Windows 10 Technical Preview 會新增封鎖不受信任之字型的功能

本文說明封鎖 Windows 10 Technical Preview 的不受信任字型的新功能。 使用此功能之前,您可以查看 功能簡介可能的功能縮減 一節。 然後, 遵循步驟來設定該功能

適用于:  Windows 10-所有版本
原始 KB 編號:   3053676

封鎖不受信任的字體功能

因為字型使用複雜的資料結構,而且可以內嵌至網頁和檔中,所以很容易遭到權限提高 (EOP) 攻擊。 EOP 攻擊表示惡意駭客可以在使用者共用檔案或衝浪網頁時,遠端存取使用者的電腦。 為了加強安全性以防範這些攻擊,我們建立了一個功能來封鎖不受信任的字型。 使用此功能,您可以開啟全域設定,以防止使用者載入圖形裝置介面 (GDI) 所處理的不受信任的字型。 「不信任的字型」是在目錄外安裝的任何字型 %windir%/Fonts 。 「封鎖不受信任的字型」功能可協助停止遠端 (web 或以電子郵件為基礎的) ,以及在字型檔案剖析程式期間可能發生的本機 EOP 攻擊。

這項功能的運作方式

使用此功能的方法有三種:

  • 時. 協助停止使用 GDI 進行處理,且在目錄外安裝的任何已載入字型 %windir/Fonts% 。 它也會開啟事件記錄。

  • 審計。 會開啟事件記錄,但不論位置為何,不會封鎖字體載入。 您的事件記錄中會顯示使用不受信任的字型之應用程式的名稱。

    注意

    如果您未準備好在組織中部署這項功能,可以在稽核模式中執行,以查看是否未載入不受信任的字型,是否會產生任何可用性或相容性問題。

  • 排除用於載入不受信任的字體的應用程式。 您可以排除特定的應用程式。 它可讓使用者載入不受信任的字型,即使已開啟此功能也是一樣。

功能可能降低

當您開啟此功能之後,使用者可能會在下列情況中體驗到低功能:

  • 將列印工作傳送至使用此功能的共用印表機伺服器,以及未排除幕後列印程式處理常式的位置。 在此情況下,不會使用伺服器資料夾中尚未提供的任何字型 %windir%/Fonts

  • 使用已安裝印表機的圖形 .dll 檔案(資料夾外)所提供的字型來列印 %windir%/Fonts 。 如需詳細資訊,請參閱 印表機圖形 Dll 簡介

  • 使用第一或協力廠商應用程式,使用以記憶體為基礎的字體。

  • 使用 Internet Explorer 來查看使用內嵌字型的網站。 在此情況下,此功能會封鎖內嵌字型,使網站使用預設字型。 不過,並非所有的字型都有所有字元,因此網站的轉譯方式可能不同。

  • 使用桌面 Office 來查看具有內嵌字型的檔。 在此情況下,會使用 Office 挑選的預設字型來顯示內容。

如何開啟及使用此功能

若要將此功能開啟、關閉或使用稽核模式,請使用下列其中一種方法。

使用群組原則

  1. 開啟 [本機群組原則編輯器]。
  2. 在 [ 本機電腦原則] 底下,展開 [ 電腦 設定]、[系統 管理範本]、[ 系統],然後按一下 [ 緩解選項]。
  3. 在 [ 不受信任的字型封鎖 ] 設定中,您可以看到下列選項:
    • 封鎖不受信任的字體和記錄事件
    • 不封鎖不受信任的字體
    • 記錄事件,但不封鎖不受信任的字體

使用登錄編輯程式

  1. 開啟登錄編輯程式 (regedit.exe) ,然後移至下列註冊表子機碼:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

  2. 如果沒有 MitigationOptions 機碼,請以滑鼠右鍵按一下,然後新增新的 QWORD (64) 值,將其命名為 MitigationOptions

  3. 更新 MitigationOptions 機碼的 數值資料,並確定您保留現有的值,如下列重要的附注:

    • 若要開啟此功能,請輸入1000000000000。
    • 若要關閉此功能,請輸入2000000000000。
    • 若要使用此功能進行審核,請輸入3000000000000。

    重要

    您的現有 MitigationOptions 值應該在更新期間儲存。 例如,如果目前的值是1000,您更新的值應為1000000001000。

  4. Restart your computer.

查看事件記錄檔

在您開啟此功能,或開始使用 [審計模式] 之後,您可以檢查事件記錄檔以取得詳細資訊。

檢查事件記錄檔

  1. 開啟 [事件檢視器] (eventvwr.exe) ,然後移至下列路徑:

    Application and Service Logs/Microsoft/Windows/Win32k/Operational

  2. 向左下至 EventID:260,並複查相關的事件。

    • 事件範例 1-Microsoft Word

      注意

      因為 FontType 是記憶體,所以沒有相關聯的 FontPath。

    • 事件範例 2-Winlogon

      注意

      因為 FontType 是檔案,所以也有相關聯的 FontPath。

    • 事件範例 3-在稽核模式中執行的 Internet Explorer

      注意

      在稽核模式中,會記錄問題,但不會封鎖字型。

修正因封鎖的字體而發生問題的應用程式

使用者可能仍然需要因封鎖的字型而發生問題的應用程式,因此建議您先在稽核模式中執行這項功能,以判斷導致問題的字體。 在您找出有問題的字型後,您可以嘗試使用下列其中一種方式來修正您的應用程式:直接將字型安裝至% windir%/Fonts 目錄,或排除基礎程式,然後再進行字體載入。 作為預設方案,我們強烈建議您安裝有問題的字型。 安裝字體的安全性不如排除應用程式,因為已排除的應用程式可載入任何字型、信任或不受信任。

在已安裝應用程式的每台電腦上,以滑鼠右鍵按一下字型名稱,然後按一下 [ 安裝]。

字型應該會自動安裝到您的 %windir%/Fonts 目錄中。 如果不是,您必須手動將字型檔複製到 Fonts 目錄,並從那裡執行安裝。

排除進程以修正應用程式

  1. 在已安裝應用程式的每一部電腦上,開啟登錄編輯程式,然後移至下列登錄子機碼:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>

    例如,如果您想要排除 Microsoft Word 進程,您會使用 HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe

  2. 如果沒有 MitigationOptions 機碼,請以滑鼠右鍵按一下,然後新增新的 QWORD (64) 值,將其命名為 MitigationOptions

  3. 為該程式所需的設定新增值:

    • 若要開啟此功能,請輸入1000000000000。
    • 若要關閉此功能,請輸入2000000000000。
    • 若要使用此功能進行審核,請輸入3000000000000。

    重要

    您的現有 MitigationOptions 值應該在更新期間儲存。 例如,如果目前的值是1000,您更新的值應為1000000001000。

  4. 新增需要排除的任何其他程式,然後使用 [ 排除程式的修復應用 程式] 區段中所提供的步驟,開啟字型封鎖。