Les polices semblent innocentes lorsqu'elles sont sur l'ordinateur. La plupart du temps, nous ne prêtons même pas attention aux polices des pages Web, sauf lorsqu'elles sont trop dures. Mais polices non fiables sur des pages Web peuvent être utilisées abusivement par des pirates informatiques pour compromettre votre réseau. Cet article explique comment bloquer les polices non fiables dans Windows 10.
En travaillant localement, presque toutes les polices que nous utilisons proviennent de la % windir% / fonts dossier. C'est-à-dire que les polices sont installées dans le dossier des polices Windows lorsque Windows ou toute autre application est installée. Ceux-ci sont polices de confiance et ne pose aucune menace. Lorsque nous rencontrons de telles polices sur des pages Web, elles sont chargées à partir du dossier des polices locales.
Mais lorsque les polices d’une page Web ne sont pas présentes sur notre ordinateur - c’est-à-dire le dossier des polices locales - une copie de cette police est chargée dans la mémoire de notre ordinateur et c’est à ce moment qu’un cybercriminel peut accéder à votre réseau.
Dangers des polices non fiables
Lorsqu'une page Web utilise une police déjà présente dans le dossier des polices locales, le navigateur sélectionne les polices dans le dossier local pour restituer la page Web. Étant donné que les polices du dossier de polices local sont examinées par les programmes antivirus lors de leur installation, elles ne constituent pas une menace.
Lorsqu'un site Web ou une page Web utilise une police qui n'est pas présente dans le répertoire ou le dossier de polices local, les navigateurs auront besoin de «privilèges élevés» pour charger une copie des polices dans la mémoire locale en les téléchargeant sur l'ordinateur. Les téléchargements simples ne posent pas vraiment problème car les packages anti-programme malveillant détectent si les polices contiennent des logiciels malveillants. Il n'y a aucune menace de malware avec de telles polices. Le problème est celui des «privilèges élevés» qui peuvent être trouvés et exploités par les cybercriminels. S'ils prennent le contrôle du navigateur dans une telle situation, ils sont capables de causer beaucoup de tort non seulement à l'ordinateur, mais au réseau dans son ensemble.
La meilleure méthode consiste à éviter aux navigateurs d’utiliser des «privilèges élevés», ce qui peut être fait dans Windows 10 en bloquant les polices qui ne sont pas présentes dans le dossier local. Dans ce cas, le site Web sera rendu en substituant les polices de site Web non approuvées par les polices de confiance dans un dossier local. Cela peut toutefois entraîner un rendu incorrect de la page Web et créer des problèmes lors de l'impression.
Trois états disponibles pour les polices non fiables dans Windows 10
Vous disposez de trois options pour les polices non fiables dans Windows 10. Elles sont les suivantes:
- Bloquer les polices
- Mode audit: vous ne bloquez pas réellement la police, mais vous conservez un journal indiquant si les polices non fiables ont été chargées et, dans l'affirmative, quel site Web et quelle application les ont utilisées.
- Exclusion d’applications: vous pouvez inclure certaines des applications de Windows 10 dans la liste blanche afin d’utiliser des polices non fiables si vous pensez qu'elles ne poseront pas de problème. Par exemple, si vous appliquez la liste blanche de l'application Word, celle-ci peut utiliser des polices tierces provenant d'Internet, même si vous avez bloqué des polices non fiables.
La meilleure méthode, à mon avis, compte tenu du nombre limité d'options, consiste à bloquer toutes les polices non fiables et à ne répertorier dans la liste blanche que les applications qui posent moins de risques en téléchargeant des polices dans la mémoire locale. Comparées aux navigateurs, les applications telles que Microsoft Word, Excel, etc. constituent une menace moins grave car, lorsque les polices sont téléchargées, votre anti-programme malveillant est déclenché. S'il trouve un problème, il vous enverra un message ou bloquera les polices téléchargées.. Les navigateurs, en revanche, constituent une architecture complexe (reposant sur des moteurs de rendu, des processeurs, etc.). Même si le logiciel anti-programme malveillant bloque les polices en mémoire, les cybercriminels peuvent toujours prendre facilement le contrôle de la machine.
Bloquer les polices non approuvées dans une entreprise
Utilisation de l'éditeur de registre
Pour bloquer les polices non approuvées dans Windows 10 et pour ajouter des applications à la liste blanche pouvant utiliser des polices non approuvées, vous devez utiliser l'éditeur de registre Windows. Pour l'instant, il n'y a pas d'interface utilisateur graphique facilitant la tâche des administrateurs. La section suivante explique comment bloquer les polices non fiables dans Windows 10.
presse WinKey + R et dans la boîte de dialogue Exécuter qui apparaît, tapez regedit et appuyez sur la touche Entrée
- Accédez à HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager Kernel.
- Recherchez l'entrée nommée Options d'atténuation. Si ce n'est pas le cas, créez une entrée QWORD de 64 bits et nommez-la MitigationOptions.
- Il y aura déjà une valeur pour l'entrée QWORD que nous avons créée; copier coller les valeurs suivantes dans AVANT la valeur de sorte que la valeur se trouve là vers la fin de la valeur que nous avons collée.
- Pour désactiver les polices non approuvées, entrer 1000000000000. À exécuter le mode audit, entrer 3000000000000. À éteindre, entrer 2000000000000. Par exemple, si la valeur QWORD que nous avons créée contient déjà une valeur de 1000, elle doit ressembler à 30000000000001000.
- Fermez l'éditeur de registre, sauvegardez le travail dans toute autre application ouverte et redémarrez l'ordinateur.
Comme mentionné précédemment, il peut être difficile d’afficher les sites Web ou d’imprimer lorsque vous désactivez les polices non fiables. Pour résoudre ce problème, il est recommandé de télécharger et d'installer la police manuellement dans le dossier% windir% / fonts. Cela rendra plus sûr de naviguer sur le site Web en utilisant cette police. Bien que vous puissiez exclure ou ajouter des applications à la liste blanche, cela ne devrait être fait que si vous pouvez installer les polices pour certaines raisons.
Utilisation de l'éditeur de stratégie de groupe
Si vous utilisez les éditions Windows 10 Enterprise et Windows 10 Pro, vous pouvez utiliser l'éditeur de stratégie de groupe local.
Courir gpedit.msc pour ouvrir l'éditeur de stratégie de groupe local et accéder au paramètre suivant:
Configuration ordinateur> Modèles d'administration> Système> Options d'atténuation.
Dans le volet de droite, vous verrez Blocage de polices non fiables. Sélectionnez Activé puis choisissez Bloquer les polices non approuvées et consigner les événements dans le menu déroulant.
This security feature provides a global setting to prevent programs from loading untrusted fonts. Untrusted fonts are any font installed outside of the %windir%Fonts directory. This feature can be configured to be in 3 modes: On, Off, and Audit. By default, it is Off and no fonts are blocked. If you aren’t quite ready to deploy this feature into your organization, you can run it in Audit mode to see if blocking untrusted fonts causes any usability or compatibility issues.
REMARQUE: Ce paramètre de stratégie peut entraîner la disparition de vos icônes et polices dans IE11.
Utiliser EMET 5.5 et versions ultérieures
Enhanced Mitigation Experience Toolkit vous permet désormais de bloquer les polices non fiables.
Comment afficher le journal des applications accédant à des polices non fiables
Si vous choisissez la méthode d'audit, vous constaterez qu'aucune des polices non fiables n'est bloquée. Au lieu de cela, un journal sera créé pour vous permettre de voir quelle application a accédé à quel type de police non approuvé et où, quand, etc. Pour afficher le journal, ouvrez l'Observateur d'événements Windows. Aller à Journaux des applications et des services / Microsoft / Windows / Win32k / Operational.
Sous l'ID d'événement: 260, vous trouverez toutes les entrées de journal relatives à l'accès des polices non fiables par différents navigateurs et applications au cours de l'exécution de l'ordinateur local. Un exemple du journal des événements serait le suivant:
WINWORD.EXE attempted loading a font that is restricted by font loading policy.
FontType: Memory
FontPath:
Blocked: true
Ce type d'entrée apparaît lorsque vous avez complètement bloqué le chargement des polices non fiables sur des ordinateurs locaux. Il indique également que le téléchargement de polices non fiables a eu lieu mais a été bloqué par la stratégie créée à l'aide de l'éditeur de registre Windows.
Un autre exemple pourrait être:
Iexplore.exe attempted loading a font that is restricted by font loading policy.
FontType: Memory
FontPath:
Blocked: false
Dans le cas ci-dessus, les polices non fiables ne sont pas bloquées, comme indiqué dans l'entrée. Il montre également que le navigateur a tenté de télécharger les polices dans la mémoire locale et a été utilisé.
Ce qui est expliqué ci-dessus explique les polices non fiables, les dangers que représentent les polices non fiables et enfin, comment bloquer des polices non fiables dans Windows 10. Si vous avez des doutes ou quelque chose à ajouter, veuillez commenter.
La source: TechNet.
