تم التجاهل
هل يعد تقليل الأجزاء المعرضة للهجوم جزءا من Windows؟
نعم. تعد قواعد تقليل الأجزاء المعرضة للهجوم (ASR) إحدى ميزات برنامج الحماية من الفيروسات Microsoft Defender، والتي يتم تضمينها في جميع الإصدارات الحالية من Windows. ومع ذلك، تتطلب الإدارة المركزية وإعداد التقارير لقواعد ASR Microsoft Defender لنقطة النهاية. لمزيد من المعلومات، راجع نظرة عامة على قواعد تقليل الأجزاء المعرضة للهجوم.
هل أحتاج إلى ترخيص مؤسسة لتشغيل قواعد تقليل الأجزاء المعرضة للهجوم؟
لا. تعد قواعد ASR إحدى ميزات برنامج الحماية من الفيروسات Microsoft Defender، لذا فهي تعمل على جميع الإصدارات الحالية من Windows. ومع ذلك، تتطلب الإدارة المركزية وإعداد التقارير من خلال Microsoft Intune أو Microsoft Configuration Manager Microsoft Defender لنقطة النهاية وترخيص المؤسسة المقابل.
لمعرفة المزيد حول ترخيص Windows، راجع https://www.microsoft.com/licensing/product-licensing/windows.
ما هي قدرات تقليل الأجزاء المعرضة للهجوم الإضافية المتوفرة مع Microsoft Defender لنقطة النهاية؟
يوفر Microsoft Defender لنقطة النهاية إدارة مركزية ومراقبة لقواعد ASR، بما في ذلك:
- النشر المركزي وتكوين قواعد ASR عبر الأجهزة.
- الإبلاغ عن قاعدة ASR ورؤية التنبيه في مدخل Microsoft Defender.
- استعلامات تتبع متقدمة لأحداث قاعدة ASR.
تتطلب هذه الإمكانات ترخيص Defender لنقطة النهاية (على سبيل المثال، كجزء من Microsoft 365 E3 أو E5). لمزيد من المعلومات، راجع طرق التوزيع والتكوين لقواعد ASR.
ما هي قواعد تقليل الأجزاء المعرضة للهجوم المدعومة حاليا؟
لمزيد من المعلومات، راجع مرجع قواعد تقليل الأجزاء المعرضة للهجوم.
هل أحتاج إلى تشغيل جميع قواعد تقليل الأجزاء المعرضة للهجوم في نفس الوقت، أم يمكنني تشغيل القواعد الفردية؟
يمكنك تمكين قواعد ASR بشكل فردي. نوصي أولا بتمكين معظم القواعد في وضع التدقيق لتحديد التأثير المحتمل لمؤسستك (على سبيل المثال، لتطبيقات خط العمل).
كيف تعمل استثناءات قاعدة تقليل الأجزاء المعرضة للهجوم؟
تدعم قواعد ASR الأنواع التالية من الاستثناءات:
- تنطبق استثناءات قواعد ASR العمومية على جميع قواعد ASR. تدعم جميع أساليب تكوين قاعدة ASR الاستثناءات العمومية.
- تنطبق استثناءات القواعد لكل ASR على القواعد الفردية، بحيث يمكنك تعيين استثناءات مختلفة لقواعد مختلفة. تدعم نهج أمان نهج المجموعة ونقطة النهاية فقط في Microsoft Intune الاستثناءات لكل قاعدة.
لا تحترم جميع قواعد ASR استثناءات مكافحة الفيروسات Microsoft Defender. للحصول على تصنيف كامل لدعم الاستبعاد لكل قاعدة، راجع استثناءات الملفات والمجلدات لقواعد ASR.
كيف أعمل أعرف ما أحتاج لاستبعاده؟
قواعد تقليل سطح الهجوم المختلفة لها تدفقات حماية مختلفة. فكر دائما في ما تحميه قاعدة تقليل الأجزاء المعرضة للهجوم، وكيفية عمل تدفق التنفيذ. على سبيل المثال، يمكن أن تكون القراءة مباشرة من عملية النظام الفرعي لسلطة الأمان المحلية (LSASS) خطرا أمنيا، لأنها قد تعرض بيانات اعتماد الشركة.
تمنع قاعدة حظر بيانات الاعتماد التي تسرق من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe) العمليات غير الموثوق بها من الوصول المباشر إلى ذاكرة LSASS. عندما تحاول عملية مع PROCESS_VM_READ حق الوصول استخدام الدالة OpenProcess() للوصول إلى LSASS، تحظر القاعدة على وجه التحديد هذا الوصول إلى اليمين كما هو موضح في لقطة الشاشة التالية:
إذا كنت بحاجة إلى إنشاء استثناء للعملية التي تم حظرها، فاستخدم اسم الملف والمسار الكامل كما هو موضح في لقطة الشاشة التالية:
تعني القيمة 0 أن قواعد ASR تتجاهل الملف أو العملية المحددة ولا تحظرها أو تدققها.
كيف أعمل تكوين الاستثناءات لكل قاعدة؟
يتم دعم استثناءات القواعد لكل ASR فقط في نهج أمان نهج المجموعة ونقطة النهاية في Microsoft Intune. للحصول على إرشادات التكوين، راجع تمكين قواعد تقليل الأجزاء المعرضة للهجوم. للحصول على معلومات حول الأنواع المختلفة من الاستثناءات، راجع استثناءات الملفات والمجلدات لقواعد ASR.
ما هي قواعد تقليل الأجزاء المعرضة للهجوم التي توصي بها Microsoft؟
بشكل عام، نوصي بتمكين جميع القواعد، ولكن مع الاعتبارات التالية:
عادة، يمكنك تمكين قواعد الحماية القياسية التالية في وضع الحظر دون اختبار في وضع التدقيق :
- حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال (الجهاز)
- حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windowsملاحظة: إذا قمت بتمكين حماية هيئة الأمان المحلية (LSA) ( التي نوصي بها، جنبا إلى جنب مع Credential Guard)، فإن هذه القاعدة زائدة عن الحاجة.
- استمرار الحظر من خلال ملاحظة اشتراك حدث WMI: يعتمد عميل Microsoft Configuration Manager (أو الإصدارات السابقة) بشكل كبير على WMI، لذلك نوصي بإجراء اختبار شامل في وضع التدقيق قبل تنشيط هذه القاعدة في وضع الحظر.
للحصول على تفاصيل حول كل من هذه القواعد، راجع قواعد الحماية Standard.
تتطلب جميع القواعد الأخرى الاختبار في وضع التدقيق قبل تنشيطها في وضع الحظر . للحصول على تفاصيل حول كل من هذه القواعد، راجع قواعد ASR الأخرى.
ما هي بعض التوصيات للبدء في تقليل الأجزاء المعرضة للهجوم؟
اختبر قواعد تقليل الأجزاء المعرضة للهجوم في وضع التدقيق لتحديد أي تطبيقات لخط العمل تحتاج إلى استبعادها من تقليل سطح الهجوم.
يجب أن تفكر المؤسسات الكبيرة في طرح قواعد تقليل الأجزاء المعرضة للهجوم في توسيع "الحلقات" حيث تقوم بمراجعة القواعد وتمكينها لمزيد من الأجهزة. يمكنك تنظيم الأجهزة في حلقات باستخدام Microsoft Intune أو أداة إدارة نهج المجموعة.
للحصول على إرشادات، راجع نظرة عامة على نشر قواعد تقليل الأجزاء المعرضة للهجوم.
ما المدة التي يجب أن أختبر فيها قاعدة تقليل سطح الهجوم في وضع التدقيق قبل تمكينها؟
يجب أن توفر القاعدة في وضع التدقيق لمدة 30 يوما أساسا جيدا لكيفية عمل القاعدة. يمكنك تحديد أي تطبيقات لخط العمل تتطلب استثناءات.
أتحول من حل أمان غير تابع ل Microsoft إلى Microsoft Defender لنقطة النهاية. هل هناك طريقة سهلة لاستيراد قواعدي القديمة لمهاجمة تقليل السطح؟
في معظم الحالات، من الأسهل والأفضل البدء بالتوصيات الأساسية التي اقترحها Defender لنقطة النهاية بدلا من محاولة استيراد القواعد من حل أمان آخر. استخدم وضع التدقيق والمراقبة والتحليلات لتكوين Defender لنقطة النهاية.
يحمي التكوين الافتراضي لمعظم قواعد تقليل الأجزاء المعرضة للهجوم، جنبا إلى جنب مع حماية Defender لنقطة النهاية في الوقت الحقيقي، من عدد كبير من عمليات الاستغلال والثغرات الأمنية.
في Defender لنقطة النهاية، يمكنك تحديث دفاعاتك بمؤشرات مخصصة للسماح بسلوك برنامج معين وحظره. تدعم قواعد ASR أيضا استثناءات الملفات والمجلدات. بشكل عام، اختبر قاعدة في وضع التدقيق لتحديد الاستثناءات التي قد تكون مطلوبة لتطبيقات خط العمل.
هل يدعم تقليل الأجزاء المعرضة للهجوم استثناءات الملفات أو المجلدات التي تتضمن متغيرات النظام وأحرف البدل في المسار؟
نعم. لمزيد من المعلومات، راجع المقالات التالية:
هل تغطي قواعد تقليل الأجزاء المعرضة للهجوم جميع التطبيقات؟
يعتمد ذلك على القاعدة. تغطي معظم القواعد سلوك منتجات Microsoft Office وخدماته، على سبيل المثال، Word أو Excel أو PowerPoint أو OneNote أو Outlook. بعض القواعد (على سبيل المثال، حظر تنفيذ البرامج النصية التعتيمة) أكثر عمومية في النطاق.
هل يدعم تقليل الأجزاء المعرضة للهجوم حلول الأمان غير التابعة ل Microsoft؟
لا. يستخدم تقليل الأجزاء المعرضة للهجوم برنامج الحماية من الفيروسات Microsoft Defender لحظر التطبيقات. لا يمكنك تكوين تقليل الأجزاء المعرضة للهجوم لاستخدام حل أمان آخر.
لدي ترخيص Windows Enterprise E5 وقمت بتمكين بعض قواعد تقليل الأجزاء المعرضة للهجوم باستخدام Defender لنقطة النهاية. هل من الممكن ألا يظهر حدث تقليل الأجزاء المعرضة للهجوم في المخطط الزمني للحدث في Defender لنقطة النهاية؟
عندما تقوم قاعدة تقليل الأجزاء المعرضة للهجوم محليا بتشغيل إعلام، يتم أيضا إرسال تقرير عن الحدث إلى مدخل Defender لنقطة النهاية. إذا كنت تواجه مشكلة في العثور على الحدث، يمكنك تصفية المخطط الزمني للأحداث باستخدام مربع البحث.
يمكنك أيضا عرض أحداث تقليل الأجزاء المعرضة للهجوم عن طريق تحديد Go لمهاجمة إدارة الأجزاء من إدارة التكوين في Microsoft Defender لشريط مهام السحابة. تتضمن صفحة إدارة سطح الهجوم علامة تبويب لاكتشافات التقارير، والتي تتضمن قائمة كاملة بأحداث قاعدة تقليل الأجزاء المعرضة للهجوم التي تم الإبلاغ عنها إلى Defender لنقطة النهاية.
لقد طبقت قاعدة باستخدام نهج المجموعة. عندما أحاول التحقق من خيارات الفهرسة للقاعدة في Microsoft Outlook، أحصل على خطأ "تم رفض الوصول".
حاول فتح خيارات الفهرسة مباشرة من Windows 10 أو أحدث عن طريق إدخال خيارات الفهرسة في مربع البحث.
بالنسبة للقاعدة المسماة "حظر تشغيل الملفات القابلة للتنفيذ ما لم تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها"، هل يمكنني تكوين المعايير يدويا؟
لا. تحافظ الحماية السحابية من Microsoft على المعايير باستخدام البيانات التي تم جمعها من جميع أنحاء العالم. يمكنك تخصيص القاعدة عن طريق إضافة تطبيقات إلى قائمة الاستثناءات لمنع تشغيل القاعدة.
القاعدة المسماة "حظر الملفات القابلة للتنفيذ من التشغيل ما لم تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها" في وضع الحظر في مؤسستي. بدأت القاعدة في حظر تطبيق لم يتم حظره مسبقا بعد تحديث التطبيق. هل هناك شيء خاطئ؟
تحدد هذه القاعدة سمعة التطبيق باستخدام الانتشار أو العمر أو التضمين في قائمة التطبيقات الموثوق بها. يحدد تقييم هذه المعايير بواسطة الحماية السحابية من Microsoft في نهاية المطاف قرار حظر تطبيق أو السماح به.
عادة، يمكن أن تحدد حماية السحابة أن إصدارا جديدا من التطبيق مشابه بما يكفي للإصدارات السابقة من التطبيق، لذلك لا يلزم إعادة تقييم طويلة للتطبيق. ومع ذلك، قد يستغرق الإصدار الجديد من التطبيق وقتا لبناء سمعة، خاصة بعد التحديث الرئيسي. في هذه الأثناء، يمكنك إضافة التطبيق إلى قائمة الاستثناءات. إذا كنت تقوم بتحديث الإصدارات الجديدة من التطبيقات والعمل معها بشكل متكرر، فقد تفكر في تكوين هذه القاعدة في وضع التدقيق .
لقد قمت مؤخرا بتمكين قاعدة تقليل الأجزاء المعرضة للهجوم المسماة حظر بيانات الاعتماد التي تسرق من النظام الفرعي لسلطة الأمان المحلية ل Windows، وأتلقى عددا كبيرا من الإعلامات. ماذا يحدث؟
لا يشير الإعلام الذي تم إنشاؤه بواسطة هذه القاعدة بالضرورة إلى نشاط ضار. ولكن هذه القاعدة لا تزال مفيدة لحظر النشاط الضار. غالبا ما تستهدف البرامج الضارة lsass.exe للوصول غير المشروع إلى الحسابات. تخزن عملية lsass.exe بيانات اعتماد المستخدم في الذاكرة بعد تسجيل دخول المستخدم. يستخدم Windows بيانات الاعتماد هذه للتحقق من صحة المستخدمين وتطبيق نهج الأمان المحلية.
نظرا لأن العديد من العمليات المشروعة تستدعي lsass.exe لبيانات الاعتماد، يمكن أن تكون هذه القاعدة مزعجة بشكل خاص. إذا تسبب تطبيق شرعي معروف في إنشاء هذه القاعدة لعدد كبير من الإعلامات، يمكنك إضافتها إلى قائمة الاستبعاد. تنشئ معظم قواعد تقليل الأجزاء المعرضة للهجوم الأخرى عددا أقل نسبيا من الإعلامات.
هل من الجيد تمكين القاعدة المسماة Block credential stealing من النظام الفرعي لمرجع الأمان المحلي Windows إلى جانب حماية LSA؟
لا. إذا قمت بتمكين حماية هيئة الأمان المحلية (LSA) ( التي نوصي بها، جنبا إلى جنب مع Credential Guard):
- هذه القاعدة غير مطلوبة.
- لا توفر هذه القاعدة حماية إضافية (تعمل القاعدة وحماية LSA بشكل مماثل).
- تصنف هذه القاعدة على أنها غير قابلة للتطبيق في إعدادات إدارة Defender لنقطة النهاية في مدخل Microsoft Defender.
إذا لم تتمكن من تمكين حماية LSA و/أو Credential Guard، يمكنك تكوين هذه القاعدة لتوفير حماية مكافئة ضد البرامج الضارة التي تستهدف lsass.exe.