Windows 10 Technical Preview ajoute une fonctionnalité qui bloque les polices nontrues

  • Article
  • 6 minutes de lecture

Cet article décrit une nouvelle fonctionnalité qui bloque les polices non Windows 10 Technical Preview. Avant d’utiliser la fonctionnalité, vous pouvez voir l’introduction de la fonctionnalité et les réductions potentielles dans la section des fonctionnalités. Ensuite, suivez les étapes pour configurer la fonctionnalité.

S’applique à :   Windows 10 - toutes les éditions
Numéro de la ko d’origine :   3053676

Fonctionnalité de blocage des polices nontrues

Étant donné que les polices utilisent des structures de données complexes et peuvent être incorporées dans des pages web et des documents, elles peuvent être vulnérables aux attaques d’élévation de privilèges (EOP). Les attaques EOP signifient qu’un pirate informatique malveillant peut accéder à distance à l’ordinateur d’un utilisateur lorsque des utilisateurs partagent des fichiers ou utilisent le web. Pour renforcer la sécurité contre ces attaques, nous avons créé une fonctionnalité pour bloquer les polices nontrues. À l’aide de cette fonctionnalité, vous pouvez activer un paramètre global qui empêche les utilisateurs de charger des polices nontrues traitées par l’interface GDI (Graphics Device Interface). Les polices nontrues sont toutes les polices installées en dehors %windir%/Fonts du répertoire. La fonctionnalité de blocage des polices nontrues permet d’arrêter les attaques EOP distantes (basées sur le web ou par e-mail) et locales qui peuvent se produire pendant le processus d’examen des fichiers de polices.

Fonctionnement de cette fonctionnalité

Il existe trois façons d’utiliser cette fonctionnalité :

  • On. Permet d’arrêter le chargement de toutes les polices traitées à l’aide de l’outil GDI et installées en dehors %windir/Fonts% du répertoire. Il permet également d’ouvrir la journalisation des événements.

  • Audit. Cette fonction permet d’ouvrir la journalisation des événements, mais ne bloque pas le chargement des polices, quel que soit l’emplacement. Les noms des applications qui utilisent des polices nontrues apparaissent dans votre journal des événements.

    Notes

    Si vous n’êtes pas prêt à déployer cette fonctionnalité dans votre organisation, vous pouvez l’exécuter en mode Audit pour voir si le chargement de polices nontrues entraîne des problèmes d’utilisation ou de compatibilité.

  • Exclure les applications pour charger les polices non utilisées. Vous pouvez exclure des applications spécifiques. Il leur permet de charger des polices nontrues, même lorsque la fonctionnalité est allumée.

Réductions potentielles des fonctionnalités

Après avoir mis en place cette fonctionnalité, les utilisateurs peuvent faire face à des fonctionnalités réduites dans les situations suivantes :

  • Envoi d’un travail d’impression à un serveur d’imprimantes partagé qui utilise cette fonctionnalité et où le processus dupooler n’a pas été exclu. Dans ce cas, les polices qui ne sont pas déjà disponibles dans le dossier du serveur %windir%/Fonts ne seront pas utilisées.

  • Impression à l’aide de polices fournies par le fichier graphique de l’imprimante .dll, en dehors du %windir%/Fonts dossier. Pour plus d’informations, voir Introduction aux DLLs graphiques d’imprimante.

  • Utilisation d’applications tierces ou tierces qui utilisent des polices basées sur la mémoire.

  • Utilisation d’Internet Explorer pour afficher les sites web qui utilisent des polices incorporées. Dans ce cas, la fonctionnalité bloque la police incorporée, ce qui entraîne l’utilisation d’une police par défaut par le site web. Toutefois, toutes les polices n’ont pas tous les caractères, de sorte que le site web peut s’en rendre différemment.

  • Utilisation des Office bureau pour afficher les documents qui ont des polices incorporées. Dans ce cas, le contenu s’affiche à l’aide d’une police par défaut Office.

Comment activer et utiliser la fonctionnalité

Pour activer, désactiver ou utiliser le mode audit, utilisez l’une des méthodes suivantes.

Utiliser la stratégie de groupe

  1. Ouvrez l’Éditeur de stratégie de groupe local.
  2. Sous Stratégie de l’ordinateur local, développez Configuration ordinateur, développez Modèles d’administration, développez Système, puis cliquez sur Options d’atténuation.
  3. Dans le paramètre Blocage des polices non confiance, vous pouvez voir les options suivantes :
    • Bloquer les polices nontrues et les événements de journal
    • Ne pas bloquer les polices nontrues
    • Journal des événements sans bloquer les polices nontrues

Utiliser l’Éditeur du Registre

  1. Ouvrez l’Éditeur du Registre (regedit.exe) et allez à la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

  2. Si la clé MitigationOptions n’est pas là, cliquez avec le bouton droit et ajoutez une nouvelle valeur QWORD (64 bits), en la nommant MitigationOptions.

  3. Mettez à jour les données de valeur de la clé MitigationOptions et assurez-vous de conserver votre valeur existante, comme la remarque importante ci-dessous :

    • Pour activer cette fonctionnalité, tapez 1000000000000.
    • Pour désactiver cette fonctionnalité, tapez 2000000000000.
    • Pour auditer avec cette fonctionnalité, tapez 300000000000.

    Important

    Vos valeurs MitigationOptions existantes doivent être enregistrées pendant votre mise à jour. Par exemple, si la valeur actuelle est 1000, votre valeur mise à jour doit être 1000000001000.

  4. Restart your computer.

Afficher le journal des événements

Après avoir activer cette fonctionnalité ou commencé à utiliser le mode Audit, vous pouvez consulter vos journaux d’événements pour obtenir des informations détaillées.

Vérifier le journal des événements

  1. Ouvrez l’Observateur d’événements (eventvwr.exe) et ouvrez le chemin d’accès suivant :

    Journaux des applications et des services/Microsoft/Windows/Win32k/Operational

  2. Faites défiler vers le bas jusqu’à EventID : 260 et examinez les événements pertinents.

    • Exemple d’événement 1 - Microsoft Word

      Notes

      Étant donné que fontType est Memory, il n’y a pas de FontPath associé.

    • Exemple d’événement 2 - Winlogon

      Notes

      Étant donné que FontType est Un fichier, il existe également un FontPath associé.

    • Exemple d’événement 3 - Internet Explorer en cours d’exécution en mode Audit

      Notes

      En mode Audit, le problème est enregistré, mais la police n’est pas bloquée.

Corriger les applications qui ont des problèmes en raison de polices bloquées

Les utilisateurs peuvent encore avoir besoin d’applications qui présentent des problèmes en raison de polices bloquées. Nous vous suggérons donc d’exécuter cette fonctionnalité en mode Audit pour déterminer quelles polices sont à l’origine des problèmes. Une fois que vous avez compris les polices problématiques, vous pouvez essayer de corriger vos applications de deux manières : en installant directement les polices dans le répertoire %windir%/Fonts ou en excluant les processus sous-jacents et en laissant charger les polices. En tant que solution par défaut, nous vous recommandons vivement d’installer la police problématique. L’installation de polices est plus sûre que l’exclusion d’applications, car les applications exclues peuvent charger n’importe quelle police, fiable ou non.

Sur chaque ordinateur où l’application est installée, cliquez avec le bouton droit sur le nom de la police, puis cliquez sur Installer.

La police doit s’installer automatiquement dans %windir%/Fonts votre répertoire. Si ce n’est pas le cas, vous devez copier manuellement les fichiers de polices dans le répertoire Fonts et exécuter l’installation à partir de là.

Corriger les applications en excluant les processus

  1. Sur chaque ordinateur sur qui l’application est installée, ouvrez l’Éditeur du Registre et allez à la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>

    Par exemple, si vous souhaitez exclure des processus Microsoft Word, vous devez utiliser HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe .

  2. Si la clé MitigationOptions n’est pas là, cliquez avec le bouton droit et ajoutez une nouvelle valeur QWORD (64 bits), en la nommant MitigationOptions.

  3. Ajoutez la valeur du paramètre souhaité pour ce processus :

    • Pour activer cette fonctionnalité, tapez 1000000000000.
    • Pour désactiver cette fonctionnalité, tapez 2000000000000.
    • Pour auditer avec cette fonctionnalité, tapez 300000000000.

    Important

    Vos valeurs MitigationOptions existantes doivent être enregistrées pendant votre mise à jour. Par exemple, si la valeur actuelle est 1000, votre valeur mise à jour doit être 1000000001000.

  4. Ajoutez les processus supplémentaires qui doivent être exclus, puis activer le blocage des polices en utilisant les étapes fournies dans la section Corriger les applications en excluant les processus.