К ому-то из пользователей это может показаться маловероятным, но безобидные на первый взгляд файлы шрифтов тоже могут представлять угрозу безопасности компьютера, особенно если они располагаются в любых других системных каталогах, а не в папке %windir%/Fonts . Известно, что некоторые программы для своей работы используют собственные шрифты, которые они копируют не в отведённый для этого каталог, а в другое расположение, например, папки профиля пользователя.
В Windows 10 разработчики учли этот нюанс и реализовали функцию, позволяющую предотвращать загрузку таких шрифтов сторонними приложениями. После её включения, все шрифты, копируемые не в %windir%/Fonts , будут считаться недоверенными. Чтобы её активировать, потребуется внести небольшие изменения в настройки с помощью редактора локальных групповых политик.
Командой gpedit.msc в окошке «Выполнить» откройте редактор политик.
И в расположенном слева древе каталогов проследуйте по цепочке Конфигурация компьютера -> Административные шаблоны -> Система -> Параметры уменьшения рисков. В правой части окна вы увидите единственный параметр «Блокирование недоверенных шрифтов».
Кликните по нему два раза, в открывшемся окне изменения настроек выберите опцию «Блокировать недоверенные шрифты и события журнала» и переключите радиокнопку в положение «Включено» .
В этом окошке есть ещё одна опция, о которой вам следует знать — «События журнала без блокирования ненадежных шрифтов». Она переключает функцию управления недоверенными шрифтами в , то есть блокироваться такие шрифты не будут, но при этом в журнал безопасности будут заноситься сведения об их установке.
Это всё. Не забудьте только перезагрузить компьютер, чтобы новые настройки вступили в силу.
Как включить/отключить блокировку ненадежных шрифтов в Windows 10
Система Windows 10 поставляется с набором шрифтов формата TTF или OTF, которые подгружаются в приложения из каталога . Загрузка шрифтов может осуществляться и из других расположений, однако в этом случае они будут считаться ненадежными. Если вы уделяете большое внимание безопасности вашего компьютера, включите блокировку непроверенных шрифтов, воспользовавшись простым твиком реестра или локальными политиками. Первый способ более универсальный, так как работает во всех редакциях Windows 10.
Блокировка через реестр
Откройте командой regedit одноименный редактор и перейдите к разделу . Внутри него создайте еще один подраздел с именем MitigationOptions, а в нём в свою очередь создайте строковый параметр MitigationOptions_FontBocking. Установите для него одно из этих трех значений:
- 1000000000000 – включает блокировку непроверенных шрифтов;
- 2000000000000 – отключает блокировку, шрифты смогут подгружаться из отличных от Fonts каталогов;
- 3000000000000 – включает режим аудита. Шрифты загружаются, при этом сведения о событиях заносятся в Журнал Windows.
Для вступления настроек в силу потребуется перезагрузка компьютера.
Включить/отключить блокировку непроверенных шрифтов можно с помощью другого твика. На этот раз вам нужно развернуть ветку , создать в последнем подразделе 64-битный QWORD-параметр MitigationOptions и установить для него одно из указанных выше значений.
После применения твика компьютер необходимо перезагрузить.
Блокировка загрузки недоверенных шрифтов в Windows 10
Одним из способов атаки на Windows машины, который получает все более широкое распространение, является эксплуатация уязвимостей в драйвере шрифтов Windows через загрузку и выполнение пользователем специально сформированного файла шрифта. Чтобы реализовать такую атаку – злоумышленнику достаточно вынудить пользователя открыть специально сконструированный документ, веб-страницу или запустить специальное приложение (безопасное само по себе), которое загружает шрифт с вредоносным кодом из внешнего источника. В Windows 10 появилась встроенная возможность запретить загрузку и выполнение «сторонних» шрифтов, т.е. тех, которые не уставлены в системе и не располагаются в каталоге %WINDIR%Fonts.
Для управления загрузкой сторонних шрифтов в Windows 10 появился отдельный параметр групповой политики, который находится в разделе консоли gpedit.msc: Computer Configuration -> Administrative Templates -> System -> Mitigation Options . Параметр называется Untrusted Font Blocking. Доступны 3 режима работы данной политики:
- Block untrusted fonts and log events – полностью запретить приложениям загружать сторонние шрифты из любой папки, кроме %windir%Fonts и записывать всю информацию в журнал
- Do not block untrusted fonts – сторонние шрифты не блокируются (значение по умолчанию)
- Log events without blocking untrusted fonts – так называемый режим аудита, когда загрузка и установка сторонних шрифтов не блокируется, но информация о шрифте и установившем его приложении записывается в журнал
В домашних версиях Windows 10 Home (в которых отсутствует редактор групповых политик), управление этой защитной функцией возможно только через реестр. Для этого в ветке реестре HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKernel нужно создать параметр типа QWORD (64-bit) с именем MitigationOptions. Параметру нужно задать одно из следующих значений:
- Блокировка шрифтов включена – 1000000000000
- Отключен – 2000000000000
- Режим аудита – 3000000000000
После внесения изменений нужно перезагрузить систему.
Если нужно, чтобы политика запрета загрузки шрифтов не действовала на конкретное приложение, его можно добавить в исключения. К примеру, чтобы Outlook корректно отображал письма со встроенными шрифтами, нужно в ветке реестра HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options создать подключ с именем исполняемого файла приложения. В нашем случае это будет outlook.exe.
При включении политики аудита, все связанные события находится в разделе системного журнала приложения Application-> Service Logs -> Microsoft -> Windows -> Win32k ->Operational. Нас интересуют события с EventID 260
Функцией блокировка сторонних шрифтов также можно управлять через Microsoft EMET 5.5. Для этого в интерфейсе EMET нужно включить опцию Block Untrusted Fonts.
Предотвращение загрузки ненадежных шрифтов в Windows 10
Операционная система должна быть в первую очередь безопасной и гарантировать сохранность данных пользователя. Как в Windows 10 предотвратить загрузку ненадежных шрифтов, которые могут устанавливаться вместе с приложениями и в некоторых случаях приводят к сбоях в работе?
Откуда берутся шрифты
В части сторонних программ используются нестандартные шрифты, которые по умолчанию не включены в Windows. В этом случае приложение устанавливает шрифтовые гарнитуры самостоятельно. Пользователь не всегда внимательно изучает интерфейс программы и склонен забывать о потенциальной угрозе безопасности, если приложение эффективно справляется с основными функциями.
Однако любой сторонний файл, установленный в системе, может стать причиной возникновения проблем. Это касается и нестандартных шрифтов. Стоит заранее обезопасить операционную систему. В Windows 10 для этого разработана отдельная функция: запрет на загрузку программами непроверенных шрифтов. При этом под «недостоверным» ОС понимает любой файл шрифтов, который инсталлируется в директорию, отличную от системной Fonts, предназначенной для хранения гарнитур.
Защита системы
Клавишами Win + R вызовите окно выполнения программ и введите название gpedit.msc. После подтверждения откроется Редактор групповой политики.
Следует помнить, что это приложение доступно только в профессиональной и корпоративной версиях операционной системы. Тем, кто установил базовую версию Windows, изменение групповых политик недоступно, система не предоставляет возможности заблокировать инсталляцию сторонних шрифтовых гарнитур.
В окне редактора перейдите к Конфигурации компьютера, затем к Административным шаблонам. Здесь найдите раздел Система, а в ней — подраздел с заголовком «Параметры уменьшения рисков».
Справа в окне есть политика, озаглавленная «Блокирование недостоверных шрифтов». Благодаря ей доступна возможность развертывания параметра, который блокирует установку непроверенных шрифтов сторонними приложениями.
В базовой инсталляции системы политика еще не настроена, сделать это придется вручную.
Дважды щелкните по пункту политики, в настройках укажите «Включено» и выберите, как именно будет работать функционал.
По умолчанию включен вариант «Не блокировать шрифты». Фактически в таком режиме политика отключена. Система может полностью блокировать загрузку недостоверных шрифтов — за этот режим отвечает параметр «Блокировать недостоверные шрифты и события журнала». Доступен также режим «Аудита»: система позволяет загрузку и установку шрифтов, однако добавляет в лог (журнал событий) записи о каждой инсталляции. Этот режим позволит убедиться, что запрет на установку шрифтов не вызывает проблем с работой приложений и не затрудняет их использование.
После внесения дополнительных настроек кликните по кнопке «Применить», а затем закройте окно кликом по кнопке «ОК». После перезапуска операционной системы изменения вступят в силу.
Блокируйте ненадежные шрифты, чтобы обеспечить безопасность сети в Windows 10
Шрифты кажутся невинными, когда на компьютере. В большинстве случаев мы даже не обращаем внимания на шрифты на веб-страницах, за исключением случаев, когда они слишком строги для глаз. Но ненадежные шрифты на веб-страницах могут быть использованы хакерами для взлома вашей сети. В этом посте объясняется, как блокировать ненадежные шрифты в Windows 10 .
При локальной работе почти все шрифты, которые мы используем, находятся в папке . То есть шрифты устанавливаются в папку шрифтов Windows, когда установлена Windows или любое другое приложение. Это доверенные шрифты и не представляют никакой угрозы. Когда мы встречаем такие шрифты на веб-страницах, они загружаются из локальной папки шрифтов.
Но когда шрифты на веб-странице отсутствуют на нашем компьютере — то есть в локальной папке шрифтов — копия этого шрифта загружается в память нашего компьютера, и именно тогда киберпреступник может получить доступ к вашей сети.
Опасности ненадежных шрифтов
Когда веб-страница использует шрифт, который уже присутствует в локальной папке шрифтов, браузер выбирает шрифты из локальной папки для визуализации веб-страницы. Поскольку шрифты в локальной папке шрифтов проверяются антивирусными программами при установке, они не представляют угрозы.
Когда веб-сайт или веб-страница использует шрифт, которого нет в каталоге или папке локальных шрифтов, браузерам понадобятся «повышенные привилегии» для загрузки копии шрифтов в локальную память путем их загрузки на компьютер. Простые загрузки не являются большой проблемой, так как пакеты защиты от вредоносных программ обнаружат, содержат ли шрифты вредоносные программы. С такими шрифтами угрозы вредоносного ПО не существует. Проблема заключается в «повышенных привилегиях», которые могут быть найдены и использованы киберпреступниками. Если они возьмут под контроль браузер в такой ситуации, они способны навредить не только компьютеру, но и сети в целом.
Лучший способ — избежать использования в браузерах «повышенных привилегий», что можно сделать в Windows 10, заблокировав шрифты, отсутствующие в локальной папке. В таких случаях веб-сайт будет отображаться путем замены ненадежных веб-шрифтов доверенными шрифтами в локальной папке. Однако это может привести к неправильной визуализации веб-страницы и возникновению проблем при печати.
Три состояния доступны для ненадежных шрифтов в Windows 10
Когда дело доходит до ненадежных шрифтов в Windows 10, вам доступны три варианта:
- Блокировать шрифты
- Режим аудита: вы фактически не блокируете шрифт, но ведете журнал, который показывает, были ли загружены ненадежные шрифты и, если да, какой веб-сайт и приложение использовали их
- Исключение приложений. Вы можете внести в белый список некоторые приложения в Windows 10, чтобы использовать ненадежные шрифты, если считаете, что они не будут проблемой; Например, если вы включаете приложение Word в белый список, оно может использовать сторонние шрифты, исходящие из Интернета, даже если вы заблокировали ненадежные шрифты.
На мой взгляд, лучший способ, учитывая ограниченное количество параметров, — блокировать все ненадежные шрифты и вносить в белый список только те приложения, которые представляют меньшую угрозу при загрузке шрифтов в локальную память. По сравнению с браузерами приложения, такие как Microsoft Word, Excel и т. Д., Представляют меньшую угрозу, так как при загрузке шрифтов ваше антивирусное ПО срабатывает, и если оно находит что-либо нежелательное, оно выдаст вам сообщение или заблокирует загруженные шрифты. , Браузеры, с другой стороны, представляют собой сложную архитектуру (основанную на механизмах рендеринга, процессорах и т. Д.), Поэтому даже если вредоносное ПО блокирует шрифты в памяти, киберпреступники могут все же легко взять под контроль машину.
Блокировать ненадежные шрифты на предприятии
Использование редактора реестра
Чтобы заблокировать ненадежные шрифты в Windows 10 и добавить в белый список приложения, которые могут использовать ненадежные шрифты, вам придется использовать редактор реестра Windows. На данный момент нет графического интерфейса пользователя, который облегчает работу администраторов. Ниже объясняется, как блокировать ненадежные шрифты в Windows 10.
-
- Нажмите WinKey + R и в появившемся диалоговом окне «Выполнить» введите regedit и нажмите клавишу «Ввод».
- Перейдите к HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Диспетчер сеансов Ядро
- Найдите запись с именем MitigationOptions . Если его там нет, создайте 64-битную запись QWORD и назовите ее MitigationOptions
- Уже будет значение для записи QWORD, которую мы создали; скопируйте и вставьте следующие значения в ПЕРЕД значением, чтобы оно находилось ближе к концу вставленного значения.
- Чтобы отключить ненадежные шрифты , введите 1000000000000 .Чтобы запустить режим аудита , введите 3000000000000 . Чтобы отключить его , введите 2000000000000 . Например, если в созданном нами QWORD уже есть значение 1000, оно должно выглядеть как 30000000000001000
- Закройте редактор реестра, сохраните работу в любых других приложениях, которые могут быть открыты, и перезагрузите компьютер.
Как упоминалось ранее, при отключении ненадежных шрифтов могут возникнуть проблемы с просмотром веб-сайтов или печатью. Чтобы обойти это, рекомендуется загрузить и установить шрифт вручную в папку% windir%/fonts. Это сделает более безопасным просмотр веб-сайта с использованием этого шрифта. Хотя вы можете исключать или вносить в белый список приложения, это следует делать только в том случае, если по каким-либо причинам вы можете установить шрифты.
Использование редактора групповой политики
Если вы используете выпуски Windows 10 Enterprise и Windows 10 Pro, вы можете использовать редактор локальной групповой политики.
Запустите , чтобы открыть редактор локальной групповой политики и перейти к следующему параметру:
Конфигурация компьютера> Административные шаблоны> Система> Параметры смягчения.
На правой панели вы увидите блокировку ненадежных шрифтов . Выберите «Включено», а затем выберите Заблокировать ненадежные шрифты и зарегистрируйте события в раскрывающемся меню.
Эта функция безопасности обеспечивает глобальную настройку для предотвращения загрузки программами ненадежных шрифтов. Ненадежные шрифты — это любые шрифты, установленные вне каталога% windir% Fonts. Эта функция может быть настроена на 3 режима: Вкл., Выкл. И Аудит. По умолчанию он выключен, и шрифты не блокируются. Если вы не совсем готовы развернуть эту функцию в своей организации, вы можете запустить ее в режиме аудита, чтобы проверить, не вызывает ли блокировка ненадежных шрифтов какие-либо проблемы с удобством использования или совместимостью.
ПРИМЕЧАНИЕ . Этот параметр политики может привести к потере значков и значков в IE11.
Использование EMET 5.5 и более поздних версий
Расширенный инструментарий Mitigation Experience теперь позволяет блокировать ненадежные шрифты.
Как просмотреть журнал приложений, использующих ненадежные шрифты
Если вы выберете метод аудита, вы обнаружите, что ни один из ненадежных шрифтов не заблокирован. Вместо этого будет создан журнал, который вы можете использовать, чтобы узнать, какое приложение получило доступ, какой тип шрифта ненадежен и где, когда и т. Д. Подробно. Чтобы просмотреть журнал, откройте окно просмотра событий Windows. Перейдите в
Под EventID: 260 вы найдете все записи журнала, относящиеся к доступу ненадежных шрифтов различными браузерами и приложениями во время работы локального компьютера. Пример журнала событий может быть следующим:
WINWORD.EXE попытался загрузить шрифт, который ограничен политикой загрузки шрифтов.
Этот тип записи будет показан, когда вы полностью заблокировали загрузку ненадежных шрифтов на локальные компьютеры. Это также показывает, что загрузка ненадежного шрифта произошла, но была заблокирована политикой, созданной вами с помощью редактора реестра Windows.
Другой пример может быть:
Iexplore.exe попытался загрузить шрифт, который ограничен политикой загрузки шрифтов.
В приведенном выше случае ненадежные шрифты не блокируются, как показано в записи. Это также показывает, что браузер попытался загрузить шрифты в локальную память и был использован.
Вышесказанное объясняет ненадежные шрифты, опасности, связанные с ненадежными шрифтами, и, наконец, как блокировать ненадежные шрифты в Windows 10. Если у вас есть какие-либо сомнения или что-либо добавить, пожалуйста, прокомментируйте.
Выше, толще, круглее: как установить любой шрифт на Windows 10
Если вам не хватает стандартных шрифтов, встроенных в систему, установка новых шрифтов в Windows поможет вам расширить их список в таких программах, как Word, Paint, «Блокнот» и других системных приложениях для более интересного оформления документов. Процесс добавления, удаления и настройки шрифтов не представляет особой сложности.
Способы установки шрифтов
Установку шрифтов можно произвести несколькими способами. Шрифты в формате .ttf и .otf устанавливаются из одиночного файла, а шрифты PostScipt должны иметь следующие комбинации файлов:
- 2 файла с расширениями PFB и PFM;
- 3 файла: PFB, AFM и INF;
- 4 файла: PFB, PFM, AFM и INF.
Установка шрифтов через контекстное меню
Если файлы со шрифтами находятся в zip или rar архиве, то перед установкой их необходимо разархивировать.
- Чтобы установить один шрифт, кликните по нему правой кнопкой мыши и в открывшемся контекстном меню выберите пункт «Установить».
Нажимаем кнопку «Установить»
Выделяем шрифты и нажимаем кнопку «Установить»
Дожидаемся окончания установки
Установка шрифтов через окно просмотра
Вы можете открыть скачанный файл шрифта, дважды кликнув по нему левой кнопкой мыши, чтобы посмотреть, как он выглядит. В открывшемся окошке сверху будет расположены кнопки «Печать» и «Установить». Нажав вторую из них, вы запустите процесс установки просматриваемого шрифта.
Кликаем по кнопке «Установить»
Установка шрифтов через ручное копирование
Все системные шрифты, установленные на компьютере, находятся в папке Основной_диск:WindowsFonts. Вы можете копировать скачанные шрифты в эту папку, тем самым запустив процесс установки.
Перетаскиваем шрифты в папку Fonts
Установка шрифтов с помощью создания ярлыка
Если на основном разделе жёсткого диска мало места, то вы можете не устанавливать весь шрифт, а создать ярлык установочного файла шрифта. Кликнув по нему правой кнопкой мыши, выбрать функцию «Установить». При этом шрифт не будет занимать так много места на диске. Но есть один минус: если файл, от которого создавался ярлык, будет удалён или перемещён, то установленный шрифт перестанет работать.
Нажимаем кнопку «Создать ярлык»
Видео: добавление шрифтов в Windows 10
Как установить шрифты без прав администратора
По умолчанию в системе установка шрифтов возможна только для пользователей с правами администратора. Но это можно исправить, выполнив следующие действия:
- Скачайте и разархивируйте файл шрифта.
Нажимаем кнопку «Скачать»
Открываем файл от имени администратора
Прописываем имя пользователя
Нажимаем кнопку «Перезагрузить»
Настройка установленных шрифтов
- Откройте проводник и перейдите к папке Диск:WindowsFonts.
Переходим к папке Fonts
Нажимаем кнопку «Параметры шрифта»
Включаем или отключаем функцию «Отображение и скрытие шрифтов»
Включаем или отключаем возможность установки через ярлык
Нажимаем кнопку «Настройки текста ClearType»
Ищем нужный символ и копируем его
Видео: настройка сглаживания шрифтов
Ошибки при установке шрифтов
Во время установки шрифта можно столкнуться с подобными ошибками: «Не является правильным шрифтом Windows 10» или «Файл не является файлом шрифта». Возникают такие проблемы из-за того, что формат файла не соответствует нужному для системы расширению или сам файл повреждён.
Ошибка при установке шрифта
В первом случае вам помогут онлайн или офлайн-конверторы, позволяющие из одного формата файла сделать другой. Самый быстрый и лёгкий способ — использовать сайты, производящие преобразование онлайн. Посмотрите расширение скачанного вами шрифта и найти в интернете сайт, конвертирующий ваш формат в .ttf или .otf.
Во втором случае выход один — скачать нужный вам шрифт заново или с другого источника. Также может помочь отключение или включение встроенного брандмауэра Windows, так как он блокирует или по умолчанию не допускает файл к установке.
Большое количество шрифтов поможет разнообразить и оформить ваши работы, но учтите, что для их хранения отводится место на основном системном диске. Следите за шрифтами: отключайте или удаляйте неактуальные, чтобы они не засоряли систему.
Источник: