Windows 10 Technical Preview 新增封鎖不受信任字型的功能

  • 發行項

本文說明封鎖 Windows 10 Technical Preview 不受信任字型的新功能。 使用此功能之前,您可以看到 功能簡介功能可能減少一 節。 然後, 遵循步驟來設定功能

套用於:Windows 10 - 所有版本
原始 KB 編號: 3053676

封鎖不受信任的字型功能

由於字型使用複雜的數據結構,而且可以內嵌在網頁和檔中,因此很容易受到 EOP (EOP) 攻擊的特權提升。 EOP 攻擊表示當使用者共用檔案或瀏覽網路時,惡意駭客可以從遠端訪問用戶的計算機。 為了加強這些攻擊的安全性,我們已建立功能來封鎖不受信任的字型。 使用這項功能,您可以開啟全域設定,讓使用者無法載入圖形裝置介面 (GDI) 所處理的未受信任字型。 不受信任的字型是任何安裝在目錄外部的 %windir%/Fonts 字型。 封鎖不受信任的字型功能可協助停止遠端 (網頁型或電子郵件型) ,以及字型檔案剖析程序期間可能發生的本機 EOP 攻擊。

此功能的運作方式

有三種方式可以使用這項功能:

  • 開啟。 協助停止載入任何使用 GDI 處理且安裝在目錄外部的 %windir/Fonts% 字型。 它也會開啟事件記錄。

  • 審計。 開啟事件記錄,但不論位置為何,也不會封鎖字型載入。 使用不受信任字型的應用程式名稱會出現在事件記錄檔中。

    注意事項

    如果您尚未準備好在組織中部署此功能,您可以在稽核模式中執行此功能,以查看未載入未受信任的字型是否會造成任何可用性或相容性問題。

  • 排除應用程式以載入不受信任的字型。 您可以排除特定應用程式。 它可讓它們載入不受信任的字型,即使功能已開啟也一樣。

功能可能減少

開啟此功能之後,使用者可能會在下列情況下遇到功能降低的情況:

  • 將列印作業傳送至使用此功能的共用印表機伺服器,以及未排除多任務緩衝處理程序進程的位置。 在此情況下,將不會使用伺服器 %windir%/Fonts 資料夾中尚未提供的任何字型。

  • 使用已安裝印表機圖形所提供的字型列印 .dll 資料夾外部的 %windir%/Fonts 檔案。 如需詳細資訊, 請參閱印表機圖形 DLL 簡介

  • 使用使用記憶體型字型的第一方或第三方應用程式。

  • 使用 Internet Explorer 檢視使用內嵌字型的網站。 在此情況下, 功能會封鎖內嵌字型,導致網站使用預設字型。 不過,並非所有字型都有所有字元,因此網站的轉譯方式可能不同。

  • 使用桌面 Office 來檢視具有內嵌字型的檔。 在此情況下,會使用 Office 挑選的預設字型來顯示內容。

如何開啟和使用功能

若要開啟、關閉或使用稽核模式,請使用下列其中一種方法。

使用群組原則

  1. 開啟 [本機 群組原則 編輯器] 。
  2. 在 [ 本機計算機原則] 底下,依序展開 [ 計算機設定]、[ 系統管理範本] 和 [ 系統],然後按兩下 [ 風險降低選項]
  3. 在 [ 未受信任的字型封鎖 ] 設定中,您可以看到下列選項:
    • 封鎖不受信任的字型和記錄事件
    • 請勿封鎖不受信任的字型
    • 記錄事件而不封鎖不受信任的字型

使用 [登錄編輯程式]。

  1. 開啟登入 編輯器 (regedit.exe) 並移至下列登入子機碼:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

  2. 如果 MitigationOptions 機碼不存在,請以滑鼠右鍵按下 並新增QWORD (64位) 值,並將它命名為 MitigationOptions

  3. 更新 MitigationOptions 索引鍵的 [值] 數據,並確定您保留現有的值,如下列重要注意事項所示:

    • 若要開啟此功能,請輸入 10000000000000000。
    • 若要關閉這項功能,請輸入 20000000000000000。
    • 若要使用這項功能進行稽核,請輸入 30000000000000000000000000000000000000000000000000000000

    重要事項

    您現有的 MitigationOptions 值應該在更新期間儲存。 例如,如果目前的值為 1000,則應1000000001000更新的值。

  4. Restart your computer.

檢視事件記錄檔

開啟此功能或開始使用稽核模式之後,您可以檢查事件記錄檔以取得詳細資訊。

檢查事件記錄檔

  1. 開啟 事件檢視器 (eventvwr.exe) 並移至下列路徑:

    應用程式和服務記錄/Microsoft/Windows/Win32k/Operational

  2. 向下卷動至 EventID:260,並檢閱相關事件。

    • 事件範例 1 - Microsoft Word

      注意事項

      因為 FontType 是 Memory,所以沒有相關聯的 FontPath。

    • 事件範例 2 - Winlogon

      注意事項

      因為 FontType 是 File,所以也有相關聯的 FontPath。

    • 事件範例 3 - 在稽核模式中執行的 Internet Explorer

      注意事項

      在稽核模式中,會記錄問題,但不會封鎖字型。

修正因字型封鎖而發生問題的應用程式

使用者可能仍然需要因封鎖字型而發生問題的應用程式,因此建議您先在稽核模式中執行此功能,以判斷哪些字型造成問題。 找出有問題的字型之後,您可以嘗試使用下列兩種方式之一來修正應用程式:直接將字型安裝到 %windir%/Fonts 目錄,或排除基礎進程並讓字型載入。 作為默認解決方案,強烈建議您安裝有問題的字型。 安裝字型比排除應用程式更安全,因為排除的應用程式可以載入任何字型、受信任或不受信任的字型。

在每部已安裝應用程式的計算機上,以滑鼠右鍵按下字型名稱,然後按兩下 [ 安裝]

字型應該會自動安裝到您的 %windir%/Fonts 目錄中。 如果沒有,您必須手動將字型檔案複製到 Fonts 目錄,然後從該處執行安裝。

藉由排除進程來修正應用程式

  1. 在每部已安裝應用程式的計算機上,開啟登錄 編輯器 並移至下列登錄子機碼:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>

    例如,如果您想要排除 Microsoft Word 進程,則會使用 HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe

  2. 如果 MitigationOptions 機碼不存在,請以滑鼠右鍵按下 並新增QWORD (64位) 值,並將它命名為 MitigationOptions

  3. 新增該程式所需設定的值:

    • 若要開啟此功能,請輸入 10000000000000000。
    • 若要關閉這項功能,請輸入 20000000000000000。
    • 若要使用這項功能進行稽核,請輸入 30000000000000000000000000000000000000000000000000000000

    重要事項

    您現有的 MitigationOptions 值應該在更新期間儲存。 例如,如果目前的值為 1000,則應1000000001000更新的值。

  4. 新增需要排除的任何其他進程,然後使用 [藉由排除進程修正應用程式 ] 區段中提供的步驟開啟字型封鎖。