Blockieren von nicht vertrauenswürdigen Schriftarten in einem Unternehmen
Um Ihr Unternehmen vor Angriffen zu schützen, die von nicht vertrauenswürdigen oder von Angreifern gesteuerten Schriftartdateien ausgehen können, können Sie nicht vertrauenswürdige Schriftarten blockieren. Mit diesem Feature können Sie eine globale Einstellung aktivieren, mit der für Ihre Mitarbeiter das Laden von nicht vertrauenswürdigen Schriftarten verhindert wird, die mit der Graphics Device Interface (GDI) in Ihrem Netzwerk verarbeitet werden. Nicht vertrauenswürdige Schriftarten sind alle Schriftarten, die außerhalb des Verzeichnisses %windir%\Fonts
installiert sind. Das Blockieren von nicht vertrauenswürdigen Schriftarten verhindert sowohl EOP-Remoteangriffe (webbasiert oder E-Mail-basiert) als auch lokale EOP-Angriffe, die beim Analysieren von Schriftartdateien auftreten können.
Was bedeutet das für mich?
Wenn Sie nicht vertrauenswürdige Schriftarten blockieren, verbessert dies den Schutz des Netzwerks und der Mitarbeiter vor Angriffen, die mit der Verarbeitung von Schriftarten zusammenhängen. Dieses Feature ist standardmäßig nicht aktiviert.
Wie funktioniert dieses Feature?
Es gibt drei Möglichkeiten, dieses Feature zu verwenden:
Ein. Verhindert, dass per GDI verarbeitete Schriftarten außerhalb des Verzeichnisses
%windir%\Fonts
geladen werden. Außerdem wird die Ereignisprotokollierung aktiviert.Überwachung: Aktiviert die Ereignisprotokollierung, verhindert jedoch unabhängig vom Speicherort das Laden von Schriftarten. Die Namen der Apps, in denen nicht vertrauenswürdige Schriftarten verwendet werden, sind in Ihrem Ereignisprotokoll aufgeführt.
Hinweis
Wenn Sie nicht ganz bereit sind, dieses Feature in Ihrer Organisation bereitzustellen, können Sie es im Überwachungsmodus ausführen, um festzustellen, ob das Laden nicht vertrauenswürdiger Schriftarten zu Problemen mit der Benutzerfreundlichkeit oder Kompatibilität führt.
Blockierung von nicht vertrauenswürdigen Schriftarten für Apps ausschließen. Sie können bestimmte Apps ausschließen, damit dafür nicht vertrauenswürdige Schriftarten auch dann geladen werden können, wenn dieses Feature aktiviert ist. Eine Anleitung hierzu finden Sie unter Beheben von App-Problemen aufgrund von blockierten Schriftarten.
Mögliche Reduzierung der Funktionalität
Nachdem Sie dieses Feature aktiviert haben, kann es bei Ihren Mitarbeitern zu einer eingeschränkten Funktionalität kommen:
- Senden eines Druckauftrags an einen Remotedruckerserver, der dieses Feature verwendet und bei dem der Spoolerprozess nicht ausgeschlossen wurde. In diesem Fall werden schriftarten, die noch nicht im Ordner %windir%/Fonts des Servers verfügbar sind, nicht verwendet.
- Drucken mit Schriftarten, die von der Grafik des installierten Druckers .dll Datei außerhalb des Ordners %windir%/Fonts bereitgestellt werden. Weitere Informationen hierzu finden Sie unter Einführung in DLL-Grafikdateien von Druckern.
- Verwenden sie erste oder nicht von Microsoft stammende Apps, die speicherbasierte Schriftarten verwenden.
- Mit Internet Explorer, um Websites anzuzeigen, für die eingebettete Schriftarten verwendet werden. In diesem Fall sperrt das Feature die eingebettete Schriftart, sodass für die Website die Verwendung einer Standardschriftart erzwungen wird. Da nicht alle Schriftarten über alle Zeichen verfügen, kann es sein, dass die Website anders dargestellt wird.
- Bei Office für Desktops, wenn Dokumente mit eingebetteten Schriftarten angezeigt werden. In diesem Fall werden Inhalte in einer Standardschriftart angezeigt, die in Office ausgewählt wird.
Aktivieren und Verwenden des Features zum Blockieren nicht vertrauenswürdiger Schriftarten
Verwenden Sie Gruppenrichtlinien oder die Registrierung, um dieses Feature zu aktivieren, zu deaktivieren oder im Überwachungsmodus zu verwenden.
So aktivieren und verwenden Sie Features zum Blockieren nicht vertrauenswürdiger Schriftarten über die Gruppenrichtlinien
- Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc), und navigieren Sie zu
Computer Configuration\Administrative Templates\System\Mitigation Options\Untrusted Font Blocking
. - Wählen Sie Aktiviert aus, um das Feature zu aktivieren, und wählen Sie dann eine der folgenden Entschärfungsoptionen aus:
- Blockieren von nicht vertrauenswürdigen Schriftarten und Ereignisprotokollen. Aktiviert das Feature, blockiert nicht vertrauenswürdige Schriftarten und protokolliert Installationsversuche im Ereignisprotokoll.
- Blockieren Sie nicht vertrauenswürdige Schriftarten nicht. Aktiviert das Feature, blockiert jedoch nicht vertrauenswürdige Schriftarten und protokolliert keine Installationsversuche im Ereignisprotokoll.
- Ereignisse protokollieren, ohne nicht vertrauenswürdige Schriftarten zu blockieren. Aktiviert das Feature, protokolliert Installationsversuche im Ereignisprotokoll, blockiert aber nicht vertrauenswürdige Schriftarten.
- Wählen Sie OK aus.
So aktivieren und verwenden Sie das Feature Blockieren nicht vertrauenswürdiger Schriftarten über die Registrierung
So können Sie dieses Feature aktivieren bzw. deaktivieren oder im Überwachungsmodus verwenden
Öffnen Sie den Registrierungs-Editor (regedit.exe), und wechseln Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\
.Ist der Schlüssel MitigationOptions nicht vorhanden, klicken Sie mit der rechten Maustaste, und fügen Sie einen neuen Wert vom Typ QWORD-Wert (64-Bit) hinzu. Geben Sie ihm den Namen MitigationOptions.
Wählen Sie mit der rechten Maustaste den Schlüssel MitigationOptions aus, und wählen Sie dann Ändern aus. Das Feld QWORD-Wert (64-Bit) bearbeiten wird geöffnet.
Stellen Sie sicher, das die Option Base auf Hexadezimal festgelegt ist und aktualisieren Sie den Wert Wertdaten des Schlüssels MitigationOptions, und achten Sie darauf, dass Sie Ihren vorhandenen Wert beibehalten. Dies ist im folgenden wichtigen Hinweis dargestellt:
Feature aktivieren: Geben Sie 1000000000000 ein.
Feature deaktivieren: Geben Sie 2000000000000 ein.
Überwachungsmodus für dieses Feature aktivieren: Geben Sie 3000000000000 ein.
Wichtig
Beim Aktualisierungsvorgang sollten Ihre vorhandenen Werte für MitigationOptions gespeichert werden. Wenn der aktuelle Wert beispielsweise 1000 lautet, sollte der aktualisierte Wert 1000000001000 lauten.
Starten Sie den Computer neu.
Anzeigen des Ereignisprotokolls
Nachdem Sie dieses Feature aktiviert oder den Überwachungsmodus verwendet haben, können Sie in Ihren Ereignisprotokollen nach Details suchen.
So zeigen Sie das Ereignisprotokoll an
- Öffnen Sie die Ereignisanzeige (eventvwr.exe), und wechseln Sie zu Anwendungs- und Dienstprotokolle/Microsoft/Windows/Win32k/Operational.
- Scrollen Sie nach unten zu EventID: 260, und überprüfen Sie die entsprechenden Ereignisse.
Ereignisbeispiel 1 – MS Word
WINWORD.EXE hat versucht, eine Schriftart zu laden, für die eine Einschränkung durch eine Richtlinie zum Laden von Schriftarten besteht.
FontType: Memory
FontPath:
Blocked: true
Hinweis
Da fontTypeMemory ist, ist kein FontPath zugeordnet.
Ereignisbeispiel 2 – Windows-Anmeldung
Winlogon.exe hat versucht, eine Schriftart zu laden, für die eine Einschränkung durch eine Richtlinie zum Laden von Schriftarten besteht.
FontType: File
FontPath:\??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF
Blocked: true
Hinweis
Da fontTypeFile ist, gibt es auch einen zugeordneten FontPath.
Ereignisbeispiel 3 – Im Überwachungsmodus ausgeführter Internet Explorer
Iexplore.exe hat versucht, eine Schriftart zu laden, für die eine Einschränkung durch eine Richtlinie zum Laden von Schriftarten besteht.
FontType: Memory
FontPath:
Blocked: false
Hinweis
Im Überwachungsmodus wird das Problem aufgezeichnet, aber die Schriftart wird nicht blockiert.
Beheben von App-Problemen aufgrund von blockierten Schriftarten
Es kann sein, dass Sie in Ihrem Unternehmen Apps benötigen, für die aufgrund von blockierten Schriftarten Probleme auftreten. Daher empfehlen wir, dieses Feature zuerst im Überwachungsmodus auszuführen, um zu ermitteln, welche Schriftarten Probleme verursachen.
Nachdem Sie die problematischen Schriftarten herausgefunden haben, können Sie versuchen, Ihre Apps auf zwei Arten zu beheben: indem Sie die Schriftarten direkt im Verzeichnis %windir%/Fonts installieren oder die zugrunde liegenden Prozesse ausschließen und die Schriftarten laden lassen. Als Standardlösung wird dringend empfohlen, die problematische Schriftart zu installieren. Das Installieren von Schriftarten ist sicherer als das Ausschließen von Apps, da von ausgeschlossenen Apps alle Schriftarten – ob vertrauenswürdig oder nicht – geladen werden können.
So lösen Sie das Problem für Apps, indem Sie die problematischen Schriftarten installieren (empfohlen)
Klicken Sie auf jedem Computer, auf dem die App installiert ist, mit der rechten Maustaste auf den Namen der Schriftart, und wählen Sie Installieren aus. Die Schriftart sollte automatisch im Verzeichnis %windir%\Fonts
installiert werden. Wenn dies nicht der Fall ist, müssen Sie die Schriftartdateien manuell in das Verzeichnis Schriftarten kopieren und die Installation von dort aus ausführen.
So beheben Sie das Problem für Apps durch das Ausschließen von Prozessen
- Öffnen Sie „regedit.exe“ auf jedem Computer, auf dem die App installiert ist, und wechseln Sie zu
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<process_image_name>
. Wenn Sie beispielsweise Microsoft Word-Prozesse ausschließen möchten, verwendenHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe
Sie . - Fügen Sie hier weitere Prozesse hinzu, die ausgeschlossen werden müssen, und aktivieren Sie dann das Feature Blockieren von nicht vertrauenswürdigen Schriftarten mithilfe der Schritte unter Aktivieren und Verwenden des Features Blockieren nicht vertrauenswürdiger Schriftarten weiter oben in diesem Artikel.