엔터프라이즈에서 신뢰할 수 없는 글꼴 차단

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

신뢰할 수 없거나 공격자가 제어하는 글꼴 파일에서 발생할 수 있는 공격으로부터 회사를 보호하기 위해 신뢰할 수 없는 글꼴 차단 기능을 만들었습니다. 이 기능을 사용하면 직원이 GDI(그래픽 장치 인터페이스)를 사용하여 처리된 신뢰할 수 없는 글꼴을 네트워크로 로드할 수 없도록 하는 전역 설정을 켤 수 있습니다. 신뢰할 수 없는 글꼴은 %windir%\Fonts 디렉터리 외부에 설치된 모든 글꼴입니다. 신뢰할 수 없는 글꼴을 차단하면 글꼴 파일 구문 분석 프로세스 중에 발생할 수 있는 원격(웹 기반 또는 메일 기반) 및 로컬 EOP 공격을 모두 방지할 수 있습니다.

고객에게 미치는 영향

신뢰할 수 없는 글꼴을 차단하면 글꼴 처리 관련 공격으로부터 네트워크 및 직원을 보호하는 기능을 향상시킬 수 있습니다. 기본적으로 이 기능은 켜져 있지 않습니다.

이 기능은 어떻게 작동하나요?

이 기능을 사용하는 방법에는 세 가지가 있습니다.

• 켜기. GDI를 사용하여 처리된 모든 글꼴이 %windir%\Fonts 디렉터리 외부에서 로드되는 것을 방지할 수 있습니다. 이벤트 로깅도 켭니다.

• 감사. 이벤트 로깅을 켜지만 위치에 관계없이 글꼴의 로드를 차단하지는 않습니다. 신뢰할 수 없는 글꼴을 사용하는 앱의 이름이 이벤트 로그에 표시됩니다.

  참고

  이 기능을 organization 배포할 준비가 되지 않은 경우 감사 모드에서 실행하여 신뢰할 수 없는 글꼴을 로드하지 않으면 유용성 또는 호환성 문제가 발생하는지 확인할 수 있습니다.

• 신뢰할 수 없는 글꼴을 로드하는 앱 제외. 이 기능이 켜져 있는 동안에도 특정 앱을 제외하여 신뢰할 수 없는 글꼴을 로드하도록 허용할 수 있습니다. 자세한 지침은 차단된 글꼴로 인해 문제가 발생하는 앱 수정을 참조하세요.

잠재적인 기능 제한

이 기능을 켜면 다음과 같은 경우 직원이 기능이 저하될 수 있습니다.

• 이 기능을 사용하고 스풀러 프로세스가 제외되지 않은 원격 프린터 서버에 인쇄 작업을 보냅니다. 이 경우 서버의 %windir%/Fonts 폴더에서 아직 사용할 수 없는 글꼴은 사용되지 않습니다.
• %windir%/Fonts 폴더 외부에 설치된 프린터의 그래픽 .dll 파일에서 제공하는 글꼴을 사용하여 인쇄합니다. 자세한 내용은 프린터 그래픽 DLL 소개(영문)를 참조하세요.
• 메모리 기반 글꼴을 사용하는 첫 번째 또는 비 Microsoft 앱 사용.
• Internet Explorer를 사용하여 포함된 글꼴을 사용하는 웹 사이트를 보는 경우. 이런 경우 포함된 글꼴을 차단하여 웹 사이트에서 기본 글꼴을 사용하도록 합니다. 그러나 일부 글꼴에 일부 문자가 없을 수 있으므로 웹 사이트가 다르게 렌더링될 수 있습니다.
• 데스크톱 Office를 사용하여 포함된 글꼴이 사용된 문서를 보는 경우. 이런 경우 Office에서 선택한 기본 글꼴을 사용하여 콘텐츠가 표시됩니다.

신뢰할 수 없는 글꼴 차단 기능 켜기 및 사용

이 기능을 사용, 사용 해제, 또는 감사 모드를 사용하려면 그룹 정책 또는 레지스트리를 사용합니다.

그룹 정책을 통해 신뢰할 수 없는 글꼴 차단 기능을 켜고 사용하려면

1. 그룹 정책 편집기(gpedit.msc)를 열고 Computer Configuration\Administrative Templates\System\Mitigation Options\Untrusted Font Blocking로 이동합니다.
2. 사용을 클릭하여 기능을 켜고 다음 완화 옵션 중 하나를 클릭합니다.
   • 신뢰할 수 없는 글꼴 및 로그 이벤트를 차단합니다. 이 기능을 켜서 신뢰할 수 없는 글꼴을 차단하고 이벤트 로그에 대한 설치 시도를 로깅합니다.
   • 신뢰할 수 없는 글꼴 차단하지 않습니다. 기능을 켜지만 신뢰할 수 없는 글꼴을 차단하지 않으며 이벤트 로그에 설치 시도를 기록하지 않습니다.
   • 신뢰할 수 없는 글꼴을 차단하지 않고 이벤트 기록. 기능을 켜고, 로깅 설치는 이벤트 로그에 시도하지만 신뢰할 수 없는 글꼴은 차단하지 않습니다.
3. 확인을 클릭합니다.

레지스트리를 통해 신뢰할 수 없는 글꼴 차단 기능을 켜고 사용하려면

이 기능을 켜고 끄거나 감사 모드를 사용하려면:

1. 레지스트리 편집기(regedit.exe)를 열고 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\로 이동합니다.

2. MitigationOptions 키가 없는 경우 마우스 오른쪽 단추를 클릭하고 새 QWORD(64비트) 값을 추가하여 MitigationOptions로 이름을 바꿉니다.

3. MitigationOptions 키를 마우스 오른쪽 단추로 클릭한 다음 수정을 클릭합니다. QWORD(64 비트) 값 편집 상자가 열립니다.

4. 기본 옵션이 Hexadecimal인지 확인한 다음 값 데이터를 업데이트하여 아래의 중요 정보에서처럼 기존 값을 유지합니다.

   • 이 기능 켜기. 1000000000000을 입력합니다.

   • 이 기능 끄기. 2000000000000을 입력합니다.

   • 이 기능으로 감사. 3000000000000을 입력합니다.

     중요

     기존 MitigationOptions 값은 업데이트하는 동안 저장해야 합니다. 예를 들어 현재 값이 1000인 경우 업데이트된 값은 1000000001000이어야 합니다.

5. 컴퓨터를 다시 시작합니다.

이벤트 로그 보기

이 기능을 켜거나 감사 모드 사용을 시작한 후 이벤트 로그에서 자세한 내용을 확인할 수 있습니다.

이벤트 로그를 보려면

1. 이벤트 뷰어(eventvwr.exe)를 열고 응용 프로그램 및 서비스 로그/Microsoft/Windows/Win32k/Operational로 이동합니다.
2. EventID: 260까지 아래로 스크롤하여 관련 이벤트를 검토합니다.

이벤트 예제 1 - MS Word

WINWORD.EXE에서 글꼴 로드 정책에 따라 제한된 글꼴을 로드하려고 했습니다.
FontType: Memory
FontPath:
Blocked: true

참고

FontType은 메모리이므로 연결된 FontPath가 없습니다.

이벤트 예제 2 - Winlogon

Winlogon.exe에서 글꼴 로드 정책에 따라 제한된 글꼴을 로드하려고 했습니다.
FontType: File
FontPath: \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF
Blocked: true

참고

FontType은 File이므로 연결된 FontPath도 있습니다.

이벤트 예제 3 - 감사 모드에서 실행되는 Internet Explorer

Iexplore.exe에서 글꼴 로드 정책에 따라 제한된 글꼴을 로드하려고 했습니다.
FontType: Memory
FontPath:
Blocked: false

참고

감사 모드에서는 문제가 기록되지만 글꼴은 차단되지 않습니다.

차단된 글꼴로 인해 문제가 발생하는 앱 수정

회사에서는 차단된 글꼴로 인해 문제가 발생하는 앱이 계속 필요할 수 있으므로 먼저 감사 모드로 이 기능을 실행하여 문제의 원인이 되는 글꼴을 확인하는 것이 좋습니다.

문제가 있는 글꼴을 파악한 후에는 %windir%/Fonts 디렉터리에 글꼴을 직접 설치하거나 기본 프로세스를 제외하고 글꼴을 로드하는 두 가지 방법으로 앱을 수정할 수 있습니다. 기본 솔루션으로 문제가 있는 글꼴을 설치하는 것이 좋습니다. 제외된 앱에서 신뢰할 수 있는 글꼴이나 신뢰할 수 없는 글꼴을 모두 로드할 수 있으므로 앱을 제외하는 것보다 글꼴을 설치하는 것이 더 안전합니다.

문제가 있는 글꼴을 설치하여 앱을 수정하려면(권장)

앱이 설치된 각 컴퓨터에서 글꼴 이름을 마우스 오른쪽 단추로 클릭하고 설치를 클릭합니다. 글꼴이 %windir%\Fonts 디렉터리에 자동으로 설치되어야 합니다. 그렇지 않은 경우 글꼴 파일을 Fonts 디렉터리에 수동으로 복사하고 여기에서 설치를 실행해야 합니다.

프로세스를 제외하여 앱을 수정하려면

1. 앱이 설치된 각 컴퓨터에서 regedit.exe를 열고 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<process_image_name>으로 이동합니다. 예를 들어 Microsoft Word 프로세스를 제외하려면 를 사용합니다HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.
2. 여기에서 제외해야 하는 다른 프로세스를 추가한 다음, 이 문서 앞부분에 있는 신뢰할 수 없는 글꼴 차단 기능 켜기 및 사용의 단계를 사용하여 신뢰할 수 없는 글꼴 차단 기능을 켭니다.