В то время, когда разработчики Microsoft стремятся сделать Windows более безопасной и защищённой, злоумышленники ищут уязвимости и способы обхода защиты. В последнее время всё больше внимания они стали уделять уязвимости в драйвере шрифтов, позволяющей загружать в систему шрифты с вредоносным кодом, причём, чтобы установить такой шрифт, злоумышленнику достаточно заманить пользователя на специально созданную веб-страницу или вынудить его открыть текстовый документ.
К счастью, в Windows 10 имеется функция, позволяющая блокировать загрузку и установку любых недостоверных (сторонних) шрифтов, под коими следует понимать все шрифты, которые не располагаются в системной папке Fonts. Получить к функции доступ можно либо через редактор локальных групповых политик, либо через реестр, что может иметь место если первый отсутствует в системе.
Командой gpedit.msc откройте редактор политик и последовательно раскройте в левой колонке ветку Конфигурация компьютера → Административные шаблоны → Параметры уменьшения рисков.
В последнем подразделе имеется параметр «Блокирование недоверенных шрифтов». Кликните по нему два раза, в открывшемся диалоговом окне переключите радиокнопку в положение «Включено», а затем выберите в расположенном ниже выпадающем списке режим «Блокировать недоверенные шрифты и файлы журнала». Его активация запрещает использование системой любых шрифтов, кроме тех, которые располагаются в папке Fonts, а также предотвращает запись данных о событии в журнал.
Режим «Не блокировать недоверенные шрифты» используются в Windows 10 по умолчанию. Если его выставить, система будет загружать и использовать любые шрифты, в том числе сторонние. При использовании третьего режима «События журнала без блокирования ненадёжных шрифтов» сторонние шрифты будут устанавливаться, а сведение о нём и установившем его приложении будет записываться в журнал событий.
Ту же самую настройку можно выполнить через реестр.
- Командой regedit откройте редактор реестра и разверните ветку HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Kemel.
- Создайте в последнем подразделе новый параметр типа QWORD (64-bit) с именем MitigationOptions и установите в качестве его значения 1000000000000.
- Также параметр MitigationOptions может принимать значение 2000000000000 (установка недоверенных шрифтов разрешена) и 3000000000000 (установка шрифтов с записью данных в журнал событий). Чтобы новые настройки вступили в силу, после внесения изменений необходимо перезагрузить компьютер.
Примечание: обращаем ваше внимание, что после отключения загрузки недоверенных шрифтов, в некоторых вполне безопасных приложениях — тех, которые используют собственных шрифты, последние могут отображаться некорректно.
Решить эту проблему можно добавлением приложения в исключения. Для этого в реестре необходимо развернуть ветку HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и добавить в конец ещё один подраздел с именем и расширением исполняемого файла приложения.
