Jedným zo spôsobov, ako zaútočiť na počítač so systémom Windows, ktorý je čoraz rozšírenejší, je zneužitie zraniteľností v ovládači písma systému Windows stiahnutím a spustením špeciálne vytvoreného súboru písma používateľom. Aby mohol útočník vykonať takýto útok, musí prinútiť používateľa, aby otvoril špeciálne navrhnutý dokument, webovú stránku alebo spustil špeciálnu aplikáciu (sama o sebe bezpečná), ktorá stiahne písmo so škodlivým kódom z externého zdroja. Windows 10 má vstavanú funkciu zakázať sťahovanie a vykonávanie písem „tretích strán“, tj tie, ktoré nie sú nainštalované v systéme a nie sú umiestnené v adresári% WINDIR% \ Fonts.
Na riadenie načítania písiem tretích strán v systéme Windows 10 sa objavilo samostatné nastavenie skupinovej politiky, ktoré sa nachádza v časti konzoly gpedit.msc: Konfigurácia počítača -> Šablóny pre správu -> Systém -> Možnosti zmiernenia . Parameter sa volá Nedôveryhodné blokovanie písma. Pre túto politiku existujú 3 spôsoby fungovania:
- Blokujte nedôveryhodné písma a udalosti denníka - úplne zakázať aplikáciám sťahovať písma tretích strán z ľubovoľného priečinka okrem% windir% Fonts a zapisovať všetky informácie do denníka
- Blokovať nedôveryhodné písma - písma tretích strán nie sú blokované (predvolená hodnota)
- Protokolovajte udalosti bez blokovania nedôveryhodných písiem - tzv. režim auditu, pri sťahovaní a inštalácii písiem tretích strán nie je blokovaný, ale do protokolu sa zaznamenávajú informácie o type písma a aplikácii, ktorá ho nainštalovala
V domácich verziách systému Windows 10 Home (v ktorých nie je žiadny Editor politiky skupiny) je riadenie tejto ochrannej funkcie možné iba prostredníctvom registra. To urobíte vo vetve registra HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Kernel \ je potrebné vytvoriť parameter typu QWORD (64-bitové) s menom MitigationOptions. Parameter musí byť nastavený na jednu z nasledujúcich hodnôt:
- Zámok písma je povolený - 1000000000000
- invalidný - 2000000000000
- Režim auditu - 3000000000000
Po vykonaní zmien je potrebné reštartovať systém.
Ak chcete zabrániť tomu, aby politika obmedzenia sťahovania písma ovplyvnila konkrétnu aplikáciu, môžete ju pridať do výnimiek. Napríklad, aby program Outlook správne zobrazoval písmená s vloženými fontmi, musíte do vetvy registra Možnosti HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution vytvoriť podkľúč s názvom spustiteľného súboru. V našom prípade to tak bude Outlook.exe.
Keď povolíte politiku auditu, všetky súvisiace udalosti sa nachádzajú v časti systémového denníka aplikácie Aplikácia-> Servisné denníky -> Microsoft -> Windows -> Win32k -> Prevádzkové. Máme záujem o udalosti s EventID 260
Funkcia blokovania fontov tretích strán sa dá ovládať aj prostredníctvom Microsoft EMET 5.5. Ak to chcete urobiť, povoľte túto možnosť v rozhraní EMET Blokovať nedôveryhodné písma.
