Windows 10 Technical Preview ajoute une fonctionnalité qui bloque les polices non approuvées

  • Article

Cet article décrit une nouvelle fonctionnalité qui bloque les polices non approuvées pour Windows 10 Technical Preview. Avant d’utiliser la fonctionnalité, vous pouvez voir l’introduction de la fonctionnalité et la section des réductions potentielles des fonctionnalités . Ensuite, suivez les étapes pour configurer la fonctionnalité.

Applicabilité : Windows 10 - Toutes les éditions
Numéro de la base de connaissances d’origine : 3053676

Fonctionnalité de blocage des polices non approuvées

Étant donné que les polices utilisent des structures de données complexes et peuvent être incorporées dans des pages web et des documents, elles peuvent être vulnérables aux attaques par élévation de privilège (EOP). Les attaques EOP signifient qu’un pirate malveillant peut accéder à distance à l’ordinateur d’un utilisateur lorsque des utilisateurs partagent des fichiers ou naviguent sur le web. Pour renforcer la sécurité contre ces attaques, nous avons créé une fonctionnalité pour bloquer les polices non approuvées. À l’aide de cette fonctionnalité, vous pouvez activer un paramètre global qui empêche les utilisateurs de charger des polices non approuvées traitées par l’interface de périphérique graphique (GDI). Les polices non approuvées sont toutes les polices installées en dehors du %windir%/Fonts répertoire. La fonctionnalité de blocage des polices non approuvées permet d’arrêter à la fois les attaques EOP distantes (basées sur le web ou par e-mail) et locales qui peuvent se produire pendant le processus d’analyse des fichiers de police.

Fonctionnement de cette fonctionnalité

Il existe trois façons d’utiliser cette fonctionnalité :

  • Sur. Permet d’arrêter le chargement de toutes les polices traitées à l’aide de GDI et installées en dehors du %windir/Fonts% répertoire. Elle active également la journalisation des événements.

  • Audit. Active la journalisation des événements, mais n’empêche pas le chargement des polices, quel que soit l’emplacement. Les noms des applications qui utilisent des polices non approuvées apparaissent dans votre journal des événements.

    Remarque

    Si vous n’êtes pas prêt à déployer cette fonctionnalité dans votre organization, vous pouvez l’exécuter en mode Audit pour voir si le fait de ne pas charger des polices non approuvées entraîne des problèmes de facilité d’utilisation ou de compatibilité.

  • Excluez les applications pour charger des polices non approuvées. Vous pouvez exclure des applications spécifiques. Il leur permet de charger des polices non approuvées, même lorsque la fonctionnalité est activée.

Réductions potentielles des fonctionnalités

Après avoir activé cette fonctionnalité, les utilisateurs peuvent rencontrer des fonctionnalités réduites dans les situations suivantes :

  • Envoi d’un travail d’impression à un serveur d’imprimantes partagé qui utilise cette fonctionnalité et où le processus de spouleur n’a pas été exclu. Dans ce cas, les polices qui ne sont pas déjà disponibles dans le dossier du %windir%/Fonts serveur ne seront pas utilisées.

  • Impression à l’aide de polices fournies par le fichier de .dll graphiques de l’imprimante installée, en dehors du %windir%/Fonts dossier. Pour plus d’informations, consultez Présentation des DLL d’imprimante graphique.

  • Utilisation d’applications internes ou tierces qui utilisent des polices basées sur la mémoire.

  • L’utilisation d’Internet Explorer pour afficher les sites web qui utilisent des polices incorporées. Dans ce cas, la fonctionnalité bloque la police incorporée, ce qui oblige le site web à utiliser une police par défaut. Toutefois, toutes les polices n’ont pas tous les caractères, de sorte que le site web peut s’afficher différemment.

  • Utilisation d’Office de bureau pour afficher les documents qui ont des polices incorporées. Dans ce cas, le contenu est affiché à l’aide d’une police par défaut choisie par Office.

Comment activer et utiliser la fonctionnalité

Pour activer, désactiver ou utiliser le mode audit, utilisez l’une des méthodes suivantes.

Utiliser la stratégie de groupe

  1. Ouvrez stratégie de groupe Rédacteur local.
  2. Sous Stratégie de l’ordinateur local, développez Configuration ordinateur, Modèles d’administration, Système, puis cliquez sur Options d’atténuation.
  3. Dans le paramètre Blocage de police non approuvé , vous pouvez voir les options suivantes :
    • Bloquer les polices non approuvées et les événements de journal
    • Ne pas bloquer les polices non approuvées
    • Journaliser les événements sans bloquer les polices non approuvées

Utilisation de l’Éditeur du Registre

  1. Ouvrez Le Registre Rédacteur (regedit.exe) et accédez à la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

  2. Si la clé MitigationOptions n’est pas là, cliquez avec le bouton droit et ajoutez une nouvelle valeur QWORD (64 bits) en l’appelant MitigationOptions.

  3. Mettez à jour les données de valeur de la clé MitigationOptions et veillez à conserver votre valeur existante, comme la remarque importante ci-dessous :

    • Pour activer cette fonctionnalité, tapez 1000000000000000.
    • Pour désactiver cette fonctionnalité, tapez 200000000000000.
    • Pour effectuer un audit avec cette fonctionnalité, tapez 300000000000000.

    Importante

    Vos valeurs MitigationOptions existantes doivent être enregistrées pendant votre mise à jour. Par exemple, si la valeur actuelle est 1000, votre valeur mise à jour doit être 1000000001000.

  4. Restart your computer.

Afficher le journal des événements

Après avoir activé cette fonctionnalité ou commencé à utiliser le mode Audit, vous pouvez case activée vos journaux des événements pour obtenir des informations détaillées.

Vérifier le journal des événements

  1. Ouvrez le observateur d'événements (eventvwr.exe) et accédez au chemin d’accès suivant :

    Journaux d’application et de service/Microsoft/Windows/Win32k/Opérationnel

  2. Faites défiler jusqu’à EventID : 260 et passez en revue les événements pertinents.

    • Exemple d’événement 1 - Microsoft Word

      Remarque

      Étant donné que FontType a la valeur Memory, aucun FontPath n’est associé.

    • Exemple d’événement 2 - Winlogon

      Remarque

      Étant donné que FontType a la valeur File, il existe également un FontPath associé.

    • Exemple d’événement 3 - Internet Explorer en cours d’exécution en mode Audit

      Remarque

      En mode Audit, le problème est enregistré, mais la police n’est pas bloquée.

Corriger les applications qui rencontrent des problèmes en raison de polices bloquées

Les utilisateurs peuvent toujours avoir besoin d’applications qui rencontrent des problèmes en raison de polices bloquées. Nous vous suggérons donc d’exécuter d’abord cette fonctionnalité en mode Audit pour déterminer quelles polices sont à l’origine des problèmes. Après avoir identifié les polices problématiques, vous pouvez essayer de corriger vos applications de l’une des deux manières suivantes : en installant directement les polices dans le répertoire %windir%/Fonts ou en excluant les processus sous-jacents et en laissant les polices se charger. Comme solution par défaut, nous vous recommandons vivement d’installer la police problématique. L’installation de polices est plus sûre que l’exclusion d’applications, car les applications exclues peuvent charger n’importe quelle police, approuvée ou non approuvée.

Sur chaque ordinateur sur lequel l’application est installée, cliquez avec le bouton droit sur le nom de la police, puis cliquez sur Installer.

La police doit s’installer automatiquement dans votre %windir%/Fonts répertoire. Si ce n’est pas le cas, vous devez copier manuellement les fichiers de police dans le répertoire Fonts et exécuter l’installation à partir de là.

Corriger les applications en excluant les processus

  1. Sur chaque ordinateur sur lequel l’application est installée, ouvrez le Registre Rédacteur et accédez à la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>

    Par exemple, si vous souhaitez exclure les processus microsoft Word, vous devez utiliser HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.

  2. Si la clé MitigationOptions n’est pas là, cliquez avec le bouton droit et ajoutez une nouvelle valeur QWORD (64 bits) en l’appelant MitigationOptions.

  3. Ajoutez la valeur pour le paramètre souhaité pour ce processus :

    • Pour activer cette fonctionnalité, tapez 1000000000000000.
    • Pour désactiver cette fonctionnalité, tapez 200000000000000.
    • Pour effectuer un audit avec cette fonctionnalité, tapez 300000000000000.

    Importante

    Vos valeurs MitigationOptions existantes doivent être enregistrées pendant votre mise à jour. Par exemple, si la valeur actuelle est 1000, votre valeur mise à jour doit être 1000000001000.

  4. Ajoutez tous les processus supplémentaires qui doivent être exclus, puis activez le blocage de police en suivant les étapes fournies dans la section Corriger les applications en excluant des processus .