Един от начините да се атакува машина с Windows, която става все по-широко разпространена, е да се използват уязвимостите в драйвера за шрифтове на Windows чрез изтегляне и изпълнение на специално създаден файл на шрифта от потребителя. За да осъществи такава атака, нападателят трябва само да принуди потребителя да отвори специално проектиран документ, уеб страница или да стартира специално приложение (безопасно само по себе си), което изтегля шрифт със злонамерен код от външен източник. Windows 10 има вградена функция забранява изтеглянето и изпълнението на шрифтове на трети страни, т.е. тези, които не са инсталирани в системата и не се намират в директорията% WINDIR% \ Fonts.
За да контролирате зареждането на шрифтове на трети страни в Windows 10, се появи отделна настройка за групови правила, която се намира в секцията за конзолата gpedit.msc: Конфигурация на компютъра -> Административни шаблони -> Система -> Опции за смекчаване . Параметърът се извиква Блокиране на ненадеждни шрифтове. Има три режима на работа за тази политика:
- Блокирайте ненадеждни шрифтове и събития в лога - напълно забранявайте на приложенията да изтеглят шрифтове на трети страни от всяка папка, с изключение на% windir% Fonts и запишете цялата информация в дневника
- Не блокирайте ненадеждни шрифтове - шрифтове на трети страни не са блокирани (стойност по подразбиране)
- Регистрирайте събития без да блокирате ненадеждни шрифтове - така нареченият режим на одит при изтегляне и инсталиране на шрифтове на трети страни не е блокиран, но информация за шрифта и приложението, което го е инсталирало, се записва в дневника
В домашните версии на Windows 10 Home (в който няма редактор на групови правила) управлението на тази защитна функция е възможно само чрез системния регистър. За да направите това, в клона на системния регистър HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Kernel \ трябва да създадете параметър тип QWORD (64-битов) с името MitigationOptions. Параметърът трябва да бъде зададен на една от следните стойности:
- Заключването на шрифта е активирано - 1000000000000
- инвалиди - 2000000000000
- Режим на одит - 3000000000000
След като направите промени, трябва да рестартирате системата.
Ако искате да предотвратите влиянието на политиката за ограничаване на изтеглянето на шрифтове на конкретно приложение, можете да го добавите към изключенията. Например, за да може Outlook да показва правилно букви с вградени шрифтове, в клона на системния регистър HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Опции за изпълнение на изображения създайте под ключ с името на изпълнимия файл на приложението. В нашия случай ще бъде така outlook.exe.
Когато активирате политиката за одит, всички свързани събития се намират в секцията на системния дневник на приложението Приложение-> Службови дневници -> Microsoft -> Windows -> Win32k -> Оперативни. Интересуваме се от събития с EventID 260
Функцията за блокиране на шрифтове на трети страни също може да се контролира чрез Microsoft EMET 5.5. За целта активирайте опцията в EMET интерфейса Блокирайте ненадеждни шрифтове.
