微软称，无需在Windows 10中启用不受信任的字体阻

　　随着Windos 10的推出，Microsoft在其GPO设置中添加了一项新的安全功能，用于阻止字体下载。%indir%\ Fonts目录之外的任何不受信任的字体(如果遇到)都会立即被阻止。此功能可用于3种模式的配置 - 开，关和审核。

　　现在无需启用不受信任的字体阻止Froup策略设置

　　此组策略设置使Windos能够阻止多个浏览器(如Google的Chrome，Mozilla Firefox，Inter Explorer等)的字体下载。然而，现在，事情的方案发生了变化。Microsoft已决定删除在以下位置启用“ 不受信任的字体阻止 ”组策略设置的建议：

　　计算机配置>管理模板>系统>缓解选项。

　　微软认为，在Windos 10 v1703中，它还有其他措施可以使这个设置变得不那么重要。例如，在GDI中处理不受信任的字体的风险现在可以接受地足够低。因此，字体阻塞的成本超过了它的好处。此外，运行此功能会在阻止不受信任的字体时不必要地破坏多个合法方案。

　　解析和渲染字体数据涉及极大的复杂性，因此字体渲染引擎存在错误也就不足为奇了 - 特别是在处理不符合预期格式的字体数据时。恶意行为者利用格式错误的字体数据来定位这些错误，以通过支持嵌入或下载字体的网页和文档文件提供漏洞利用代码，这也就不足为奇了。

　　在Windos 10和Windos Server 2016之前的Windos版本中，对于使用Windos图形设备接口(GDI)API加载和呈现字体的程序来说，这个问题更加复杂。除了在受损的用户模式进程中远程代码执行的威胁之外，GDI字体呈现错误还可能导致内核模式执行和本地特权提升，因为大多数GDI的字体逻辑都在Win32k中。微软博客。

　　阻止下载和嵌入字体被视为缺陷的事件是许多网站依赖它们，阻止它们会严重影响实用程序。值得注意的是，此块仅适用于通过GDI进行字体呈现，而不适用于其他用户模式字体呈现引擎，例如Microsoft Edge和Google Chrome Web浏览器使用的DirectWrite。