Jedním ze způsobů, jak zaútočit na počítač se systémem Windows, který je stále rozšířenější, je zneužití zranitelností v ovladači písem systému Windows stažením a spuštěním speciálně vytvořeného souboru písem uživatelem. K provedení takového útoku stačí, když útočník nutí uživatele, aby otevřel speciálně navržený dokument, webovou stránku nebo spustil speciální aplikaci (bezpečnou samu o sobě), která stáhne písmo se škodlivým kódem z externího zdroje. Windows 10 má vestavěnou funkci zakázat stahování a provádění písem „třetích stran“, tj. ty, které nejsou nainstalovány v systému a nejsou umístěny v adresáři% WINDIR% \ Fonts.
Pro řízení načítání písem třetích stran v systému Windows 10 se objevilo samostatné nastavení zásad skupiny, které se nachází v části konzoly gpedit.msc: Konfigurace počítače -> Šablony pro správu -> Systém -> Možnosti zmírnění . Parametr se nazývá Nedůvěryhodné blokování písem. Pro tuto zásadu existují 3 způsoby fungování:
- Blokovat nedůvěryhodná písma a události protokolu - zcela zakázat aplikacím stahovat písma třetích stran z libovolné složky kromě% windir% Fonts a zapisovat všechny informace do protokolu
- Neblokujte nedůvěryhodná písma - písma třetích stran nejsou blokována (výchozí hodnota)
- Protokolovat události bez blokování nedůvěryhodných písem - tzv. režim auditu, při stahování a instalaci písem třetích stran není blokován, ale informace o písmu a aplikaci, která jej nainstalovala, se zaznamenají do protokolu
V domovských verzích systému Windows 10 Home (ve kterých neexistuje žádný Editor zásad skupiny) je správa této ochranné funkce možná pouze prostřednictvím registru. To provedete ve větvi registru HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Jádro \ je třeba vytvořit parametr typu QWORD (64bitové) se jménem Zmírňující možnosti. Parametr musí být nastaven na jednu z následujících hodnot:
- Zámek písma povolen - 1000000000000
- Odpojeno - 2000000000000
- Režim auditu - 3000000000000
Po provedení změn je třeba systém restartovat.
Pokud chcete zabránit tomu, aby politika omezení stahování písem ovlivnila konkrétní aplikaci, můžete ji přidat k výjimkám. Například, aby aplikace Outlook správně zobrazovala písmena s vloženými písmeny, musíte ve větvi registru Možnosti provedení HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File vytvořit podklíč s názvem spustitelného souboru. V našem případě to tak bude outlook.exe.
Když povolíte zásadu auditu, všechny související události se nacházejí v části systémového protokolu aplikace Aplikace-> Servisní protokoly -> Microsoft -> Windows -> Win32k -> Provozní. Zajímají nás události s EventID 260
Funkce blokování písem třetích stran lze také ovládat pomocí Microsoft EMET 5.5. Chcete-li to provést, povolte možnost v rozhraní EMET Blokovat nedůvěryhodná písma.
