تكوين قواعد واستثناءات تقليل الأجزاء المعرضة للهجوم (ASR)

تستهدف قواعد تقليل الأجزاء المعرضة للهجوم (ASR) سلوك البرامج الخطرة على أجهزة Windows التي يستغلها المهاجمون عادة من خلال البرامج الضارة (على سبيل المثال، تشغيل البرامج النصية التي تقوم بتنزيل الملفات وتشغيل البرامج النصية المشوشة وإدخال التعليمات البرمجية في عمليات أخرى). توضح هذه المقالة كيفية تمكين قواعد ASR وتكوينها.

للحصول على أفضل النتائج، استخدم حلول الإدارة على مستوى المؤسسة مثل Microsoft Intune أو Microsoft Configuration Manager لإدارة قواعد ASR. تقوم إعدادات قاعدة ASR من Intune أو Configuration Manager بالكتابة فوق أي إعدادات متعارضة من نهج المجموعة أو PowerShell عند بدء التشغيل.

المتطلبات الأساسية

لمزيد من المعلومات، راجع متطلبات قواعد ASR.

تكوين قواعد ASR في Microsoft Intune

Microsoft Intune هي الأداة الموصى بها لتكوين نهج قاعدة ASR وتوزيعها على الأجهزة. يتطلب Microsoft Intune الخطة 1 (مضمنة في اشتراكات مثل Microsoft 365 E3 أو متوفرة كوظيفة إضافية مستقلة).

في Intune، نهج أمان نقطة النهاية هي الطريقة الموصى بها لنشر قواعد ASR، على الرغم من توفر أساليب أخرى أيضا في Intune كما هو موضح في الأقسام الفرعية التالية.

تكوين قواعد ASR والاستثناءات في Intune باستخدام نهج أمان نقطة النهاية

لتكوين قواعد ASR باستخدام نهج تقليل سطح هجوم أمان نقطة النهاية Microsoft Intune، راجع إنشاء نهج أمان نقطة نهاية (يفتح في علامة تبويب جديدة في وثائق Intune). عند إنشاء النهج، استخدم هذه الإعدادات:

هام

تدعم إدارة Microsoft Defender لنقطة النهاية عناصر الجهاز فقط. استهداف المستخدمين غير مدعوم. قم بتعيين النهج Microsoft Entra مجموعات الأجهزة، وليس مجموعات المستخدمين.

• نوع النهج: تقليل الأجزاء المعرضة للهجوم
• النظام الأساسي: Windows
• ملف التعريف: قواعد تقليل الأجزاء المعرضة للهجوم
• إعدادات التكوين:

  • تقليل الأجزاء المعرضة للهجوم: يمكنك عادة تمكين قواعد الحماية القياسية في وضع الحظر أو التحذير دون اختبار. يجب اختبار قواعد ASR الأخرى في وضع التدقيق قبل تبديلها إلى وضع الحظر أو التحذير . لمزيد من المعلومات، راجع دليل توزيع قواعد ASR.

    بعد تعيين وضع القاعدة إلى Audit أو Block أو Warn، يظهر قسم ASR فقط لكل استثناءات القاعدة حيث يمكنك تحديد الاستثناءات التي تنطبق على تلك القاعدة فقط.

  • استثناءات تقليل الأجزاء المعرضة للهجوم فقط: استخدم هذا القسم لتحديد الاستثناءات التي تنطبق على جميع قواعد ASR.

    لتحديد استثناءات قاعدة لكل ASR أو استثناءات قاعدة ASR العمومية، استخدم أي من الطرق التالية:

    • حدد إضافة. في المربع الذي يظهر، أدخل المسار أو المسار واسم الملف لاستبعادهما. على سبيل المثال:

      • C:\folder
      • %ProgramFiles%\folder\file.exe C:\path

    • حدد استيراد لاستيراد ملف CSV يحتوي على أسماء الملفات والمجلدات لاستبعادها. يستخدم ملف CSV التنسيق التالي:

      AttackSurfaceReductionOnlyExclusions
      "C:\folder"
      "%ProgramFiles%\folder\file.exe"
      "C:\path"
      ...
      

      تلميح

      علامات الاقتباس المزدوجة حول القيم اختيارية، ويتم تجاهلها (لا يتم استخدامها في القيم) إذا قمت بتضمينها. لا تستخدم علامات اقتباس مفردة حول القيم.

    لمزيد من المعلومات حول الاستثناءات، راجع استثناءات الملفات والمجلدات لقواعد ASR.

  • تمكين الوصول المتحكم به إلى المجلداتوالمجلدات المحمية التي يتم التحكم في الوصول إليهاوالتطبيقات المسموح بها للوصول إلى المجلدات الخاضعة للرقابة: لمزيد من المعلومات، راجع حماية المجلدات المهمة باستخدام الوصول المتحكم به إلى المجلدات.

تكوين قواعد ASR في Intune باستخدام ملفات تعريف مخصصة مع OMA-URIs وCSPs

على الرغم من أنه يوصى بنهج أمان نقطة النهاية، يمكنك أيضا تكوين قواعد ASR في Intune باستخدام ملفات التعريف المخصصة التي تحتوي على ملفات تعريف Open Mobile Alliance – Uniform Resource (OMA-URI) باستخدام موفر خدمة تكوين نهج Windows (CSP).

للحصول على معلومات عامة حول OMA-URIs في Intune، راجع توزيع OMA-URIs لاستهداف CSP من خلال Intune، ومقارنة بالأماكن المحلية.

1. في مركز إدارة Microsoft Intune في https://intune.microsoft.com، حدد إدارة الأجهزة>تكوينالأجهزة>. أو، للانتقال مباشرة إلى الأجهزة | صفحة التكوين ، استخدم https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

2. في علامة التبويب نهجللأجهزة | صفحة التكوين ، حدد إنشاء>نهج جديد.

   

3. في القائمة المنبثقة Create a profile التي تفتح، قم بتكوين الإعدادات التالية:

   • النظام الأساسي: حدد Windows 10 والإصدارات الأحدث.
   • نوع ملف التعريف: حدد قوالب.
     • في قسم Template name الذي يظهر، حدد Custom.

   حدد إنشاء.

   

4. يتم فتح معالج القالب المخصص. في علامة التبويب Basics ، قم بتكوين الإعدادات التالية:

   • الاسم: أدخل اسما فريدا للقالب.
   • الوصف: أدخل وصفا اختياريا.

   عند الانتهاء من علامة التبويب الأساسيات ، حدد التالي.

5. في علامة التبويب إعدادات التكوين ، حدد إضافة.

   

   في القائمة المنبثقة إضافة صف التي تفتح، قم بتكوين الإعدادات التالية:

   • الاسم: أدخل اسما فريدا للقاعدة.

   • الوصف: أدخل وصفا اختياريا وموجزا.

   • OMA-URI: أدخل قيمة الجهاز من AttackSurfaceReductionRules CSP: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

     • نوع البيانات: حدد سلسلة.

     • القيمة: استخدم بناء الجملة التالي:

       <RuleGuid1>=<ModeForRuleGuid1>
       <RuleGuid2>=<ModeForRuleGuid2>
       ...
       <RuleGuidN>=<ModeForRuleGuidN>
       

       • تتوفر قيم GUID لقواعد ASR في قواعد ASR.
       • تتوفر أوضاع القاعدة التالية:
         • 0:قباله
         • 1:كتله
         • 2:مراجعه الحسابات
         • 5: لم يتم تكوينه
         • 6:تحذير

       على سبيل المثال:

       75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
       3b576869-a4ec-4529-8536-b80a7769e899=1
       d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
       d3e037e1-3eb8-44c8-a917-57927947596d=1
       5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
       be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
       

     

     عند الانتهاء من القائمة المنبثقة إضافة صف ، حدد حفظ.

     تلميح

     في هذه المرحلة، يمكنك أيضا إضافة استثناءات قاعدة ASR العمومية إلى ملف التعريف المخصص بدلا من إنشاء ملف تعريف منفصل فقط للاستبعادات. للحصول على إرشادات، راجع القسم الفرعي التالي تكوين استثناءات قاعدة ASR العمومية في Intune باستخدام ملفات تعريف مخصصة مع OMA-URIs وCSPs.

   مرة أخرى في علامة التبويب إعدادات التكوين ، حدد التالي.

6. في علامة التبويب Assignments ، قم بتكوين الإعدادات التالية:

   • قسم المجموعات المضمنة: حدد أحد الخيارات التالية:
     • إضافة مجموعات: حدد مجموعة واحدة أو أكثر لتضمينها.
     • إضافة جميع المستخدمين
     • إضافة جميع الأجهزة
   • قسم المجموعات المستبعدة: حدد إضافة مجموعات لتحديد أي مجموعات لاستبعادها.

   عند الانتهاء من علامة التبويب الواجبات ، حدد التالي.

   

7. في علامة التبويب قواعد القابلية للتطبيق ، حدد التالي.

   يمكنك استخدام إصدار نظام التشغيل وخصائص إصدار نظام التشغيل لتحديد أنواع الأجهزة التي يجب أو لا ينبغي أن تحصل على ملف التعريف.

   

8. في علامة التبويب Review + create ، راجع الإعدادات. يمكنك استخدام السابق أو تحديد علامة تبويب للعودة وإجراء التغييرات.

   عندما تكون جاهزا لإنشاء ملف التعريف، حدد إنشاء في علامة التبويب مراجعة + إنشاء .

   

يمكنك العودة على الفور إلى علامة التبويب النهجللأجهزة | صفحة التكوين . قد تحتاج إلى تحديد Refresh لمشاهدة النهج.

قواعد ASR نشطة في غضون دقائق.

تكوين استثناءات قاعدة ASR العمومية في Intune باستخدام ملفات التعريف المخصصة مع OMA-URIs وCSPs

خطوات تكوين استثناءات قاعدة ASR العمومية في Intune باستخدام ملف تعريف مخصص مشابهة جدا لخطوات قاعدة ASR في القسم السابق. الفرق الوحيد هو في الخطوة 5 (علامة التبويب إعدادات التكوين ) حيث تقوم بإدخال معلومات استثناءات قاعدة ASR:

في علامة التبويب إعدادات التكوين ، حدد إضافة. في القائمة المنبثقة إضافة صف التي تفتح، قم بتكوين الإعدادات التالية:

• الاسم: أدخل اسما فريدا للقاعدة.
  • الوصف: أدخل وصفا اختياريا وموجزا.
  • OMA-URI: أدخل قيمة الجهاز من AttackSurfaceReductionOnlyExclusions CSP: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

    • نوع البيانات: حدد سلسلة.

    • القيمة: استخدم بناء الجملة التالي:

      <PathOrPathAndFilename1>
      <PathOrPathAndFilename1>
      ...
      <PathOrPathAndFilenameN>
      

      على سبيل المثال:

      C:\folder
      %ProgramFiles%\folder\file.exe
      C:\path
      

عند الانتهاء من القائمة المنبثقة إضافة صف ، حدد حفظ.

مرة أخرى في علامة التبويب إعدادات التكوين ، حدد التالي.

بقية الخطوات هي نفسها تكوين قواعد ASR.

تكوين قواعد ASR في أي حل MDM باستخدام نهج CSP

يمكن موفر خدمة تكوين النهج (CSP) مؤسسات المؤسسة من تكوين النهج على أجهزة Windows باستخدام أي حل لإدارة الأجهزة المحمولة (MDM)، وليس فقط Microsoft Intune. لمزيد من المعلومات، راجع نهج CSP.

يمكنك تكوين قواعد ASR باستخدام AttackSurfaceReductionRules CSP مع الإعدادات التالية:

مسار OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
القيمة: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

• تتوفر قيم GUID لقواعد ASR في قواعد ASR
• تتوفر أوضاع القاعدة التالية:
  • 0:قباله
  • 1:كتله
  • 2:مراجعه الحسابات
  • 5: لم يتم تكوينه
  • 6:تحذير

على سبيل المثال:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

ملاحظة

تأكد من إدخال قيم OMA-URI بدون مسافات.

تكوين استثناءات قاعدة ASR العمومية في أي حل MDM باستخدام نهج CSP

يمكنك استخدام نهج CSP لتكوين مسار قاعدة ASR العمومية واستبعادات المسار واسم الملف باستخدام AttackSurfaceReductionOnlyExclusions CSP مع الإعدادات التالية:

مسار OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
القيمة: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

على سبيل المثال C:\folder|%ProgramFiles%\folder\file.exe|C:\path

تكوين قواعد ASR واستبعادات قواعد ASR العمومية في Microsoft Configuration Manager

للحصول على إرشادات، راجع معلومات تقليل سطح الهجوم في إنشاء نهج Exploit Guard ونشره.

تحذير

هناك مشكلة معروفة تتعلق بتطبيق تقليل سطح الهجوم على إصدارات نظام تشغيل الخادم التي تم وضع علامة عليها على أنها متوافقة دون أي فرض فعلي. حاليا، لا يوجد تاريخ إصدار محدد لموعد إصلاح ذلك.

هام

إذا كنت تستخدم "تعطيل دمج المسؤولين" المعين على true الأجهزة، وكنت تستخدم أيا من الأدوات/الأساليب التالية، فلن تنطبق إضافة قواعد ASR لكل قاعدة أو استثناءات قاعدة ASR المحلية:

• Defender for Endpoint Security Settings Management (Disable Local مسؤول Merge) علامة تبويب نهج Windows في صفحة نهج أمان نقطة النهاية في مدخل Microsoft Defender فيhttps://security.microsoft.com/policy-inventory?osPlatform=Windows
• Microsoft Intune (تعطيل دمج مسؤول المحلي)
• Defender CSP (DisableLocalAdminMerge)
• نهج المجموعة (تكوين سلوك دمج المسؤول المحلي للقوائم)

لتعديل هذا السلوك، تحتاج إلى تغيير "تعطيل دمج المسؤول" إلى false.

تكوين قواعد ASR والاستثناءات في نهج المجموعة

تحذير

إذا كنت تدير أجهزة الكمبيوتر والأجهزة باستخدام Intune أو Microsoft Configuration Manager أو برامج إدارة أخرى على مستوى المؤسسة، فإن برنامج الإدارة يحل محل أي إعدادات نهج مجموعة متعارضة عند بدء التشغيل.

1. في نهج المجموعة المركزية، افتح وحدة تحكم إدارة نهج المجموعة (GPMC) على كمبيوتر إدارة نهج المجموعة.

2. في شجرة وحدة تحكم GPMC، قم بتوسيع نهج المجموعة Objects في الغابة والمجال الذي يحتوي على عنصر نهج المجموعة الذي تريد تحريره.

3. انقر بزر الماوس الأيمن فوق عنصر نهج المجموعة، ثم حدد تحرير.

4. في نهج المجموعة Management Editor، انتقل إلى Computer configuration>Administrative templatesWindows components>>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard > Attack Surface Reduction.

5. في جزء التفاصيل من تقليل الأجزاء المعرضة للهجوم، تكون الإعدادات المتوفرة هي:

   • تكوين قواعد تقليل الأجزاء المعرضة للهجوم
   • استبعاد الملفات والمسارات من قواعد تقليل الأجزاء المعرضة للهجوم
   • تطبيق قائمة الاستثناءات على قواعد محددة لتقليل الأجزاء المعرضة للهجوم (ASR)

   لفتح إعداد قاعدة ASR وتكوينه، استخدم أي من الطرق التالية:

   • انقر نقرا مزدوجا فوق الإعداد.
   • انقر بزر الماوس الأيمن فوق الإعداد، ثم حدد تحرير
   • حدد الإعداد، ثم حدد تحرير الإجراء>.

تلميح

يمكنك أيضا تكوين نهج المجموعة محليا على الأجهزة الفردية باستخدام محرر نهج المجموعة المحلي (gpedit.msc). انتقل إلى نفس المسار:القوالب الإدارية>لتكوين> الكمبيوترمكونات> Windows Microsoft Defender مكافحة الفيروسات> Microsoft Defenderتقليل الأجزاء المعرضة للهجوم من Exploit Guard>.

يتم وصف الإعدادات المتوفرة في الأقسام الفرعية التالية.

هام

لا يتم دعم علامات الاقتباس والمسافات البادئة والمسافات اللاحقة والأحرف الإضافية في أي من القيم المتعلقة بقاعدة ASR في نهج المجموعة.

قد تستخدم المسارات نهج المجموعة قبل الإصدار Windows 10 2004 (مايو 2020) Windows برنامج الحماية من الفيروسات من Defender بدلا من Microsoft برنامج الحماية من الفيروسات من Defender. يشير كلا الاسمين إلى نفس موقع النهج.

تكوين قواعد ASR في نهج المجموعة

1. في جزء التفاصيل من تقليل الأجزاء المعرضة للهجوم، افتح إعداد تكوين قواعد تقليل الأجزاء المعرضة للهجوم .

2. في نافذة الإعداد التي تفتح، قم بتكوين الخيارات التالية:

   1. حدد ممكن.
   2. تعيين الحالة لكل قاعدة ASR: حدد Show....

3. في مربع الحوار تعيين الحالة لكل قاعدة ASR يتم فتحها، قم بتكوين الإعدادات التالية:

   • اسم القيمة: أدخل قيمة GUID لقاعدة ASR.
   • القيمة: أدخل إحدى قيم وضع القاعدة التالية:
     • 0:قباله
     • 1:كتله
     • 2:مراجعه الحسابات
     • 5: لم يتم تكوينه
     • 6:تحذير

   

   لمزيد من المعلومات، راجع أوضاع قاعدة ASR.

   كرر هذه الخطوة عدة مرات حسب الضرورة. عند الانتهاء، حدد موافق.

تكوين استثناءات قاعدة ASR العمومية في نهج المجموعة

يتم استخدام المسارات أو أسماء الملفات ذات المسارات التي تحددها كاستثناءات لجميع قواعد ASR.

1. في جزء التفاصيل من تقليل الأجزاء المعرضة للهجوم، افتح إعداد استبعاد الملفات والمسارات من قواعد تقليل الأجزاء المعرضة للهجوم .

2. في نافذة الإعداد التي تفتح، قم بتكوين الخيارات التالية:

   1. حدد ممكن.
   2. الاستثناءات من قواعد ASR: حدد Show....

3. في مربع الحوار الاستثناءات من قواعد ASR الذي يفتح، قم بتكوين الإعدادات التالية:

   • اسم القيمة: أدخل المسار أو المسار واسم الملف لاستبعاده من جميع قواعد ASR.
   • القيمة: أدخل 0.

   يتم دعم الأنواع التالية من أسماء القيم:

   • لاستبعاد كافة الملفات في مجلد، أدخل مسار المجلد الكامل. على سبيل المثال، C:\Data\Test.
   • لاستبعاد ملف معين في مجلد معين (مستحسن)، أدخل المسار واسم الملف. على سبيل المثال، C:\Data\Test\test.exe.

   كرر هذه الخطوة عدة مرات حسب الضرورة. عند الانتهاء، حدد موافق.

تكوين استثناءات قاعدة لكل ASR في نهج المجموعة

تستخدم المسارات أو أسماء الملفات ذات المسارات التي تحددها كاستثناءات لقواعد ASR محددة.

ملاحظة

إذا لم يكن إعداد تطبيق قائمة الاستثناءات على قواعد تقليل الأجزاء المعرضة للهجوم (ASR) متوفرا في GPMC، فأنت بحاجة إلى الإصدار 24H2 أو أحدث من ملفات القوالب الإدارية في المتجر المركزي.

1. في جزء التفاصيل من Attack Surface Reduction، افتح إعداد Apply a list of exclusions to specific attack surface reduction (ASR).

2. في نافذة الإعداد التي تفتح، قم بتكوين الخيارات التالية:

   1. حدد ممكن.
   2. الاستثناءات لكل قاعدة ASR: حدد Show....

3. في مربع الحوار الاستثناءات لكل قاعدة ASR التي يتم فتحها، قم بتكوين الإعدادات التالية:

   • اسم القيمة: أدخل قيمة GUID لقاعدة ASR.
   • القيمة: أدخل استثناء واحدا أو أكثر لقاعدة ASR. استخدم بناء الجملة Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. على سبيل المثال، C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

   كرر هذه الخطوة عدة مرات حسب الضرورة. عند الانتهاء، حدد موافق.

تكوين قواعد ASR في PowerShell

تحذير

إذا كنت تدير أجهزة الكمبيوتر والأجهزة باستخدام Intune أو Configuration Manager أو نظام أساسي آخر للإدارة على مستوى المؤسسة، فإن برنامج الإدارة يحل محل أي إعدادات PowerShell متعارضة عند بدء التشغيل.

على الجهاز الهدف، استخدم بناء جملة أمر PowerShell التالي في جلسة عمل PowerShell مرتفعة (نافذة PowerShell التي فتحتها عن طريق تحديد تشغيل كمسؤول):

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

• يقوم Set-MpPreferenceبالكتابة فوق أي قواعد موجودة وأوضاعها المقابلة بالقيم التي تحددها. لمشاهدة قائمة القيم الموجودة، قم بتشغيل الأمر التالي:

  $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize
  

  لإضافة قواعد جديدة والأوضاع المقابلة لها دون التأثير على أي قيم موجودة، استخدم Add-MpPreference cmdlet. لإزالة القواعد المحددة والأوضاع المقابلة لها دون التأثير على القيم الموجودة الأخرى، استخدم الأمر Cmdlet Remove-MpPreference . بناء جملة الأمر متطابق ل cmdlets الثلاثة.

• تتوفر قيم GUID لقواعد ASR في قواعد ASR.

• القيم الصالحة للمعلمة AttackSurfaceReductionRules_Actions هي:

  • 0 او Disabled
  • 1 أو Enabled (وضع الحظر )
  • 2أو أو AuditModeAudit
  • 5 او NotConfigured
  • 6 او Warn

يقوم المثال التالي بتكوين قواعد ASR المحددة على الجهاز:

• يتم تمكين أول قاعدتين في وضع الحظر .
• تم تعطيل القاعدة الثالثة.
• يتم تمكين القاعدة الأخيرة في وضع التدقيق .

Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

تكوين استثناءات قاعدة ASR العمومية في PowerShell

على الجهاز الهدف، استخدم بناء جملة أمر PowerShell التالي في جلسة عمل PowerShell مرتفعة:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

• يقوم Set-MpPreferenceبالكتابة فوق أي استثناءات قاعدة ASR موجودة بالقيم التي تحددها. لمشاهدة قائمة القيم الموجودة، قم بتشغيل الأمر التالي:

  (Get-MpPreference).AttackSurfaceReductionOnlyExclusions
  

  لإضافة استثناءات جديدة دون التأثير على أي قيم موجودة، استخدم Add-MpPreference cmdlet. لإزالة الاستثناءات المحددة دون التأثير على أي قيم أخرى، استخدم الأمر Cmdlet Remove-MpPreference . بناء جملة الأمر متطابق ل cmdlets الثلاثة.

  يقوم المثال التالي بتكوين المسار والمسار المحددين باسم الملف كاستثناءات لجميع قواعد ASR على الجهاز:

  Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"
  

المحتويات ذات الصلة

• مرجع قواعد تقليل الأجزاء المعرضة للهجوم
• تقييم تقليل الأجزاء المعرضة للهجوم
• الأسئلة المتداولة حول قواعد تقليل الأجزاء المعرضة للهجوم