BIO 14.02.01 ISO A.12.6.1

Online Font Providers Geblokkeerd

📅 2025-10-30
⏱️ 5 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Organisaties die met vertrouwelijke informatie werken, zoals Nederlandse overheidsinstanties, moeten voorkomen dat werkplekken automatisch lettertypen van internet downloaden. Door online font providers te blokkeren, sluit u een onnodige aanvalsvector, beperkt u datalekrisico’s via kwetsbaarheden in font parsers en voorkomt u bovendien ongewenste gegevensuitwisseling met externe diensten.

Aanbeveling
IMPLEMENT
Risico zonder
Low
Risk Score
3/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Windows 10
Windows 11

Wanneer een gebruiker een document opent met een lettertype dat niet lokaal op het systeem is geïnstalleerd, kan Windows automatisch proberen dit lettertype te downloaden vanaf online font providers van Microsoft of andere partijen. Op het eerste gezicht lijkt dit handig voor de opmaak van documenten, maar vanuit beveiligings- en privacyoptiek is het een zwakke plek. Lettertypen worden verwerkt door complexe font parsers in het besturingssysteem. In het verleden zijn meerdere kritieke kwetsbaarheden gepubliceerd waarbij een speciaal opgebouwd fontbestand het mogelijk maakte om code uit te voeren met de rechten van de ingelogde gebruiker. Door automatische fontdownloads toe te staan, geeft een organisatie aanvallers in feite de mogelijkheid om via ogenschijnlijk onschuldige documenten kwaadaardige fonts in te laden. Daarnaast introduceert het gebruik van online font providers een vorm van afhankelijkheid van externe infrastructuur. Elke keer dat een werkplek een lettertype opvraagt, wordt zichtbaar welke documenten en lettertypen worden gebruikt, wat inzichten kan geven in interne processen of gebruikte sjablonen. Voor overheidsorganisaties die gevoelige beleidsstukken, juridische documenten of vertrouwelijke rapporten verwerken, is dit onwenselijk. Ook vanuit de Algemene Verordening Gegevensbescherming (AVG) is het problematisch wanneer gebruikersgedrag – bijvoorbeeld welke documenten worden geopend en wanneer – indirect kan worden afgeleid uit dergelijke netwerkverzoeken. Tot slot heeft het blokkeren van online font providers voordelen op het gebied van stabiliteit en beheer. In een goed beheerde werkomgeving worden alle noodzakelijke bedrijfslettertypen centraal geselecteerd, getest en uitgerold via bijvoorbeeld Intune, softwaredistributie of een imageproces. Medewerkers hebben dan altijd de juiste fonts beschikbaar zonder afhankelijk te zijn van dynamische downloads. Door automatische downloads te blokkeren, ontstaat een voorspelbare en beheersbare situatie: de organisatie bepaalt welke lettertypen zijn toegestaan, reduceert het aanvalsoppervlak en voorkomt verrassingen in zowel uiterlijk als gedrag van documenten.

PowerShell Modules Vereist
Primary API: Intune / Group Policy
Connection: Registry
Required Modules:

Implementatie

Door online font providers te blokkeren, dwingt u Windows om uitsluitend gebruik te maken van lokaal geïnstalleerde lettertypen. Technisch wordt dit gerealiseerd door het groepsbeleid of de overeenkomende Intune-instelling waarmee de registersleutel HKLM:\SOFTWARE\Policies\Microsoft\Windows\System\EnableFontProviders op waarde 0 wordt gezet. Wanneer deze instelling actief is, zal het besturingssysteem geen fonts meer van internet downloaden, ook niet als een document om een specifiek extern lettertype vraagt. In plaats daarvan wordt automatisch een geschikt alternatief gekozen uit de lokaal beschikbare fonts. Dit kan in sommige gevallen leiden tot een iets andere weergave van documenten, maar in de praktijk is de impact op de leesbaarheid beperkt, zeker als de organisatie vooraf de meest gebruikte bedrijfslettertypen beschikbaar stelt. Voor beheerders biedt deze maatregel een duidelijke en eenvoudig te controleren configuratie. In Intune kan de instelling centraal worden uitgerold naar alle relevante Windows 10- en Windows 11-apparaten, inclusief apparaten die buiten het kantoornetwerk werken. Via het gekoppelde PowerShell-script wordt de registrywaarde gecontroleerd en indien nodig hersteld. Daarmee wordt geborgd dat de configuratie consistent blijft, ook wanneer gebruikers of software proberen deze aan te passen. In combinatie met monitoring en auditing ontstaat zo een robuuste beheersmaatregel die goed aansluit bij de Nederlandse Baseline voor Veilige Cloud en de BIO-eisen rondom het beperken van het aanvalsoppervlak.

Vereisten

  1. De maatregel is bedoeld voor beheerde Windows 10- en Windows 11-werkplekken die onder centraal beheer vallen via Intune, Group Policy of een vergelijkbare beheeroplossing. Het is belangrijk dat deze apparaten zijn opgenomen in het domein of in Azure AD (Entra ID) en dat er een duidelijk werkplekbeeld bestaat: welke typen gebruikers, welke applicaties en welke documenten worden ondersteund. Alleen dan kan worden gewaarborgd dat het blokkeren van online font providers geen onverwachte verstoring veroorzaakt in bedrijfskritische processen.
  2. Voor een soepele implementatie moeten de benodigde bedrijfslettertypen vooraf worden geselecteerd en beschikbaar worden gemaakt. Denk hierbij aan huisstijlfonts, fonts die worden gebruikt in landelijke of departementale sjablonen, en lettertypen die nodig zijn voor specialistische applicaties. Deze fonts kunnen worden uitgerold via Intune, een softwarepakket of een centraal beheerde image. Door deze voorbereiding te treffen, blijft de leeservaring voor eindgebruikers hoogwaardig, terwijl het risico van dynamische fontdownloads volledig wordt weggenomen.

Implementatie

Gebruik PowerShell-script allow-font-providers-is-set-to-not-allowed.ps1 (functie Invoke-Remediation) – Dit script configureert en handhaaft de instelling waarmee online font providers worden uitgeschakeld, zodat Windows geen lettertypen meer van internet downloadt en uitsluitend gebruikmaakt van lokaal beheerde fonts..

De implementatie in een moderne beheeromgeving zoals Microsoft Intune bestaat uit een combinatie van een configuratieprofiel en eventuele aanvullende distributie van lettertypen. Binnen Intune wordt een beleid aangemaakt waarin de instelling voor online font providers expliciet wordt uitgeschakeld. Dit resulteert technisch in de registrywaarde EnableFontProviders met de waarde 0 onder HKLM:\SOFTWARE\Policies\Microsoft\Windows\System. Wanneer het beleid is toegewezen aan de betreffende apparaatgroep, zal elk beheerd systeem bij de eerstvolgende synchronisatie deze instelling overnemen en eventuele eerdere waarden overschrijven. In veel organisaties vormt deze configuratie slechts één stap in een bredere hardening- en privacystrategie. Het is daarom verstandig om de uitrol te plannen in combinatie met andere maatregelen rondom het beperken van het aanvalsoppervlak, zoals het beheersen van browser-extensies, het beperken van onnodige protocollen en het standaard inschakelen van exploit protection. Voor de gebruikerservaring is het van belang dat vooraf wordt getest met representatieve werkplekken en documenten. Door pilots uit te voeren met verschillende gebruikersgroepen – bijvoorbeeld beleidsschrijvers, juristen en medewerkers in de uitvoering – kan worden vastgesteld of alle noodzakelijke documenten nog correct leesbaar zijn met de lokaal beschikbare lettertypen. Eventuele hiaten in beschikbare fonts kunnen dan gericht worden opgelost door extra lettertypen toe te voegen aan het standaardpakket.

Monitoring

Gebruik PowerShell-script allow-font-providers-is-set-to-not-allowed.ps1 (functie Invoke-Monitoring) – Controleer periodiek of de instelling voor EnableFontProviders nog steeds op 0 staat en of er geen apparaten zijn die hiervan afwijken..

Compliance en Auditing

  1. Deze maatregel sluit aan bij internationale best practices voor het reduceren van het aanvalsoppervlak, zoals beschreven in verschillende CIS-richtlijnen. Door onnodige communicatie met externe font providers te blokkeren en dynamische content van buitenaf te beperken, verkleint de organisatie de kans dat kwetsbaarheden in lettertypeverwerking kunnen worden misbruikt. Dit past in een breder hardeningprogramma waarin alleen strikt noodzakelijke functionaliteit en internettoegang wordt toegestaan.
  2. Binnen de Nederlandse overheid verwijst de Baseline Informatiebeveiliging Overheid (BIO) in domein 14.02 naar het beheersen van kwetsbaarheden in technische componenten. Het voorkomen dat werkplekken automatisch externe fonts ophalen, draagt direct bij aan het beperken van dit risico. Door deze instelling organisatiebreed en aantoonbaar door te voeren, kan bij audits worden aangetoond dat het aanvalsoppervlak actief wordt gemanaged en dat configuraties niet aan het toeval worden overgelaten.
  3. Ook vanuit AVG-perspectief is deze maatregel relevant. Elke externe verbinding kan metadata prijsgeven over gebruikersgedrag, zoals welke documenten worden geopend en op welke momenten. Door online font providers uit te schakelen, vermindert de organisatie de hoeveelheid onnodig uitgaand verkeer dat mogelijk gebruikt kan worden om patronen of gewoontes van medewerkers af te leiden. Dit ondersteunt het principe van dataminimalisatie en draagt bij aan het aantonen van passende technische en organisatorische maatregelen zoals vereist in artikel 32 van de AVG.

Remediatie

Gebruik PowerShell-script allow-font-providers-is-set-to-not-allowed.ps1 (functie Invoke-Remediation) – Herstel of forceer de correcte configuratie wanneer apparaten afwijken van het beleid dat online font providers moet blokkeren..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Security Options: Font Providers Not Allowed .DESCRIPTION CIS - Font providers (online) moet disabled. .NOTES Filename: font-providers.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\System\EnableFontProviders|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System"; $RegName = "EnableFontProviders"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "font-prov.ps1"; PolicyName = "Font Providers"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Disabled"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v -and $v.$RegName -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Font providers disabled" }else { $r.Details += "Font providers enabled" } }else { $r.IsCompliant = $true; $r.Details += "Default" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Font providers disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Wanneer online font providers ingeschakeld blijven, kunnen kwetsbaarheden in font parsers worden misbruikt via kwaadaardige documenten en wordt onnodig informatie over document- en gebruikersgedrag blootgesteld aan externe partijen.

Management Samenvatting

Blokkeer online font providers zodat Windows geen lettertypen meer van internet downloadt. Dit verkleint het aanvalsoppervlak, versterkt de privacybescherming en zorgt ervoor dat uitsluitend vooraf beheerde bedrijfslettertypen worden gebruikt, met een beperkte impact op de gebruikerservaring.