Bloquear fontes não confiáveis em uma empresa

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Para ajudar a proteger sua empresa contra ataques que podem se originar de arquivos de fonte não confiáveis ou controlados por invasores, criamos o recurso Bloquear Fontes Não Confiáveis. Ao usar esse recurso, você pode ativar uma configuração global que impede que seus funcionários carreguem fontes não confiáveis processadas usando GDI (Graphics Device Interface) em sua rede. Fonte não confiável é qualquer fonte instalada fora do diretório %windir%\Fonts. O bloqueio de fontes não confiáveis ajuda a evitar ataques EOP remotos (baseados em email ou na Web) e locais que podem ocorrer durante o processo de análise de arquivo de fonte.

O que isso significa para mim?

O bloqueio de fontes não confiáveis ajuda a melhorar a proteção da sua rede e de funcionários contra ataques relacionados ao processamento de fontes. Por padrão, esse recurso não está ativado.

Como funciona esse recurso?

Há três maneiras de usar esse recurso:

• Ligado. Ajuda a impedir que qualquer fonte processada usando GDI seja carregada fora do diretório %windir%\Fonts. Ele também ativa o log de eventos.

• Auditoria. Ativa o log de eventos, mas não impede o carregamento de fontes, independentemente do local. O nome dos aplicativos que usam fontes não confiáveis aparece no log de eventos.

  Observação

  Se você não estiver pronto para implantar esse recurso em sua organização, poderá executá-lo no modo Auditoria para ver se o carregamento de fontes não confiáveis causa problemas de usabilidade ou compatibilidade.

• Excluir aplicativos para carregar fontes não confiáveis. Você pode excluir aplicativos específicos, permitindo que eles carreguem fontes não confiáveis, mesmo enquanto este recurso estiver ativado. Para obter instruções, consulte Corrigir aplicativos que estão apresentando problemas por causa de fontes bloqueadas.

Possíveis reduções na funcionalidade

Depois de ativar esse recurso, seus funcionários poderão ter uma funcionalidade reduzida quando:

• Enviar um trabalho de impressão para um servidor de impressora remota que usa esse recurso e onde o processo do spooler não foi excluído. Nessa situação, todas as fontes que ainda não estão disponíveis na pasta %windir%/Fonts do servidor não serão usadas.
• Imprimir usando fontes fornecidas pelos gráficos da impressora instalada .dll arquivo, fora da pasta %windir%/Fonts. Para saber mais, consulte Introdução a DLLs de elementos gráficos da impressora.
• Usando aplicativos primeiros ou não Microsoft que usam fontes baseadas em memória.
• Usar o Internet Explorer para exibir sites que usam fontes inseridas. Nessa situação, o recurso bloqueia a fonte inserida, fazendo com que o site use uma fonte padrão. No entanto, nem todas as fontes têm todos os caracteres, portanto o site pode ser renderizado de maneira diferente.
• Usar o Office da área de trabalho para exibir documentos com fontes inseridas. Nessa situação, o conteúdo é exibido usando uma fonte padrão selecionada pelo Office.

Ativar e usar o recurso Bloqueio de Fontes Não Confiáveis

Use a Política de grupo ou o registro para desativar esse recurso, ou para usar o modo de auditoria.

Para ativar e usar o recurso Bloqueio de Fontes Não Confiáveis por meio da Política de grupo

1. Abra o Editor de Política de Grupo (gpedit.msc) e vá para Computer Configuration\Administrative Templates\System\Mitigation Options\Untrusted Font Blocking.
2. Clique em Habilitado para ativar o recurso e clique em uma das seguintes Opções de Mitigação:
   • Bloqueia fontes não confiáveis e eventos de log. Ativa o recurso, bloqueando fontes não confiáveis e tentativas de instalação de registro em log no log de eventos.
   • Não bloqueia fontes não confiáveis. Ativa o recurso, mas não bloqueia fontes não confiáveis nem faz tentativas de instalação de log no log de eventos.
   • Registrar eventos sem bloquear fontes não confiáveis. Ativa o recurso, a instalação de log tenta fazer log no log de eventos, mas não bloqueando fontes não confiáveis.
3. Clique em OK.

Para ativar e usar o recurso Bloquear Fontes Não Confiáveis por meio do registro

Para ativar e desativar o recurso ou usar o modo de auditoria:

1. Abra o editor do Registro (regedit.exe) e vá para HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\.

2. Se a chave MitigationOptions não estiver lá, clique com botão direito e adicione um novo Valor QWORD (64 bits), e renomeie como MitigationOptions.

3. Clique com botão direito da chave MitigationOptions e clique em Modificar. A caixa Editar valor de QWORD (64-bit) é aberta.

4. Certifique-se de que a opção Base é Hexadecimal, e depois atualize os Dados do valor, certificando-se de manter o valor existente, assim como na observação importante abaixo:

   • Para ativar esse recurso. Digite 1000000000000.

   • Para desativar esse recurso. Digite 2000000000000.

   • Para auditar com esse recurso. Digite 3000000000000.

     Importante

     Os valores MitigationOptions existentes devem ser salvos durante a atualização. Por exemplo, se o valor atual for 1000, o valor atualizado deverá ser 1000000001000.

5. Reinicie o computador.

Exibir o log de eventos

Depois de ativar esse recurso ou começar a usar o modo Audit, você poderá examinar os logs de eventos para obter detalhes.

Para exibir o log de eventos

1. Abra o visualizador de eventos (eventvwr.exe) e acesse Application and Service Logs/Microsoft/Windows/Win32k/Operational.
2. Role para baixo até EventID: 260 e analise os eventos relevantes.

Exemplo de evento 1 – MS Word

WINWORD.EXE tentou carregar uma fonte restrita pela política de carregamento de fontes.
FontType: Memory
FontPath:
Blocked: true

Observação

Como o FontType é Memória, não há FontPath associado.

Exemplo de evento 2 – Winlogon

Winlogon.exe tentou carregar uma fonte restrita pela política de carregamento de fontes.
FontType: File
FontPath: \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF
Blocked: true

Observação

Como o FontType é Arquivo, há também um FontPath associado.

Exemplo de evento 3 – Internet Explorer em execução no Modo de auditoria

Iexplore.exe tentou carregar uma fonte restrita pela política de carregamento de fontes.
FontType: Memory
FontPath:
Blocked: false

Observação

No modo Auditoria, o problema é registrado, mas a fonte não está bloqueada.

Corrigir aplicativos que estão apresentando problemas por causa de fontes bloqueadas

Sua empresa ainda pode precisar de aplicativos que estão apresentando problemas por causa de fontes bloqueadas, por isso sugerimos que você execute primeiro esse recurso no modo de auditoria para determinar quais fontes estão causando problemas.

Depois de descobrir as fontes problemáticas, você pode tentar corrigir seus aplicativos de duas maneiras: instalando diretamente as fontes no diretório %windir%/Fonts ou excluindo os processos subjacentes e permitindo que as fontes carreguem. Como solução padrão, é altamente recomendável que você instale a fonte problemática. Instalar fontes é mais seguro do que excluir aplicativos, pois aplicativos excluídos podem carregar qualquer fonte, confiável ou não.

Para corrigir aplicativos com a instalação das fontes problemáticas (recomendado)

Em cada computador com o aplicativo instalado, clique com o botão direito do mouse no nome da fonte, depois clique em Instalar. A fonte deve ser instalada automaticamente no diretório %windir%\Fonts. Se isso não o fizer, você precisará copiar manualmente os arquivos de fonte no diretório Fontes e executar a instalação a partir daí.

Para corrigir aplicativos com a exclusão de processos

1. Em cada computador com o aplicativo instalado, abra regedit.exe e vá para HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<process_image_name>. Por exemplo, se você quiser excluir processos do Microsoft Word, você usará HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.
2. Adicione outros processos que precisam ser excluídos aqui e, em seguida, ative o recurso Bloquear fontes não confiáveis, usando as etapas em Ativar e usar o recurso Bloquear Fontes Não Confiáveis, anteriormente neste artigo.