次の方法で共有


企業内で信頼されていないフォントをブロックする

信頼されていないフォント ファイルまたは攻撃者が制御するフォント ファイルから発生する可能性がある攻撃から会社を保護するために、信頼されていないフォントをブロックできます。 この機能を使用して、グラフィックス デバイス インターフェイス (GDI) を使って処理された、信頼されていないフォントを従業員がネットワークに読み込むことを停止するグローバル設定を有効にすることができます。 信頼されていないフォントとは、%windir%\Fonts ディレクトリの外部にインストールされているあらゆるフォントです。 信頼されていないフォントをブロックすると、フォント ファイル解析プロセス中に発生する可能性のある、リモート (Web ベースまたはメール ベース) とローカルの両方の EOP 攻撃を防ぐのに役立ちます。

メリット

信頼されていないフォントのブロックは、フォント処理関連の攻撃からのネットワークと従業員の保護を強化するのに役立ちます。 既定では、この機能はオンになっていません。

この機能の使用方法

この機能を使用するには、次の 3 つの方法があります。

  • オン。 %windir%\Fonts ディレクトリの外部に、GDI を使って処理されたフォントが読み込まれないようにします。 イベント ログの記録も有効になります。

  • 監査。 イベント ログを有効にしますが、場所に関係なくフォントの読み込みをブロックしません。 信頼されていないフォントを使用するアプリの名前が、イベント ログに表示されます。

    この機能を組織に展開する準備ができていない場合は、監査モードで実行して、信頼されていないフォントを読み込まないと使いやすさや互換性の問題が発生するかどうかを確認できます。

  • 信頼されていないフォントを読み込むアプリの除外。 この機能が有効になっている場合でも、特定のアプリを除外して、信頼されていないフォントの読み込みを許可できます。 詳しくは、「ブロックされたフォントのために問題が発生したアプリの修正」をご覧ください。

潜在的な機能低下

この機能を有効にすると、次の場合に従業員の機能が低下する可能性があります。

  • この機能を使用し、スプーラー プロセスが除外されていないリモート プリンター サーバーに印刷ジョブを送信する。 この状況では、サーバーの %windir%/Fonts フォルダーでまだ使用できないフォントは使用されません。
  • インストールされているプリンターのグラフィックス .dll ファイルによって提供されるフォントを使用した印刷。%windir%/Fonts フォルダーの外部。 詳しくは、「プリンター グラフィックス DLL の概要に関するページ」をご覧ください。
  • メモリ ベースのフォントを使用する最初のアプリまたは Microsoft 以外のアプリの使用。
  • Internet Explorer を使って、埋め込みフォントを使用する Web サイトを表示する場合。 この場合は、この機能で埋め込みフォントがブロックされるため、Web サイトで既定のフォントが使用されます。 ただし、すべてのフォントにすべての文字が含まれるわけではないため、Web サイトでは異なる方法でレンダリングされる場合があります。
  • デスクトップの Office を使って、埋め込みフォントを含むドキュメントを表示する場合。 この場合は、Office が選んだ既定のフォントを使って内容が表示されます。

信頼されていないフォントのブロック機能の有効化と使用

この機能を有効化、無効化、または監査モードを使用するには、グループ ポリシーまたはレジストリを使用します。

グループ ポリシーによって信頼されていないフォントのブロック機能を有効化して使用するには

  1. グループ ポリシー エディター (gpedit.msc) を開き、Computer Configuration\Administrative Templates\System\Mitigation Options\Untrusted Font Blocking の設定に移動します。
  2. [ 有効] を 選択して機能を有効にし、次のいずれかの 軽減オプションを選択します。
    • [信頼されていないフォントをブロックしてイベントをログに記録する]。 機能をオンにし、信頼されていないフォントをブロックし、イベント ログへのインストール試行をログに記録します。
    • [信頼されていないフォントをブロックしない]。 機能をオンにしますが、信頼されていないフォントをブロックしたり、イベント ログへのインストールをログに記録したりすることはありません。
    • [信頼されていないフォントをブロックせずにイベントをログに記録する]。 機能をオンにし、ログのインストールはイベント ログに対して試行しますが、信頼されていないフォントはブロックしません。
  3. [OK] を選択します。

レジストリを使用して信頼されていないフォントのブロック機能を有効にして使用するには

この機能を有効または無効にするか、または監査モードで使用するには、次の手順を実行します。

  1. レジストリ エディター (regedit.exe) を開き、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\ に移動します。

  2. MitigationOptions キーが存在しない場合は、右クリックし、新しい QWORD (64-bit) Value を追加して、その名前を MitigationOptions に変更します。

  3. MitigationOptions キーを右選択し、[変更] を選択します。 [QWORD (64 ビット) 値の編集]ボックスが表示されます。

  4. [表記] オプションが [16 進] であることを確認します。次に、[値のデータ] を更新し、下の重要な注意事項のように、既存の値が保持されることを確認します。

    • この機能を有効にするには、1000000000000」と入力します。

    • この機能を無効にするには、2000000000000」と入力します。

    • この機能を使って監査を行うには、3000000000000」と入力します。

      重要

      既存の MitigationOptions 値は、更新中に保存する必要があります。 たとえば、現在の値が 1000 の場合は、更新された値が 1000000001000 となります。

  5. コンピューターを再起動します。

イベント ログの表示

この機能を有効にした後、または監査モードの使用を開始すると、イベント ログで詳細を確認できます。

イベント ログを調べるには

  1. イベント ビューアー (eventvwr.exe) を開き、アプリケーションとサービス ログ/Microsoft/Windows/Win32k/Operational に移動します。
  2. 下へ、EventID: 260 までスクロールし、関連するイベントを確認します。

イベントの例 1 - MS Word

WINWORD.EXE は、フォント読み込みポリシーによって制限されているフォントを読み込もうとします。
FontType: Memory
FontPath:
Blocked: true

FontTypeメモリであるため、関連する FontPath はありません。

イベントの例 2 - Winlogon

Winlogon.exe は、フォント読み込みポリシーによって制限されているフォントを読み込もうとします。
FontType: File
FontPath: \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF
Blocked: true

FontTypeFile であるため、関連する FontPath もあります。

イベントの例 3 - 監査モードで実行されている Internet Explorer

Iexplore.exe は、フォント読み込みポリシーによって制限されているフォントを読み込もうとします。
FontType: Memory
FontPath:
Blocked: false

監査モードでは、問題は記録されますが、フォントはブロックされません。

ブロックされたフォントのために問題が発生したアプリの修正

会社では、フォントがブロックされたために問題が発生しているアプリでも、必要な場合があるため、最初にこの機能を監査モードで実行し、問題の原因であるフォントを特定することをお勧めします。

問題のあるフォントを特定したら、%windir%/Fonts ディレクトリにフォントを直接インストールするか、基になるプロセスを除外してフォントを読み込むという 2 つの方法でアプリを修正できます。 既定のソリューションとして、問題があるフォントをインストールすることをお勧めします。 除外されたアプリは、信頼されているかどうかにかかわらず、すべてのフォントを読み込むことができるため、アプリを除外するより、フォントをインストールする方が安全です。

問題があるフォントをインストールしてアプリを修正するには (推奨)

アプリがインストールされている各コンピューターで、フォント名を右クリックし、[インストール] を選択 します。 フォントが自動的に %windir%\Fonts ディレクトリにインストールされます。 そうでない場合は、フォント ファイルを Fonts ディレクトリに 手動でコピーし、そこからインストールを実行する必要があります。

プロセスを除外してアプリを修正するには

  1. アプリがインストールされている各コンピューターで、regedit.exe を開き、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<process_image_name> に移動します。 たとえば、Microsoft Word プロセスを除外する場合は、 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exeを使用します。
  2. ここでは除外する必要がある他のプロセスを追加し、この記事の「信頼されていないフォントのブロック機能を 有効にして使用する」の手順を使用して、信頼されていないフォントのブロック機能を有効にします。