نظرة عامة على قواعد تقليل الأجزاء المعرضة للهجوم (ASR)

تلميح

بصفتك مصاحبا لهذه المقالة، راجع دليل إعداد Security Analyzer لمراجعة أفضل الممارسات وتعلم تعزيز الدفاعات وتحسين التوافق والتنقل في مشهد الأمان عبر الإنترنت بثقة. للحصول على تجربة مخصصة استنادا إلى بيئتك، يمكنك الوصول إلى دليل الإعداد التلقائي ل Security Analyzer في مركز مسؤولي Microsoft 365.

يتضمن سطح هجوم مؤسستك جميع الأماكن التي يمكن للمهاجم الوصول إليها. لمزيد من المعلومات، راجع تقليل الأجزاء المعرضة للهجوم في Microsoft Defender لنقطة النهاية.

تستهدف قواعد تقليل الأجزاء المعرضة للهجوم (ASR) في Microsoft Defender مكافحة الفيروسات سلوك البرامج الخطرة على أجهزة Windows التي يستغلها المهاجمون عادة من خلال البرامج الضارة. على سبيل المثال:

• بدء تشغيل الملفات والبرامج النصية القابلة للتنفيذ التي تحاول تنزيل الملفات أو تشغيلها.
• تشغيل البرامج النصية التعتيمة أو غير الموثوق بها.
• إنشاء عمليات تابعة من تطبيقات يحتمل أن تكون عرضة للخطر (على سبيل المثال، تطبيقات Office).
• إدخال التعليمات البرمجية في عمليات أخرى.

على الرغم من أن التطبيقات الشرعية قد تقوم أيضا بهذه الأشياء، فإن المهاجمين عادة ما يستخدمون البرامج الضارة التي تتصرف بنفس الطريقة.

راجع السلسلة التالية من المقالات لتخطيط قواعد ASR واختبارها وتنفيذها ومراقبتها:

• نظرة عامة على توزيع قواعد ASR
  • تخطيط توزيع قواعد ASR
  • اختبار قواعد ASR
  • تمكين قواعد ASR
  • إدارة قواعد ASR ومراقبتها

تلميح

إذا كنت تبحث عن معلومات متعلقة ببرنامج الحماية من الفيروسات للأنظمة الأساسية الأخرى، فاطلع على:

• تعيين تفضيلات Microsoft Defender لنقطة النهاية على نظام التشغيل macOS
• Microsoft Defender لنقطة النهاية على Mac
• إعدادات نهج برنامج الحماية من الفيروسات في macOS لبرنامج الحماية من الفيروسات من Microsoft Defender Antivirus for Intune
• تعيين تفضيلات Microsoft Defender لنقطة النهاية على Linux
• مشكلات الأداء في Microsoft Defender لنقطة النهاية على Linux
• تكوين Defender for Endpoint على ميزات Android
• تكوين Microsoft Defender لنقطة النهاية على ميزات iOS

قواعد ASR

يتم تجميع قواعد ASR في الفئات التالية:

• توفر قواعد الحماية Standard مزايا أمان كبيرة، لذلك توصي Microsoft بتمكينها في وضع الحظر دون الحاجة إلى اختبار شامل. عادة ما يكون لهذه القواعد تأثير ضئيل أو بدون تأثير ملحوظ على المستخدمين، ولكن هناك استثناءات:

  • حظر الاستمرارية من خلال اشتراك حدث WMI: إذا كنت تستخدم Microsoft Configuration Manager لإدارة الأجهزة، فلا تستخدم أساليب النشر المتوفرة الأخرى (على سبيل المثال، نهج المجموعة أو PowerShell) لتنشيط هذه القاعدة في وضع الحظر أو التحذير على الجهاز دون إجراء اختبار شامل في وضع التدقيق. يعتمد عميل Configuration Manager بشكل كبير على WMI.
  • حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows: إذا قمت بتمكين حماية هيئة الأمان المحلية (LSA) ( مستحسن، جنبا إلى جنب مع Credential Guard)، فإن هذه القاعدة زائدة عن الحاجة.

• توفر قواعد ASR الأخرى حماية مهمة، ولكنها تتطلب الاختبار في وضع التدقيق قبل تنشيطها في وضع الحظر أو التحذير كما هو موضح في دليل نشر قواعد تقليل الأجزاء المعرضة للهجوم.

يتم وصف قواعد ASR المتوفرة وقيم GUID المقابلة لها وفئاتها في الجدول التالي:

• تنقلك الارتباطات الموجودة في أسماء القواعد إلى أوصاف القواعد التفصيلية في المقالة المرجعية لقواعد ASR .

• بخلاف نهج أمان نقطة النهاية في Microsoft IntuneMicrosoft Configuration Manager، تحدد جميع أساليب تكوين قاعدة ASR الأخرى القواعد حسب قيمة GUID.

  يتم وصف أي اختلافات في اسم قاعدة ASR بين Microsoft Intune Microsoft Configuration Manager في الجدول.

  تلميح

  Microsoft Configuration Manager كانت معروفة مسبقا بأسماء أخرى:

  • Microsoft System Center Configuration Manager: الإصدار 1511 إلى 1906 (نوفمبر 2015 إلى يوليو 2019)
  • microsoft Endpoint Configuration Manager: الإصدار 1910 إلى 2211 (ديسمبر 2019 إلى ديسمبر 2022)
  • Microsoft Configuration Manager: الإصدار 2303 (أبريل 2023) أو أحدث

  للحصول على معلومات الدعم والتحديث، راجع التحديثات والخدمة Configuration Manager.

اسم القاعدة في Microsoft Intune	اسم القاعدة في Microsoft Configuration Manager	Guid	الفئة
قواعد حماية Standard
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال (الجهاز)	غير متوفر	56a863a9-875e-4185-98a7-b882c64b5ce5	متفرقات
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows	نفس	9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2	الحركة الجانبية & سرقة بيانات الاعتماد
حظر الاستمرارية من خلال اشتراك حدث WMI	غير متوفر	e6db77e5-3df2-4cf1-b95a-636979351e5b	الحركة الجانبية & سرقة بيانات الاعتماد
قواعد ASR الأخرى
منع Adobe Reader من إنشاء عمليات تابعة	غير متوفر	7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c	تطبيقات الإنتاجية
حظر جميع تطبيقات Office من إنشاء عمليات تابعة	حظر تطبيق Office من إنشاء عمليات تابعة	d4f940ab-401b-4efc-aadc-ad5f3c50688a	تطبيقات الإنتاجية
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني	نفس	be9ba2d9-53ea-4cdc-84e5-9b1ee46550	البريد الالكتروني
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها	حظر تشغيل الملفات القابلة للتنفيذ ما لم تستوف معايير الانتشار أو العمر أو القائمة الموثوق بها	01443614-cd74-433a-b99e-2ecdc07bfc25	تهديدات متعددة الأشكال
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة	نفس	5beb7efe-fd9a-4556-801d-275e5ffc04cc	البرنامج النصي
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله	نفس	d3e037e1-3eb8-44c8-a917-57927947596d	البرنامج النصي
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ	نفس	3b576869-a4ec-4529-8536-b80a7769e899	تطبيقات الإنتاجية
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى	نفس	75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84	تطبيقات الإنتاجية
حظر تطبيق اتصال Office من إنشاء عمليات تابعة	غير متوفر	26190899-1602-49e8-8b27-eb1d0a1ce869	تطبيقات البريد الإلكتروني والإنتاجية
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI	غير متوفر	d1e49aac-8f56-4280-b9ba-993a6d77406c	الحركة الجانبية & سرقة بيانات الاعتماد
حظر جهاز إعادة التشغيل في الوضع الآمن	غير متوفر	33ddedf1-c6e0-47cb-833e-de6133960387	متفرقات
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	نفس	b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4	تهديدات متعددة الأشكال
حظر استخدام أدوات النظام المنسخة أو المنتحلة	غير متوفر	c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb	متفرقات
حظر إنشاء Webshell للخوادم	غير متوفر	a8f5898e-1dc8-49a9-9878-85004b8a61e6	متفرقات
حظر مكالمات Win32 API من وحدات ماكرو Office	نفس	92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b	تطبيقات الإنتاجية
استخدام الحماية المتقدمة ضد برامج الفدية الضارة	نفس	c1db55ab-c21a-4637-bb3f-a12568109d35	تهديدات متعددة الأشكال

متطلبات قواعد ASR

تتطلب قواعد ASR Microsoft Defender مكافحة الفيروسات كتطبيق أساسي لمكافحة الفيروسات على أجهزة Windows:

• يجب تمكين برنامج الحماية من الفيروسات Microsoft Defender وفي الوضع النشط. على وجه التحديد، لا يمكن أن يكون برنامج الحماية من الفيروسات Microsoft Defender في أي من الأوضاع التالية:

  • السلبي
  • الوضع السلبي مع الكشف عن نقطة النهاية والاستجابة لها (EDR) في وضع الحظر
  • المسح الدوري المحدود (LPS)
  • قباله

  لمزيد من المعلومات حول الأوضاع في برنامج الحماية من الفيروسات Microsoft Defender، راجع كيفية تأثير برنامج الحماية من الفيروسات Microsoft Defender على وظيفة Defender لنقطة النهاية.

• يجب تشغيل الحماية في الوقت الحقيقي في برنامج الحماية من الفيروسات Microsoft Defender.

• تعد الحماية المقدمة من السحابة (يشار إليها أيضا باسم خدمة الحماية المتقدمة من Microsoft أو MAPS) أمرا بالغ الأهمية لوظائف قاعدة ASR. تعزز الحماية السحابية الحماية القياسية في الوقت الحقيقي وهي مكون مهم لمنع الخروقات من البرامج الضارة. تحتوي بعض قواعد ASR على وجه التحديد على متطلبات حماية تسليم السحابة لتنبيهات الكشف عن نقطة النهاية والاستجابة لها (EDR) في النوافذ المنبثقة ل Defender لنقطة النهاية وإخطار المستخدم. للحصول على التفاصيل، راجع التنبيهات والإعلامات من إجراءات قاعدة ASR.

  لنفس السبب، يجب أن تسمح بيئتك بالاتصالات بخدمة سحابة مكافحة الفيروسات Microsoft Defender.

• Microsoft Defender يجب ألا يزيد إصدارات مكونات برنامج الحماية من الفيروسات عن إصدارين أقدم من الإصدار الأكثر توفرا حاليا:

  • إصدار تحديث النظام الأساسي: يتم تحديثه شهريا.
  • إصدار MEngine: يتم تحديثه شهريا.
  • التحليل الذكي للأمان: تقوم Microsoft باستمرار بتحديث التحليل الذكي للأمان (المعروف أيضا باسم التعريفات والتوقيعات) لمعالجة أحدث التهديدات وتحسين منطق الكشف.

  يساعد الاحتفاظ Microsoft Defender إصدارات مكافحة الفيروسات الحالية على تقليل الإيجابيات الخاطئة لقاعدة ASR وتحسين قدرات الكشف عن برنامج مكافحة الفيروسات Microsoft Defender. لمزيد من المعلومات حول الإصدارات الحالية وكيفية تحديث مكونات مكافحة الفيروسات Microsoft Defender المختلفة، راجع Microsoft Defender دعم النظام الأساسي للحماية من الفيروسات.

• على الرغم من أن قواعد ASR لا تتطلب Microsoft 365 E5، توصي Microsoft بإمكانيات الأمان ل E5 أو الاشتراكات المكافئة للاستفادة من قدرات الإدارة المتقدمة التالية:

  • المراقبة والتحليلات وسير العمل في Defender لنقطة النهاية.
  • قدرات إعداد التقارير والتكوين في مدخل Microsoft Defender XDR.

  لا تتوفر قدرات الإدارة المتقدمة مع تراخيص أخرى (على سبيل المثال، Windows Professional أو Microsoft 365 E3). ومع ذلك، يمكنك تطوير أدوات المراقبة وإعداد التقارير الخاصة بك أعلى أحداث قاعدة ASR التي تم إنشاؤها في Windows عارض الأحداث على كل جهاز (على سبيل المثال، إعادة توجيه أحداث Windows).

  لمعرفة المزيد حول ترخيص Windows، راجع ترخيص Windows والحصول على الدليل المرجعي للترخيص المجمع من Microsoft.

أنظمة التشغيل المدعومة لقواعد ASR

قواعد ASR هي ميزة Microsoft Defender مكافحة الفيروسات موجودة على أي إصدار من Windows يتضمن برنامج الحماية من الفيروسات Microsoft Defender (على سبيل المثال، Windows 11 Home). يمكنك تكوين قواعد ASR محليا على الأجهزة باستخدام PowerShell أو نهج المجموعة.

تتوفر الإدارة المركزية وإعداد التقارير والتنبيه لقواعد ASR في Microsoft Defender لنقطة النهاية في الإصدارات والإصدارات التالية من Windows:

• إصدارات ProوEnterprise من Windows 10 أو أحدث.
• Windows Server 2012 R2 أو أحدث.
• Azure المحلية (المعروفة سابقا باسم Azure Stack HCI) الإصدار 23H2 أو أحدث.

لمزيد من معلومات دعم نظام التشغيل، راجع دعم نظام التشغيل لقواعد ASR.

أوضاع قواعد ASR

يمكن أن تكون قاعدة ASR في أحد الأوضاع التالية كما هو موضح في الجدول التالي:

وضع القاعدة	رمز	الوصف
إيقاف التشغيل أو ذوي الاحتياجات الخاصه	0	تم تعطيل قاعدة ASR بشكل صريح. يمكن أن تتسبب هذه القيمة في تعارضات عند تعيين نفس الجهاز لنفس قاعدة ASR في أوضاع مختلفة بواسطة نهج مختلفة.
حظر أو تنشيط	1	يتم تمكين قاعدة ASR في وضع الحظر .
التدقيق أو وضع التدقيق	2	يتم تمكين قاعدة ASR كما لو كانت في وضع الحظر ، ولكن دون اتخاذ إجراء. تتوفر عمليات الكشف عن قواعد ASR في وضع التدقيق في المواقع التالية: معرفات الأحداث 1122 و1125 و1132 و1134 في Windows عارض الأحداث. التتبع المتقدم في Microsoft Defender: DeviceEvents | حيث يبدأ ActionType ب "Asr" | حيث ينتهي ActionType ب "تم التدقيق" تقرير قواعد تقليل الأجزاء المعرضة للهجوم (ASR).
لم يتم تكوينه	5	لم يتم تمكين قاعدة ASR بشكل صريح. هذه القيمة مكافئة وظيفيا ل Disabled أو Off، ولكن دون احتمال حدوث تعارضات في القواعد.
تحذير أو تحذير	6	يتم تمكين قاعدة ASR كما لو كانت في وضع الحظر ، ولكن يمكن للمستخدمين تحديد إلغاء الحظر في النافذة المنبثقة لإشعار التحذير لتجاوز الكتلة لمدة 24 ساعة. بعد 24 ساعة، يحتاج المستخدم إلى تجاوز الكتلة مرة أخرى. يتم دعم وضع التحذير في الإصدار Windows 10 1809 (نوفمبر 2018) أو أحدث. قواعد ASR في وضع التحذير على الإصدارات غير المدعومة من Windows موجودة بشكل فعال في وضع الحظر (التجاوز غير متوفر). وضع التحذير غير متوفر في Microsoft Configuration Manager. يحتوي وضع التحذير على متطلبات إصدار برنامج الحماية من الفيروسات Microsoft Defender التالية: إصدار النظام الأساسي: 4.18.2008.9 (أغسطس 2020) أو أحدث. إصدار المحرك: 1.1.17400.5 (أغسطس 2020) أو أحدث. لا تدعم قواعد ASR التالية وضع التحذير : حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى

توصي Microsoft بوضع الحظر لقواعد الحماية القياسية، والاختبار الأولي في وضع التدقيق لقواعد ASR الأخرى قبل تنشيطها في وضع الحظر أو التحذير .

تتم كتابة العديد من تطبيقات خط العمل مع مخاوف أمنية محدودة، وقد تعمل بطرق تبدو مشابهة للبرامج الضارة. من خلال مراقبة البيانات من قواعد ASR في وضع التدقيقوإضافة استثناءات للتطبيقات المطلوبة، يمكنك نشر قواعد ASR دون تقليل الإنتاجية.

قبل تمكين قواعد ASR في وضع الحظر ، قم بتقييم تأثيراتها في وضع التدقيق وتوصيات الأمان. لمزيد من المعلومات، راجع اختبار قواعد ASR.

طرق التوزيع والتكوين لقواعد ASR

يدعم Microsoft Defender لنقطة النهاية قواعد ASR ولكنه لا يتضمن أسلوبا مضمنا لنشر إعدادات قاعدة ASR على الأجهزة. بدلا من ذلك، يمكنك استخدام أداة توزيع أو إدارة منفصلة لإنشاء نهج قاعدة ASR وتوزيعها على الأجهزة. لا تدعم جميع أساليب التوزيع كل قاعدة ASR. للحصول على تفاصيل لكل قاعدة، راجع دعم أسلوب التوزيع لقواعد ASR.

يلخص الجدول التالي الأساليب المتوفرة. للحصول على إرشادات التكوين التفصيلية، راجع تكوين قواعد واستثناءات تقليل الأجزاء المعرضة للهجوم (ASR).

الاسلوب	الوصف
نهج أمان نقطة النهاية Microsoft Intune	الطريقة الموصى بها لتكوين نهج قاعدة ASR وتوزيعها على الأجهزة. يتطلب Microsoft Intune الخطة 1 (مضمنة في اشتراكات مثل Microsoft 365 E3 أو متوفرة كوظيفة إضافية مستقلة).
Microsoft Intune ملفات التعريف المخصصة باستخدام OMA-URIs	طريقة بديلة لتكوين قواعد ASR في Intune باستخدام ملفات تعريف Open Mobile Alliance – Uniform Resource (OMA-URI).
أي حل MDM باستخدام نهج CSP	استخدم موفر خدمة تكوين نهج Windows (CSP) مع أي حل MDM.
Microsoft Configuration Manager	يستخدم نهج مكافحة الفيروسات Microsoft Defender في مساحة عمل الأصول والتوافق.
نهج المجموعة	استخدم نهج المجموعة المركزية لتكوين قواعد ASR وتوزيعها على الأجهزة المرتبطة بالمجال. أو يمكنك تكوين نهج المجموعة محليا على الأجهزة الفردية.
PowerShell	تكوين قواعد ASR محليا على الأجهزة الفردية. يدعم PowerShell جميع قواعد ASR.

استثناءات الملفات والمجلدات لقواعد ASR

هام

يمكن أن يؤدي استبعاد الملفات أو المجلدات إلى تقليل حماية قاعدة ASR بشدة. يسمح بتشغيل الملفات المستبعدة، ولا يتم تسجيل أي تقارير أو أحداث حول الملف. إذا اكتشفت قواعد ASR الملفات التي لا ينبغي الكشف عنها، فاستخدم وضع التدقيق لاختبار القاعدة.

يمكنك استبعاد ملفاتومجلدات معينة من التقييم بواسطة قواعد ASR. حتى إذا حددت قاعدة ASR أن الملف أو المجلد يحتوي على سلوك ضار، فإنه لا يمنع تشغيل الملفات المستبعدة.

يمكنك استخدام الطرق التالية لاستبعاد الملفات والمجلدات من قواعد ASR:

• Microsoft Defender استثناءات مكافحة الفيروسات: لا تحترم جميع قواعد ASR هذه الاستثناءات. لمزيد من المعلومات حول استثناءات برنامج الحماية من الفيروسات Microsoft Defender، راجع تكوين استثناءات مخصصة Microsoft Defender Antivirus.

  تلميح

  تحترم جميع قواعد ASR استثناءات العملية في برنامج الحماية من الفيروسات Microsoft Defender.

• استثناءات قاعدة ASR العمومية: تنطبق هذه الاستثناءات على جميع قواعد ASR. تدعم جميع أساليب تكوين قاعدة ASR أيضا تكوين استثناءات قاعدة ASR العمومية.

• استثناءات قاعدة لكل ASR: تعيين استثناءات مختلفة بشكل انتقائي لقواعد ASR المختلفة. تدعم أساليب تكوين قاعدة ASR التالية فقط أيضا تكوين استثناءات قاعدة لكل ASR:

  • نهج المجموعة (وإعدادات التسجيل المقابلة)
  • نهج أمان نقطة النهاية في Microsoft Intune.

• مؤشرات الاختراق (IoCs): تحترم معظم قواعد ASR IoCs للملفات المحظورة والشهادات المحظورة. لمزيد من المعلومات حول IoCs، راجع نظرة عامة على المؤشرات في Microsoft Defender لنقطة النهاية.

يتم تلخيص إنفاذ أنواع مختلفة من الاستثناءات لقواعد ASR في الجدول التالي:

اسم القاعدة	يكرم ملف MDAV و استثناءات المجلد	تكريم ASR العالمي الاستبعادات	مرتبة الشرف لكل قاعدة ASR الاستبعادات	يكرم IoCs ل الملفات	يكرم IoCs ل شهادات
قواعد حماية Standard
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال (الجهاز)	Y	Y	Y	Y	Y
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows	N	Y	Y	N	N
حظر الاستمرارية من خلال اشتراك حدث WMI	N	Y	Y	N	N
قواعد ASR الأخرى
منع Adobe Reader من إنشاء عمليات تابعة	N	Y	Y	Y	Y
حظر جميع تطبيقات Office من إنشاء عمليات تابعة	Y	Y	Y	Y	Y
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني	Y	Y	Y	Y	Y
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها	Y	Y	Y	Y	Y
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة	Y	Y	Y	Y	Y
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله	Y	Y	Y	Y	Y
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ	N	Y	Y	Y	Y
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى	N	Y	Y	N	N
حظر تطبيق اتصال Office من إنشاء عمليات تابعة	N	Y	Y	Y	Y
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI	N	Y	Y	Y	Y
حظر جهاز إعادة التشغيل في الوضع الآمن	Y	Y	Y	Y	Y
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	Y	Y	Y	Y	Y
حظر استخدام أدوات النظام المنسخة أو المنتحلة	Y	Y	Y	Y	Y
حظر إنشاء Webshell للخوادم	Y	Y	Y	Y	Y
حظر مكالمات Win32 API من وحدات ماكرو Office	Y	Y	Y	Y	N
استخدام الحماية المتقدمة ضد برامج الفدية الضارة	Y	Y	Y	Y	Y

عند إضافة استثناءات، ضع هذه النقاط في الاعتبار:

• يمكن أن تستخدم مسارات الاستبعاد متغيرات البيئة وأحرف البدل. لمزيد من المعلومات، راجع استخدام أحرف البدل في اسم الملف ومسار المجلد أو قوائم استبعاد الملحق.

  تلميح

  لا تستخدم متغيرات بيئة المستخدم كأحرف بدل في استثناءات المجلدات والمعالجة. استخدم فقط الأنواع التالية من متغيرات البيئة كأحرف بدل:

  • متغيرات بيئة النظام.
  • متغيرات البيئة التي تنطبق على العمليات التي تعمل كحساب NT AUTHORITY\SYSTEM.

  للحصول على قائمة بمتغيرات بيئة النظام، راجع متغيرات بيئة النظام.

  • لا يمكن لأحرف البدل تحديد حرف محرك أقراص.
  • لاستبعاد أكثر من مجلد واحد في مسار، استخدم مثيلات \*\ متعددة للإشارة إلى مجلدات متداخلة متعددة. على سبيل المثال، c:\Folder\*\*\Test.
  • يدعم Microsoft Configuration Manager أحرف البدل (* أو ?).
  • لاستبعاد ملف يحتوي على أحرف عشوائية (على سبيل المثال، من إنشاء ملف تلقائي)، استخدم ? الرمز. على سبيل المثال، C:\Folder\fileversion?.docx.

• تنطبق الاستثناءات فقط عند بدء تشغيل التطبيق أو الخدمة. على سبيل المثال، إذا أضفت استثناء لخدمة تحديث قيد التشغيل بالفعل، تستمر خدمة التحديث في تشغيل عمليات الكشف عن قاعدة ASR حتى تقوم بإعادة تشغيل الخدمة.

تعارضات النهج في قواعد ASR

إذا تم تعيين نهجين مختلفين لقاعدة ASR للجهاز نفسه، يمكن أن تحدث تعارضات محتملة استنادا إلى العناصر التالية:

• ما إذا كانت نفس قواعد ASR معينة في أوضاع مختلفة.
• ما إذا كانت إدارة الصراعات في مكانها.
• ما إذا كانت النتيجة خطأ أم لا.

لا تؤدي قواعد ASR غير المتزامنة إلى حدوث أخطاء. يتم تطبيق القاعدة الأولى، ويتم دمج قواعد عدم الدمج اللاحقة في النهج.

إذا كان حل إدارة الأجهزة المحمولة (MDM)نهج المجموعة تطبيق إعدادات قاعدة ASR مختلفة على نفس الجهاز، فإن إعدادات نهج المجموعة لها الأسبقية.

للحصول على معلومات حول كيفية معالجة تعارضات إعداد قاعدة ASR لأساليب التوزيع المتوفرة في Microsoft Intune، راجع الأجهزة التي تديرها Intune.

الإعلامات والتنبيهات لقواعد ASR

عند تشغيل قاعدة ASR في وضع الحظر أو التحذير على جهاز، يتم عرض إعلام على الجهاز. يمكنك تخصيص المعلومات في الإعلامات. لمزيد من المعلومات، راجع تخصيص معلومات جهة الاتصال في أمن Windows.

يتم إنشاء تنبيهات الكشف عن نقطة النهاية والاستجابة لها (EDR) في Defender لنقطة النهاية عند تشغيل قواعد ASR المدعومة.

للحصول على تفاصيل محددة حول وظيفة الإعلام والتنبيه، راجع التنبيهات والإعلامات من إجراءات قاعدة ASR.

لعرض نشاط تنبيه ASR في مدخل Microsoft Defender وعلى الأجهزة في Windows عارض الأحداث، راجع مراقبة نشاط قاعدة تقليل الأجزاء المعرضة للهجوم (ASR).

مراقبة نشاط قاعدة ASR

للحصول على معلومات كاملة، راجع مراقبة نشاط قاعدة تقليل الأجزاء المعرضة للهجوم (ASR).

المحتويات ذات الصلة

• دليل نشر قواعد الحد من سطح الهجوم (ASR)
• تخطيط توزيع قواعد تقليل الأجزاء المعرضة للهجوم (ASR)
• اختبار توزيع قواعد تقليل الأجزاء المعرضة للهجوم (ASR)
• تمكين قواعد تقليل الأجزاء المعرضة للهجوم (ASR)
• إدارة ومراقبة توزيع قواعد تقليل الأجزاء المعرضة للهجوم (ASR)
• مراقبة نشاط قاعدة تقليل الأجزاء المعرضة للهجوم (ASR)
• تقرير قواعد تقليل الأجزاء المعرضة للهجوم (ASR)
• استثناءات برنامج الحماية من الفيروسات Microsoft Defender لنقطة النهاية Microsoft Defender