تقييم الحماية من الهجمات

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

تساعد الحماية من الهجماتيساعد في حماية الأجهزة من البرامج الضارة التي تستخدم عمليات الاستغلال لنشر الأجهزة الأخرى وإصابتها. يمكن تطبيق التقليل إما على نظام التشغيل أو على تطبيق فردي. يتم تضمين العديد من الميزات من مجموعة أدوات تجربة تقليل المخاطر المحسنة (EMET) في الحماية من الهجمات. (وصل فريق EMET إلى نهاية دعمه).

في التدقيق، يمكنك معرفة كيفية عمل التقليل لتطبيقات معينة في بيئة اختبار. يوضح هذا ما كان سيحدث إذا قمت بتمكين الحماية من الاستغلال في بيئة الإنتاج الخاصة بك. بهذه الطريقة، يمكنك التحقق من أن الحماية من الاستغلال لا تؤثر سلباً على تطبيقات الأعمال الخاصة بك، ومعرفة الأحداث المشبوهة أو الضارة التي تحدث.

تمكين الحماية من الهجمات للاختبار

يمكنك تعيين عوامل التخفيف في وضع اختبار لبرامج معينة باستخدام تطبيق أمان Windows أو Windows PowerShell.

تطبيق أمن Windows

1. افتح تطبيق أمان Windows. حدد رمز الدرع في شريط المهام أو ابحث في قائمة البدء عن أمان Windows.

2. حدد لوحة التحكم في التطبيق والمستعرض (أو أيقونة التطبيق على شريط القوائم الأيمن) ثم حدد الحماية من الهجمات.

3. انتقل إلى إعدادات البرنامج واختر التطبيق الذي تريد تطبيق عوامل تقليل المخاطر عليه:

   1. إذا كان التطبيق الذي تريد تكوينه مُدرجاً بالفعل، فحدده، ثم حدد تحرير.
   2. إذا لم يكن التطبيق مدرجا في أعلى القائمة، فحدد إضافة برنامج لتخصيصه. ثم اختر كيف تريد إضافة التطبيق.
      • استخدم إضافة حسب اسم البرنامج لتطبيق تخفيف المخاطر على أي عملية قيد التشغيل بهذا الاسم. حدد ملفا بملحق. يمكنك إدخال مسار كامل لتقييد تخفيف مخاطر التطبيق الذي يحمل هذا الاسم فقط في هذا الموقع.
      • استخدم اختيار مسار ملف محدد لاستخدام نافذة منتقي ملفات مستكشف Windows قياسية للبحث عن الملف الذي تريده وتحديده.

4. بعد تحديد التطبيق، سترى قائمة بكل عوامل تخفيف المخاطر التي يمكن تطبيقها. سيؤدي اختيار Audit إلى تطبيق التخفيف في وضع الاختبار فقط. سيتم إعلامك إذا كنت بحاجة إلى إعادة تشغيل العملية أو التطبيق، أو إذا كنت بحاجة إلى إعادة تشغيل Windows.

5. كرر الخطوات من 3 إلى 4 لجميع التطبيقات المخاطر التي تريد تكوينها. حدد تطبيق عند الانتهاء من إعداد التكوين.

PowerShell

لتعيين عوامل التخفيف على مستوى التطبيق إلى وضع الاختبار، استخدم Set-ProcessMitigation مع الأمر cmdlet لوضع التدقيق .

قم بتكوين كل عملية لتخفيف المخاطر بالتنسيق التالي:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

المكان:

• <النطاق>:
  • -Name للإشارة إلى أنه يجب تطبيق عوامل تخفيف المخاطر على تطبيق معين. حدد ملف تنفيذ التطبيق بعد هذه العلامة.
• <الإجراء>:
  • -Enable لتمكين تخفيف المخاطر
    • -Disable لتعطيل تخفيف المخاطر
• <التخفيف من المخاطر>:
  • أمر cmdlet الخاص بالتخفيف كما هو محدد في الجدول التالي. يتم فصل كل عامل تخفيف من المخاطر بفاصلة.

نوع تخفيف المخاطر	الأمر cmdlet لوضع الاختبار
حماية التعليمات البرمجية العشوائية (ACG)	AuditDynamicCode
حظر الصور منخفضة التكامل	AuditImageLoad
حظر الخطوط غير الموثوقة	AuditFont, FontAuditOnly
حماية تكامل التعليمات البرمجية	AuditMicrosoftSigned, AuditStoreSigned
تعطيل مكالمات نظام Win32k	AuditSystemCall
عدم السماح بالعمليات التابعة	AuditChildProcess

على سبيل المثال، لتمكين حماية التعليمات البرمجية العشوائية (ACG) في وضع الاختبار لتطبيق يسمى testing.exe، قم بتشغيل الأمر التالي:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

يمكنك تعطيل وضع التدقيق-Enableعن طريق الاستبدال بـ-Disable.

راجع أحداث تدقيق الحماية من الهجمات الثغرات

لمراجعة التطبيقات التي كان من الممكن حظرها، افتح عارض الأحداث وقم بتصفية الأحداث التالية في سجل إجراءات الحماية.

الميزة	موفّر/مصدر	معرف الحدث	الوصف
الحماية من استغلال	التخفيفات الأمنية (وضع Kernel / وضع المستخدم)	1	تدقيق ACG
الحماية من استغلال	التخفيفات الأمنية (وضع Kernel / وضع المستخدم)	3	لا تسمح بمراجعة العمليات الفرعية
الحماية من استغلال	التخفيفات الأمنية (وضع Kernel / وضع المستخدم)	5	حظر تدقيق الصور منخفضة التكامل
الحماية من استغلال	التخفيفات الأمنية (وضع Kernel / وضع المستخدم)	7	حظر تدقيق الصور البعيدة
الحماية من استغلال	التخفيفات الأمنية (وضع Kernel / وضع المستخدم)	9	تعطيل تدقيق مكالمات نظام Win32k
الحماية من استغلال	التخفيفات الأمنية (وضع Kernel / وضع المستخدم)	11	حماية تكامل التعليمات البرمجية

راجع أيضًا

• تمكين الحماية من استغلال
• تكوين عمليات تخفيف مخاطر الهجمات والتدقيق فيها
• استيراد تكوينات الحماية من الاستغلال وتصديرها ونشرها
• استكشاف أخطاء الحماية من الهجمات وإصلاحها

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.