Salah satu cara untuk menyerang mesin Windows yang semakin meluas adalah dengan mengeksploitasi kerentanan pada driver font Windows dengan mengunduh dan mengeksekusi file font yang dibuat khusus oleh pengguna. Untuk mengimplementasikan serangan seperti itu, penyerang hanya perlu memaksa pengguna untuk membuka dokumen yang dirancang khusus, halaman web atau menjalankan aplikasi khusus (aman sendiri) yang mengunduh font dengan kode berbahaya dari sumber eksternal. Windows 10 memiliki fitur bawaan melarang pengunduhan dan pelaksanaan font "pihak ketiga", yaitu yang tidak diinstal dalam sistem dan tidak terletak di direktori% WINDIR% \ Fonts.
Untuk mengontrol pemuatan font pihak ketiga di Windows 10, pengaturan Kebijakan Grup terpisah muncul, yang terletak di bagian konsol gpedit.msc: Konfigurasi Komputer -> Template Administratif -> Sistem -> Opsi Mitigasi . Parameter disebut Pemblokiran Font Tidak Dipercaya. Ada 3 mode operasi untuk kebijakan ini:
- Blokir font yang tidak dipercaya dan catat acara - sepenuhnya melarang aplikasi untuk mengunduh font pihak ketiga dari folder apa pun kecuali% windir% Font dan menulis semua informasi ke log
- Jangan blokir font yang tidak dipercaya - font pihak ketiga tidak diblokir (nilai default)
- Log peristiwa tanpa memblokir font yang tidak dipercaya - yang disebut mode audit, saat mengunduh dan menginstal font pihak ketiga tidak diblokir, tetapi informasi tentang font dan aplikasi yang menginstalnya dicatat dalam log
Dalam versi rumah Windows 10 Home (di mana tidak ada Editor Kebijakan Grup), pengelolaan fungsi pelindung ini hanya dimungkinkan melalui registri. Untuk melakukan ini, di cabang registri HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Kernel \ perlu membuat parameter tipe QWORD (64-bit) dengan namanya Pilihan Mitigasi. Parameter harus diatur ke salah satu dari nilai berikut:
- Kunci Font Diaktifkan - 1000000000000
- Terputus - 2000000000000
- Mode audit - 3000000000000
Setelah melakukan perubahan, Anda harus mem-boot ulang sistem.
Jika Anda ingin mencegah kebijakan pembatasan unduhan font memengaruhi aplikasi tertentu, Anda dapat menambahkannya ke pengecualian. Misalnya, agar Outlook dapat menampilkan huruf dengan font tertanam dengan benar, Anda harus di cabang registri HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Opsi Eksekusi File Gambar buat subkunci dengan nama aplikasi yang dapat dieksekusi. Dalam kasus kami, itu akan terjadi outlook.exe.
Saat Anda mengaktifkan kebijakan audit, semua peristiwa terkait berada di bagian log sistem aplikasi Aplikasi-> Log Layanan -> Microsoft -> Windows -> Win32k -> Operasional. Kami tertarik dengan acara bersama EventID 260
Fungsi pemblokiran font pihak ketiga juga dapat dikontrol via Microsoft EMET 5.5. Untuk melakukan ini, aktifkan opsi di antarmuka EMET Blokir Font yang Tidak Dipercaya.
