如何通过GPO缓解Windows字体解析零时差错误

Active Directory(AD)管理员可以使用组策略来缓解大型AD环境中Windows Adob​​e Type Manager库中最近公开和积极利用的远程代码执行(RCE)零日漏洞。

微软曾在3月23日警告说,针对Windows 7设备的有限持续的有针对性的攻击,试图利用Adobe Type Manager库中的两个未修补的漏洞。

这些安全漏洞会影响同时运行台式机和服务器Windows版本的设备,包括Windows 10,Windows 8.1,Windows 7和Windows Server的多个版本。

为了利用安全问题,攻击者可以诱骗受害者打开恶意制作的文档或通过Windows预览窗格查看它们-Outlook预览窗格不是攻击媒介。

Microsoft已经共享了许多变通办法,旨在阻止或减少攻击滥用这些漏洞的风险,包括禁用Windows资源管理器中的“预览”和“详细信息”窗格,禁用WebClient服务以及重命名易受攻击的库(ATMFD.DLL)。

但是,要缓解企业AD环境中的攻击,Microsoft的解决方法并不容易实现。

为了减轻质量上运行容易受到虐待的Windows版本的企业设备的问题,你能做到一气呵成与组策略的帮助,微软MVP西尔科尔特斯解释在一篇博客文章。

使用GPO减轻企业负担

首先,打开GPMC控制台并通过右键单击“组策略对象”文件夹创建一个新的GPO。

然后,转到“用户配置”>“策略”>“管理模板”>“ Windows组件”>“文件资源管理器”,并启用这两个GPO选项以禁用本地和通过网络的预览:

•关闭缩略图的显示,仅显示图标

•关闭缩略图的显示,仅在网络文件夹上显示图标

禁用预览
图片:西尔万·科尔特斯(Sylvain Cortes)

Sylvain补充说:“关闭您的GPO,并将该GPO与组织中的所有自动化办公室用户帐户(简而言之,就是可以在您的工作站上使用的所有用户帐户)相关联。”

接下来,在工作站上使用GPMC创建一个新的GPO,并从“计算机配置”>“策略”>“ Windows设置”>“安全设置”>“系统服务”部分禁用WebClient服务。

此GPO必须与组织中的所有其他工作站计算机帐户关联,以使WebClient在任何地方都被禁用。

WebClient GPO
图片:西尔万·科尔特斯(Sylvain Cortes)

一旦Microsoft发布了针对受主动利用的RCE漏洞的补丁程序,这些漏洞会影响所有受支持的Windows版本中的字体解析组件,则应还原两个GPO。

微软表示正在为这个零日漏洞进行修复,并暗示将在本月的补丁星期二(4月14日)中发布将来的版本。

上周,0Patch平台背后的公司Acros Security 发布了微代码补丁,以减轻运行Windows 7 64位和Windows Server 2008 R2的设备上被利用的风险,这些设备未参加Microsoft的扩展安全更新(ESU)程序。

*编译:Domino
*来自:Bleeping