نظرة عامة على قواعد تقليل الأجزاء المعرضة للهجوم

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR
• برنامج الحماية من الفيروسات من Microsoft Defender

الأنظمة الأساسية

• بالنسبة لنظام التشغيل

تلميح

بصفتك مصاحبا لهذه المقالة، راجع دليل إعداد Security Analyzer لمراجعة أفضل الممارسات وتعلم تعزيز الدفاعات وتحسين التوافق والتنقل في مشهد الأمان عبر الإنترنت بثقة. للحصول على تجربة مخصصة استنادا إلى بيئتك، يمكنك الوصول إلى دليل الإعداد التلقائي ل Security Analyzer في مركز مسؤولي Microsoft 365.

لماذا قواعد تقليل الأجزاء المعرضة للهجوم مهمة

يتضمن سطح الهجوم الخاص بمؤسستك جميع الأماكن التي يمكن للمهاجم اختراق أجهزة مؤسستك أو شبكاتها. تقليل سطح الهجوم يعني حماية أجهزة مؤسستك وشبكةها، مما يترك للمهاجمين طرقا أقل لتنفيذ الهجمات. يمكن أن يساعد تكوين قواعد تقليل الأجزاء المعرضة للهجوم في Microsoft Defender لنقطة النهاية!

تستهدف قواعد تقليل الأجزاء المعرضة للهجوم بعض سلوكيات البرامج، مثل:

• بدء تشغيل الملفات والبرامج النصية القابلة للتنفيذ التي تحاول تنزيل الملفات أو تشغيلها
• تشغيل البرامج النصية المشوشة أو المشبوهة بطريقة أخرى
• تنفيذ السلوكيات التي لا تبدأها التطبيقات عادة أثناء العمل اليومي العادي

تظهر سلوكيات البرامج هذه في بعض الأحيان في التطبيقات المشروعة. ومع ذلك، غالبا ما تعتبر هذه السلوكيات محفوفة بالمخاطر لأنها عادة ما يساء استخدامها من قبل المهاجمين من خلال البرامج الضارة. يمكن أن تقيد قواعد تقليل الأجزاء المعرضة للهجوم السلوكيات الخطرة المستندة إلى البرامج وتساعد في الحفاظ على أمان مؤسستك.

للحصول على عملية متسلسلة من طرف إلى طرف لكيفية إدارة قواعد تقليل الأجزاء المعرضة للهجوم، راجع:

• نظرة عامة على نشر قواعد تقليل الأجزاء المعرضة للهجوم
• تخطيط توزيع قواعد تقليل الأجزاء المعرضة للهجوم
• اختبار قواعد تقليل الأجزاء المعرضة للهجوم
• تمكين قواعد تقليل الأجزاء المعرضة للهجوم
• تفعيل قواعد تقليل الأجزاء المعرضة للهجوم

تقييم القواعد قبل التوزيع

يمكنك تقييم كيفية تأثير قاعدة تقليل الأجزاء المعرضة للهجوم على شبكتك عن طريق فتح توصية الأمان لتلك القاعدة في إدارة الثغرات الأمنية في Microsoft Defender.

في جزء تفاصيل التوصية، تحقق من تأثير المستخدم لتحديد النسبة المئوية لأجهزتك التي يمكن أن تقبل سياسة جديدة تمكن القاعدة في وضع الحظر دون التأثير سلبا على الإنتاجية.

راجع المتطلبات في مقالة "تمكين قواعد تقليل الأجزاء المعرضة للهجوم" للحصول على معلومات حول أنظمة التشغيل المدعومة ومعلومات المتطلبات الأخرى.

وضع التدقيق للتقييم

وضع التدقيق

استخدم وضع التدقيق لتقييم كيفية تأثير قواعد تقليل الأجزاء المعرضة للهجوم على مؤسستك إذا تم تمكينها. قم بتشغيل جميع القواعد في وضع التدقيق أولا حتى تتمكن من فهم كيفية تأثيرها على تطبيقات خط العمل. تتم كتابة العديد من تطبيقات خط العمل مع مخاوف أمنية محدودة، وقد تؤدي مهاما بطرق تبدو مشابهة للبرامج الضارة.

الاستثناءات

من خلال مراقبة بيانات التدقيق وإضافة استثناءات للتطبيقات الضرورية، يمكنك توزيع قواعد تقليل الأجزاء المعرضة للهجوم دون تقليل الإنتاجية.

استثناءات لكل قاعدة

للحصول على معلومات حول تكوين استثناءات لكل قاعدة، راجع القسم بعنوان تكوين قواعد تقليل الأجزاء المعرضة للهجوم لكل قاعدة في المقالة اختبار قواعد تقليل الأجزاء المعرضة للهجوم.

وضع التحذير للمستخدمين

(جديد!) قبل تحذير قدرات الوضع، يمكن تعيين قواعد تقليل الأجزاء المعرضة للهجوم التي تم تمكينها إما إلى وضع التدقيق أو وضع الحظر. باستخدام وضع التحذير الجديد، كلما تم حظر المحتوى بواسطة قاعدة تقليل سطح الهجوم، يرى المستخدمون مربع حوار يشير إلى حظر المحتوى. يوفر مربع الحوار أيضا للمستخدم خيارا لإلغاء حظر المحتوى. يمكن للمستخدم بعد ذلك إعادة محاولة إجراءه، وتكتمل العملية. عندما يقوم مستخدم بإلغاء حظر المحتوى، يظل المحتوى غير محظور لمدة 24 ساعة، ثم حظر السير الذاتية.

يساعد وضع التحذير مؤسستك على وضع قواعد تقليل الأجزاء المعرضة للهجوم دون منع المستخدمين من الوصول إلى المحتوى الذي يحتاجون إليه لأداء مهامهم.

متطلبات عمل وضع التحذير

يتم دعم وضع التحذير على الأجهزة التي تعمل بالإصدارات التالية من Windows:

• الإصدار 1809 من Windows 10 أو أحدث
• Windows 11
• Windows Server، الإصدار 1809 أو أحدث

يجب تشغيل برنامج الحماية من الفيروسات Microsoft Defender مع الحماية في الوقت الحقيقي في الوضع النشط.

تأكد أيضا من تثبيت تحديثات مكافحة الفيروسات ومكافحة البرامج الضارة Microsoft Defender.

• الحد الأدنى لمتطلبات إصدار النظام الأساسي: 4.18.2008.9
• الحد الأدنى لمتطلبات إصدار المحرك: 1.1.17400.5

لمزيد من المعلومات والحصول على تحديثاتك، راجع تحديث النظام الأساسي لمكافحة البرامج الضارة Microsoft Defender.

الحالات التي لا يكون فيها وضع التحذير مدعوما

وضع التحذير غير مدعوم لثلاث قواعد لتقليل سطح الهجوم عند تكوينها في Microsoft Intune. (إذا كنت تستخدم نهج المجموعة لتكوين قواعد تقليل الأجزاء المعرضة للهجوم، يتم دعم وضع التحذير.) القواعد الثلاث التي لا تدعم وضع التحذير عند تكوينها في Microsoft Intune هي كما يلي:

• حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله (GUID d3e037e1-3eb8-44c8-a917-57927947596d)
• حظر الاستمرار من خلال اشتراك حدث WMI (GUID e6db77e5-3df2-4cf1-b95a-636979351e5b)
• استخدام الحماية المتقدمة ضد برامج الفدية الضارة (GUID c1db55ab-c21a-4637-bb3f-a12568109d35)

أيضا، وضع التحذير غير مدعوم على الأجهزة التي تعمل بالإصدارات القديمة من Windows. في هذه الحالات، يتم تشغيل قواعد تقليل الأجزاء المعرضة للهجوم التي تم تكوينها للتشغيل في وضع التحذير في وضع الحظر.

الإعلامات والتنبيهات

عند تشغيل قاعدة تقليل الأجزاء المعرضة للهجوم، يتم عرض إعلام على الجهاز. يمكنك تخصيص الإعلام مع تفاصيل شركتك ومعلومات الاتصال.

أيضا، عند تشغيل بعض قواعد تقليل الأجزاء المعرضة للهجوم، يتم إنشاء التنبيهات.

يمكن عرض الإعلامات وأي تنبيهات يتم إنشاؤها في مدخل Microsoft Defender.

للحصول على تفاصيل محددة حول وظيفة الإعلام والتنبيه، راجع: تفاصيل التنبيه والإعلام لكل قاعدة، في المقالة مرجع قواعد تقليل الأجزاء المعرضة للهجوم.

أحداث التتبع المتقدمة وتقليل الأجزاء المعرضة للهجوم

يمكنك استخدام التتبع المتقدم لعرض أحداث تقليل الأجزاء المعرضة للهجوم. لتبسيط حجم البيانات الواردة، لا يمكن عرض سوى العمليات الفريدة لكل ساعة مع التتبع المتقدم. وقت حدث تقليل الأجزاء المعرضة للهجوم هو المرة الأولى التي ينظر فيها إلى الحدث في غضون ساعة.

على سبيل المثال، افترض أن حدث تقليل سطح الهجوم يحدث على 10 أجهزة خلال الساعة 2:00 مساء. لنفترض أن الحدث الأول حدث في 2:15، والأخير في 2:45. مع التتبع المتقدم، سترى مثيلا واحدا من هذا الحدث (على الرغم من أنه حدث بالفعل على 10 أجهزة)، وسيكون الطابع الزمني الخاص به هو 2:15 مساء.

لمزيد من المعلومات حول التتبع المتقدم، راجع البحث الاستباقي عن التهديدات باستخدام التتبع المتقدم.

ميزات تقليل الأجزاء المعرضة للهجوم عبر إصدارات Windows

يمكنك تعيين قواعد تقليل الأجزاء المعرضة للهجوم للأجهزة التي تقوم بتشغيل أي من الإصدارات والإصدارات التالية من Windows:

• Windows 10 Pro، الإصدار 1709 أو أحدث

• Windows 10 Enterprise، الإصدار 1709 أو أحدث

• Windows Server، الإصدار 1803 (قناة نصف سنوية) أو أحدث

• Windows Server 2022

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2

  ملاحظة

  يجب إعداد Windows Server 2016 وWindows Server 2012 R2 باستخدام الإرشادات الموجودة في خوادم Windows لكي تعمل هذه الميزة.

على الرغم من أن قواعد تقليل الأجزاء المعرضة للهجوم لا تتطلب ترخيص Windows E5، إذا كان لديك Windows E5، فستحصل على قدرات إدارة متقدمة. تتضمن الإمكانات المتقدمة - المتوفرة فقط في Windows E5 - ما يلي:

• المراقبة والتحليلات ومهام سير العمل المتوفرة في Defender لنقطة النهاية
• قدرات إعداد التقارير والتكوين في Microsoft Defender XDR.

لا تتوفر هذه الإمكانات المتقدمة مع ترخيص Windows Professional أو Windows E3. ومع ذلك، إذا كان لديك هذه التراخيص، يمكنك استخدام عارض الأحداث وسجلات مكافحة الفيروسات Microsoft Defender لمراجعة أحداث قاعدة تقليل الأجزاء المعرضة للهجوم.

مراجعة أحداث تقليل الأجزاء المعرضة للهجوم في مدخل Microsoft Defender

يوفر Defender لنقطة النهاية تقارير مفصلة للأحداث والكتل كجزء من سيناريوهات التحقيق في التنبيه.

يمكنك الاستعلام عن بيانات Defender لنقطة النهاية في Microsoft Defender XDR باستخدام التتبع المتقدم.

فيما يلي مثال على الاستعلام:

DeviceEvents
| where ActionType startswith 'Asr'

مراجعة أحداث تقليل الأجزاء المعرضة للهجوم في Windows عارض الأحداث

يمكنك مراجعة سجل أحداث Windows لعرض الأحداث التي تم إنشاؤها بواسطة قواعد تقليل الأجزاء المعرضة للهجوم:

1. قم بتنزيل حزمة التقييم واستخرج الملفcfa-events.xml إلى موقع يمكن الوصول إليه بسهولة على الجهاز.

2. أدخل الكلمات، عارض الأحداث، في قائمة البدء لفتح عارض الأحداث Windows.

3. ضمن الإجراءات، حدد استيراد طريقة عرض مخصصة....

4. حدد الملف cfa-events.xml من حيث تم استخراجه. بدلا من ذلك، انسخ XML مباشرة.

5. حدد موافق.

يمكنك إنشاء طريقة عرض مخصصة تقوم بتصفية الأحداث لإظهار الأحداث التالية فقط، وكلها مرتبطة بالوصول إلى المجلدات الخاضعة للرقابة:

معرف الحدث	الوصف
5007	حدث عند تغيير الإعدادات
1121	حدث عندما يتم تشغيل القاعدة في وضع الحظر
1122	حدث عندما يتم تشغيل القاعدة في وضع التدقيق

يتم إنشاء "إصدار المحرك" المدرج لأحداث تقليل الأجزاء المعرضة للهجوم في سجل الأحداث، بواسطة Defender لنقطة النهاية، وليس بواسطة نظام التشغيل. تم دمج Defender لنقطة النهاية مع Windows 10 Windows 11، لذلك تعمل هذه الميزة على جميع الأجهزة التي تم تثبيت Windows 10 أو Windows 11.

راجع أيضًا

• نظرة عامة على نشر قواعد تقليل الأجزاء المعرضة للهجوم
• تخطيط توزيع قواعد تقليل الأجزاء المعرضة للهجوم
• اختبار قواعد تقليل الأجزاء المعرضة للهجوم
• تمكين قواعد تقليل الأجزاء المعرضة للهجوم
• تفعيل قواعد تقليل الأجزاء المعرضة للهجوم
• تقرير قواعد تقليل الأجزاء المعرضة للهجوم
• استثناءات برنامج الحماية من الفيروسات Microsoft Defender لنقطة النهاية Microsoft Defender

تلميح

إذا كنت تبحث عن معلومات متعلقة ببرنامج الحماية من الفيروسات للأنظمة الأساسية الأخرى، فاطلع على:

• تعيين تفضيلات Microsoft Defender لنقطة النهاية على نظام التشغيل macOS
• Microsoft Defender for Endpoint على Mac
• إعدادات نهج برنامج الحماية من الفيروسات في macOS لبرنامج الحماية من الفيروسات من Microsoft Defender Antivirus for Intune
• تعيين تفضيلات Microsoft Defender لنقطة النهاية على Linux
• مشكلات الأداء في Microsoft Defender لنقطة النهاية على Linux
• تكوين Defender for Endpoint على ميزات Android
• تكوين Microsoft Defender for Endpoint على ميزات iOS

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.