إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
هذه المقالة هي جزء من دليل توزيع قواعد تقليل الأجزاء المعرضة للهجوم.
يعد اختبار قواعد تقليل الأجزاء المعرضة للهجوم (ASR) خطوة حاسمة في عملية التوزيع. تحتاج إلى تحديد ما إذا كانت أي قواعد ASR ستحظر تطبيقات خط العمل. من خلال البدء بمجموعة صغيرة خاضعة للرقابة، يمكنك الحد من اضطرابات العمل المحتملة أثناء توسيع التوزيع عبر مؤسستك.
ملاحظة
قبل بدء مرحلة الاختبار لتوزيع قواعد ASR، قم بتعطيل أي قواعد ASR ذات صلة ممكنة حاليا في وضع الحظر أو التحذير (إذا كان ذلك ممكنا). للحصول على معلومات حول استخدام التقرير للعثور على قواعد ASR الممكنة، راجع تقارير قواعد تقليل الأجزاء المعرضة للهجوم.
كما هو موضح في الرسم التخطيطي التالي، ابدأ نشر قواعد ASR بالحلقة 1.
تقييم القواعد وتقييمها قبل التوزيع
في Defender for Endpoint الخطة 2، إدارة الثغرات الأمنية في Microsoft Defender أسطح توصيات الأمان المتعلقة بقاعدة ASR التي يمكن أن توفر مؤشرات تأثير عالية المستوى (على سبيل المثال، ما إذا كان قد تمت ملاحظة نشاط التدقيق عبر الأجهزة).
في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلىتوصياتإدارة> التعرض (أو مباشرة إلى صفحة توصيات الأمان في https://security.microsoft.com/exposure-recommendations). في صفحة توصيات الأمان ، حدد قاعدة ASR لفتح القائمة المنبثقة للتفاصيل، ثم حدد علامة التبويب الأجهزة . تعرض قيمة تأثير المستخدم النسبة المئوية للأجهزة التي يمكنها قبول نهج جديد يمكن القاعدة في وضع الحظر دون التأثير سلبا على الإنتاجية.
ملاحظة
لتقييم التأثير المحتمل لقاعدة ASR بدقة قبل تمكينها في وضع الحظر أو التحذير ، يجب مراجعة بيانات وضع التدقيق وإعداد التقارير التفصيلية، مثل تقرير قاعدة تقليل الأجزاء المعرضة للهجوم أو بيانات التتبع المتقدمة.
الخطوة 1: اختبار جميع قواعد ASR في وضع التدقيق
ملاحظة
كما هو موضح سابقا، يمكنك عادة تمكين قواعد الحماية القياسية في وضع الحظر أو التحذير دون اختبار.
عادة، قم بتمكين جميع قواعد ASR في وضع التدقيق في نفس الوقت حتى تتمكن من تحديد القواعد التي يتم تشغيلها بواسطة أنشطة الأعمال اليومية. ابدأ بأبطال قاعدة ASR أو أجهزتك في الحلبة 1.
لا تؤثر قواعد ASR في وضع التدقيق على المستخدمين. ولكن القواعد تنشئ أحداثا مسجلة يمكنك تقييمها.
إذا كان لدى مؤسستك Microsoft Intune (مضمنة في اشتراكات مثل Microsoft 365 E5 أو متوفرة كوظيفة إضافية)، فاستخدم نهج أمان نقطة نهاية تقليل الأجزاء المعرضة للهجوم في Intune لتكوين قواعد ASR وتوزيعها في وضع التدقيق. للحصول على الإرشادات، راجع تكوين قواعد ASR والاستثناءات في Intune باستخدام نهج أمان نقطة النهاية.
إذا لم يكن لديك Intune، تتوفر أساليب توزيع قاعدة ASR الأخرى:
تلميح
لا يؤثر أسلوب التوزيع الذي تستخدمه لقواعد ASR على بيانات التقارير، طالما أن الأجهزة مسجلة في Defender لنقطة النهاية.
الخطوة 2: مراجعة بيانات قاعدة ASR وتقييم التأثير
بعد نشر قواعد ASR في وضع التدقيق ، راجع الأحداث التي تم تشغيلها لتقييم تأثيراتها وتحديد الاستثناءات المحتملة باستخدام بعض أو كل الطرق التالية:
في خطة Defender لنقطة النهاية 2 أو Microsoft Defender for Business، استخدم تقرير قواعد تقليل الأجزاء المعرضة للهجوم في مدخل Microsoft Defender. للحصول على معلومات كاملة، راجع تقرير قواعد تقليل الأجزاء المعرضة للهجوم (ASR).
في Defender for Endpoint الخطة 2، استخدم التتبع المتقدم للعثور على أحداث قاعدة ASR. لمزيد من المعلومات، راجع أحداث قاعدة ASR في التتبع المتقدم.
في خطة Defender لنقطة النهاية 2 أو Defender for Business، استخدم المخطط الزمني لجهاز Defender لنقطة النهاية. لمزيد من المعلومات، راجع Microsoft Defender لنقطة النهاية المخطط الزمني للجهاز.
وإلا، تتوفر أحداث قاعدة ASR فقط في Windows عارض الأحداث على الجهاز المحلي. ولكن يمكنك استخدام إعادة توجيه أحداث Windows لمركزية جمع بيانات قاعدة ASR.
على وجه التحديد، ابحث عن معرف الحدث 1122 في سجلات> التطبيقات والخدمات سجلالتشغيلMicrosoft>Windows Windows>Defender> (أحداث القواعد في وضع التدقيق). للحصول على قائمة كاملة بمعرفات أحداث قاعدة ASR والخطوات التفصيلية، راجع عرض أحداث تقليل سطح الهجوم في Windows عارض الأحداث.
الخطوة 3: تكوين استثناءات قاعدة ASR
بعد مراجعة بيانات قاعدة ASR من وضع التدقيق ، قد تجد أن بعض قواعد ASR تحظر تطبيقات الأعمال المشروعة أو النشاط (المعروف باسم الإيجابيات الخاطئة). يمكنك إضافة استثناءات لمنع قواعد ASR من تقييم الملفات أو المجلدات المتأثرة.
للحصول على نظرة عامة على أنواع الاستبعاد المدعومة لقواعد ASR، راجع استثناءات الملفات والمجلدات لقواعد ASR.
إذا استخدمت نهج أمان نقطة نهاية تقليل الأجزاء المعرضة للهجوم في Microsoft Intune لنشر قواعد ASR، فاستخدم نفس النهج لتكوين استثناءات قاعدة ASR. للحصول على الإرشادات، راجع تكوين قواعد ASR والاستثناءات في Intune باستخدام نهج أمان نقطة النهاية.
إذا استخدمت أسلوبا مختلفا لنشر قواعد ASR، فاستخدم نفس الأسلوب لتكوين استثناءات قاعدة ASR:
تلميح
استثناءات القواعد أفضل من إيقاف تشغيل القواعد أو تبديلها مرة أخرى إلى وضع التدقيق . استفد من وضع التحذير في القواعد المتوفرة للحد من الاضطرابات دون تعطيل القاعدة بالكامل. لمزيد من المعلومات، راجع أوضاع قواعد ASR.
المحتويات ذات الصلة
- دليل نشر قواعد الحد من سطح الهجوم (ASR)
- تخطيط توزيع قواعد تقليل الأجزاء المعرضة للهجوم (ASR)
- تمكين قواعد تقليل الأجزاء المعرضة للهجوم (ASR)
- إدارة ومراقبة توزيع قواعد تقليل الأجزاء المعرضة للهجوم (ASR)
- تقرير قواعد تقليل الأجزاء المعرضة للهجوم (ASR)
- استكشاف أخطاء قواعد تقليل الأجزاء المعرضة للهجوم وإصلاحها
- مرجع قواعد تقليل الأجزاء المعرضة للهجوم