次の方法で共有

Windows 10 Technical Preview では、信頼されていないフォントをブロックする機能が追加されます

  • [アーティクル]

この記事では、Windows 10 Technical Preview の信頼されていないフォントをブロックする新機能について説明します。 この機能を使用する前に、 機能の概要 および機能の の削減 セクションをご覧ください。 次に、 機能を構成する手順について説明します

適用対象: Windows 10 - すべてのエディション
元の KB 番号: 3053676

信頼されていないフォントのブロック機能

フォントは複雑なデータ構造を使用し、Web ページやドキュメントに埋め込むことができるため、特権の昇格 (EOP) 攻撃に対して脆弱になる可能性があります。 EOP 攻撃は、悪意のあるハッカーが、ユーザーがファイルを共有したり、Web を閲覧したりしたときに、ユーザーのコンピューターにリモートでアクセスできることを意味します。 これらの攻撃に対するセキュリティを強化するために、信頼されていないフォントをブロックする機能を作成しました。 この機能を使用すると、グラフィックス デバイス インターフェイス (GDI) によって処理される信頼されていないフォントの読み込みをユーザーが停止するグローバル設定を有効にすることができます。 信頼されていないフォントとは、 %windir%/Fonts ディレクトリの外部にインストールされているフォントです。 信頼されていないフォントをブロックする機能は、フォント ファイルの解析プロセス中に発生する可能性があるリモート (Web ベースまたは電子メール ベース) とローカル EOP 攻撃の両方を停止するのに役立ちます。

この機能のしくみ

この機能を使用するには、次の 3 つの方法があります。

  • オン。 GDI を使用して処理され、 %windir/Fonts% ディレクトリの外部にインストールされているフォントが読み込まれるのを停止するのに役立ちます。 また、イベント ログも有効になります。

  • 監査。 イベント ログを有効にしますが、場所に関係なく、フォントの読み込みをブロックしません。 信頼されていないフォントを使用するアプリケーションの名前は、イベント ログに表示されます。

    Note

    組織でこの機能を展開する準備ができていない場合は、監査モードで実行して、信頼されていないフォントを読み込まないと使いやすさや互換性の問題が発生するかどうかを確認できます。

  • 信頼されていないフォントを読み込むアプリを除外します。 特定のアプリケーションを除外できます。 機能が有効になっている場合でも、信頼されていないフォントを読み込むことができます。

機能の潜在的な削減

この機能を有効にすると、ユーザーは次の状況で機能が低下する可能性があります。

  • この機能を使用し、スプーラー プロセスが除外されていない共有プリンター サーバーに印刷ジョブを送信する。 この状況では、サーバーの %windir%/Fonts フォルダーでまだ使用できないフォントは使用されません。

  • インストールされているプリンターのグラフィックス .dll ファイルによって提供されるフォントを使用して、 %windir%/Fonts フォルダーの外側に印刷します。 詳細については、「 プリンター グラフィックス DLL への導入」を参照してください。

  • メモリベースのフォントを使用するファースト パーティまたはサード パーティ製アプリの使用。

  • Internet Explorer を使用して埋め込みフォントを使用する Web サイトを表示する。 この状況では、この機能によって埋め込みフォントがブロックされ、Web サイトで既定のフォントが使用されます。 ただし、すべてのフォントにすべての文字が含まれているわけではないため、Web サイトのレンダリングが異なる場合があります。

  • デスクトップ Office を使用して、フォントが埋め込まれたドキュメントを表示する。 この状況では、Office によって選択された既定のフォントを使用してコンテンツが表示されます。

機能を有効にして使用する方法

この機能をオン、オフ、または監査モードを使用するには、次のいずれかの方法を使用します。

グループ ポリシーを使用する

  1. ローカル グループ ポリシー エディターを開きます。
  2. ローカル コンピューター ポリシーで、Computer 構成を展開し、Administrative Templatesを展開し、System を展開し、Mitigation オプションをクリックします。
  3. [ 信頼されていないフォントのブロック 設定では、次のオプションを確認できます。
    • 信頼されていないフォントとログ イベントをブロックする
    • 信頼されていないフォントをブロックしない
    • 信頼されていないフォントをブロックせずにイベントをログに記録する

レジストリ エディターを使用する

  1. レジストリ エディター (regedit.exe) を開き、次のレジストリ サブキーに移動します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

  2. MitigationOptionsキーが存在しない場合は、右クリックして新しいQWORD (64 ビット) 値を追加し、MitigationOptions という名前を付けます。

  3. MitigationOptions キーのValue データを更新し、次の重要な注意事項のように、既存の値を保持していることを確認します。

    • この機能を有効にするには、「10000000000000」と入力します。
    • この機能をオフにするには、「2000000000000」と入力します。
    • この機能を使用して監査するには、「3000000000000」と入力します。

    重要

    既存の MitigationOptions 値は更新時に保存する必要があります。 たとえば、現在の値が 1000 の場合、更新された値は1000000001000する必要があります。

  4. コンピューターを再起動します。

イベント ログの表示

この機能を有効にするか、監査モードの使用を開始すると、イベント ログで詳細情報を確認できます。

イベント ログを確認する

  1. イベント ビューアー (eventvwr.exe) を開き、次のパスに移動します。

    アプリケーションとサービス ログ/Microsoft/Windows/Win32k/Operational

  2. EventID: 260 まで下にスクロールし、関連するイベントを確認します。

    • イベントの例 1 - Microsoft Word

      Note

      FontType は Memory であるため、関連する FontPath はありません。

    • イベントの例 2 - Winlogon

      Note

      FontType は File であるため、関連する FontPath もあります。

    • イベントの例 3 - 監査モードで実行されている Internet Explorer

      Note

      監査モードでは、問題は記録されますが、フォントはブロックされません。

フォントがブロックされているために問題があるアプリを修正する

フォントがブロックされているために問題のあるアプリがユーザーに必要になる場合があるため、最初に監査モードでこの機能を実行して、問題の原因となっているフォントを特定することをお勧めします。 問題のあるフォントを特定したら、%windir%/Fonts ディレクトリにフォントを直接インストールするか、基になるプロセスを除外してフォントを読み込むという 2 つの方法のいずれかでアプリを修正できます。 既定の解決策として、問題のあるフォントをインストールすることを強くお勧めします。 除外されたアプリは、信頼されているフォントまたは信頼されていないフォントを読み込むことができるため、フォントのインストールはアプリを除外するよりも安全です。

アプリがインストールされている各コンピューターで、フォント名を右クリックし、 Install をクリックします。

フォントは、 %windir%/Fonts ディレクトリに自動的にインストールされます。 そうでない場合は、フォント ファイルを Fonts ディレクトリに手動でコピーし、そこからインストールを実行する必要があります。

プロセスを除外してアプリを修正する

  1. アプリがインストールされている各コンピューターで、レジストリ エディターを開き、次のレジストリ サブキーに移動します。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Process_Image_Name>

    たとえば、Microsoft Word プロセスを除外する場合は、 HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exeを使用します。

  2. MitigationOptionsキーが存在しない場合は、右クリックして新しいQWORD (64 ビット) 値を追加し、MitigationOptions という名前を付けます。

  3. そのプロセスに必要な設定の値を追加します。

    • この機能を有効にするには、「10000000000000」と入力します。
    • この機能をオフにするには、「2000000000000」と入力します。
    • この機能を使用して監査するには、「3000000000000」と入力します。

    重要

    既存の MitigationOptions 値は更新時に保存する必要があります。 たとえば、現在の値が 1000 の場合、更新された値は1000000001000する必要があります。

  4. 除外する必要があるプロセスを追加し、「 プロセスを除外して修正する」セクションで提供されている手順を使用して、フォントブロック 有効にします。