Microsoft спокійно перемістив шрифт для використання в AppContainer у ювілейному оновленні

В травні минулого року Петрі, Я писав про функцію безпеки в Windows 10 що дозволяє блокувати ненадійні шрифти. Швидкий перехід в рік і новина про зміну в Windows 10 Оновлення ювілею зробило це налаштування менш корисним, оскільки корпорація Майкрософт рекомендувала не вмикати його.

В цьому Попросіть адміністратора, Я поясню зміни та чому ви, напевно, не повинні вмикати недовіру блокування шрифтів у групі політики.

Windows 10 містить функцію захисту, яка дозволяє системним адміністраторам запобігати завантаженню шрифтів, не розташованих у надійному % windir% / шрифти каталог Це має допомогти запобігти віддаленій локальній і локальній ескалації привілеїв, які можуть виникнути, коли Windows використовує інтерфейси графічного інтерфейсу (GDI) для завантаження та відтворення шрифтів. Існує три рівні експлуатації: On, Аудит, і Виключення додатків для завантаження ненадійних шрифтів. Однак, дозволяючи Недовірна блокування шрифтів Налаштування поставляються з деякими недоліками, у тому числі причиною створення сайтів в Internet Explorer, які використовують вбудовані шрифти, щоб повернутися до використання шрифту за умовчанням. Для отримання додаткової інформації про Недовірна блокування шрифтів налаштування, див Windows 10 Порада: Заблокуйте ненадійні шрифти on Петрі.

повне г, повне г,, показали, від, номер, XNUMX Windows 10 Оновлення ювілею включало в себе новий пом'якшувальний шрифт GDI. Хоча корпорація Майкрософт лише через шість місяців опублікувала інформацію про нього на своєму сайті. Через те, що блокування шрифтів GDI викликало стільки проблем для користувачів, Microsoft потребувала більш ефективного обходу. Починаючи з ювілейного оновлення, розбір шрифтів GDI переноситься з режиму ядра на пісочний користувальницький режим AppContainer, який не має можливостей, що є мінімумом привілеїв під системним віртуальним обліковим записом. Варто зазначити, що не всі шрифти відтворюються за допомогою API GDI. Наприклад, Microsoft Edge використовує механізм відтворення шрифтів DirectWrite для користувача.

Використання AppContainer для аналізу шрифтів GDI призвело до того, що корпорація Майкрософт змінить свою попередню рекомендацію, щоб увімкнути недовіру блокування шрифтів. Він вважає, що новий процес аналізу має прийнятно низький ризик. Незважаючи на те, що ця зміна була введена в ювілейну оновлення, Microsoft зараз змінює лише рекомендовані налаштування для Недовірна блокування шрифтів в налаштуваннях базової лінії безпеки для Оновлення розробників.

Зрозуміло, що новий спосіб пом'якшення нападів на аналізатор шрифтів GDI - це компроміс між безпекою та зручністю використання, однак несприятливі наслідки створення параметрів блокування недовіри шрифтів є надто руйнівними для всіх, окрім найвищих середовищ безпеки. Я рекомендую вам приймати пораду Майкрософт і залишити параметр «Безпечне блокування шрифтів» вимкнено, якщо у вас немає вагомих підстав вважати, що ваша організація підвищує ризик жертви вразливостей, які можуть існувати.

У цій статті я пояснив зміни в розборі шрифтів GDI у форматі Windows 10 Оновлення ювілею та чому корпорація Майкрософт більше не рекомендує організації дозволяють блокувати ненадійний шрифт.

Повідомлення Microsoft спокійно перемістив шрифт для використання в AppContainer у ювілейному оновленні вперше з'явився на Петрі.

залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.