Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive una nuova funzionalità che blocca i tipi di carattere non attendibili per Windows 10 Technical Preview. Prima di usare la funzionalità, è possibile visualizzare l'introduzione delle funzionalità e la potenziale riduzione delle funzionalità. Seguire quindi la procedura per configurare la funzionalità.
Si applica a: Windows 10 - tutte le edizioni
Numero KB originale: 3053676
Funzionalità di blocco dei tipi di carattere non attendibili
Poiché i tipi di carattere usano strutture di dati complesse e possono essere incorporati in pagine Web e documenti, possono essere vulnerabili agli attacchi di elevazione dei privilegi (EOP). Gli attacchi EOP indicano che un hacker malintenzionato può accedere in remoto al computer di un utente quando gli utenti condividono file o navigano sul Web. Per rafforzare la sicurezza contro questi attacchi, è stata creata una funzionalità per bloccare i tipi di carattere non attendibili. Usando questa funzionalità, è possibile attivare un'impostazione globale che impedisce agli utenti di caricare tipi di carattere non attendibili elaborati da Graphics Device Interface (GDI). I tipi di carattere non attendibili sono tipi di carattere installati all'esterno della %windir%/Fonts
directory. La funzionalità di blocco dei tipi di carattere non attendibili consente di arrestare gli attacchi EOP remoti (basati sul Web o basati su posta elettronica) che possono verificarsi durante il processo di analisi dei file di tipo di carattere.
Funzionamento di questa funzionalità
Esistono tre modi per usare questa funzionalità:
Attivato. Consente di arrestare il caricamento di qualsiasi tipo di carattere elaborato tramite GDI e viene installato all'esterno della
%windir/Fonts%
directory. Attiva anche la registrazione degli eventi.Controllo. Attiva la registrazione eventi, ma non impedisce il caricamento dei tipi di carattere, indipendentemente dalla posizione. I nomi delle applicazioni che usano tipi di carattere non attendibili vengono visualizzati nel registro eventi.
Note
Se non si è pronti a distribuire questa funzionalità nell'organizzazione, è possibile eseguirla in modalità di controllo per verificare se il caricamento di tipi di carattere non attendibili causa problemi di usabilità o compatibilità.
Escludere le app per caricare i tipi di carattere non attendibili. È possibile escludere applicazioni specifiche. Consente loro di caricare tipi di carattere non attendibili, anche quando la funzionalità è attivata.
Potenziali riduzioni delle funzionalità
Dopo aver attivato questa funzionalità, gli utenti potrebbero riscontrare una riduzione delle funzionalità nelle situazioni seguenti:
Invio di un processo di stampa a un server di stampante condiviso che utilizza questa funzionalità e in cui il processo di spooler non è stato escluso. In questo caso, tutti i tipi di carattere non già disponibili nella cartella del
%windir%/Fonts
server non verranno utilizzati.Stampa utilizzando i tipi di carattere forniti dal file grafico della stampante installata .dll, all'esterno della
%windir%/Fonts
cartella. Per altre informazioni, vedere Introduzione alle DLL della grafica della stampante.Uso di app di prima o di terze parti che usano tipi di carattere basati sulla memoria.
Uso di Internet Explorer per visualizzare i siti Web che usano tipi di carattere incorporati. In questo caso, la funzionalità blocca il tipo di carattere incorporato, causando l'uso di un tipo di carattere predefinito per il sito Web. Tuttavia, non tutti i tipi di carattere hanno tutti i caratteri, quindi il sito Web potrebbe eseguire il rendering in modo diverso.
Uso di Office desktop per visualizzare i documenti con tipi di carattere incorporati. In questo caso, il contenuto viene visualizzato utilizzando un tipo di carattere predefinito selezionato da Office.
Come attivare e usare la funzionalità
Per attivare, disattivare o usare la modalità di controllo, utilizzare uno dei metodi seguenti.
Usare Criteri di gruppo
- Aprire Editor Criteri di gruppo locali.
- In Criteri computer locali espandere Configurazione computer, modelli amministrativi, sistemae quindi fare clic su Opzioni di mitigazione.
- Nell'impostazione Blocco carattere non attendibile è possibile visualizzare le opzioni seguenti:
- Bloccare i tipi di carattere e gli eventi di log non attendibili
- Non bloccare i tipi di carattere non attendibili
- Registrare gli eventi senza bloccare i tipi di carattere non attendibili
Usare l'Editor del Registro di sistema
Aprire l'editor del Registro di sistema (regedit.exe) e passare alla seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\
Se la chiave MitigationOptions non è presente, fare clic con il pulsante destro del mouse e aggiungere un nuovo valore QWORD (64 bit), assegnandogli il nome MitigationOptions.
Aggiornare i dati valore della chiave MitigationOptions e assicurarsi di mantenere il valore esistente, come la nota importante seguente:
- Per attivare questa funzionalità, digitare 10000000000000.
- Per disattivare questa funzionalità, digitare 200000000000000.
- Per controllare con questa funzionalità, digitare 30000000000000.
Importante
I valori di MitigationOptions esistenti devono essere salvati durante l'aggiornamento. Ad esempio, se il valore corrente è 1000, il valore aggiornato deve essere 1000000001000.
Riavviare il computer.
Visualizzare il registro eventi
Dopo aver attivato questa funzionalità o aver iniziato a usare la modalità di controllo, è possibile controllare i registri eventi per ottenere informazioni dettagliate.
Controllare il registro eventi
Aprire il Visualizzatore eventi (eventvwr.exe) e passare al percorso seguente:
Registri applicazioni e servizi/Microsoft/Windows/Win32k/Operational
Scorrere verso il basso fino a EventID: 260 ed esaminare gli eventi pertinenti.
Esempio di evento 1 - Microsoft Word
Note
Poiché FontType è Memory, non è associato FontPath.
Esempio di evento 2 - Winlogon
Note
Poiché FontType è File, è presente anche un FontPath associato.
Esempio di evento 3 - Internet Explorer in esecuzione in modalità di controllo
Note
In modalità di controllo, il problema viene registrato, ma il tipo di carattere non è bloccato.
Risolvere i problemi relativi alle app a causa di tipi di carattere bloccati
Gli utenti potrebbero avere ancora bisogno di app che presentano problemi a causa di tipi di carattere bloccati, pertanto è consigliabile eseguire questa funzionalità in modalità di controllo per determinare quali tipi di carattere causano i problemi. Dopo aver scoperto i tipi di carattere problematici, è possibile provare a correggere le app in uno dei due modi seguenti: installando direttamente i tipi di carattere nella directory %windir%/Fonts o escludendo i processi sottostanti e consentendo il caricamento dei tipi di carattere. Come soluzione predefinita, è consigliabile installare il tipo di carattere problematico. L'installazione dei tipi di carattere è più sicura rispetto all'esclusione di app perché le app escluse possono caricare qualsiasi tipo di carattere, attendibile o non attendibile.
Correggere le app installando i tipi di carattere problematici (scelta consigliata)
In ogni computer in cui è installata l'app fare clic con il pulsante destro del mouse sul nome del tipo di carattere e quindi scegliere Installa.
Il tipo di carattere deve essere installato automaticamente nella %windir%/Fonts
directory. In caso contrario, è necessario copiare manualmente i file di carattere nella directory Fonts ed eseguire l'installazione da questa posizione.
Correggere le app escludendo i processi
In ogni computer in cui è installata l'app aprire Editor del Registro di sistema e passare alla seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>
Ad esempio, se si desidera escludere i processi di Microsoft Word, utilizzare
HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe
.Se la chiave MitigationOptions non è presente, fare clic con il pulsante destro del mouse e aggiungere un nuovo valore QWORD (64 bit), assegnandogli il nome MitigationOptions.
Aggiungere il valore per l'impostazione desiderata per il processo:
- Per attivare questa funzionalità, digitare 10000000000000.
- Per disattivare questa funzionalità, digitare 200000000000000.
- Per controllare con questa funzionalità, digitare 30000000000000.
Importante
I valori di MitigationOptions esistenti devono essere salvati durante l'aggiornamento. Ad esempio, se il valore corrente è 1000, il valore aggiornato deve essere 1000000001000.
Aggiungere eventuali processi aggiuntivi che devono essere esclusi e quindi attivare il blocco dei tipi di carattere usando i passaggi forniti nella sezione Correggere le app escludendo i processi .