Condividi tramite


Windows 10 Technical Preview aggiunge una funzionalità che blocca i tipi di carattere non attendibili

Questo articolo descrive una nuova funzionalità che blocca i tipi di carattere non attendibili per Windows 10 Technical Preview. Prima di usare la funzionalità, è possibile visualizzare l'introduzione delle funzionalità e la potenziale riduzione delle funzionalità. Seguire quindi la procedura per configurare la funzionalità.

Si applica a: Windows 10 - tutte le edizioni
Numero KB originale: 3053676

Funzionalità di blocco dei tipi di carattere non attendibili

Poiché i tipi di carattere usano strutture di dati complesse e possono essere incorporati in pagine Web e documenti, possono essere vulnerabili agli attacchi di elevazione dei privilegi (EOP). Gli attacchi EOP indicano che un hacker malintenzionato può accedere in remoto al computer di un utente quando gli utenti condividono file o navigano sul Web. Per rafforzare la sicurezza contro questi attacchi, è stata creata una funzionalità per bloccare i tipi di carattere non attendibili. Usando questa funzionalità, è possibile attivare un'impostazione globale che impedisce agli utenti di caricare tipi di carattere non attendibili elaborati da Graphics Device Interface (GDI). I tipi di carattere non attendibili sono tipi di carattere installati all'esterno della %windir%/Fonts directory. La funzionalità di blocco dei tipi di carattere non attendibili consente di arrestare gli attacchi EOP remoti (basati sul Web o basati su posta elettronica) che possono verificarsi durante il processo di analisi dei file di tipo di carattere.

Funzionamento di questa funzionalità

Esistono tre modi per usare questa funzionalità:

  • Attivato. Consente di arrestare il caricamento di qualsiasi tipo di carattere elaborato tramite GDI e viene installato all'esterno della %windir/Fonts% directory. Attiva anche la registrazione degli eventi.

  • Controllo. Attiva la registrazione eventi, ma non impedisce il caricamento dei tipi di carattere, indipendentemente dalla posizione. I nomi delle applicazioni che usano tipi di carattere non attendibili vengono visualizzati nel registro eventi.

    Note

    Se non si è pronti a distribuire questa funzionalità nell'organizzazione, è possibile eseguirla in modalità di controllo per verificare se il caricamento di tipi di carattere non attendibili causa problemi di usabilità o compatibilità.

  • Escludere le app per caricare i tipi di carattere non attendibili. È possibile escludere applicazioni specifiche. Consente loro di caricare tipi di carattere non attendibili, anche quando la funzionalità è attivata.

Potenziali riduzioni delle funzionalità

Dopo aver attivato questa funzionalità, gli utenti potrebbero riscontrare una riduzione delle funzionalità nelle situazioni seguenti:

  • Invio di un processo di stampa a un server di stampante condiviso che utilizza questa funzionalità e in cui il processo di spooler non è stato escluso. In questo caso, tutti i tipi di carattere non già disponibili nella cartella del %windir%/Fonts server non verranno utilizzati.

  • Stampa utilizzando i tipi di carattere forniti dal file grafico della stampante installata .dll, all'esterno della %windir%/Fonts cartella. Per altre informazioni, vedere Introduzione alle DLL della grafica della stampante.

  • Uso di app di prima o di terze parti che usano tipi di carattere basati sulla memoria.

  • Uso di Internet Explorer per visualizzare i siti Web che usano tipi di carattere incorporati. In questo caso, la funzionalità blocca il tipo di carattere incorporato, causando l'uso di un tipo di carattere predefinito per il sito Web. Tuttavia, non tutti i tipi di carattere hanno tutti i caratteri, quindi il sito Web potrebbe eseguire il rendering in modo diverso.

  • Uso di Office desktop per visualizzare i documenti con tipi di carattere incorporati. In questo caso, il contenuto viene visualizzato utilizzando un tipo di carattere predefinito selezionato da Office.

Come attivare e usare la funzionalità

Per attivare, disattivare o usare la modalità di controllo, utilizzare uno dei metodi seguenti.

Usare Criteri di gruppo

  1. Aprire Editor Criteri di gruppo locali.
  2. In Criteri computer locali espandere Configurazione computer, modelli amministrativi, sistemae quindi fare clic su Opzioni di mitigazione.
  3. Nell'impostazione Blocco carattere non attendibile è possibile visualizzare le opzioni seguenti:
    • Bloccare i tipi di carattere e gli eventi di log non attendibili
    • Non bloccare i tipi di carattere non attendibili
    • Registrare gli eventi senza bloccare i tipi di carattere non attendibili

Usare l'Editor del Registro di sistema

  1. Aprire l'editor del Registro di sistema (regedit.exe) e passare alla seguente sottochiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

  2. Se la chiave MitigationOptions non è presente, fare clic con il pulsante destro del mouse e aggiungere un nuovo valore QWORD (64 bit), assegnandogli il nome MitigationOptions.

  3. Aggiornare i dati valore della chiave MitigationOptions e assicurarsi di mantenere il valore esistente, come la nota importante seguente:

    • Per attivare questa funzionalità, digitare 10000000000000.
    • Per disattivare questa funzionalità, digitare 200000000000000.
    • Per controllare con questa funzionalità, digitare 30000000000000.

    Importante

    I valori di MitigationOptions esistenti devono essere salvati durante l'aggiornamento. Ad esempio, se il valore corrente è 1000, il valore aggiornato deve essere 1000000001000.

  4. Riavviare il computer.

Visualizzare il registro eventi

Dopo aver attivato questa funzionalità o aver iniziato a usare la modalità di controllo, è possibile controllare i registri eventi per ottenere informazioni dettagliate.

Controllare il registro eventi

  1. Aprire il Visualizzatore eventi (eventvwr.exe) e passare al percorso seguente:

    Registri applicazioni e servizi/Microsoft/Windows/Win32k/Operational

  2. Scorrere verso il basso fino a EventID: 260 ed esaminare gli eventi pertinenti.

    • Esempio di evento 1 - Microsoft Word

      Note

      Poiché FontType è Memory, non è associato FontPath.

    • Esempio di evento 2 - Winlogon

      Note

      Poiché FontType è File, è presente anche un FontPath associato.

    • Esempio di evento 3 - Internet Explorer in esecuzione in modalità di controllo

      Note

      In modalità di controllo, il problema viene registrato, ma il tipo di carattere non è bloccato.

Risolvere i problemi relativi alle app a causa di tipi di carattere bloccati

Gli utenti potrebbero avere ancora bisogno di app che presentano problemi a causa di tipi di carattere bloccati, pertanto è consigliabile eseguire questa funzionalità in modalità di controllo per determinare quali tipi di carattere causano i problemi. Dopo aver scoperto i tipi di carattere problematici, è possibile provare a correggere le app in uno dei due modi seguenti: installando direttamente i tipi di carattere nella directory %windir%/Fonts o escludendo i processi sottostanti e consentendo il caricamento dei tipi di carattere. Come soluzione predefinita, è consigliabile installare il tipo di carattere problematico. L'installazione dei tipi di carattere è più sicura rispetto all'esclusione di app perché le app escluse possono caricare qualsiasi tipo di carattere, attendibile o non attendibile.

In ogni computer in cui è installata l'app fare clic con il pulsante destro del mouse sul nome del tipo di carattere e quindi scegliere Installa.

Il tipo di carattere deve essere installato automaticamente nella %windir%/Fonts directory. In caso contrario, è necessario copiare manualmente i file di carattere nella directory Fonts ed eseguire l'installazione da questa posizione.

Correggere le app escludendo i processi

  1. In ogni computer in cui è installata l'app aprire Editor del Registro di sistema e passare alla seguente sottochiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>

    Ad esempio, se si desidera escludere i processi di Microsoft Word, utilizzare HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.

  2. Se la chiave MitigationOptions non è presente, fare clic con il pulsante destro del mouse e aggiungere un nuovo valore QWORD (64 bit), assegnandogli il nome MitigationOptions.

  3. Aggiungere il valore per l'impostazione desiderata per il processo:

    • Per attivare questa funzionalità, digitare 10000000000000.
    • Per disattivare questa funzionalità, digitare 200000000000000.
    • Per controllare con questa funzionalità, digitare 30000000000000.

    Importante

    I valori di MitigationOptions esistenti devono essere salvati durante l'aggiornamento. Ad esempio, se il valore corrente è 1000, il valore aggiornato deve essere 1000000001000.

  4. Aggiungere eventuali processi aggiuntivi che devono essere esclusi e quindi attivare il blocco dei tipi di carattere usando i passaggi forniti nella sezione Correggere le app escludendo i processi .