نظرة عامة على نشر قواعد تقليل الأجزاء المعرضة للهجوم
ينطبق على:
أسطح الهجوم هي جميع الأماكن التي تكون فيها مؤسستك عرضة للتهديدات الإلكترونية والهجمات. تقليل سطح الهجوم الخاص بك يعني حماية أجهزة مؤسستك وشبكة الاتصال، ما يترك المهاجمين مع طرق أقل للهجوم. يمكن أن يساعد تكوين قواعد تقليل سطح هجوم Microsoft Defender لنقطة النهاية.
تستهدف قواعد تقليل الأجزاء المعرضة للهجوم بعض سلوكيات البرامج، مثل:
- بدء تشغيل الملفات والبرامج النصية القابلة للتنفيذ التي تحاول تنزيل الملفات أو تشغيلها
- تشغيل البرامج النصية المشوشة أو المشبوهة بطريقة أخرى
- السلوكيات التي لا تحدثها التطبيقات عادة أثناء العمل اليومي العادي
من خلال تقليل أسطح الهجوم المختلفة، يمكنك المساعدة في منع حدوث الهجمات في المقام الأول.
توفر مجموعة التوزيع هذه معلومات حول الجوانب التالية لقواعد تقليل الأجزاء المعرضة للهجوم:
- متطلبات قواعد تقليل الأجزاء المعرضة للهجوم
- خطة لنشر قواعد تقليل الأجزاء المعرضة للهجوم
- اختبار قواعد تقليل الأجزاء المعرضة للهجوم
- تكوين قواعد تقليل الأجزاء المعرضة للهجوم وتمكينها
- أفضل ممارسات قواعد تقليل الأجزاء المعرضة للهجوم
- قواعد تقليل الأجزاء المعرضة للهجوم التتبع المتقدم
- عارض أحداث قواعد تقليل الأجزاء المعرضة للهجوم
خطوات توزيع قواعد تقليل الأجزاء المعرضة للهجوم
كما هو الحال مع أي تنفيذ جديد واسع النطاق، والذي قد يؤثر على عمليات خط عملك، من المهم أن تكون منهجيا في التخطيط والتنفيذ. من الضروري التخطيط الدقيق لقواعد تقليل الأجزاء المعرضة للهجوم ونشرها للتأكد من أنها تعمل على أفضل نحو لسير عمل العملاء الفريد. للعمل في بيئتك، تحتاج إلى تخطيط قواعد تقليل سطح الهجوم واختبارها وتنفيذها وتشغيلها بعناية.
تحذير مهم قبل النشر
نوصي بتمكين قواعد الحماية القياسية الثلاث التالية. راجع قواعد تقليل الأجزاء المعرضة للهجوم حسب النوع للحصول على تفاصيل مهمة حول نوعي قواعد تقليل الأجزاء المعرضة للهجوم.
- حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe)
- حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال
- حظر الاستمرارية من خلال اشتراك حدث Windows Management Instrumentation (WMI)
عادة، يمكنك تمكين قواعد الحماية القياسية مع الحد الأدنى من التأثير الملحوظ للمستخدم النهائي. للحصول على طريقة سهلة لتمكين قواعد الحماية القياسية، راجع خيار الحماية القياسية المبسطة.
ملاحظة
بالنسبة للعملاء الذين يستخدمون HIPS غير تابعين ل Microsoft وينتقلون إلى قواعد تقليل سطح هجوم Microsoft Defender لنقطة النهاية، تنصح Microsoft بتشغيل حل HIPS جنبا إلى جنب مع توزيع قواعد تقليل الأجزاء المعرضة للهجوم حتى اللحظة التي تنتقل فيها من وضع التدقيق إلى وضع الحظر. ضع في اعتبارك أنه يجب عليك التواصل مع موفر الحماية من الفيروسات غير التابع ل Microsoft للحصول على توصيات الاستبعاد.
قبل البدء في اختبار قواعد تقليل الأجزاء المعرضة للهجوم أو تمكينها
أثناء التحضير الأولي، من الضروري فهم قدرات الأنظمة التي وضعتها. يساعدك فهم الإمكانات على تحديد قواعد تقليل الأجزاء المعرضة للهجوم الأكثر أهمية لحماية مؤسستك. بالإضافة إلى ذلك، هناك العديد من المتطلبات الأساسية، والتي يجب عليك حضورها استعدادا لتوزيع تقليل الأجزاء المعرضة للهجوم.
هام
يوفر هذا الدليل الصور والأمثلة لمساعدتك في تحديد كيفية تكوين قواعد تقليل الأجزاء المعرضة للهجوم؛ قد لا تعكس هذه الصور والأمثلة أفضل خيارات التكوين لبيئتك.
قبل البدء، راجع نظرة عامة على تقليل سطح الهجوم، وإزالة الغموض عن قواعد تقليل الأجزاء المعرضة للهجوم - الجزء 1 للحصول على معلومات أساسية. لفهم مجالات التغطية والتأثير المحتمل، تعرف على المجموعة الحالية من قواعد تقليل الأجزاء المعرضة للهجوم؛ راجع مرجع قواعد تقليل الأجزاء المعرضة للهجوم. أثناء التعرف على مجموعة قواعد تقليل الأجزاء المعرضة للهجوم، لاحظ تعيينات GUID لكل قاعدة؛ راجع قاعدة تقليل الأجزاء المعرضة للهجوم إلى مصفوفة GUID.
قواعد تقليل الأجزاء المعرضة للهجوم هي قدرة واحدة فقط لإمكانيات تقليل الأجزاء المعرضة للهجوم داخل Microsoft Defender لنقطة النهاية. تتناول هذه الوثيقة المزيد من التفاصيل حول نشر قواعد الحد من الأجزاء المعرضة للهجوم بشكل فعال لإيقاف التهديدات المتقدمة مثل برامج الفدية الضارة التي يديرها الإنسان والتهديدات الأخرى.
قائمة قواعد تقليل الأجزاء المعرضة للهجوم حسب الفئة
يعرض الجدول التالي قواعد تقليل الأجزاء المعرضة للهجوم حسب الفئة:
| تهديدات متعددة الأشكال | الحركة الجانبية & سرقة بيانات الاعتماد | قواعد تطبيقات الإنتاجية | قواعد البريد الإلكتروني | قواعد البرنامج النصي | قواعد Misc |
|---|---|---|---|---|---|
| حظر تشغيل الملفات القابلة للتنفيذ ما لم تستوف معايير الانتشار (1000 جهاز) أو العمر أو قائمة موثوق بها | حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI | حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ | حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني | حظر التعليمات البرمجية JS/VBS/PS/الماكرو المعتيمة | حظر إساءة استخدام برامج التشغيل الموقعة الضعيفة المستغلة [1] |
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe)[2] | حظر تطبيقات Office من إنشاء عمليات تابعة | حظر تطبيقات اتصال Office فقط من إنشاء عمليات تابعة | حظر JS/VBS من بدء تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله | |
| استخدام الحماية المتقدمة ضد برامج الفدية الضارة | حظر الاستمرارية من خلال اشتراك حدث WMI | حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى | حظر تطبيقات اتصالات Office من إنشاء عمليات تابعة | ||
| منع Adobe Reader من إنشاء عمليات تابعة |
(1) يتوفر الآن حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للخطر المستغلة ضمن Endpoint Security>Attack Surface Reduction.
(2) بعض قواعد تقليل الأجزاء المعرضة للهجوم تولد ضوضاء كبيرة، ولكن لا تمنع الوظائف. على سبيل المثال، إذا كنت تقوم بتحديث Chrome، فسيوصول Chrome إلىlsass.exe؛ يتم تخزين كلمات المرور في lsass على الجهاز. ومع ذلك، لا ينبغي أن يصل Chrome إلى الجهاز المحلي lsass.exe. إذا قمت بتمكين القاعدة لمنع الوصول إلى lsass، فسترى العديد من الأحداث. هذه الأحداث هي أحداث جيدة لأن عملية تحديث البرنامج لا ينبغي أن تصل إلى lsass.exe. يؤدي استخدام هذه القاعدة إلى منع تحديثات Chrome من الوصول إلى lsass، ولكنها لن تمنع Chrome من التحديث. ينطبق هذا أيضا على التطبيقات الأخرى التي تجري مكالمات غير ضرورية إلىlsass.exe. يمنع حظر الوصول إلى قاعدة lsass الاستدعاءات غير الضرورية إلى lsass، ولكنه لا يمنع تشغيل التطبيق.
متطلبات البنية الأساسية لتقليل الأجزاء المعرضة للهجوم
على الرغم من إمكانية استخدام أساليب متعددة لتنفيذ قواعد تقليل الأجزاء المعرضة للهجوم، يعتمد هذا الدليل على بنية أساسية تتكون من
- Microsoft Entra ID
- Microsoft Intune
- أجهزة Windows 10 وWindows 11
- تراخيص Microsoft Defender لنقطة النهاية E5 أو Windows E5
للاستفادة الكاملة من قواعد تقليل الأجزاء المعرضة للهجوم وإعداد التقارير، نوصي باستخدام ترخيص Microsoft Defender XDR E5 أو Windows E5 و A5. تعرف على المزيد في الحد الأدنى من المتطلبات ل Microsoft Defender لنقطة النهاية.
ملاحظة
هناك طرق متعددة لتكوين قواعد تقليل الأجزاء المعرضة للهجوم. يمكن تكوين قواعد تقليل الأجزاء المعرضة للهجوم باستخدام: Microsoft Intune وPowerShell ونهج المجموعة وMicrosoft Configuration Manager (ConfigMgr) وIntune OMA-URI. إذا كنت تستخدم تكوين بنية أساسية مختلفا عما هو مدرج لمتطلبات البنية الأساسية، يمكنك معرفة المزيد حول توزيع قواعد تقليل الأجزاء المعرضة للهجوم باستخدام تكوينات أخرى هنا: تمكين قواعد تقليل الأجزاء المعرضة للهجوم.
تبعيات قواعد تقليل الأجزاء المعرضة للهجوم
يجب تمكين برنامج الحماية من الفيروسات من Microsoft Defender وتكوينه كحل أساسي لمكافحة الفيروسات، ويجب أن يكون في الوضع التالي:
- حل مكافحة الفيروسات/الحماية من البرامج الضارة الأساسي
- الحالة: الوضع النشط
يجب ألا يكون برنامج الحماية من الفيروسات من Microsoft Defender في أي من الأوضاع التالية:
- السلبي
- الوضع السلبي مع الكشف عن نقطة النهاية والاستجابة لها (EDR) في وضع الحظر
- المسح الدوري المحدود (LPS)
- قباله
راجع الحماية المقدمة من السحابة و برنامج الحماية من الفيروسات من Microsoft Defender للحصول على المزيد.
يجب تمكين حماية السحابة (MAPS) لتمكين قواعد تقليل الأجزاء المعرضة للهجوم
يعمل برنامج الحماية من الفيروسات من Microsoft Defender بسلاسة مع خدمات Microsoft السحابية. تعزز خدمات الحماية السحابية هذه، التي يشار إليها أيضا باسم خدمة الحماية المتقدمة من Microsoft (MAPS)، الحماية القياسية في الوقت الحقيقي، مما يوفر أفضل دفاع عن مكافحة الفيروسات. تعد الحماية السحابية أمرا بالغ الأهمية لمنع الخروقات من البرامج الضارة ومكون مهم لقواعد تقليل الأجزاء المعرضة للهجوم. قم بتشغيل الحماية المقدمة من السحابة في برنامج الحماية من الفيروسات من Microsoft Defender.
يجب أن تكون مكونات برنامج الحماية من الفيروسات من Microsoft Defender إصدارات حالية لقواعد تقليل الأجزاء المعرضة للهجوم
يجب ألا يزيد إصدارات مكونات برنامج الحماية من الفيروسات من Microsoft Defender التالية عن إصدارين أقدم من الإصدار الأكثر توفرا حاليا:
- إصدار تحديث النظام الأساسي للحماية من الفيروسات من Microsoft Defender - يتم تحديث النظام الأساسي للحماية من الفيروسات من Microsoft Defender شهريا.
- إصدار محرك برنامج الحماية من الفيروسات من Microsoft Defender - يتم تحديث محرك برنامج الحماية من الفيروسات من Microsoft Defender شهريا.
- التحليل الذكي لأمان برنامج الحماية من الفيروسات من Microsoft Defender - تقوم Microsoft باستمرار بتحديث التحليل الذكي لأمان Microsoft Defender (المعروف أيضا باسم التعريف والتوقيع) لمعالجة أحدث التهديدات وتحسين منطق الكشف.
يساعد الاحتفاظ بإصدارات برنامج الحماية من الفيروسات من Microsoft Defender الحالي على تقليل نتائج نتائج إيجابية خاطئة لقواعد تقليل الأجزاء المعرضة للهجوم وتحسين قدرات الكشف عن برنامج الحماية من الفيروسات من Microsoft Defender. لمزيد من التفاصيل حول الإصدارات الحالية وكيفية تحديث مكونات برنامج الحماية من الفيروسات من Microsoft Defender المختلفة، تفضل بزيارة دعم النظام الأساسي لبرنامج الحماية من الفيروسات من Microsoft Defender.
التحذير
لا تعمل بعض القواعد بشكل جيد إذا كانت التطبيقات والبرامج النصية غير الموقعة والمطورة داخليا قيد الاستخدام العالي. من الصعب توزيع قواعد تقليل الأجزاء المعرضة للهجوم إذا لم يتم فرض توقيع التعليمات البرمجية.
مقالات أخرى في مجموعة التوزيع هذه
اختبار قواعد تقليل الأجزاء المعرضة للهجوم
تمكين قواعد تقليل الأجزاء المعرضة للهجوم
تفعيل قواعد تقليل الأجزاء المعرضة للهجوم
مرجع قواعد تقليل الأجزاء المعرضة للهجوم
المرجع
المدونات
إزالة الغموض عن قواعد تقليل الأجزاء المعرضة للهجوم - الجزء 1
إزالة الغموض عن قواعد تقليل الأجزاء المعرضة للهجوم - الجزء 2
إزالة الغموض عن قواعد تقليل الأجزاء المعرضة للهجوم - الجزء 3
إزالة الغموض عن قواعد تقليل الأجزاء المعرضة للهجوم - الجزء 4
مجموعة قواعد تقليل الأجزاء المعرضة للهجوم
نظرة عامة على تقليل الأجزاء المعرضة للهجوم
استخدام قواعد تقليل الأجزاء المعرضة للهجوم لمنع الإصابة بالبرامج الضارة
تمكين قواعد تقليل الأجزاء المعرضة للهجوم - تكوينات بديلة
مرجع قواعد تقليل الأجزاء المعرضة للهجوم
الأسئلة المتداولة حول قواعد تقليل الأجزاء المعرضة للهجوم
Microsoft Defender
معالجة الإيجابيات/السلبيات الخاطئة في Microsoft Defender لنقطة النهاية
الحماية المقدمة من السحابة و برنامج الحماية من الفيروسات من Microsoft Defender
تشغيل الحماية المقدمة من السحابة في برنامج الحماية من الفيروسات من Microsoft Defender
تكوين الاستثناءات والتحقق من صحتها استنادا إلى الملحق أو الاسم أو الموقع
دعم النظام الأساسي لبرنامج الحماية من الفيروسات من Microsoft Defender
نظرة عامة على المخزون في مركز إدارة Microsoft 365 Apps
إنشاء خطة توزيع لنظام التشغيل Windows
تعيين ملفات تعريف الأجهزة في Microsoft Intune
مواقع الإدارة
قواعد تقليل الأجزاء المعرضة للهجوم
تكوينات قواعد تقليل الأجزاء المعرضة للهجوم
استثناءات قواعد تقليل الأجزاء المعرضة للهجوم
تلميح
هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.