Bloquear fuentes que no sean de confianza en una empresa

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Para ayudar a proteger su empresa frente a ataques que pueden originarse a partir de archivos de fuentes que no son de confianza o controlados por atacantes, puede bloquear fuentes que no son de confianza. Con esta característica, puedes activar una configuración global que evite que los empleados carguen fuentes que no son de confianza procesadas mediante la Interfaz de dispositivo gráfico (GDI) en tu red. Las fuentes que no son de confianza incluyen cualquier fuente fuera del directorio %windir%\Fonts. El bloqueo de fuentes que no son de confianza ayuda a evitar ataques remotos (basados en web o en correo electrónico) y ataques de EOP locales que pueden producirse durante el proceso de análisis de archivos de fuentes.

¿Qué significa esto para mí?

El bloqueo de fuentes que no son de confianza te ayuda a mejorar la protección de la red y de los empleados contra los ataques relacionados con el procesamiento de fuentes. De forma predeterminada, esta característica no está activada.

¿Cómo funciona esta característica?

Hay tres maneras de usar esta característica:

• Activar. Evita que cualquier fuente procesada con la GDI se cargue fuera del directorio %windir%\Fonts. También activa el registro de eventos.

• Auditoría. Activa el registro de eventos, pero no impide que las fuentes se carguen, independientemente de la ubicación. El nombre de las aplicaciones que usan fuentes que no son de confianza aparece en el registro de eventos.

  Nota

  Si no está listo para implementar esta característica en su organización, puede ejecutarla en modo auditoría para ver si no cargar fuentes que no son de confianza provoca problemas de uso o compatibilidad.

• Excluye aplicaciones para cargar fuentes que no son de confianza. Puedes excluir aplicaciones específicas y permitir que carguen fuentes que no son de confianza incluso si la característica está activada. Para obtener instrucciones, consulta Corregir aplicaciones que tienen problemas a causa de fuentes bloqueadas.

Posibles reducciones de la funcionalidad

Después de activar esta característica, los empleados pueden experimentar una funcionalidad reducida cuando:

• Enviar un trabajo de impresión a un servidor de impresora remoto que usa esta característica y donde no se ha excluido el proceso de cola. En esta situación, no se usarán las fuentes que aún no estén disponibles en la carpeta %windir%/Fonts del servidor.
• Impresión mediante fuentes proporcionadas por los gráficos de la impresora instalada .dll archivo, fuera de la carpeta %windir%/Fonts. Para obtener más información, consulta Introducción a los archivos DLL de elementos gráficos de impresora.
• Uso de primeras aplicaciones o que no son de Microsoft que usan fuentes basadas en memoria.
• Usan Internet Explorer para ver sitios web que usan fuentes incrustadas. En esta situación, la característica bloquea la fuente incrustada, lo que provoca que el sitio web use una fuente predeterminada. Sin embargo, no todas las fuentes tienen todos los caracteres, por lo que es posible que la representación del sitio web sea diferente.
• Usan Office de escritorio para ver documentos con fuentes incrustadas. En esta situación, el contenido se muestra con una fuente predeterminada que Office elige.

Activar y usar la característica de bloqueo de fuentes que no son de confianza

Usar la directiva de grupo o el Registro para activar o desactivar esta característica, o usar el modo de auditoría.

Activar y usar la característica de bloqueo de fuentes que no son de confianza mediante la directiva de grupo

1. Abre el Editor de administración de directivas de grupo (gpedit.msc) y ve a Computer Configuration\Administrative Templates\System\Mitigation Options\Untrusted Font Blocking.
2. Seleccione Habilitado para activar la característica y, a continuación, seleccione una de las siguientes opciones de mitigación:
   • Bloquear fuentes y eventos de registro que no son de confianza. Activa la característica, bloqueando las fuentes que no son de confianza y registrando los intentos de instalación en el registro de eventos.
   • No bloquear fuentes que no son de confianza- Activa la característica, pero no bloquea fuentes que no son de confianza ni registra los intentos de instalación en el registro de eventos.
   • Eventos de registro sin bloqueo de fuentes que no son de confianza. Activa la característica, registrando intentos de instalación en el registro de eventos, pero no bloqueando fuentes que no son de confianza.
3. Seleccione Aceptar.

Para activar y usar la característica Bloquear fuentes que no son de confianza a través del Registro

Para activar esta característica, desactivarla o usar el modo auditoría:

1. Abre el editor del registro (regedit.exe) y ve a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\.

2. Si la clave MitigationOptions no existe, haz clic con el botón derecho, agrega un nuevo Valor de QWORD (64 bits) y cámbiale el nombre a MitigationOptions.

3. Seleccione con el botón derecho en la clave MitigationOptions y, a continuación, seleccione Modificar. Se abre el cuadro de diálogo Editar valor de QWORD (64 bits).

4. Comprueba que la opción Base es Hexadecimal y actualiza el campo Información del valor. Asegúrate de conservar el valor existente, como en la nota importante que se incluye a continuación:

   • Para activar esta característica. Escribe 1000000000000.

   • Para desactivar esta característica. Escribe 2000000000000.

   • Para auditar con esta característica. Escribe 3000000000000.

     Importante

     Los valores existentes de MitigationOptions deberían guardarse durante la actualización. Por ejemplo, si el valor actual es 1000, el valor actualizado debería ser 1000000001000.

5. Reinicia el equipo.

Ver el registro de eventos

Después de activar esta característica o de empezar a usar el modo auditoría, puede consultar los registros de eventos para obtener más información.

Para ver el registro de eventos

1. Abre el Visor de eventos (eventvwr.exe) y ve a Registros de aplicaciones y servicios/Microsoft/Windows/Win32k/Operational.
2. Desplázate hacia abajo hasta EventID: 260 y revisa los eventos pertinentes.

Ejemplo de evento 1: Microsoft Word

WINWORD.EXE intentó cargar una fuente que está restringida por la directiva de carga de fuentes.
FontType: Memory
FontPath:
Bloqueado: true

Nota

Dado que FontType es Memory, no hay ningún FontPath asociado.

Ejemplo de evento 2: WinLogon

Winlogon.exe intentó cargar una fuente que está restringida por la directiva de carga de fuentes.
FontType: File
FontPath: \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\MTEXTRA.TTF
Bloqueado: true

Nota

Dado que FontType es File, también hay un FontPath asociado.

Ejemplo de evento 3: Internet Explorer ejecutado en modo Auditoría

Iexplore.exe intentó cargar una fuente que está restringida por la directiva de carga de fuentes.
FontType: Memory
FontPath:
Bloqueado: false

Nota

En el modo Auditoría, el problema se registra, pero la fuente no está bloqueada.

Corregir aplicaciones que tienen problemas a causa de fuentes bloqueadas

Es posible que tu empresa necesite aplicaciones que tienen problemas a causa de fuentes bloqueadas, por lo que se recomienda ejecutar primero esta característica en el modo Auditoría para determinar qué fuentes están causando los problemas.

Después de averiguar las fuentes problemáticas, puede intentar corregir las aplicaciones de dos maneras: instalando directamente las fuentes en el directorio %windir%/Fonts o excluyendo los procesos subyacentes y dejando que se carguen las fuentes. Como solución predeterminada, es muy recomendable que instale la fuente problemática. La instalación de fuentes es más segura que la exclusión de aplicaciones porque las aplicaciones excluidas pueden cargar cualquier fuente, ya sea de confianza o no.

Para corregir las aplicaciones mediante la instalación de las fuentes problemáticas (recomendado)

En cada equipo con la aplicación instalada, haga clic con el botón derecho en el nombre de la fuente y seleccione Instalar. La fuente se debe instalar automáticamente en el directorio %windir%\Fonts. Si no es así, debe copiar manualmente los archivos de fuente en el directorio Fuentes y ejecutar la instalación desde allí.

Para corregir las aplicaciones mediante la exclusión de procesos

1. En cada equipo con la aplicación instalada, abre regedit.exe y ve a HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<process_image_name>. Por ejemplo, si desea excluir procesos de Microsoft Word, usaría HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe.
2. Agregue otros procesos que deben excluirse aquí y, a continuación, active la característica Bloquear fuentes que no son de confianza, siguiendo los pasos descritos en Activar y usar la característica Bloquear fuentes que no son de confianza, anteriormente en este artículo.