Windows 11/10 で信頼できないフォントをブロックしてネットワークを安全に保ちます

コンピュータ上ではフォントが無害に見えます。ほとんどの場合、目に負担がかかる場合を除いて、私たちは Web ページ上のフォントに注意を払いません。しかし信頼できないフォントWeb ページ上の情報は、ネットワークを侵害するためにハッカーによって悪用される可能性があります。この投稿では、信頼できないフォントをブロックする方法について説明します。Windows 11そしてWindows 10。

ローカルで作業しているとき、私たちが使用するほぼすべてのフォントは、%windir%/フォントフォルダ。つまり、フォントは、Windows またはその他のアプリケーションのインストール時に Windows フォントフォルダーにインストールされます。これらは信頼できるフォントそしていかなる脅威も与えないでください。 Web ページ上でそのようなフォントに遭遇すると、それらはローカルのフォントフォルダーから読み込まれます。

しかし、Web ページ上のフォントがコンピューター (ローカルフォントフォルダー) に存在しない場合、そのフォントのコピーがコンピューターのメモリに読み込まれ、サイバー犯罪者がネットワークにアクセスできるようになります。

信頼できないフォントの危険性

Web ページがローカルフォントフォルダーに既に存在するフォントを使用する場合、ブラウザーはローカルフォルダーからフォントを取得して Web ページを表示します。ローカルフォントフォルダー内のフォントは、インストール時にウイルス対策プログラムによって検査されるため、脅威にはなりません。

Web サイトまたは Web ページで、ローカルのフォントディレクトリまたはフォルダーに存在しないフォントが使用されている場合、ブラウザーはフォントのコピーをコンピュータにダウンロードしてローカルメモリにロードする「昇格された権限」を必要とします。フォントにマルウェアが含まれているかどうかはマルウェア対策パッケージが検出するため、単純なダウンロードはあまり問題になりません。このようなフォントにはマルウェアの脅威はありません。問題は、サイバー犯罪者によって発見され悪用される可能性がある「昇格された特権」です。このような状況でブラウザを制御すると、コンピュータだけでなくネットワーク全体に多大な損害を与える可能性があります。

最善の方法は、ブラウザーが「昇格された特権」を使用しないようにすることです。これは、ローカルフォルダーに存在しないフォントをブロックすることで Windows で実行できます。このような場合、Web サイトは、信頼できない Web サイトのフォントをローカルフォルダーにある信頼できるフォントに置き換えることによってレンダリングされます。ただし、これにより Web ページが適切にレンダリングされず、印刷時に問題が発生する可能性があります。

Windows 11/10 の信頼できないフォントで利用可能な 3 つの状態

Windows 11/10 で信頼できないフォントに関しては、3 つのオプションが利用できます。彼らです：

フォントをブロックする
監査モード: 実際にはフォントをブロックしませんが、信頼できないフォントが読み込まれたかどうか、読み込まれている場合はどの Web サイトとアプリケーションがそれらを使用したかを示すログを保持します。
アプリの除外: 問題がないと思われる場合は、Windows 10 上の一部のアプリをホワイトリストに登録して、信頼できないフォントを使用することができます。たとえば、Word アプリをホワイトリストに登録すると、信頼できないフォントをブロックしていても、インターネット由来のサードパーティフォントを利用できます。

私の考えでは、限られた数のオプションを考慮した最良の方法は、信頼できないフォントをすべてブロックし、フォントをローカルメモリにダウンロードすることで脅威が少ないアプリのみをホワイトリストに登録することです。ブラウザと比較すると、Microsoft Word、Excel などのアプリは、フォントがダウンロードされるとマルウェア対策が起動し、不快なものが見つかった場合はメッセージを表示するか、ダウンロードされたフォントをブロックするため、脅威が少なくなります。。一方、ブラウザは複雑なアーキテクチャ (レンダリングエンジンやプロセッサなどに依存している) であるため、マルウェア対策がメモリ内のフォントをブロックしたとしても、サイバー犯罪者は依然としてマシンを簡単に制御できる可能性があります。

企業内の Windows で信頼できないフォントをブロックする

レジストリエディタの使用

Windows 10 で信頼できないフォントをブロックし、信頼できないフォントを使用できるアプリをホワイトリストに登録するには、Windows レジストリエディターを使用する必要があります。現時点では、管理者にとって使いやすいグラフィカルユーザーインターフェイスはありません。 Windows 10で信頼できないフォントをブロックする方法を説明します。

プレスウィンキー+R表示される「実行」ダイアログに次のように入力します。登録編集Enterキーを押してください

次の場所に移動します:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

という名前のエントリを探します緩和オプション。そこにない場合は、64 ビットの QWORD エントリを作成し、名前を付けます緩和オプション

作成した QWORD エントリにはすでに値が存在します。次の値をコピーして値の前に貼り付け、値が貼り付けた値の終わり近くに存在するようにします。

に信頼できないフォントをオフにする、入力1000000000000。
に監査モードを実行する、入力3000000000000。
にオフにしてください、入力2000000000000。

たとえば、作成した QWORD にすでに値 1000 がある場合、30000000000001000 のようになります。

レジストリエディタを閉じ、開いている他のアプリケーションの作業内容を保存し、コンピュータを再起動します。

前述したように、信頼できないフォントをオフにすると、Web サイトの表示や印刷に問題が発生する可能性があります。これを回避するには、フォントを手動でダウンロードして %windir%/fonts フォルダーにインストールすることをお勧めします。これにより、そのフォントを使用して Web サイトを閲覧することがより安全になります。アプリを除外したりホワイトリストに登録したりすることはできますが、何らかの理由でフォントをインストールできる場合にのみ実行してください。

グループポリシーエディターの使用

Windows 11/10 Enterprise および Windows 11/10 Pro エディションを使用している場合は、ローカルグループポリシーエディターを利用できます。

走るgpedit.mscローカルグループポリシーエディターを開き、次の設定に移動します。

[コンピューターの構成] > [管理用テンプレート] > [システム] > [緩和オプション]。

右側のペインに、次のように表示されます。信頼できないフォントのブロック。「有効」を選択してから、信頼できないフォントをブロックし、イベントをログに記録するドロップダウンメニューから。

このセキュリティ機能は、プログラムが信頼できないフォントを読み込まないようにするためのグローバル設定を提供します。信頼できないフォントとは、%windir%\Fonts ディレクトリの外にインストールされたフォントです。この機能は、オン、オフ、監査の 3 つのモードで構成できます。デフォルトではオフになっており、フォントはブロックされません。この機能を組織に導入する準備がまだ整っていない場合は、この機能を監査モードで実行して、信頼できないフォントのブロックによってユーザビリティや互換性の問題が発生するかどうかを確認できます。

注記: このポリシー設定により、Web ページにアクセスするとアイコンと Web フォントが表示されなくなる。