تقليل الأجزاء المعرضة للهجوم الأسئلة المتداولة (FAQ)

كان تقليل الأجزاء المعرضة للهجوم في الأصل ميزة لمجموعة ميزات الحماية من الهجمات التي تم تقديمها كتحديث رئيسي Microsoft Defender Antivirus، في Windows 10، الإصدار 1709. Microsoft Defender مكافحة الفيروسات هو مكون مكافحة البرامج الضارة الأصلي في Windows. ومع ذلك، تتوفر مجموعة ميزات تقليل الأجزاء المعرضة للهجوم بالكامل فقط مع ترخيص مؤسسة Windows. لاحظ أيضا أن بعض استثناءات برنامج الحماية من الفيروسات Microsoft Defender تنطبق على استثناءات قاعدة تقليل الأجزاء المعرضة للهجوم. راجع مرجع قواعد تقليل الأجزاء المعرضة للهجوم - Microsoft Defender استثناءات مكافحة الفيروسات وقواعد تقليل الأجزاء المعرضة للهجوم.

يتم دعم المجموعة الكاملة من قواعد وميزات تقليل الأجزاء المعرضة للهجوم فقط إذا كان لديك ترخيص مؤسسة Windows 10 أو Windows 11. قد يعمل عدد محدود من القواعد دون ترخيص مؤسسة. إذا كان لديك Microsoft 365 Business، فقم بتعيين Microsoft Defender Antivirus كحل أمان أساسي، وقم بتمكين القواعد من خلال PowerShell. استخدام تقليل الأجزاء المعرضة للهجوم دون ترخيص المؤسسة غير مدعوم رسميا ولن تتمكن من استخدام الإمكانات الكاملة لتقليل سطح الهجوم.

لمعرفة المزيد حول ترخيص Windows، راجع Windows 10 الترخيص والحصول على دليل الترخيص المجمع Windows 10.

نعم. يتم دعم تقليل الأجزاء المعرضة للهجوم ل Windows Enterprise E3 وما فوق.

يتم أيضا دعم جميع القواعد المدعومة مع E3 مع E5.

يضيف E5 تكاملا أكبر مع Defender لنقطة النهاية. باستخدام E5، يمكنك عرض التنبيهات في الوقت الحقيقي، وضبط استثناءات القواعد، وتكوين قواعد تقليل الأجزاء المعرضة للهجوم، وعرض قوائم تقارير الأحداث.

يدعم تقليل الأجزاء المعرضة للهجوم حاليا جميع القواعد أدناه.

لمساعدتك في معرفة ما هو الأفضل لبيئتك، نوصي بتمكين قواعد تقليل الأجزاء المعرضة للهجوم في وضع التدقيق. باستخدام هذا الأسلوب، يمكنك تحديد التأثير المحتمل لمؤسستك. على سبيل المثال، تطبيقات خط العمل الخاصة بك.

بالنسبة لقواعد تقليل الأجزاء المعرضة للهجوم، إذا أضفت استثناء واحدا، فإنه يؤثر على كل قاعدة تقليل سطح الهجوم.

تدعم استثناءات قواعد تقليل الأجزاء المعرضة للهجوم أحرف البدل والمسارات والمتغيرات البيئية. لمزيد من المعلومات حول كيفية استخدام أحرف البدل في قواعد تقليل الأجزاء المعرضة للهجوم، راجع تكوين الاستثناءات والتحقق من صحتها استنادا إلى ملحق الملف وموقع المجلد.

كن على دراية بالعناصر التالية حول استثناءات قواعد تقليل الأجزاء المعرضة للهجوم (بما في ذلك أحرف البدل والمتغيرات env):

• معظم استثناءات قواعد تقليل الأجزاء المعرضة للهجوم مستقلة عن استثناءات مكافحة الفيروسات Microsoft Defender. ومع ذلك، Microsoft Defender تنطبق استثناءات مكافحة الفيروسات على بعض قواعد تقليل الأجزاء المعرضة للهجوم. راجع مرجع قواعد تقليل الأجزاء المعرضة للهجوم - Microsoft Defender استثناءات مكافحة الفيروسات وقواعد تقليل الأجزاء المعرضة للهجوم.
• لا يمكن استخدام أحرف البدل لتعريف حرف محرك أقراص.
• إذا كنت تريد استبعاد أكثر من مجلد واحد، في مسار، فاستخدم مثيلات \*\ متعددة للإشارة إلى مجلدات متداخلة متعددة (على سبيل المثال، c:\Folder\*\*\Test)
• يدعم microsoft Endpoint Configuration Manager أحرف البدل (* أو ?).
• إذا كنت تريد استبعاد ملف يحتوي على أحرف عشوائية (إنشاء ملف تلقائي)، يمكنك استخدام الرمز '؟' (على سبيل المثال، C:\Folder\fileversion?.docx)
• لا تدعم استثناءات تقليل الأجزاء المعرضة للهجوم في نهج المجموعة علامات الاقتباس (يتعامل المحرك في الأصل مع المسار الطويل والمسافات وما إلى ذلك، لذلك ليست هناك حاجة لاستخدام علامات الاقتباس).
• يتم تشغيل قواعد تقليل الأجزاء المعرضة للهجوم ضمن حساب NT AUTHORITY\SYSTEM، لذلك تقتصر المتغيرات البيئية على متغيرات الجهاز.

قواعد تقليل سطح الهجوم المختلفة لها تدفقات حماية مختلفة. فكر دائما في ما تحميه قاعدة تقليل الأجزاء المعرضة للهجوم التي تقوم بتكوينها، وكيف يتم تحريك تدفق التنفيذ الفعلي.

مثال: يمكن أن يكون حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows القراءة مباشرة من عملية النظام الفرعي لمرجع الأمان المحلي (LSASS) خطرا أمنيا، لأنه قد يعرض بيانات اعتماد الشركة.

تمنع هذه القاعدة العمليات غير الموثوق بها من الوصول المباشر إلى ذاكرة LSASS. عندما تحاول عملية استخدام الدالة OpenProcess() للوصول إلى LSASS، مع حق الوصول PROCESS_VM_READ، تحظر القاعدة على وجه التحديد حق الوصول.

بالنظر إلى المثال أعلاه، إذا كان عليك حقا إنشاء استثناء للعملية التي تم حظر حق الوصول إليها، فإن إضافة اسم الملف جنبا إلى جنب مع المسار الكامل سيستبعده من الحظر وبعد السماح له بالوصول إلى ذاكرة عملية LSASS. تعني قيمة 0 أن قواعد تقليل الأجزاء المعرضة للهجوم تتجاهل هذا الملف/العملية ولا تحظرها/تدققها.

للحصول على معلومات حول تكوين الاستثناءات لكل قاعدة، راجع اختبار قواعد تقليل الأجزاء المعرضة للهجوم.

نوصي بتمكين كل قاعدة ممكنة. ومع ذلك، هناك بعض الحالات التي لا يجب فيها تمكين قاعدة. على سبيل المثال، لا نوصي بتمكين إنشاءات عملية الحظر التي تنشأ من قاعدة أوامر PSExec وWMI، إذا كنت تستخدم Configuration Manager نقطة نهاية Microsoft (أو مركز النظام Configuration Manager - SCCM) لإدارة نقاط النهاية الخاصة بك.

نوصيك بشدة بقراءة كل معلومات و/أو تحذيرات خاصة بالقاعدة، والتي تتوفر في وثائقنا العامة. تمتد عبر ركائز متعددة للحماية، مثل Office وبيانات الاعتماد والبرامج النصية والبريد الإلكتروني وما إلى ذلك. يتم دعم جميع قواعد تقليل الأجزاء المعرضة للهجوم، باستثناء استمرار الحظر من خلال اشتراك حدث WMI، على Windows 1709 والإصدارات الأحدث:

• حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال
• حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني
• حظر جميع تطبيقات Office من إنشاء عمليات تابعة
• حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ
• حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى
• حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله
• حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة
• حظر مكالمات Win32 API من ماكرو Office
• استخدام الحماية المتقدمة ضد برامج الفدية الضارة
• حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe)
• حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI
• حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB
• حظر تشغيل الملفات القابلة للتنفيذ ما لم تستوف معايير الانتشار أو العمر أو القائمة الموثوق بها
• حظر تطبيقات اتصال Office من إنشاء عمليات تابعة
• منع Adobe Reader من إنشاء عمليات تابعة
• حظر الاستمرارية من خلال اشتراك حدث WMI

تتغير الحالة الافتراضية لقاعدة تقليل الأجزاء المعرضة للهجوم "حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe)" من غير مكون إلى مكون وتعيين الوضع الافتراضي إلى حظر. تظل جميع قواعد تقليل الأجزاء المعرضة للهجوم الأخرى في حالتها الافتراضية: غير مكونة. تم بالفعل دمج منطق تصفية إضافي في القاعدة لتقليل إعلامات المستخدم النهائي. يمكن للعملاء تكوين القاعدة إلى أوضاع Audit أو Warn أو Disabled ، والتي تتجاوز الوضع الافتراضي. وظيفة هذه القاعدة هي نفسها، سواء تم تكوين القاعدة في الوضع الافتراضي، أو إذا قمت بتمكين وضع الحظر يدويا.

اختبر كيفية تأثير قواعد تقليل الأجزاء المعرضة للهجوم على مؤسستك قبل تمكينها عن طريق تشغيل قواعد تقليل الأجزاء المعرضة للهجوم في وضع التدقيق لفترة زمنية قصيرة. أثناء تشغيل القواعد في وضع التدقيق، يمكنك تحديد أي تطبيقات لخط العمل قد يتم حظرها عن طريق الخطأ، واستبعادها من تقليل سطح الهجوم.

يجب على المؤسسات الأكبر حجما التفكير في طرح قواعد تقليل الأجزاء المعرضة للهجوم في "الحلقات"، من خلال تدقيق القواعد وتمكينها في مجموعات فرعية أوسع بشكل متزايد من الأجهزة. يمكنك ترتيب أجهزة مؤسستك في حلقات باستخدام Intune أو أداة إدارة نهج المجموعة.

احتفظ بالقاعدة في وضع التدقيق لمدة 30 يوما تقريبا للحصول على أساس جيد لكيفية عمل القاعدة بمجرد تشغيلها في جميع أنحاء مؤسستك. أثناء فترة التدقيق، يمكنك تحديد أي تطبيقات خط عمل قد يتم حظرها بواسطة القاعدة، وتكوين القاعدة لاستبعادها.

في معظم الحالات، من الأسهل والأفضل البدء بالتوصيات الأساسية التي اقترحها Defender لنقطة النهاية بدلا من محاولة استيراد القواعد من حل أمان آخر. بعد ذلك، استخدم أدوات مثل وضع التدقيق والمراقبة والتحليلات لتكوين الحل الجديد الخاص بك ليناسب احتياجاتك الفريدة.

يحمي التكوين الافتراضي لمعظم قواعد تقليل الأجزاء المعرضة للهجوم، جنبا إلى جنب مع حماية Defender لنقطة النهاية في الوقت الحقيقي، من عدد كبير من عمليات الاستغلال والثغرات الأمنية.

من داخل Defender لنقطة النهاية، يمكنك تحديث دفاعاتك بمؤشرات مخصصة، للسماح بسلوكيات برامج معينة وحظرها. يسمح تقليل الأجزاء المعرضة للهجوم أيضا بتخصيص بعض القواعد، في شكل استثناءات الملفات والمجلدات. كقاعدة عامة، من الأفضل تدقيق قاعدة لفترة من الوقت، وتكوين الاستثناءات لأي تطبيقات خط عمل قد يتم حظرها.

نعم. لمزيد من المعلومات حول استبعاد الملفات أو المجلدات من قواعد تقليل سطح الهجوم، راجع استبعاد الملفات والمجلدات من قواعد تقليل الأجزاء المعرضة للهجوم ولمزيد من المعلومات حول استخدام متغيرات النظام وأحرف البدل في مسارات الملفات المستبعدة، راجعتكوين الاستثناءات والتحقق من صحتها استنادا إلى ملحق الملف وموقع المجلد.

يعتمد ذلك على القاعدة. تغطي معظم قواعد تقليل الأجزاء المعرضة للهجوم سلوك منتجات Microsoft Office وخدماته، مثل Word أو Excel أو PowerPoint أو OneNote أو Outlook. بعض قواعد تقليل الأجزاء المعرضة للهجوم، مثل حظر تنفيذ البرامج النصية التي يحتمل أن تكون معتيمة، أكثر عمومية في النطاق.

يستخدم تقليل الأجزاء المعرضة للهجوم برنامج الحماية من الفيروسات Microsoft Defender لحظر التطبيقات. لا يمكن تكوين تقليل الأجزاء المعرضة للهجوم لاستخدام حل أمان آخر للحظر في الوقت الحالي.

كلما يتم تشغيل إعلام محليا بواسطة قاعدة تقليل سطح الهجوم، يتم أيضا إرسال تقرير عن الحدث إلى مدخل Defender لنقطة النهاية. إذا كنت تواجه مشكلة في العثور على الحدث، يمكنك تصفية المخطط الزمني للأحداث باستخدام مربع البحث. يمكنك أيضا عرض أحداث تقليل الأجزاء المعرضة للهجوم عن طريق زيارة Go إلى إدارة الأجزاء المعرضة للهجوم، من أيقونة إدارة التكوين في شريط مهام Defender for Cloud. تتضمن صفحة إدارة سطح الهجوم علامة تبويب لاكتشافات التقارير، والتي تتضمن قائمة كاملة بأحداث قاعدة تقليل الأجزاء المعرضة للهجوم التي تم الإبلاغ عنها إلى Defender لنقطة النهاية.

حاول فتح خيارات الفهرسة مباشرة من Windows 10 أو Windows 11.

1. حدد أيقونة البحث على شريط مهام Windows.

2. أدخل خيارات الفهرسة في مربع البحث.

لا. يتم الاحتفاظ بالمعايير المستخدمة من قبل هذه القاعدة بواسطة الحماية السحابية من Microsoft، للحفاظ على تحديث القائمة الموثوق بها باستمرار بالبيانات التي تم جمعها من جميع أنحاء العالم. لا يملك المسؤولون المحليون حق الوصول للكتابة لتغيير هذه البيانات. إذا كنت تبحث عن تكوين هذه القاعدة لتخصيصها لمؤسستك، يمكنك إضافة تطبيقات معينة إلى قائمة الاستثناءات لمنع تشغيل القاعدة.

تعتمد هذه القاعدة على كل تطبيق له سمعة معروفة، كما يتم قياسه حسب الانتشار أو العمر أو التضمين في قائمة التطبيقات الموثوق بها. يتم تحديد قرار القاعدة بحظر تطبيق أو السماح به في نهاية المطاف من خلال تقييم الحماية السحابية من Microsoft لهذه المعايير.

عادة، يمكن أن تحدد حماية السحابة أن إصدارا جديدا من التطبيق مشابه بما يكفي للإصدارات السابقة التي لا تحتاج إلى إعادة تقييمها مطولا. ومع ذلك، قد يستغرق التطبيق بعض الوقت لبناء سمعة بعد تبديل الإصدارات، خاصة بعد التحديث الرئيسي. في هذه الأثناء، يمكنك إضافة التطبيق إلى قائمة الاستثناءات، لمنع هذه القاعدة من حظر التطبيقات المهمة. إذا كنت تقوم بتحديث الإصدارات الجديدة من التطبيقات واستخدامها بشكل متكرر، فيمكنك بدلا من ذلك اختيار تشغيل هذه القاعدة في وضع التدقيق.

لا يشير الإعلام الذي تم إنشاؤه بواسطة هذه القاعدة بالضرورة إلى نشاط ضار؛ ومع ذلك، لا تزال هذه القاعدة مفيدة لحظر النشاط الضار، لأن البرامج الضارة غالبا ما تستهدف lsass.exe للوصول غير المشروع إلى الحسابات. تخزن عملية lsass.exe بيانات اعتماد المستخدم في الذاكرة بعد تسجيل دخول المستخدم. يستخدم Windows بيانات الاعتماد هذه للتحقق من صحة المستخدمين وتطبيق نهج الأمان المحلية.

نظرا لأن العديد من العمليات المشروعة على مدار يوم نموذجي تستدعي lsass.exe لبيانات الاعتماد، يمكن أن تكون هذه القاعدة مزعجة بشكل خاص. إذا تسبب تطبيق شرعي معروف في إنشاء هذه القاعدة لعدد كبير من الإعلامات، يمكنك إضافتها إلى قائمة الاستبعاد. تنشئ معظم قواعد تقليل الأجزاء المعرضة للهجوم عددا أقل نسبيا من الإعلامات، مقارنة بهذا، نظرا لأن استدعاء lsass.exe هو أمر نموذجي للعديد من التطبيقات التي تعمل بشكل طبيعي.

لا يوفر تمكين هذه القاعدة حماية إضافية إذا كان لديك حماية LSA ممكنة أيضا. تعمل كل من القاعدة وحماية LSA بنفس الطريقة، لذا فإن تشغيل كل منهما في نفس الوقت سيكون زائدا عن الحاجة. ومع ذلك، في بعض الأحيان قد لا تتمكن من تمكين حماية LSA. في هذه الحالات، يمكنك تمكين هذه القاعدة لتوفير حماية مكافئة ضد البرامج الضارة التي تستهدف lsass.exe.

• نظرة عامة حول قواعد تقليل الأجزاء المعرضة للهجوم
• تقييم قواعد تقليل الأجزاء المعرضة للهجوم
• نشر قواعد تقليل الأجزاء المعرضة للهجوم الخطوة 3: تنفيذ قواعد تقليل الأجزاء المعرضة للهجوم
• تمكين قواعد تقليل الأجزاء المعرضة للهجوم
• توافق Microsoft Defender Antivirus مع برنامج الحماية من الفيروسات/الحماية من البرامج الضارة الأخرى