Blokir font yang tidak dipercaya untuk menjaga keamanan Jaringan di Windows 10

Font tampak tidak bersalah saat berada di komputer. Sebagian besar waktu, kita bahkan tidak memperhatikan font di halaman web kecuali ketika mereka terlalu keras pada mata. Tetapi font yang tidak dipercaya pada halaman web dapat disalahgunakan oleh peretas untuk menyusupi jaringan Anda. Posting ini menjelaskan cara memblokir font yang tidak dipercaya di Windows 10 .

Saat bekerja secara lokal, hampir semua font yang kita gunakan, berasal dari folder % windir% / fonts. Artinya, font diinstal ke folder font Windows ketika Windows atau aplikasi lain diinstal. Ini adalah font tepercaya dan tidak menimbulkan ancaman apa pun. Ketika kita menemukan font tersebut di halaman web, mereka dimuat dari folder font lokal.

Tapi ketika font di halaman web tidak ada di komputer kita - yaitu, folder font lokal - salinan font yang dimuat ke kami memori komputer, dan itu adalah ketika seorang cybercriminal dapat memperoleh akses ke jaringan Anda.

Bahaya font tidak terpercaya

Ketika halaman web menggunakan font yang sudah ada di folder font lokal, browser mengambil font dari folder lokal untuk merender halaman web. Karena font di folder font lokal diteliti oleh program antivirus ketika diinstal, mereka tidak menimbulkan ancaman.

Ketika sebuah situs web atau halaman web menggunakan font yang tidak ada di direktori atau folder font lokal, browser akan membutuhkan "peningkatan hak istimewa ”untuk memuat salinan font ke dalam memori lokal dengan mengunduhnya ke komputer. Unduhan sederhana tidak banyak masalah karena paket antimalware akan mendeteksi jika font mengandung malware apa pun. Tidak ada ancaman malware dengan font seperti itu. Masalahnya adalah "hak istimewa yang ditinggikan" yang dapat ditemukan dan dieksploitasi oleh penjahat dunia maya. Jika mereka mengendalikan browser dalam situasi seperti itu, mereka mampu melakukan banyak kerusakan tidak hanya pada komputer tetapi juga ke jaringan secara keseluruhan.

Metode terbaik adalah menghindari peramban menggunakan "hak istimewa tinggi", dan itu dapat dilakukan di Windows 10 dengan memblokir font yang tidak ada di folder lokal. Dalam kasus seperti itu, situs web akan diberikan dengan mengganti font situs web yang tidak dipercaya dengan font tepercaya i folder lokal. Ini mungkin, bagaimanapun, menyebabkan halaman web untuk membuat tidak benar dan menciptakan masalah saat mencetak.

Tiga negara tersedia untuk font yang tidak terpercaya di Windows 10

Ada tiga opsi yang tersedia untuk Anda ketika datang ke font yang tidak dipercaya di Windows 10. Mereka adalah:

1. Blokir font
2. Mode audit: Anda sebenarnya tidak memblokir font, tetapi Anda menyimpan log yang menunjukkan apakah font yang tidak tepercaya dimuat dan jika ya, situs web dan aplikasi mana yang menggunakannya
3. Pengecualian aplikasi: Anda dapat memasukkan beberapa aplikasi ke dalam daftar putih di Windows 10 untuk menggunakan font yang tidak tepercaya jika Anda pikir itu tidak akan menjadi masalah; Misalnya, jika Anda memasukkan aplikasi Word ke dalam daftar putih, Anda dapat menggunakan fon pihak ketiga yang berasal dari Internet meskipun Anda telah memblokir font yang tidak tepercaya

Metode terbaik, menurut saya, karena jumlah opsi terbatas, adalah memblokir semua tidak tepercaya font dan daftar putih hanya aplikasi yang kurang mengancam melalui unduhan font ke memori lokal. Dibandingkan dengan browser, aplikasi seperti Microsoft Word, Excel, dll. Menimbulkan lebih sedikit ancaman ketika font diunduh, anti-malware Anda terpicu, dan jika menemukan sesuatu yang tidak pantas, itu akan memberi Anda pesan atau memblokir font yang diunduh.. Browser, di sisi lain, adalah arsitektur yang kompleks (mengandalkan rendering engine dan prosesor, dll) sehingga bahkan jika antimalware memblokir font dalam memori, penjahat cyber mungkin masih dapat mengendalikan mesin dengan mudah. ​​

Blokir Font yang tidak dipercaya dalam Enterprise

Menggunakan Peninjau Suntingan Registri

Untuk memblokir font yang tidak dipercaya di Windows 10 dan ke daftar putih aplikasi yang dapat menggunakan font tidak tepercaya, Anda harus menggunakan Windows Registry Editor. Sampai sekarang, tidak ada antarmuka pengguna grafis yang membuatnya lebih mudah bagi admin. Berikut ini menjelaskan cara memblokir font yang tidak dipercaya di Windows 10.

1. 1. Tekan WinKey + R dan dalam dialog Run yang muncul, ketik regedit dan tekan tombol Enter

• Navigasikan ke HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager Kernel
• Cari entri bernama MitigasiOptions . Jika tidak ada, buat entri QWORD 64 bit dan beri nama MitigationOptions
• Sudah ada nilai untuk entri QWORD yang kita buat; copy paste nilai-nilai berikut untuk SEBELUM nilainya sehingga nilainya ada di dalam menuju akhir nilai yang kita tempelkan.
• Untuk matikan font yang tidak dipercaya , masukkan 1000000000000 . Untuk menjalankan mode audit , masukkan 3000000000000 . Untuk matikan , masukkan 2000000000000 . Sebagai contoh, jika ada nilai 1000 yang sudah ada di QWORD yang kita buat, seharusnya terlihat 30000000000001000
• Tutup registry editor, simpan pekerjaan di aplikasi lain yang mungkin terbuka dan reboot komputer.

Seperti disebutkan sebelumnya, mungkin ada masalah saat melihat situs web atau mencetak saat Anda menonaktifkan font yang tidak tepercaya. Untuk menyiasati itu, disarankan agar Anda mengunduh dan menginstal font secara manual ke folder% windir% / fonts. Itu akan membuatnya lebih aman untuk menelusuri situs web menggunakan font itu. Meskipun Anda dapat mengecualikan atau memasukkan aplikasi ke daftar putih, itu harus dilakukan hanya jika Anda dapat menginstal font untuk beberapa alasan.

Menggunakan Editor Kebijakan Grup

Jika Anda menggunakan Windows 10 Enterprise dan Windows 10 Pro edisi, Anda dapat menggunakan Editor Grup Kebijakan Lokal.

Jalankan gpedit.msc untuk membuka Editor Kebijakan Grup Lokal dan arahkan ke pengaturan berikut:

Konfigurasi Komputer> Template Administratif> Sistem> Opsi Mitigasi.

Di panel kanan, Anda akan melihat Pemblokiran Huruf Tidak Tepercaya . Pilih Diaktifkan dan kemudian pilih Blokir huruf tidak dipercaya dan log peristiwa dari menu drop-down.

Fitur keamanan ini menyediakan pengaturan global untuk mencegah program memuat font yang tidak dipercaya. Font tidak terpercaya adalah font yang dipasang di luar direktori% windir% Fonts. Fitur ini dapat dikonfigurasi untuk berada dalam 3 mode: Aktif, Nonaktif, dan Audit. Secara default, Off dan tidak ada font yang diblokir. Jika Anda tidak cukup siap untuk menggunakan fitur ini ke dalam organisasi Anda, Anda dapat menjalankannya dalam mode Audit untuk melihat apakah memblokir font yang tidak dipercaya menyebabkan masalah kegunaan atau kompatibilitas apa pun.

CATATAN : Pengaturan kebijakan ini dapat membuat Ikon Anda & Font hilang di IE11.

Menggunakan EMET 5.5 dan yang lebih baru

Enhanced Mitigation Experience Toolkit sekarang memungkinkan Anda memblokir font yang tidak tepercaya.

Cara melihat log aplikasi yang mengakses font yang tidak tepercaya

Jika Anda memilih metode audit, Anda akan menemukan bahwa tidak ada font yang tidak tepercaya yang diblokir. Sebagai gantinya, log akan dibuat yang dapat Anda gunakan untuk melihat aplikasi mana yang mengakses jenis font yang tidak dipercaya dan di mana, kapan, dll. Detail. Untuk melihat log, buka Windows Event Viewer. Buka Log Aplikasi dan Layanan / Microsoft / Windows / Win32k / Operasional.

Di bawah EventID: 260, Anda akan menemukan semua entri log yang terkait dengan akses font yang tidak tepercaya oleh berbagai browser dan aplikasi selama runtime dari komputer lokal. Contoh dari event log adalah sebagai berikut:

WINWORD.EXE berusaha memuat font yang dibatasi oleh kebijakan pemuatan font.

FontType: Memory

FontPath:

Diblokir: true

Ini jenis entri akan ditampilkan ketika Anda benar-benar memblokir font yang tidak tepercaya dari memuat di komputer lokal. Ini juga menunjukkan bahwa unduhan font tidak tepercaya terjadi tetapi diblokir oleh kebijakan yang Anda buat menggunakan Windows Registry Editor.

Contoh lain bisa:

Iexplore.exe berusaha memuat font yang dibatasi oleh kebijakan pemuatan font.

FontType: Memory

FontPath:

Diblokir: false

Dalam kasus di atas, font yang tidak dipercaya tidak diblokir seperti yang ditunjukkan oleh entri. Ini juga menunjukkan bahwa browser mencoba mengunduh font ke memori lokal dan digunakan.

Di atas menjelaskan font yang tidak dipercaya, bahaya yang ditimbulkan oleh font yang tidak dipercaya dan akhirnya, cara memblokir font yang tidak dipercaya di Windows 10. Jika Anda memiliki keraguan atau apa pun untuk ditambahkan, silakan komentar.

Sumber: TechNet.