Fondid näivad süütud, kui arvutis. Suurem osa ajast, me ei pööra isegi tähelepanu veebilehtede fontidele, välja arvatud juhul, kui need on liiga silmad. Aga usaldatud fonte veebisaitidel võivad häkkerid väärkasutada oma võrku. See postitus selgitab, kuidas blokeerida ebausaldusväärseid fonte Windows 10.
Kohapeal töötades kasutame peaaegu kõiki fonte, mis pärinevad % windir% / fonte kausta. See tähendab, et fonte installitakse Windowsi fontide kausta, kui Windows või mõni muu rakendus on installitud. Need on usaldatud fonte ja ei kujuta ohtu. Kui me näeme veebilehtedel selliseid fonte, laaditakse need kohalikust fontide kaustast.
Kuid kui meie arvutis ei ole veebilehel olevaid fonte, st kohalike fondide kaust - selle fondi koopiat laaditakse meie arvuti mällu ja see tähendab, et küberkurjategija saab teie võrgule juurdepääsu.
Usaldamata fontide ohud
Kui veebisait kasutab kohalikku fontide kausta juba olemas olevat fonti, avab brauser kohaliku kausta fontide, et muuta see veebileht ümber. Kuna installimisel viirusetõrjeprogrammid kontrollivad kohaliku fondi kaustade fonte, ei kujuta nad endast ohtu.
Kui veebisait või veebileht kasutab fonti, mida pole kohalikus fontide kataloogis või kaustas, peavad brauserid olema "kõrgendatud õigused" fontide koopia laadimiseks kohalikus mälus, laadides need alla arvutisse. Lihtsad allalaaditavad failid ei ole suureks probleemiks, sest antimalware pakendid tuvastavad, kas fonte sisaldavad pahavara. Selliste fontidega pole pahavara ohtu. Probleemiks on "kõrgendatud privileegid", mida küberkurjategijad võivad leida ja ära kasutada. Kui nad sellises olukorras brauserit kontrollivad, on nad võimelised kahjustama mitte ainult arvutit, vaid kogu võrku.
Parim meetod on vältida brauserite kasutamist "kõrgendatud õiguste" kasutamisel ning seda saab teha Windows 10-s, blokeerides fonte, mida kohalikus kaustas ei esine. Sellistel juhtudel kujundatakse veebisait, asendades usaldatud fontidega usaldusväärse veebisaidi fonte ja kohaliku kausta. See aga võib põhjustada veebilehe valesti töötlemise ja printimisel probleeme.
Windows 10-s on usaldatud fontide jaoks saadaval kolm riiki
Windows 10-s pole usaldusväärsete fontide puhul saadaval kolm võimalust. Need on:
- Blokeeri fonte
- Auditi režiim: te ei blokeeri fonti tegelikult, kuid hoiate logi, mis näitab ebausaldusväärsete fontide laadimist ja kui jah, siis milline veebisait ja rakendus neid kasutasid
- Rakenduste väljajätmine: saate mõne Windows 10 rakenduse valge nimekirja kasutada usaldamatute fontide kasutamist, kui arvate, et need ei ole probleemid; Näiteks kui saate Wordi rakenduse valge nimekirja, võib ta kasutada Internetist pärinevaid kolmandate isikute fonte, kuigi olete blokeerinud ebausaldusväärseid fonte
Minu arvates on parima meetodi valikuvõimaluste piiratud arv, et blokeerida kõik ebausaldusväärsed fontid ja valge nimekiri ainult need rakendused, mis pakuvad fontide allalaadimisel kohalikku mälu vähem ohtu. Brauseritega võrreldes on näiteks sellised rakendused nagu Microsoft Word, Excel jne julgestuvad vähem kui fontide allalaadimine, teie pahavara on käivitunud ja kui see leiab midagi ebameeldivat, annab see teile sõnumi või blokeerib allalaaditud fonte. Teisest küljest on brauserid keerukas arhitektuur (tuginedes renderdamise mootoritele ja protsessoritele jne), nii et isegi kui antimalware blokeerib mälu fonte, võivad küberkurjategijad ikkagi võimetult masinat hõlpsalt kontrollida.
Blokeeri ebausaldusväärseid fonte ettevõttes
Registriredaktori kasutamine
Windows 10-s ebausaldusväärsete fontide blokeerimiseks ja usalduslike fontide kasutamiseks mõeldud valgete loendite kasutamiseks peate kasutama Windowsi registriredaktorit. Praegu puudub graafiline kasutajaliides, mis muudab administraatoritele lihtsamaks. Alljärgnevalt selgitatakse, kuidas blokeerida usaldatud fonte Windows 10-s.
Vajuta WinKey + R ja ilmuvas käsku Käivita, tippige käsk regedit ja vajutage sisestusklahvi
- Navigeeri HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager Kernel
- Otsige nimega kanne Leevendusaktid. Kui seda pole, siis looge 64-bitise QWORD-i kirje ja nimetage selle leevendamiseoptsioonid
- Meie loodud QWORD sisestuse väärtus on juba olemas; koopia, kleepige väärtused enne väärtust selliseid väärtusi, nii et väärtus oleks seal kleepitud väärtuse lõpus.
- For ebausaldusväärsete fontide väljalülitamine, sisenema 1000000000000. Et käivitage auditirežiim, sisenema 3000000000000. Et Lülita see välja, sisenema 2000000000000. Näiteks kui meie loodud QWORDis on juba väärtus 1000, peaks see vaatama 30000000000001000
- Sulgege registriredaktor, salvestage töö mõnes teises rakenduses, mis võib olla avatud, ja arvuti taaskäivitage.
Nagu varem mainitud, võib ebatõenäoliste fontide väljalülitamisel olla veebisaitide vaatamise või printimisega probleeme. Selle saavutamiseks on soovitatav fonti käsitsi allalaadida ja installida kausta% windir% / fonts. See muudab veebisaidi sirvimiseks selle fondi turvalisemaks. Kuigi saate rakendusi välja jätta või neid valgeid lugeda, tuleks seda teha ainult siis, kui saate mõnel põhjusel fonte installida.
Grupipoliitika redaktori kasutamine
Kui kasutate Windows 10 Enterprise'i ja Windows 10 Pro väljaandeid, võite kasutada kohaliku grupipoliitika redaktorit.
Jookse gpedit.msc kohaliku grupipoliitika redaktori avamiseks ja navigeerimiseks järgmisele seadele:
Arvuti konfiguratsioon> Haldusmallid> Süsteem> Leevendamisvalikud.
Paremal paanil näete Tundmatu fontide blokeerimine. Valige Lubatud ja seejärel valige Blokeeri usaldamatute fontide ja logide sündmusi rippmenüüst.
This security feature provides a global setting to prevent programs from loading untrusted fonts. Untrusted fonts are any font installed outside of the %windir%Fonts directory. This feature can be configured to be in 3 modes: On, Off, and Audit. By default, it is Off and no fonts are blocked. If you aren’t quite ready to deploy this feature into your organization, you can run it in Audit mode to see if blocking untrusted fonts causes any usability or compatibility issues.
MÄRGE: See poliitikavalik võib muuta teie ikoonid ja fondid IE11-s puudu.
Kasutades EMET 5.5 ja uuemaid versioone
Tõhustatud leevendamistehnoloogia tööriistakomplekt võimaldab nüüd blokeerida ebausaldusväärseid fonte.
Kuidas vaadata ebausaldusväärsete fontide kasutamisega seotud rakenduste logi?
Kui valite auditiviisi, leiad, et ükski usaldatud fonti ei ole blokeeritud. Selle asemel luuakse log, mille abil saate vaadata, millise rakenduse juurde pääseb, millisele usaldusväärsele fondi tüübile ja kus, millal ja jne üksikasjad. Logi vaatamiseks avage Windowsi sündmuste vaataja. Minema Rakenduse ja teeninduslogid / Microsoft / Windows / Win32k / Operational.
EventID: 260 all leiad kõik logi kirjed, mis on seotud ebatõenäoliste fontide juurdepääsu erinevate brauserite ja rakendustega kohaliku arvuti käivitamise ajal. Sündmuste logi näide on järgmine:
WINWORD.EXE attempted loading a font that is restricted by font loading policy.
FontType: Memory
FontPath:
Blocked: true
Seda tüüpi kirje näidatakse siis, kui olete ebausaldusväärsete fontide täieliku blokeerimise laadinud kohalikke arvuteid. Samuti näitab see, et ebausaldusväärse fondi allalaadimine on juhtunud, kuid seda blokeeris Windowsi registriredaktori abil loodud reegel.
Teine näide võiks olla:
Iexplore.exe attempted loading a font that is restricted by font loading policy.
FontType: Memory
FontPath:
Blocked: false
Eelnimetatud juhul pole usaldatud fonte blokeeritud vastavalt kirjele. Samuti näitab see, et brauser proovis fonte alla laadida kohalikus mälus ja seda kasutati.
Ülaltoodud selgitab ebausaldusväärseid fonte, ebausaldusväärsete fontide tekitatud ohte ja lõpuks Windows 10-s ebausaldusväärsete fontide blokeerimist. Kui teil on kahtlusi või lisateavet, siis palun kommenteeri.
Allikas: TechNet.
