حماية الأجهزة من استغلالها
ينطبق على:
تطبق الحماية من الهجمات تلقائيا العديد من تقنيات التخفيف من الهجمات على عمليات وتطبيقات نظام التشغيل. يتم دعم الحماية من الهجمات بدءا من Windows 10 والإصدار 1709 Windows 11 وWindows Server، الإصدار 1803.
تعمل الحماية من الهجمات بشكل أفضل مع Defender لنقطة النهاية - والتي تمنحك تقارير مفصلة عن أحداث وكتل الحماية من الهجمات كجزء من سيناريوهات التحقيق في التنبيه المعتادة.
يمكنك تمكين الحماية من الاستغلال على جهاز فردي، ثم استخدام نهج المجموعة لتوزيع ملف XML على أجهزة متعددة في وقت واحد.
عند العثور على تخفيف على الجهاز، يتم عرض إعلام من مركز الصيانة. يمكنك تخصيص الإعلام مع تفاصيل شركتك ومعلومات الاتصال. يمكنك أيضا تمكين القواعد بشكل فردي لتخصيص التقنيات التي تراقبها الميزات.
يمكنك أيضا استخدام وضع التدقيق لتقييم كيفية تأثير الحماية من الهجمات على مؤسستك إذا تم تمكينها.
يتم تضمين العديد من الميزات في مجموعة أدوات تجربة التخفيف المحسنة (EMET) في الحماية من الهجمات. في الواقع، يمكنك تحويل واستيراد ملفات تعريف تكوين EMET الموجودة إلى الحماية من الهجمات. لمعرفة المزيد، راجع استيراد تكوينات الحماية من الهجمات وتصديرها وتوزيعها.
هام
إذا كنت تستخدم EMET حاليا، فيجب أن تدرك أن EMET قد وصلت إلى نهاية الدعم في 31 يوليو 2018. ضع في اعتبارك استبدال EMET بالحماية من الهجمات في Windows 10.
تحذير
قد تواجه بعض تقنيات تقليل المخاطر الأمنية مشاكل في التوافق مع بعض التطبيقات. يجب اختبار الحماية من الهجمات في جميع سيناريوهات الاستخدام الهدف باستخدام وضع التدقيق قبل نشر التكوين عبر بيئة الإنتاج، أو بقية الشبكة.
مراجعة أحداث الحماية من الهجمات في مدخل Microsoft Defender
يوفر Defender لنقطة النهاية تقارير مفصلة عن الأحداث والكتل كجزء من سيناريوهات التحقيق في التنبيه الخاصة به.
يمكنك الاستعلام عن بيانات Defender لنقطة النهاية باستخدام التتبع المتقدم. إذا كنت تستخدم وضع التدقيق، يمكنك استخدام التتبع المتقدم لمعرفة كيف يمكن أن تؤثر إعدادات الحماية من الهجمات على بيئتك.
فيما يلي مثال على الاستعلام:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
مراجعة أحداث الحماية من الهجمات في Windows عارض الأحداث
يمكنك مراجعة سجل أحداث Windows لمشاهدة الأحداث التي يتم إنشاؤها عند كتل الحماية من الهجمات (أو عمليات التدقيق) أحد التطبيقات:
| موفّر/مصدر | معرف الحدث | الوصف |
|---|---|---|
| Security-Mitigations | 1 | تدقيق ACG |
| Security-Mitigations | 2 | فرض ACG |
| Security-Mitigations | 3 | عدم السماح بمراجعة العمليات التابعة |
| Security-Mitigations | 4 | عدم السماح بحظر العمليات التابعة |
| Security-Mitigations | 5 | حظر تدقيق الصور منخفضة التكامل |
| Security-Mitigations | 6 | حظر كتلة صور التكامل المنخفض |
| Security-Mitigations | 7 | حظر تدقيق الصور البعيدة |
| Security-Mitigations | 8 | حظر كتلة الصور البعيدة |
| Security-Mitigations | 9 | تعطيل تدقيق مكالمات نظام Win32k |
| Security-Mitigations | 10 | تعطيل كتلة مكالمات نظام win32k |
| Security-Mitigations | 11 | حماية تكامل التعليمات البرمجية |
| Security-Mitigations | 12 | كتلة حماية تكامل التعليمات البرمجية |
| Security-Mitigations | 13 | تدقيق EAF |
| Security-Mitigations | 14 | فرض EAF |
| Security-Mitigations | 15 | تدقيق EAF+ |
| Security-Mitigations | 16 | فرض EAF+ |
| Security-Mitigations | 17 | تدقيق IAF |
| Security-Mitigations | 18 | فرض IAF |
| Security-Mitigations | 19 | تدقيق ROP StackPivot |
| Security-Mitigations | 20 | فرض ROP StackPivot |
| Security-Mitigations | 21 | تدقيق ROP CallerCheck |
| Security-Mitigations | 22 | فرض ROP CallerCheck |
| Security-Mitigations | 23 | تدقيق ROP SimExec |
| Security-Mitigations | 24 | فرض ROP SimExec |
| WER-Diagnostics | 5 | كتلة CFG |
| Win32K | 260 | خط غير موثوق به |
مقارنة التخفيف من المخاطر
يتم تضمين عوامل التخفيف المتوفرة في EMET في الأصل في Windows 10 (بدءا من الإصدار 1709) Windows 11 وWindows Server (بدءا من الإصدار 1803)، ضمن الحماية من الهجمات.
يشير الجدول الموجود في هذا القسم إلى توفر ودعم عوامل التخفيف الأصلية بين EMET والحماية من الهجمات.
| تقليل المخاطر | متوفر في إطار الحماية من الهجمات | متوفر في EMET |
|---|---|---|
| حماية التعليمات البرمجية العشوائية (ACG) | نعم | نعم ك "التحقق من حماية الذاكرة" |
| حظر الصور البعيدة | نعم | نعم ك "التحقق من مكتبة التحميل" |
| حظر الخطوط غير الموثوقة | نعم | نعم |
| منع تنفيذ التعليمات البرمجية (DEP) | نعم | نعم |
| تصدير عوامل تصفية العنوان (EAF) | نعم | نعم |
| فرض إعادة الترتيب العشوائي للصور (ASLR إلزامي) | نعم | نعم |
| تخفيف أمان NullPage | نعم مضمن أصلا في Windows 10 Windows 11 لمزيد من المعلومات، راجع التخفيف من التهديدات باستخدام ميزات الأمان Windows 10 |
نعم |
| تخصيصات الذاكرة عشوائيا (ASLR من الأسفل إلى الأعلى) | نعم | نعم |
| محاكاة التنفيذ (SimExec) | نعم | نعم |
| التحقق من صحة استدعاء واجهة برمجة التطبيقات API (CallerCheck) | نعم | نعم |
| التحقق من صحة سلاسل الاستثناء (SEHOP) | نعم | نعم |
| التحقق من صحة تكامل المكدس (StackPivot) | نعم | نعم |
| ثقة الشهادة (تثبيت الشهادة القابلة للتكوين) | Windows 10 Windows 11 توفير تثبيت شهادة المؤسسة | نعم |
| تخصيص رذاذ كومة الذاكرة المؤقتة | غير فعال ضد عمليات الاستغلال الأحدث المستندة إلى المستعرض؛ توفر عوامل التخفيف الأحدث حماية أفضل لمزيد من المعلومات، راجع التخفيف من التهديدات باستخدام ميزات الأمان Windows 10 |
نعم |
| حظر الصور منخفضة التكامل | نعم | لا |
| حماية تكامل التعليمات البرمجية | نعم | لا |
| تعطيل نقاط الملحق | نعم | لا |
| تعطيل مكالمات نظام Win32k | نعم | لا |
| عدم السماح بالعمليات التابعة | نعم | لا |
| استيراد عوامل تصفية العنوان (IAF) | نعم | لا |
| التحقق من صحة استخدام المؤشر | نعم | لا |
| التحقق من صحة تكامل كومة الذاكرة المؤقتة | نعم | لا |
| التحقق من صحة تكامل تبعية الصورة | نعم | لا |
ملاحظة
تحل ACG محل عوامل التخفيف المتقدمة من ROP المتوفرة في EMET في Windows 10 Windows 11، والتي يتم تمكين الإعدادات المتقدمة الأخرى ل EMET بشكل افتراضي، كجزء من تمكين عمليات التخفيف من المخاطر المضادة ل ROP لعملية ما. لمزيد من المعلومات حول كيفية استخدام Windows 10 لتقنية EMET الحالية، راجع مخاطر التخفيف باستخدام ميزات الأمان Windows 10.
راجع أيضًا
- تكوين عمليات تخفيف مخاطر الهجمات والتدقيق فيها
- استكشاف أخطاء الحماية من الهجمات وإصلاحها
- تحسين نشر قاعدة ASR واكتشافها
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.