Active Directory(AD)管理员可以使用组策略来缓解大型AD环境中Windows Adob​​e Type Manager库中最近公开和积极利用的远程代码执行(RCE)零日漏洞。

　　微软在3月23日警告说，针对Windows 7设备的有限持续的有针对性的攻击，试图利用Adobe Type Manager库中的两个未修补的漏洞。

　　这些安全漏洞会影响同时运行台式机和服务器Windows版本的设备，包括Windows 10，Windows 8.1，Windows 7和Windows Server的多个版本。

　　win10专业版官网了解到为了利用安全问题，攻击者可以诱骗受害者打开恶意制作的文档或通过Windows预览窗格查看它们-Outlook预览窗格不是攻击媒介。

　　Microsoft已经共享了许多变通办法，旨在阻止或减少攻击滥用这些漏洞的风险，包括禁用Windows资源管理器中的“预览”和“详细信息”窗格，禁用WebClient服务以及重命名易受攻击的库(ATMFD.DLL)。

　　但是，要缓解企业AD环境中的攻击，Microsoft的解决方法并不容易实现。

　　为了减轻质量上运行容易受到虐待的Windows版本的企业设备的问题，你能做到一气呵成与组策略的帮助，微软MVP西尔科尔特斯解释在一篇博客文章。

　　使用GPO减轻企业负担

　　首先，打开GPMC控制台并通过右键单击“组策略对象”文件夹创建一个新的GPO。

　　然后，转到“用户配置”>“策略”>“管理模板”>“ Windows组件”>“文件资源管理器”，并启用这两个GPO选项以禁用本地和通过网络的预览：

　　•关闭缩略图的显示，仅显示图标

　　•关闭缩略图的显示，仅在网络文件夹上显示图标

　　图片：西尔万·科尔特斯(Sylvain Cortes) Sylvain补充说：“关闭您的GPO，并将该GPO与组织中的所有自动化办公室用户帐户(简而言之，就是可以在您的工作站上使用的所有用户帐户)相关联。”

　　接下来，在工作站上使用GPMC创建一个新的GPO，并从“计算机配置”>“策略”>“ Windows设置”>“安全设置”>“系统服务”部分禁用WebClient服务。

　　此GPO必须与组织中的所有其他工作站计算机帐户关联，以使WebClient在任何地方都被禁用。

　　图片：西尔万·科尔特斯(Sylvain Cortes)一旦Microsoft发布了针对受主动利用的RCE漏洞的补丁程序，这些漏洞会影响所有受支持的Windows版本中的字体解析组件，则应还原两个GPO。

　　微软表示正在为这个零日漏洞进行修复，并暗示将在本月的补丁星期二(4月14日)中发布将来的版本。

　　上周，0Patch平台背后的公司Acros Security 发布了微代码补丁，以减轻运行Windows 7 64位和Windows Server 2008 R2的设备上被利用的风险，这些设备未参加Microsoft的扩展安全更新(ESU)程序。