Windows 10 Technical Preview functie die niet-vertrouwde lettertypen blokkeert

In dit artikel wordt een nieuwe functie beschreven die niet-vertrouwde lettertypen blokkeert voor Windows 10 Technical Preview. Voordat u de functie gebruikt, ziet u de functieintroductie en de mogelijke inkrimping van de functionaliteitssectie . Volg vervolgens de stappen om de functie te configureren.

Van toepassing op:   Windows 10 - alle edities
Oorspronkelijk KB-getal:   3053676

De functie niet-vertrouwde lettertypen blokkeren

Omdat lettertypen complexe gegevensstructuren gebruiken en kunnen worden ingesloten in webpagina's en documenten, kunnen ze kwetsbaar zijn voor EOP-aanvallen (Elevation of Privilege). EOP-aanvallen betekenen dat een kwaadwillende hacker op afstand toegang heeft tot de computer van een gebruiker wanneer gebruikers bestanden delen of surfen op het web. Om de beveiliging tegen deze aanvallen te verbeteren, hebben we een functie gemaakt om niet-vertrouwde lettertypen te blokkeren. Met deze functie kunt u een algemene instelling in- of uit- zetten waarmee gebruikers niet-vertrouwde lettertypen kunnen laden die worden verwerkt met de Graphics Device Interface (GDI). Niet-vertrouwde lettertypen zijn lettertypen die buiten de adreslijst zijn %windir%/Fonts geïnstalleerd. Met de blokkering van niet-vertrouwde lettertypen kunt u externe (web- of e-mailgebaseerde) en lokale EOP-aanvallen stoppen die tijdens het proces voor het parseren van lettertypen kunnen optreden.

Hoe werkt deze functie?

U kunt deze functie op drie manieren gebruiken:

  • Aan. Helpt voorkomen dat lettertypen worden geladen die worden verwerkt met GDI en die buiten de adreslijst zijn %windir/Fonts% geïnstalleerd. Ook wordt logboekregistratie voor gebeurtenissen inschakelen.

  • Controleren. Schakelt logboekregistratie van gebeurtenissen in, maar blokkeert het laden van lettertypen niet, ongeacht de locatie. De namen van de toepassingen die niet-vertrouwde lettertypen gebruiken, worden weergegeven in uw gebeurtenislogboek.

    Notitie

    Als u deze functie nog niet wilt implementeren in uw organisatie, kunt u deze uitvoeren in de auditmodus om te zien of het laden van niet-vertrouwde lettertypen bruikbaarheids- of compatibiliteitsproblemen veroorzaakt.

  • Sluit apps uit om niet-vertrouwde lettertypen te laden. U kunt specifieke toepassingen uitsluiten. Hiermee kunnen ze niet-vertrouwde lettertypen laden, zelfs wanneer de functie is ingeschakeld.

Mogelijke inkrimping van functionaliteit

Nadat u deze functie hebt in schakelen, kunnen gebruikers in volgende situaties verminderde functionaliteit ervaren:

  • Een afdrukfunctie verzenden naar een gedeelde printerserver die deze functie gebruikt en waarbij het spoolerproces niet is uitgesloten. In dit geval worden geen lettertypen gebruikt die nog niet beschikbaar zijn in de map van de server %windir%/Fonts .

  • Afdrukken met behulp van lettertypen die worden geleverd door de .dll van de geïnstalleerde printer, buiten de %windir%/Fonts map. Zie Inleiding tot DLL's voor printerafbeeldingen voor meer informatie.

  • Gebruik apps van de eerste of derde partij die gebruikmaken van op geheugen gebaseerde lettertypen.

  • Internet Explorer gebruiken om websites weer te geven die ingesloten lettertypen gebruiken. In dit geval blokkeert de functie het ingesloten lettertype, waardoor de website een standaardlettertype gebruikt. Niet alle lettertypen hebben echter alle tekens, dus de website kan anders worden weergegeven.

  • Gebruik bureaubladversies Office documenten met ingesloten lettertypen weer te geven. In deze situatie wordt inhoud weergegeven met een standaardlettertype dat is geselecteerd door Office.

De functie in- en gebruiken

Als u deze functie wilt in- of uitschakelen of de auditmodus wilt gebruiken, gebruikt u een van de volgende methoden.

Groepsbeleid gebruiken

  1. Open Lokale groepsbeleidseditor.
  2. Vouw onder Lokaal computerbeleid Computerconfiguratie uit, vouw beheersjablonen uit, vouw Systeem uit en klik vervolgens op Opties voor beperking.
  3. In de instelling Niet-vertrouwde lettertypeblokkering ziet u de volgende opties:
    • Niet-vertrouwde lettertypen en logboekgebeurtenissen blokkeren
    • Niet-vertrouwde lettertypen blokkeren
    • Gebeurtenissen aanmelden zonder niet-vertrouwde lettertypen te blokkeren

Registereditor gebruiken

  1. Open registereditor (regedit.exe) en ga naar de volgende register subsleutel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

  2. Als de toets MitigationOptions er niet is, klikt u met de rechtermuisknop en voegt u een nieuwe QWORD-waarde (64-bits) toe, met de naam MitigationOptions.

  3. Werk de waardegegevens van de toets MitigationOptions bij en zorg ervoor dat u de bestaande waarde bewaarde, zoals de belangrijke notitie hieronder:

    • Typ 1000000000000000 om deze functie in te zetten.
    • Als u deze functie wilt uitschakelen, typt u 2000000000000.
    • Als u met deze functie wilt controleren, typt u 300000000000.

    Belangrijk

    Uw bestaande waarden voor MitigationOptions moeten tijdens de update worden opgeslagen. Als de huidige waarde bijvoorbeeld 1000 is, moet de bijgewerkte waarde 1000000001000.

  4. Start de computer opnieuw op.

Het gebeurtenislogboek weergeven

Nadat u deze functie hebt inschakelen of de auditmodus hebt gebruikt, kunt u uw gebeurtenislogboeken controleren voor gedetailleerde informatie.

Het gebeurtenislogboek controleren

  1. Open de viewer voor gebeurtenissen (eventvwr.exe) en ga naar het volgende pad:

    Application and Service Logs/Microsoft/Windows/Win32k/Operational

  2. Schuif omlaag naar EventID: 260 en bekijk de relevante gebeurtenissen.

    • Gebeurtenisvoorbeeld 1 - Microsoft Word

      Notitie

      Omdat het FontType Geheugen is, is er geen bijbehorende FontPath.

    • Gebeurtenisvoorbeeld 2 - Winlogon

      Notitie

      Omdat het FontType Bestand is, is er ook een bijbehorende FontPath.

    • Gebeurtenisvoorbeeld 3 : Internet Explorer wordt uitgevoerd in de auditmodus

      Notitie

      In de auditmodus wordt het probleem opgenomen, maar is het lettertype niet geblokkeerd.

Apps oplossen die problemen hebben vanwege geblokkeerde lettertypen

Gebruikers hebben mogelijk nog steeds apps nodig die problemen hebben vanwege geblokkeerde lettertypen, dus raden we u aan deze functie eerst uit te voeren in de auditmodus om te bepalen welke lettertypen de problemen veroorzaken. Nadat u de problematische lettertypen hebt opgelost, kunt u op twee manieren proberen uw apps op te lossen: door de lettertypen rechtstreeks te installeren in de map %windir%/Fonts of door de onderliggende processen uit te sluiten en de lettertypen te laten laden. Als standaardoplossing raden we u ten zeerste aan het problematische lettertype te installeren. Het installeren van lettertypen is veiliger dan het uitsluiten van apps, omdat uitgesloten apps elk lettertype, vertrouwd of niet-vertrouwd kunnen laden.

Klik op elke computer waar de app is geïnstalleerd met de rechtermuisknop op de naam van het lettertype en klik vervolgens op Installeren.

Het lettertype moet automatisch worden geïnstalleerd in uw %windir%/Fonts adreslijst. Als dit niet het beste is, moet u de lettertypebestanden handmatig kopiëren naar de adreslijst Lettertypen en de installatie daar uitvoeren.

Apps oplossen door processen uit te sluiten

  1. Open registereditor op elke computer waarop de app is geïnstalleerd en ga naar de volgende register subsleutel:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>

    Als u bijvoorbeeld de Microsoft Word wilt uitsluiten, gebruikt u HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.

  2. Als de toets MitigationOptions er niet is, klikt u met de rechtermuisknop en voegt u een nieuwe QWORD-waarde (64-bits) toe, met de naam MitigationOptions.

  3. Voeg de waarde toe voor de gewenste instelling voor dat proces:

    • Typ 1000000000000000 om deze functie in te zetten.
    • Als u deze functie wilt uitschakelen, typt u 2000000000000.
    • Als u met deze functie wilt controleren, typt u 300000000000.

    Belangrijk

    Uw bestaande waarden voor MitigationOptions moeten tijdens de update worden opgeslagen. Als de huidige waarde bijvoorbeeld 1000 is, moet de bijgewerkte waarde 1000000001000.

  4. Voeg eventuele extra processen toe die moeten worden uitgesloten en schakel vervolgens het blokkeren van lettertypen in met behulp van de stappen in de sectie Apps oplossen door processen uit te sluiten.