Bloquear fontes não confiáveis em uma empresa
Para ajudar a proteger a sua empresa contra ataques que possam ter origem em ficheiros de tipos de letra não fidedignos ou controlados por atacantes, pode bloquear tipos de letra não fidedignos. Ao usar esse recurso, você pode ativar uma configuração global que impede que seus funcionários carreguem fontes não confiáveis processadas usando GDI (Graphics Device Interface) em sua rede. Fonte não confiável é qualquer fonte instalada fora do diretório %windir%\Fonts
. O bloqueio de fontes não confiáveis ajuda a evitar ataques EOP remotos (baseados em email ou na Web) e locais que podem ocorrer durante o processo de análise de arquivo de fonte.
O que isso significa para mim?
O bloqueio de fontes não confiáveis ajuda a melhorar a proteção da sua rede e de funcionários contra ataques relacionados ao processamento de fontes. Por predefinição, esta funcionalidade não está ativada.
Como funciona esse recurso?
Existem três formas de utilizar esta funcionalidade:
Ligado. Ajuda a impedir que qualquer fonte processada usando GDI seja carregada fora do diretório
%windir%\Fonts
. Ele também ativa o log de eventos.Auditoria. Ativa o registo de eventos, mas não bloqueia o carregamento de tipos de letra, independentemente da localização. O nome dos aplicativos que usam fontes não confiáveis aparece no log de eventos.
Observação
Se ainda não estiver pronto para implementar esta funcionalidade na sua organização, pode executá-la no Modo de auditoria para ver se o carregamento de tipos de letra não fidedignos causa problemas de utilização ou compatibilidade.
Excluir aplicativos para carregar fontes não confiáveis. Você pode excluir aplicativos específicos, permitindo que eles carreguem fontes não confiáveis, mesmo enquanto este recurso estiver ativado. Para obter instruções, consulte Corrigir aplicativos que estão apresentando problemas por causa de fontes bloqueadas.
Possíveis reduções na funcionalidade
Depois de ativar esta funcionalidade, os seus funcionários poderão deparar-se com funcionalidades reduzidas quando:
- Enviar uma tarefa de impressão para um servidor de impressora remoto que utiliza esta funcionalidade e onde o processo de spooler não foi excluído. Nesta situação, não serão utilizados quaisquer tipos de letra que ainda não estejam disponíveis na pasta %windir%/Fonts do servidor.
- Imprimir com tipos de letra fornecidos pelos gráficos da impressora instalada .dll ficheiro, fora da pasta %windir%/Fonts. Para saber mais, consulte Introdução a DLLs de elementos gráficos da impressora.
- Utilizar as primeiras aplicações ou não microsoft que utilizam tipos de letra baseados na memória.
- Usar o Internet Explorer para exibir sites que usam fontes inseridas. Nessa situação, o recurso bloqueia a fonte inserida, fazendo com que o site use uma fonte padrão. No entanto, nem todas as fontes têm todos os caracteres, portanto o site pode ser renderizado de maneira diferente.
- Usar o Office da área de trabalho para exibir documentos com fontes inseridas. Nessa situação, o conteúdo é exibido usando uma fonte padrão selecionada pelo Office.
Ativar e usar o recurso Bloqueio de Fontes Não Confiáveis
Use a Política de grupo ou o registro para desativar esse recurso, ou para usar o modo de auditoria.
Para ativar e usar o recurso Bloqueio de Fontes Não Confiáveis por meio da Política de grupo
- Abra o Editor de Política de Grupo (gpedit.msc) e vá para
Computer Configuration\Administrative Templates\System\Mitigation Options\Untrusted Font Blocking
. - Selecione Ativado para ativar a funcionalidade e, em seguida, selecione uma das seguintes Opções de Mitigação:
- Bloqueia fontes não confiáveis e eventos de log. Ativa a funcionalidade, bloqueando tipos de letra não fidedignos e o registo de tentativas de instalação no registo de eventos.
- Não bloqueia fontes não confiáveis. Ativa a funcionalidade, mas não bloqueia tipos de letra não fidedignos nem regista tentativas de instalação no registo de eventos.
- Registrar eventos sem bloquear fontes não confiáveis. Ativa a funcionalidade, o registo de instalação tenta aceder ao registo de eventos, mas não bloqueia tipos de letra não fidedignos.
- Clique em OK.
Para ativar e utilizar a funcionalidade Bloquear Tipos de Letra Não Fidedignos através do registo
Para ativar e desativar o recurso ou usar o modo de auditoria:
Abra o editor do Registro (regedit.exe) e vá para
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\
.Se a chave MitigationOptions não estiver lá, clique com botão direito e adicione um novo Valor QWORD (64 bits), e renomeie como MitigationOptions.
Selecione à direita na chave MitigationOptions e, em seguida, selecione Modificar. A caixa Editar valor de QWORD (64-bit) é aberta.
Certifique-se de que a opção Base é Hexadecimal, e depois atualize os Dados do valor, certificando-se de manter o valor existente, assim como na observação importante abaixo:
Para ativar esse recurso. Digite 1000000000000.
Para desativar esse recurso. Digite 2000000000000.
Para auditar com esse recurso. Digite 3000000000000.
Importante
Os valores MitigationOptions existentes devem ser salvos durante a atualização. Por exemplo, se o valor atual for 1000, o valor atualizado deverá ser 1000000001000.
Reinicie o computador.
Exibir o log de eventos
Depois de ativar esta funcionalidade ou começar a utilizar o Modo de auditoria, pode ver os registos de eventos para obter detalhes.
Para exibir o log de eventos
- Abra o visualizador de eventos (eventvwr.exe) e acesse Application and Service Logs/Microsoft/Windows/Win32k/Operational.
- Role para baixo até EventID: 260 e analise os eventos relevantes.
Exemplo de evento 1 – MS Word
WINWORD.EXE tentou carregar uma fonte restrita pela política de carregamento de fontes.
FontType: Memory
FontPath:
Blocked: true
Observação
Como o FontType é Memória, não existe um FontPath associado.
Exemplo de evento 2 – Winlogon
Winlogon.exe tentou carregar uma fonte restrita pela política de carregamento de fontes.
FontType: File
FontPath:\??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF
Blocked: true
Observação
Como o FontType é Ficheiro, também existe um FontPath associado.
Exemplo de evento 3 – Internet Explorer em execução no Modo de auditoria
Iexplore.exe tentou carregar uma fonte restrita pela política de carregamento de fontes.
FontType: Memory
FontPath:
Blocked: false
Observação
No Modo de auditoria, o problema é registado, mas o tipo de letra não está bloqueado.
Corrigir aplicativos que estão apresentando problemas por causa de fontes bloqueadas
Sua empresa ainda pode precisar de aplicativos que estão apresentando problemas por causa de fontes bloqueadas, por isso sugerimos que você execute primeiro esse recurso no modo de auditoria para determinar quais fontes estão causando problemas.
Depois de descobrir os tipos de letra problemáticos, pode tentar corrigir as suas aplicações de duas formas: ao instalar diretamente os tipos de letra no diretório %windir%/Fonts ou ao excluir os processos subjacentes e ao permitir que os tipos de letra sejam carregados. Como solução padrão, é altamente recomendável que você instale a fonte problemática. Instalar fontes é mais seguro do que excluir aplicativos, pois aplicativos excluídos podem carregar qualquer fonte, confiável ou não.
Para corrigir aplicativos com a instalação das fontes problemáticas (recomendado)
Em cada computador com a aplicação instalada, clique com o botão direito do rato no nome do tipo de letra e selecione Instalar. A fonte deve ser instalada automaticamente no diretório %windir%\Fonts
. Caso contrário, terá de copiar manualmente os ficheiros de tipo de letra para o diretório Tipos de Letra e executar a instalação a partir daí.
Para corrigir aplicativos com a exclusão de processos
- Em cada computador com o aplicativo instalado, abra regedit.exe e vá para
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<process_image_name>
. Por exemplo, se quiser excluir processos do Microsoft Word, utilizariaHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe
. - Adicione outros processos que têm de ser excluídos aqui e, em seguida, ative a funcionalidade Bloquear tipos de letra não fidedignos, utilizando os passos em Ativar e utilizar a funcionalidade Bloquear Tipos de Letra Não Fidedignos, anteriormente neste artigo.