Eden od načinov za napad na sistem Windows, ki postaja vse bolj razširjen, je izkoriščanje ranljivosti v gonilniku pisav Windows s prenosom in izvedbo posebej izdelane datoteke pisav s strani uporabnika. Za izvedbo takega napada napadalec mora uporabnika prisiliti samo, da odpre posebej zasnovan dokument, spletno stran ali zažene posebno aplikacijo (varno samo po sebi), ki naloži pisavo z zlonamerno kodo iz zunanjega vira. Windows 10 ima vgrajeno funkcijo prepovedati nalaganje in izvajanje "drugih proizvajalcev" pisav, t.j. tiste, ki niso nameščene v sistemu in niso v imeniku% WINDIR% \ Fonts.
Za nadzor nalaganja pisav drugih proizvajalcev v operacijskem sistemu Windows 10 se je pojavila ločena nastavitev skupinskih pravilnikov, ki se nahaja v razdelku konzole. gpedit.msc: Konfiguracija računalnika -> Administrativne predloge -> Sistem -> Možnosti ublažitve . Parameter se pokliče Nezaupno blokiranje pisave. Za to politiko obstajajo trije načini delovanja:
- Blokirajte nezaupljive pisave in dnevnike - aplikacijam popolnoma prepovedo, da naložijo pisave drugih proizvajalcev iz katere koli mape, razen% windir% Pisave, in v dnevnik zapišejo vse informacije
- Ne blokirajte nezaupljivih pisav - pisave drugih proizvajalcev niso blokirane (privzeta vrednost)
- Zabeležite dogodke brez blokiranja nezaupljivih pisav - tako imenovani način revizije pri nalaganju in nameščanju drugih pisav ni blokiran, podatki o pisavi in aplikaciji, ki jo je nameščen, pa se zapišejo v dnevnik
V domačih različicah sistema Windows 10 Home (v katerem ni urejevalnika skupinskih pravilnikov) je upravljanje te zaščitne funkcije mogoče le prek registra. Če želite to narediti, v podružnici registra HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Kernel \ ustvariti parameter tipa QWORD (64-bitni) z imenom Možnosti za ublažitev. Parameter mora biti nastavljen na eno od naslednjih vrednosti:
- Zaklepanje pisave je omogočeno - 1000000000000
- Prekinjeno - 2000000000000
- Način revidiranja - 3000000000000
Po spremembi morate sistem znova zagnati.
Če želite preprečiti, da bi politika omejitve nalaganja pisave vplivala na določeno aplikacijo, jo lahko dodate izjemam. Na primer, da Outlook pravilno prikaže črke z vdelanimi pisavami, morate v podružnico registra Možnosti izvajanja HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File ustvarite podključ z imenom izvršljive aplikacije. V našem primeru bo tako outlook.exe.
Ko omogočite revizijsko politiko, se vsi povezani dogodki nahajajo v razdelku sistemskega dnevnika aplikacije Uporaba -> Dnevniki storitev -> Microsoft -> Windows -> Win32k -> Operativni. Zanimajo nas dogodki s EventID 260
Funkcijo blokiranja drugih pisav lahko nadzorujemo tudi prek Microsoft EMET 5.5. Če želite to narediti, omogočite možnost v vmesniku EMET Blokirajte nezaupljive pisave.
