Bloquer les polices non approuvées dans une entreprise

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Pour protéger votre entreprise contre les attaques qui peuvent provenir de fichiers de police non approuvés ou contrôlés par un attaquant, nous avons créé la fonctionnalité Blocage des polices non approuvées. En utilisant cette fonctionnalité, vous pouvez activer un paramètre global qui empêche vos employés de charger les polices non approuvées traitées à l’aide de l’interface GDI sur votre réseau. Les polices non approuvées désignent toutes les polices installées en dehors du répertoire %windir%\Fonts. Le blocage des polices non approuvées permet d’éviter les attaques EOP à distance (sur le web ou par messagerie électronique) et locales qui peuvent se produire pendant le processus d’analyse de fichier de police.

Qu’est-ce que cela signifie pour moi ?

Le blocage des polices non approuvées permet d’améliorer votre réseau et protège vos employés contre les attaques liées au traitement des polices. Par défaut, cette fonctionnalité n’est pas activée.

Comment fonctionne cette fonctionnalité ?

Il existe trois façons d’utiliser cette fonctionnalité :

• Activé. Permet de bloquer le chargement en dehors du répertoire %windir%\Fonts de toutes les polices traitées à l’aide de l’interface GDI. Cela active également la journalisation des événements.

• Audit. Active la journalisation des événements, mais n’empêche pas le chargement des polices, quel que soit l’emplacement. Les noms des applications qui utilisent des polices non approuvées s’affichent dans le journal des événements.

  Note

  Si vous n’êtes pas tout à fait prêt à déployer cette fonctionnalité dans votre organization, vous pouvez l’exécuter en mode Audit pour voir si le fait de ne pas charger des polices non approuvées entraîne des problèmes de facilité d’utilisation ou de compatibilité.

• Empêchez les applications de charger des polices non approuvées. Vous pouvez toutefois autoriser certaines applications spécifiques à charger des polices non approuvées, même si cette fonctionnalité est activée. Pour obtenir des instructions, voir Corriger les applications rencontrant des problèmes liés aux polices bloquées.

Réductions potentielles de fonctionnalité

Une fois que vous avez activé cette fonctionnalité, vos employés peuvent rencontrer des fonctionnalités réduites dans les cas suivants :

• Envoi d’un travail d’impression à un serveur d’imprimante distant qui utilise cette fonctionnalité et où le processus de spouleur n’a pas été exclu. Dans ce cas, les polices qui ne sont pas déjà disponibles dans le dossier %windir%/Fonts du serveur ne seront pas utilisées.
• Impression à l’aide de polices fournies par le fichier de .dll graphique de l’imprimante installée, en dehors du dossier %windir%/Fonts. Pour plus d’informations, voir la rubrique Présentation des fichiers DLL de graphiques de l’imprimante.
• Utilisation d’applications first ou non-Microsoft qui utilisent des polices basées sur la mémoire.
• Utilisation d’Internet Explorer pour consulter des sites web qui utilisent des polices intégrées. Dans ce cas, la fonctionnalité bloque la police incorporée, ce qui oblige le site web à utiliser une police par défaut. Cependant, certaines polices ne possédant pas tous les caractères, le site web peut les afficher différemment.
• Utilisation de Microsoft Office pour consulter des documents contenant des polices intégrées. Dans ce cas, le contenu s’affiche à l’aide d’une police par défaut choisie par Office.

Activer et utiliser la fonctionnalité Blocage des polices non approuvées

Utilisez la stratégie de groupe ou le registre pour activer ou désactiver cette fonctionnalité, ou pour utiliser le mode d’audit.

Pour activer et utiliser la fonctionnalité Blocage des polices non approuvées par l'intermédiaire de la stratégie de groupe

1. Ouvrez l’éditeur des stratégies de groupe (gpedit.msc) et accédez à Computer Configuration\Administrative Templates\System\Mitigation Options\Untrusted Font Blocking.
2. Cliquez sur Activé pour activer la fonctionnalité, puis cliquez sur l’une des options d’atténuation suivantes :
   • Bloquer les polices non approuvées et consigner les événements. Active la fonctionnalité, bloque les polices non approuvées et journalise les tentatives d’installation dans le journal des événements.
   • Ne pas bloquer les polices non approuvées. Active la fonctionnalité, mais ne bloque pas les polices non approuvées et ne journalise pas les tentatives d’installation dans le journal des événements.
   • Consigner les événements sans bloquer les polices non approuvées. Active la fonctionnalité en journalise les tentatives d’installation dans le journal des événements, mais ne bloque pas les polices non approuvées.
3. Cliquez sur OK.

Pour activer et utiliser la fonctionnalité Blocage des polices non approuvées via le Registre

Pour activer cette fonctionnalité, la désactiver ou l’utiliser en mode audit :

1. Ouvrez l’Éditeur du Registre (regedit.exe) et accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\.

2. Si la clé MitigationOptions n’y apparaît pas, cliquez avec le bouton droit et ajoutez une nouvelle Valeur QWORD (64 bits) en la renommant MitigationOptions.

3. Cliquez avec le bouton droit sur la clé MitigationOptions, puis cliquez sur Modifier. La boîte Modifier la valeur QWORD (64 bits) s’ouvre.

4. Vérifiez que l'option Base est Hexadécimale, puis mettez à jour les Données de valeur, en vous assurant de conserver la valeur existante, comme indiqué dans la remarque importante ci-dessous :

   • Pour activer cette fonctionnalité. Tapez 1000000000000.

   • Pour désactiver cette fonctionnalité. Tapez 2000000000000.

   • Pour effectuer un audit avec cette fonctionnalité. Entrez 3000000000000.

     Important

     Vos valeurs MitigationOptions existantes doivent être enregistrées pendant la mise à jour. Par exemple, si la valeur actuelle est 1000, la valeur mise à jour doit être 1000000001000.

5. Redémarrez votre ordinateur.

Afficher le journal des événements

Après avoir activé cette fonctionnalité ou commencé à utiliser le mode Audit, vous pouvez consulter vos journaux des événements pour plus d’informations.

Consulter le journal des événements

1. Ouvrez l’observateur d’événements (eventvwr.exe) et accédez à Journaux des applications et du service/Microsoft/Windows/Win32k/Opérationnel.
2. Faites défiler jusqu’à EventID: 260 et examinez les événements pertinents.

Exemple d’événement 1 - MS Word

WINWORD.EXE a tenté de charger une police qui est limitée par la stratégie de chargement de police.
FontType: Memory
FontPath :
Bloqué : True

Note

Étant donné que FontType est Memory, aucun FontPath n’est associé.

Exemple d’événement 2 - Winlogon

Winlogon.exe a tenté de charger une police qui est limitée par la stratégie de chargement de police.
FontType: File
FontPath : \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF
Bloqué : True

Note

Étant donné que fontType est File, il existe également un FontPath associé.

Exemple d’événement 3 - Internet Explorer s’exécutant en mode audit

Iexplore.exe a tenté de charger une police qui est limitée par la stratégie de chargement de police.
FontType: Memory
FontPath :
Bloqué : False

Note

En mode Audit, le problème est enregistré, mais la police n’est pas bloquée.

Corriger les applications rencontrant des problèmes liés aux polices bloquées

Votre société peut avoir besoin d’utiliser des applications qui rencontrent des problèmes liés aux polices bloqués. Nous vous suggérons de commencer à exécuter cette fonctionnalité en mode Audit pour identifier les polices qui sont à l’origine des problèmes.

Après avoir identifié les polices problématiques, vous pouvez essayer de corriger vos applications de deux manières : en installant directement les polices dans le répertoire %windir%/Fonts ou en excluant les processus sous-jacents et en laissant les polices se charger. Par défaut, nous recommandons vivement l’installation de la police problématique. L’installation des polices est plus sûre que l’exclusion des applications, car les applications exclues peuvent charger toutes les polices, approuvées ou non approuvées.

Corriger vos applications en installant les polices problématiques (recommandé)

Sur chaque ordinateur disposant de l’application, cliquez avec le bouton droit sur le nom de la police, puis cliquez sur Installer. La police doit automatiquement s’installer dans votre répertoire %windir%\Fonts. Si ce n’est pas le cas, vous devez copier manuellement les fichiers de police dans le répertoire Fonts et exécuter l’installation à partir de là.

Corriger vos applications en excluant des processus

1. Sur chaque ordinateur disposant de l’application, ouvrez regedit.exe et accédez à HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<process_image_name>. Par exemple, si vous souhaitez exclure les processus microsoft Word, vous devez utiliser HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.
2. Ajoutez d’autres processus qui doivent être exclus ici, puis activez la fonctionnalité Blocage des polices non approuvées, en suivant les étapes décrites dans Activer et utiliser la fonctionnalité Blocage des polices non approuvées, plus haut dans cet article.