Bloccare i tipi di carattere non attendibili in un'organizzazione

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Per proteggere l'azienda da attacchi che possono provenire da file di tipi di carattere non attendibili o controllati da utenti malintenzionati, è stata creata la funzionalità Blocca tipi di carattere non attendibili. Grazie a questa funzionalità, puoi attivare un'impostazione globale che impedisce ai tuoi dipendenti di caricare nella rete tipi di carattere non attendibili elaborati tramite l'interfaccia GDI (Graphics Device Interface). Con il termine non attendibile si intende qualsiasi tipo di carattere installato al di fuori della directory %windir%\Fonts. Il blocco dei tipi di carattere non attendibili consente di evitare attacchi di elevazione dei privilegi sia remoti (basati su Web o e-mail) sia locali che possono verificarsi durante il processo di analisi dei file dei tipi di carattere.

Quali sono i vantaggi?

Bloccare i tipi di carattere non attendibili consente di migliorare la protezione della rete e dei dipendenti dagli attacchi correlati all'elaborazione dei tipi di carattere. Per impostazione predefinita, questa funzionalità non è attivata.

Come funziona questa funzionalità?

Questa funzionalità può essere usata in tre modi:

• Attivazione. Contribuisce a impedire il caricamento di qualsiasi tipo di carattere elaborato tramite GDI all'esterno della directory %windir%\Fonts. Attiva anche la registrazione degli eventi.

• Controllo. Attiva la registrazione eventi, ma non blocca il caricamento dei tipi di carattere, indipendentemente dalla posizione. Nel registro eventi vengono visualizzati i nomi delle app che usano i tipi di carattere non attendibili.

  Nota

  Se non si è pronti per distribuire questa funzionalità nell'organizzazione, è possibile eseguirla in modalità di controllo per verificare se il mancato caricamento di tipi di carattere non attendibili causa problemi di usabilità o compatibilità.

• Esclusione di app per il caricamento dei tipi di carattere non attendibili. Puoi escludere app specifiche, consentendo loro di caricare i tipi di carattere non attendibili, anche quando questa funzionalità è attivata. Per istruzioni, vedi Risolvere i problemi delle app causati da tipi di carattere bloccati.

Potenziale riduzione delle funzionalità

Dopo aver attivato questa funzionalità, i dipendenti potrebbero riscontrare funzionalità ridotte quando:

• Invio di un processo di stampa a un server di stampa remoto che usa questa funzionalità e in cui il processo di spooler non è stato escluso. In questo caso, tutti i tipi di carattere non già disponibili nella cartella %windir%/Fonts del server non verranno usati.
• Stampa utilizzando i tipi di carattere forniti dal file di .dll grafica della stampante installata, all'esterno della cartella %windir%/Fonts. Per altre info, vedi l'introduzione alle DLL della grafica della stampante.
• Uso di app prima o non Microsoft che usano tipi di carattere basati sulla memoria.
• Uso di Internet Explorer per visualizzare siti Web che usano tipi di carattere incorporati. In questa situazione, la funzionalità blocca il tipo di carattere incorporato causando l'uso di un tipo di carattere predefinito nel sito Web. Tuttavia, non tutti i tipi di carattere includono tutti i caratteri e il rendering del sito Web potrebbe quindi essere diverso.
• Uso della versione desktop di Office per visualizzare documenti con tipi di carattere incorporati. In questo caso, il contenuto viene visualizzato con un tipo di carattere predefinito selezionato da Office.

Attivare e usare la funzionalità di blocco dei tipi di carattere non attendibili

Utilizza i criteri di gruppo o il Registro di sistema per attivare questa funzionalità, spegnere o usare la modalità di controllo.

Attivare e utilizzare la funzionalità di blocco dei tipi di carattere non attendibili mediante i criteri di gruppo

1. Apri l'editor Criteri di gruppo (gpedit.msc) e passa a Computer Configuration\Administrative Templates\System\Mitigation Options\Untrusted Font Blocking.
2. Fare clic su Abilitato per attivare la funzionalità e quindi fare clic su una delle opzioni di mitigazione seguenti:
   • Blocca i tipi di carattere non attendibili e gli eventi di log. Attiva la funzionalità, bloccando i tipi di carattere non attendibili e registrando i tentativi di installazione nel registro eventi.
   • Non bloccare tipi di carattere non attendibili. Attiva la funzionalità, ma non blocca i tipi di carattere non attendibili né registra i tentativi di installazione nel registro eventi.
   • Registra eventi senza bloccare i tipi di carattere non attendibili. Attiva la funzionalità, registrando l'installazione tenta di accedere al registro eventi, ma non blocca i tipi di carattere non attendibili.
3. Fai clic su OK.

Per attivare e usare la funzionalità Blocca tipi di carattere non attendibili tramite il Registro di sistema

Per attivare o disattivare questa funzionalità oppure per usarla in modalità di controllo:

1. Apri l'editor del Registro di sistema (regedit.exe) e passa a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\.

2. Se la chiave MitigationOptions non è presente, fai clic con il pulsante destro del mouse e aggiungi una nuova voce Valore QWORD (64 bit), ridenominandola in MitigationOptions.

3. Fai clic con il pulsante destro del mouse sulla chiave MitigationOptions, quindi fai clic su Modifica. Si apre la casella Modifica valore QWORD (64 bit).

4. Verifica che l'opzione Base sia Esadecimale, quindi aggiorna i Dati valore, assicurandoti di mantenere il valore esistente, come nella nota importante riportata di seguito:

   • Per attivare questa funzionalità: digita 1000000000000.

   • Per disattivare questa funzionalità: digita 2000000000000.

   • Per attivare la modalità di controllo per questa funzionalità: digita 3000000000000.

     Importante

     I valori MitigationOptions esistenti dovrebbero essere salvati durante l'aggiornamento. Ad esempio, se il valore corrente è 1000, il valore aggiornato dovrebbe essere 1000000001000.

5. Riavvia il computer.

Visualizzare il registro eventi

Dopo aver attivato questa funzionalità o aver iniziato a usare la modalità di controllo, è possibile esaminare i log eventi per informazioni dettagliate.

Per visualizzare il registro eventi

1. Apri il Visualizzatore eventi (eventvwr.exe) e passa a Registri applicazioni e servizi/Microsoft/Windows/Win32k/Operativo.
2. Scorri fino a EventID: 260 ed esamina gli eventi rilevanti.

Esempio di evento 1 - Microsoft Word

WINWORD. EXE ha tentato il caricamento di un tipo di carattere per il quale esistono restrizioni applicate dai criteri di caricamento dei tipi di carattere.
FontType: Memory
FontPath:
Bloccato: true

Nota

Poiché FontType è Memory, non è presente alcun fontpath associato.

Esempio di evento 2 - Winlogon

Winlogon.exe ha tentato il caricamento di un tipo di carattere per il quale esistono restrizioni applicate dai criteri di caricamento dei tipi di carattere.
FontType: File
FontPath: \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF
Bloccato: true

Nota

Poiché FontType è File, è presente anche un fontpath associato.

Esempio di evento 3 - Internet Explorer in esecuzione in modalità di controllo

Iexplore.exe ha tentato il caricamento di un tipo di carattere per il quale esistono restrizioni applicate dai criteri di caricamento dei tipi di carattere.
FontType: Memory
FontPath:
Bloccato: false

Nota

In modalità di controllo il problema viene registrato, ma il tipo di carattere non è bloccato.

Risolvere i problemi delle app causati da tipi di carattere bloccati

È possibile che la tua azienda debba comunque usare app con problemi causati dai tipi di carattere bloccati, quindi consigliamo di eseguire prima di tutto questa funzionalità in modalità di controllo per determinare quali tipi di carattere causano problemi.

Dopo aver compreso i tipi di carattere problematici, è possibile provare a correggere le app in due modi: installando direttamente i tipi di carattere nella directory %windir%/Fonts o escludendo i processi sottostanti e consentendo il caricamento dei tipi di carattere. Come soluzione predefinita, consigliamo caldamente di installare il tipo di carattere problematico. L'installazione dei tipi di carattere è più sicura rispetto all'esclusione di app, perché le app escluse possono caricare qualsiasi tipo di carattere, attendibile o non attendibile.

Per risolvere i problemi delle app installando i tipi di carattere problematici (soluzione consigliata)

In ogni computer in cui è installata l'app fai clic con il pulsante destro del mouse sul nome del tipo di carattere e scegli Installa. Il tipo di carattere dovrebbe essere installato automaticamente nella directory %windir%\Fonts. In caso contrario, sarà necessario copiare manualmente i file dei tipi di carattere nella directory Fonts ed eseguire l'installazione da qui.

Per risolvere i problemi delle app escludendo processi

1. In ogni computer in cui è installata l'app, apri regedit.exe e vai a HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<process_image_name>. Ad esempio, se si desidera escludere i processi di Microsoft Word, si userebbe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.
2. Aggiungere altri processi che devono essere esclusi qui e quindi attivare la funzionalità Blocca tipi di carattere non attendibili, seguendo la procedura descritta in Attivare e usare la funzionalità Blocca tipi di carattere non attendibili, più indietro in questo articolo.