour. Par exemple, si la valeur actuelle est 1 000, votre valeur mise à jour doit être 1000000001000.
Redémarrez votre ordinateur.
Après avoir activé cette fonctionnalité ou commencé à utiliser le mode Audit, vous pouvez vérifier vos journaux d’événements pour obtenir des informations détaillées.
Ouvrez l’Observateur d’événements (eventvwr.exe) et accédez au chemin suivant :
Journaux d’application et de service/Microsoft/Windows/Win32k/Opérationnel
Faites défiler jusqu’à EventID : 260 et passez en revue les événements pertinents.
Exemple d’événement 1 - Microsoft Word
Notes
Étant donné que FontType est Memory, il n’y a pas de FontPath associé.
Exemple d’événement 2 - Winlogon
Notes
Étant donné que FontType est File, il existe également un FontPath associé.
Exemple d’événement 3 - Internet Explorer s’exécutant en mode Audit
Notes
En mode Audit, le problème est enregistré, mais la police n’est pas bloquée.
Les utilisateurs peuvent toujours avoir besoin d’applications qui présentent des problèmes en raison de polices bloquées. Nous vous suggérons donc d’exécuter cette fonctionnalité en mode Audit pour déterminer les polices à l’origine des problèmes. Après avoir compris les polices problématiques, vous pouvez essayer de corriger vos applications de l’une des deux manières suivantes : en installant directement les polices dans le répertoire %windir%/Fonts ou en excluant les processus sous-jacents et en laissant les polices charger. Comme solution par défaut, nous vous recommandons vivement d’installer la police problématique. L’installation de polices est plus sûre que l’exclusion des applications, car les applications exclues peuvent charger n’importe quelle police, approuvée ou non approuvée.
Sur chaque ordinateur sur lequel l’application est installée, cliquez avec le bouton droit sur le nom de la police, puis cliquez sur Installer.
La police doit être installée automatiquement dans votre %windir%/Fonts répertoire. Si ce n’est pas le cas, vous devez copier manuellement les fichiers de police dans le répertoire Polices et exécuter l’installation à partir de là.
Sur chaque ordinateur sur lequel l’application est installée, ouvrez l’Éditeur du Registre et accédez à la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>Par exemple, si vous souhaitez exclure les processus Microsoft Word, vous devez utiliser
HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.Si la clé MitigationOptions n’est pas là, cliquez avec le bouton droit et ajoutez une nouvelle valeur QWORD (64 bits), en le nommant atténuationOptions.
Ajoutez la valeur du paramètre souhaité pour ce processus :
- Pour activer cette fonctionnalité, tapez 10000000000000.
- Pour désactiver cette fonctionnalité, tapez 20000000000000.
- Pour effectuer un audit avec cette fonctionnalité, tapez 3000000000000.
Important
Vos valeurs MitigationOptions existantes doivent être enregistrées pendant votre mise à jour. Par exemple, si la valeur actuelle est 1 000, votre valeur mise à jour doit être 1000000001000.
Ajoutez tous les processus supplémentaires qui doivent être exclus, puis activez le blocage de police à l’aide des étapes fournies dans les applications correctifs en excluant la section processus .