مرجع قواعد تقليل الأجزاء المعرضة للهجوم

توفر هذه المقالة معلومات حول قواعد تقليل الأجزاء المعرضة للهجوم Microsoft Defender لنقطة النهاية (قواعد ASR):

• قواعد ASR المدعومة إصدارات نظام التشغيل
• قواعد ASR تدعم أنظمة إدارة التكوين
• وفقا لتفاصيل التنبيه والإعلام لقاعدة ASR
• قاعدة ASR إلى مصفوفة GUID
• أوضاع قاعدة ASR
• الأوصاف لكل قاعدة

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

تلميح

بصفتك مصاحبا لهذه المقالة، راجع دليل إعداد Microsoft Defender لنقطة النهاية لمراجعة أفضل الممارسات والتعرف على الأدوات الأساسية مثل تقليل الأجزاء المعرضة للهجوم وحماية الجيل التالي. للحصول على تجربة مخصصة استنادا إلى بيئتك، يمكنك الوصول إلى دليل الإعداد التلقائي ل Defender لنقطة النهاية في مركز مسؤولي Microsoft 365.

المتطلبات الأساسية

أنظمة التشغيل المدعومة

• بالنسبة لنظام التشغيل

قواعد تقليل الأجزاء المعرضة للهجوم حسب النوع

يتم تصنيف قواعد تقليل الأجزاء المعرضة للهجوم على أنها واحدة من نوعين:

• Standard قواعد الحماية: هل الحد الأدنى لمجموعة القواعد التي توصي Microsoft بتمكينها دائما، أثناء تقييم التأثير واحتياجات التكوين لقواعد ASR الأخرى. عادة ما يكون لهذه القواعد تأثير ملحوظ من أدنى إلى لا على المستخدم النهائي.

• قواعد أخرى: القواعد التي تتطلب قدرا من اتباع خطوات النشر الموثقة [اختبار الخطة > (التدقيق) > تمكين (أوضاع الحظر/التحذير)]، كما هو موثق في دليل توزيع قواعد تقليل الأجزاء المعرضة للهجوم.

للحصول على أسهل طريقة لتمكين قواعد الحماية القياسية، راجع خيار الحماية القياسية المبسطة.

اسم قاعدة ASR	Standard حمايه القاعده؟	الاخري القاعده؟
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال	نعم
منع Adobe Reader من إنشاء عمليات تابعة¹		نعم
حظر جميع تطبيقات Office من إنشاء عمليات تابعة		نعم
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe)¹ ²	نعم
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني		نعم
حظر تشغيل الملفات القابلة للتنفيذ إلا إذا كانت تفي بمعيار انتشار أو عمر أو قائمة موثوق بها³		نعم
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة		نعم
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله		نعم
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ¹		نعم
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى¹ ²		نعم
حظر تطبيق اتصال Office من إنشاء عمليات تابعة¹		نعم
حظر الاستمرارية من خلال اشتراك حدث WMI	نعم
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI¹		نعم
حظر جهاز إعادة التشغيل في الوضع الآمن		نعم
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB		نعم
حظر استخدام أدوات النظام المنسخة أو المنتحلة		نعم
حظر إنشاء Webshell للخوادم		نعم
حظر مكالمات Win32 API من وحدات ماكرو Office⁴		نعم
استخدام الحماية المتقدمة ضد برامج الفدية الضارة		نعم

¹ لا تحترم قاعدة ASR هذه استثناءات برنامج الحماية من الفيروسات Microsoft Defender. للحصول على معلومات حول تكوين استثناءات ASR لكل قاعدة، راجع تكوين استثناءات تقليل الأجزاء المعرضة للهجوم لكل قاعدة.

² لا تحترم قاعدة ASR هذه Microsoft Defender لنقطة النهاية مؤشرات التسوية (IOC) للملفات أو الشهادات.

³ حاليا، قد لا تتوفر قاعدة ASR هذه في تكوين نهج تقليل الأجزاء المعرضة للهجوم Intune بسبب مشكلة خلفية معروفة. ولكن القاعدة لا تزال موجودة ومتاحة من خلال أساليب أخرى. على سبيل المثال، Microsoft Defender لنقطة النهاية إدارة إعدادات الأمان أو موفر خدمة التكوين (CSP) أو Add-MpPreference أو تكوين نهج ASR Intune الموجود في القواعد التي تم إنشاؤها قبل المشكلة.

⁴ لا تحترم قاعدة ASR هذه Microsoft Defender لنقطة النهاية مؤشرات التسوية (IOC) للشهادات.

أنظمة التشغيل المدعومة لقواعد ASR

يسرد الجدول التالي أنظمة التشغيل المدعومة للقواعد التي تم إصدارها حاليا للتوفر العام. يتم سرد القواعد بترتيب أبجدي في هذا الجدول.

ملاحظة

ما لم يشار إلى خلاف ذلك، فإن الحد الأدنى Windows 10 هو الإصدار 1709 (RS3، النسخة 16299) أو أحدث؛ الحد الأدنى Windows Server الإصدار هو الإصدار 1809 أو أحدث. تتوفر قواعد تقليل الأجزاء المعرضة للهجوم في Windows Server 2012 R2 Windows Server 2016 للأجهزة المإلحاقة باستخدام حزمة الحلول الموحدة الحديثة. لمزيد من المعلومات، راجع وظائف Windows Server 2012 R2 و2016 الجديدة في الحل الموحد الحديث.

اسم القاعدة	Windows 10 و11	Windows Server الإصدار 1803 و2019 والإصدارات الأحدث	Windows Server 2016 و2012 R2
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال	Y	Y Windows 10 الإصدار 1803 (قناة المؤسسة نصف السنوية) أو أحدث	Y
منع Adobe Reader من إنشاء عمليات تابعة	Y Windows 10 الإصدار 1809 أو أحدث	Y	Y
حظر جميع تطبيقات Office من إنشاء عمليات تابعة	Y	Y	Y
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe)	Y Windows 10 الإصدار 1803 أو أحدث	Y	Y
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني	Y	Y	Y
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها*	Y Windows 10 الإصدار 1803 أو أحدث	Y	Y
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة	Y	Y	Y
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله	Y	Y	N
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ	Y	Y	Y
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى	Y	Y	Y
حظر تطبيق اتصال Office من إنشاء عمليات تابعة	Y	Y	Y
حظر الاستمرارية من خلال اشتراك حدث Windows Management Instrumentation (WMI)	Y Windows 10 الإصدار 1903 (النسخة 18362) أو أحدث	Y Windows 10 الإصدار 1903 (النسخة 18362) أو أحدث	N
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI	Y Windows 10 الإصدار 1803 أو أحدث	Y	Y
حظر جهاز إعادة التشغيل في الوضع الآمن	Y	Y	Y
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	Y	Y	Y
حظر استخدام أدوات النظام المنسخة أو المنتحلة	Y	Y	Y
حظر إنشاء Webshell للخوادم	N	Y دور Exchange فقط	Y في Windows Server 2016 دور Exchange فقط N في Windows Server 2012 R2
حظر مكالمات Win32 API من وحدات ماكرو Office	Y	N	N
استخدام الحماية المتقدمة ضد برامج الفدية الضارة	Y Windows 10 الإصدار 1803 أو أحدث	Y	Y

^*حاليا، قد لا تتوفر قاعدة ASR هذه في تكوين نهج تقليل الأجزاء المعرضة للهجوم Intune بسبب مشكلة خلفية معروفة. ولكن القاعدة لا تزال موجودة ومتاحة من خلال أساليب أخرى. على سبيل المثال، Microsoft Defender لنقطة النهاية إدارة إعدادات الأمان أو موفر خدمة التكوين (CSP) أو Add-MpPreference أو تكوين نهج ASR Intune الموجود في القواعد التي تم إنشاؤها قبل المشكلة).

ملاحظة

• للحصول على Windows Server 2012 R2 و Windows Server 2016، راجع إلحاق Windows Server 2016 و Windows Server 2012 R2.
• إذا كنت تستخدم Configuration Manager، فإن الحد الأدنى المطلوب من إصدار Microsoft Endpoint Configuration Manager هو الإصدار 2111.

قواعد ASR تدعم أنظمة إدارة التكوين

يتم سرد الارتباطات إلى معلومات حول إصدارات نظام إدارة التكوين المشار إليها في هذا الجدول أسفل هذا الجدول.

اسم القاعدة	Microsoft Intune	Microsoft Endpoint Configuration Manager	نهج المجموعة[1]	PowerShell[1]
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال	Y		Y	Y
منع Adobe Reader من إنشاء عمليات تابعة	Y		Y	Y
حظر جميع تطبيقات Office من إنشاء عمليات تابعة	Y	Y الفرع الحالي (CB) 1710	Y	Y
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe)	Y	Y CB 1802	Y	Y
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني	Y	Y CB 1710	Y
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها*	Y	Y CB 1802	Y	Y
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة	Y	Y CB 1710	Y	Y
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله	Y	Y CB 1710	Y	Y
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ	Y	Y CB 1710	Y	Y
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى	Y	Y CB 1710	Y	Y
حظر تطبيق اتصال Office من إنشاء عمليات تابعة	Y	Y CB 1710	Y	Y
حظر الاستمرارية من خلال اشتراك حدث WMI	Y		Y	Y
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI	Y		Y	Y
حظر جهاز إعادة التشغيل في الوضع الآمن	Y		Y	Y
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	Y	Y CB 1802	Y	Y
حظر استخدام أدوات النظام المنسخة أو المنتحلة	Y		Y	Y
حظر إنشاء Webshell للخوادم	Y		Y	Y
حظر مكالمات Win32 API من وحدات ماكرو Office	Y	Y CB 1710	Y	Y
استخدام الحماية المتقدمة ضد برامج الفدية الضارة	Y	Y CB 1802	Y	Y

(1) يمكنك تكوين قواعد تقليل الأجزاء المعرضة للهجوم على أساس كل قاعدة باستخدام GUID لأي قاعدة.

^*حاليا، قد لا تتوفر قاعدة ASR هذه في تكوين نهج تقليل الأجزاء المعرضة للهجوم Intune بسبب مشكلة خلفية معروفة. ولكن القاعدة لا تزال موجودة ومتاحة من خلال أساليب أخرى. على سبيل المثال، Microsoft Defender لنقطة النهاية إدارة إعدادات الأمان أو موفر خدمة التكوين (CSP) أو Add-MpPreference أو تكوين نهج ASR Intune الموجود في القواعد التي تم إنشاؤها قبل المشكلة).

• Configuration Manager CB 1710
• Configuration Manager CB 1802
• Microsoft Configuration Manager CB 1710
• System Center Configuration Manager (SCCM) CB 1710
  SCCM الآن Microsoft Configuration Manager.

وفقا لتفاصيل التنبيه والإعلام لقاعدة ASR

يتم إنشاء الإعلامات المنبثقة لجميع القواعد في وضع الحظر. لا تنشئ القواعد في أي وضع آخر إعلامات منبثة.

بالنسبة للقواعد التي تم تحديد "حالة القاعدة":

• تستخدم قواعد ASR مع \ASR Rule, Rule State\ المجموعات لعرض التنبيهات (الإعلامات المنبثقة) على Microsoft Defender لنقطة النهاية فقط للأجهزة المعينة على مستوى Highكتلة السحابة .
• لا تنشئ الأجهزة التي لم يتم تعيينها على مستوى High كتلة السحابة تنبيهات لأي ASR Rule, Rule State مجموعات.
• يتم إنشاء تنبيهات الكشف عن نقطة النهاية والاستجابة (EDR) لقواعد ASR في الحالات المحددة، للأجهزة التي تم تعيينها على مستوى High+كتلة السحابة .
• تحدث الإعلامات المنبثقة في وضع الحظر فقط وبالنسبة للأجهزة المعينة على مستوى Highكتلة السحابة .

اسم القاعدة	حالة القاعدة	تنبيهات EDR	الإعلامات المنبثقة
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال		N	Y
منع Adobe Reader من إنشاء عمليات تابعة	حظر	Y	Y
حظر جميع تطبيقات Office من إنشاء عمليات تابعة		N	Y
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe)		N	N
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني	التدقيق أو الحظر	Y (في وضع الحظر) N (في وضع التدقيق)	Y (في وضع الحظر)
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها*		N	Y
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة		Y	Y (في وضع الحظر)
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله	حظر	Y	Y
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ		N	Y
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى		N	Y
حظر تطبيق اتصال Office من إنشاء عمليات تابعة		N	Y
حظر الاستمرارية من خلال اشتراك حدث WMI		Y	Y (في وضع الحظر)
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI		N	Y
حظر جهاز إعادة التشغيل في الوضع الآمن		N	N
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB		Y	Y (في وضع الحظر)
حظر استخدام أدوات النظام المنسخة أو المنتحلة		N	Y (في وضع الحظر)
حظر إنشاء Webshell للخوادم		N	N
حظر مكالمات Win32 API من وحدات ماكرو Office		N	Y
استخدام الحماية المتقدمة ضد برامج الفدية الضارة		Y	Y (في وضع الحظر)

^*حاليا، قد لا تتوفر قاعدة ASR هذه في تكوين نهج تقليل الأجزاء المعرضة للهجوم Intune بسبب مشكلة خلفية معروفة. ولكن القاعدة لا تزال موجودة ومتاحة من خلال أساليب أخرى. على سبيل المثال، Microsoft Defender لنقطة النهاية إدارة إعدادات الأمان أو موفر خدمة التكوين (CSP) أو Add-MpPreference أو تكوين نهج ASR Intune الموجود في القواعد التي تم إنشاؤها قبل المشكلة).

قاعدة ASR إلى مصفوفة GUID

اسم القاعدة	المعرف الفريد العمومي للقاعدة
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال	56a863a9-875e-4185-98a7-b882c64b5ce5
منع Adobe Reader من إنشاء عمليات تابعة	7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
حظر جميع تطبيقات Office من إنشاء عمليات تابعة	d4f940ab-401b-4efc-aadc-ad5f3c50688a
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe)	9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني	be9ba2d9-53ea-4cdc-84e5-9b1ee46550
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها*	01443614-cd74-433a-b99e-2ecdc07bfc25
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة	5beb7efe-fd9a-4556-801d-275e5ffc04cc
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله	d3e037e1-3eb8-44c8-a917-57927947596d
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ	3b576869-a4ec-4529-8536-b80a7769e899
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى	75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
حظر تطبيق اتصال Office من إنشاء عمليات تابعة	26190899-1602-49e8-8b27-eb1d0a1ce869
حظر الاستمرارية من خلال اشتراك حدث WMI * استثناءات الملفات والمجلدات غير مدعومة.	e6db77e5-3df2-4cf1-b95a-636979351e5b
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI	d1e49aac-8f56-4280-b9ba-993a6d77406c
حظر جهاز إعادة التشغيل في الوضع الآمن	33ddedf1-c6e0-47cb-833e-de6133960387
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
حظر استخدام أدوات النظام المنسخة أو المنتحلة	c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
حظر إنشاء Webshell للخوادم	a8f5898e-1dc8-49a9-9878-85004b8a61e6
حظر مكالمات Win32 API من وحدات ماكرو Office	92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
استخدام الحماية المتقدمة ضد برامج الفدية الضارة	c1db55ab-c21a-4637-bb3f-a12568109d35

^*حاليا، قد لا تتوفر قاعدة ASR هذه في تكوين نهج تقليل الأجزاء المعرضة للهجوم Intune بسبب مشكلة خلفية معروفة. ولكن القاعدة لا تزال موجودة ومتاحة من خلال أساليب أخرى. على سبيل المثال، Microsoft Defender لنقطة النهاية إدارة إعدادات الأمان أو موفر خدمة التكوين (CSP) أو Add-MpPreference أو تكوين نهج ASR Intune الموجود في القواعد التي تم إنشاؤها قبل المشكلة).

أوضاع قاعدة ASR

وضع القاعدة	رمز	الوصف
لم يتم تكوينه أو تعطيله	0	لم يتم تمكين قاعدة ASR أو تعطيلها.
حظر	1	يتم تمكين قاعدة ASR في وضع الحظر.
تدقيق	2	يتم تقييم قاعدة ASR للتأثير على البيئة إذا تم تمكينها في وضع الحظر أو التحذير.
تحذير	6	يتم تمكين قاعدة ASR وتقديم إعلام للمستخدم، ولكن يمكن للمستخدم تجاوز الكتلة.

التحذير هو نوع من الكتل التي تنبه المستخدمين إلى الإجراءات التي يحتمل أن تكون محفوفة بالمخاطر عبر نافذة منبثقة للتحذير. يمكن للمستخدمين تحديد موافق لفرض الكتلة، أو تحديد إلغاء الحظر لتجاوز الكتلة لمدة 24 ساعة القادمة. بعد 24 ساعة، يحتاج المستخدم إلى السماح للكتلة مرة أخرى.

يتم دعم وضع التحذير لقواعد ASR فقط في الإصدار Windows 10 1809 أو أحدث. الإصدارات القديمة من Windows 10 مع تعيين قاعدة وضع التحذير بشكل فعال في وضع الحظر.

في PowerShell، يمكنك إنشاء قاعدة ASR في وضع التحذير عن طريق تحديد المعلمة AttackSurfaceReductionRules_Actions بالقيمة Warn. على سبيل المثال:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

لكل أوصاف قاعدة

حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال

ملاحظة

لحماية بيئتك من برامج التشغيل الضعيفة، يجب عليك أولا تنفيذ هذه الطرق:

• على سبيل Windows 10 أو إصدار أحدث، Windows Server 2016 أو أحدث باستخدام Microsoft App Control for Business، يجب حظر جميع برامج التشغيل بشكل افتراضي والسماح لبرامج التشغيل التي تراها ضرورية وغير معروفة بأنها عرضة للخطر فقط.
• بالنسبة إلى Windows 8.1 أو إصدار أقدم، Windows Server 2012 R2 أو إصدار أقدم، باستخدام Microsoft AppLocker، يجب حظر جميع برامج التشغيل بشكل افتراضي والسماح فقط لبرامج التشغيل التي تراها ضرورية وغير معروفة بأنها عرضة للخطر.
• بالنسبة إلى Windows 11 أو أحدث، Windows Server core 1809 أو أحدث، أو Windows Server 2019 أو أحدث، يجب عليك أيضا تمكين قائمة كتل برامج تشغيل Microsoft Windows الضعيفة. بعد ذلك، كطبقة أخرى من الدفاع، يجب تمكين قاعدة تقليل سطح الهجوم هذه.

تمنع هذه القاعدة التطبيق من كتابة برنامج تشغيل موقع ضعيف إلى القرص. يمكن للتطبيقات المحلية المتوحشة ذات الامتيازات الكافية استغلال برامج التشغيل الموقعة الضعيفة للوصول إلى النواة. تمكن برامج التشغيل الموقعة الضعيفة المهاجمين من تعطيل حلول الأمان أو التحايل عليها، مما يؤدي في النهاية إلى اختراق النظام.

لا تمنع قاعدة حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال تحميل برنامج تشغيل موجود بالفعل على النظام.

ملاحظة

يمكنك تكوين هذه القاعدة باستخدام Intune OMA-URI. راجع Intune OMA-URI لتكوين القواعد المخصصة. يمكنك أيضا تكوين هذه القاعدة باستخدام PowerShell. لفحص برنامج تشغيل، استخدم موقع ويب هذا لإرسال برنامج تشغيل للتحليل.

اسم Intune:Block abuse of exploited vulnerable signed drivers

اسم Configuration Manager: غير متوفر بعد

Guid: 56a863a9-875e-4185-98a7-b882c64b5ce5

نوع إجراء التتبع المتقدم:

• AsrVulnerableSignedDriverAudited
• AsrVulnerableSignedDriverBlocked

منع Adobe Reader من إنشاء عمليات تابعة

تمنع هذه القاعدة الهجمات عن طريق حظر Adobe Reader من إنشاء العمليات.

يمكن للبرامج الضارة تنزيل حمولات وتشغيلها والخروج من Adobe Reader من خلال الهندسة الاجتماعية أو عمليات الاستغلال. من خلال منع Adobe Reader من إنشاء عمليات تابعة، يتم منع البرامج الضارة التي تحاول استخدام Adobe Reader كمتجه هجوم من الانتشار.

اسم Intune:Process creation from Adobe Reader (beta)

اسم Configuration Manager: غير متوفر بعد

Guid: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

نوع إجراء التتبع المتقدم:

• AsrAdobeReaderChildProcessAudited
• AsrAdobeReaderChildProcessBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر جميع تطبيقات Office من إنشاء عمليات تابعة

تمنع هذه القاعدة تطبيقات Office من إنشاء عمليات تابعة. تتضمن تطبيقات Office Word وExcel وPowerPoint وOneNote وAccess.

يعد إنشاء عمليات تابعة ضارة استراتيجية برامج ضارة شائعة. غالبا ما تقوم البرامج الضارة التي تسيء استخدام Office كمتجه بتشغيل وحدات ماكرو VBA واستغلال التعليمات البرمجية لتنزيل المزيد من الحمولات ومحاولة تشغيلها. ومع ذلك، قد تنشئ بعض تطبيقات خط الأعمال المشروعة أيضا عمليات تابعة لأغراض حميدة. على سبيل المثال، إنتاج موجه الأوامر أو استخدام PowerShell لتكوين إعدادات التسجيل.

اسم Intune:Office apps launching child processes

اسم Configuration Manager:Block Office application from creating child processes

Guid: d4f940ab-401b-4efc-aadc-ad5f3c50688a

نوع إجراء التتبع المتقدم:

• AsrOfficeChildProcessAudited
• AsrOfficeChildProcessBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows

ملاحظة

إذا تم تمكين حماية LSA ، فلن تكون قاعدة تقليل الأجزاء المعرضة للهجوم هذه مطلوبة. للحصول على وضع أكثر أمانا، نوصي أيضا بتمكين Credential Guard مع حماية LSA.

إذا تم تمكين حماية LSA، يتم تصنيف قاعدة ASR على أنها غير قابلة للتطبيق في إعدادات إدارة Defender لنقطة النهاية في مدخل Microsoft Defender.

تساعد هذه القاعدة على منع سرقة بيانات الاعتماد عن طريق تأمين خدمة النظام الفرعي لسلطة الأمان المحلية (LSASS).

يصادق LSASS المستخدمين الذين يسجلون الدخول على كمبيوتر Windows. يمنع Credential Guard في Windows عادة محاولات استخراج بيانات الاعتماد من LSASS. لا يمكن لبعض المؤسسات تمكين Credential Guard على جميع أجهزة الكمبيوتر الخاصة بها بسبب مشكلات التوافق مع برامج تشغيل البطاقات الذكية المخصصة أو البرامج الأخرى التي يتم تحميلها في هيئة الأمان المحلية (LSA). في هذه الحالات، يمكن للمهاجمين استخدام أدوات مثل Mimikatz لاستخراج كلمات مرور نص واضح وتجزئة NTLM من LSASS.

بشكل افتراضي، يتم تعيين حالة هذه القاعدة إلى غير مكونة (معطل). في معظم الحالات، تجري العديد من العمليات مكالمات إلى LSASS للحصول على حقوق الوصول غير المطلوبة. على سبيل المثال، عندما ينتج عن الكتلة الأولية من قاعدة ASR استدعاء لاحق لامتياز أقل ينجح. للحصول على معلومات حول أنواع الحقوق المطلوبة عادة في عمليات الاستدعاء إلى LSASS، راجع أمان العملية وحقوق الوصول.

لا يوفر تمكين هذه القاعدة حماية إضافية إذا كان لديك حماية LSA ممكنة منذ أن تعمل قاعدة ASR وحماية LSA بشكل مماثل. ومع ذلك، إذا لم تتمكن من تمكين حماية LSA، يمكنك تكوين هذه القاعدة لتوفير حماية مكافئة ضد البرامج الضارة التي تستهدف lsass.exe.

تلميح

• لا تنشئ أحداث تدقيق ASR إعلامات منبثة. تنتج قاعدة LSASS ASR حجما كبيرا من أحداث التدقيق، وكلها تقريبا آمنة لتجاهلها عند تمكين القاعدة في وضع الحظر. يمكنك اختيار تخطي تقييم وضع التدقيق والمتابعة إلى نشر وضع الحظر. نوصي بالبدء بمجموعة صغيرة من الأجهزة والتوسع تدريجيا لتغطية الباقي.
• تم تصميم القاعدة لمنع حظر التقارير/الإعلامات المنبثقة للعمليات الودية. كما تم تصميمه لإسقاط التقارير للكتل المكررة. على هذا النحو، القاعدة مناسبة تماما ليتم تمكينها في وضع الحظر، بغض النظر عما إذا كانت الإعلامات المنبثقة ممكنة أو معطلة.
• تم تصميم ASR في وضع التحذير لتقديم إعلام منبثق للكتلة للمستخدمين يتضمن زر "إلغاء الحظر". نظرا لطبيعة "آمنة لتجاهل" كتل LSASS ASR وحجمها الكبير، لا ينصح بوضع WARN لهذه القاعدة (بغض النظر عما إذا كانت الإعلامات المنبثقة ممكنة أو معطلة).
• تم تصميم هذه القاعدة لمنع العمليات من الوصول إلى ذاكرة العملية LSASS.EXE. لا يمنعهم من التشغيل. إذا رأيت عمليات مثل svchost.exe يتم حظرها، فإنها تمنع فقط من الوصول إلى ذاكرة عملية LSASS. وبالتالي، يمكن تجاهل svchost.exe والعمليات الأخرى بأمان. الاستثناء الوحيد هو في المشكلات المعروفة التالية.

ملاحظة

في هذا السيناريو، تصنف قاعدة ASR على أنها "غير قابلة للتطبيق" في إعدادات Defender لنقطة النهاية في مدخل Microsoft Defender.

لا تدعم قاعدة حظر بيانات الاعتماد التي تسرق من النظام الفرعي لمرجع الأمان المحلي ل Windows ASR وضع التحذير.

في بعض التطبيقات، تقوم التعليمات البرمجية بتعداد جميع العمليات قيد التشغيل ومحاولات فتحها بأذونات شاملة. ترفض هذه القاعدة إجراء فتح عملية التطبيق وتسجل التفاصيل إلى سجل أحداث الأمان. يمكن أن تولد هذه القاعدة العديد من الضوضاء. إذا كان لديك تطبيق يقوم ببساطة بتعداد LSASS، ولكن ليس له تأثير حقيقي في الوظائف، فلا حاجة لإضافته إلى قائمة الاستبعاد. في حد ذاته، لا يشير إدخال سجل الأحداث هذا بالضرورة إلى تهديد ضار. اسم Intune:Flag credential stealing from the Windows local security authority subsystem

اسم Configuration Manager:Block credential stealing from the Windows local security authority subsystem

Guid: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

نوع إجراء التتبع المتقدم:

• AsrLsassCredentialTheftAudited
• AsrLsassCredentialTheftBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

المشكلات المعروفة: هذه التطبيقات وقاعدة "حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows" غير متوافقة:

اسم التطبيق	للحصول على معلومات
طلب تجربة المزايا مزامنة كلمة مرور Dirsync	لا تعمل مزامنة كلمة مرور Dirsync عند تثبيت Windows Defender، الخطأ: "فشل VirtualAllocEx: 5" (4253914)

للحصول على الدعم التقني، اتصل بناشر البرامج.

حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني

تمنع هذه القاعدة البريد الإلكتروني المفتوح داخل تطبيق Microsoft Outlook، أو Outlook.com وموفري بريد الويب الشائعين الآخرين من نشر أنواع الملفات التالية:

• الملفات القابلة للتنفيذ (مثل .exe أو .dll أو .scr)

• ملفات البرنامج النصي (مثل ملف PowerShell.ps1 أو Visual Basic .vbs أو JavaScript .js)

• الأرشيف الملفات (مثل .zip وغيرها)

اسم Intune:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

اسم Microsoft Configuration Manager:Block executable content from email client and webmail

Guid: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

نوع إجراء التتبع المتقدم:

• AsrExecutableEmailContentAudited
• AsrExecutableEmailContentBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

تحتوي القاعدة حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني على الأوصاف البديلة التالية، اعتمادا على التطبيق الذي تستخدمه:

• Intune (ملفات تعريف التكوين): تم إسقاط تنفيذ المحتوى القابل للتنفيذ (exe وdll وps وjs وvbs وما إلى ذلك) من البريد الإلكتروني (عميل بريد الويب/البريد) (لا توجد استثناءات).
• Configuration Manager: حظر تنزيل المحتوى القابل للتنفيذ من عملاء البريد الإلكتروني والبريد الإلكتروني.
• نهج المجموعة: حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني.

حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها

تلميح

^*حاليا، قد لا تتوفر قاعدة ASR هذه في تكوين نهج تقليل الأجزاء المعرضة للهجوم Intune بسبب مشكلة خلفية معروفة. ولكن القاعدة لا تزال موجودة ومتاحة من خلال أساليب أخرى. على سبيل المثال، Microsoft Defender لنقطة النهاية إدارة إعدادات الأمان أو موفر خدمة التكوين (CSP) أو Add-MpPreference أو تكوين نهج ASR Intune الموجود في القواعد التي تم إنشاؤها قبل المشكلة).

تمنع هذه القاعدة تشغيل الملفات القابلة للتنفيذ، مثل .exe أو .dll أو .scr. وبالتالي، يمكن أن يكون تشغيل الملفات القابلة للتنفيذ غير الموثوق بها أو غير المعروفة محفوفا بالمخاطر، حيث قد لا يكون واضحا في البداية ما إذا كانت الملفات ضارة.

هام

يجب تمكين الحماية المقدمة من السحابة لاستخدام هذه القاعدة. تستخدم هذه القاعدة الحماية المقدمة من السحابة لتحديث قائمتها الموثوق بها بانتظام. يمكنك تحديد ملفات أو مجلدات فردية باستخدام مسارات المجلدات أو أسماء الموارد المؤهلة بالكامل. كما أنه يدعم إعداد ASROnlyPerRuleExclusions .

اسم Intune:Executables that don't meet a prevalence, age, or trusted list criteria

اسم Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

Guid: 01443614-cd74-433a-b99e-2ecdc07bfc25

نوع إجراء التتبع المتقدم:

• AsrUntrustedExecutableAudited
• AsrUntrustedExecutableBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، حماية السحابة

حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة

تكتشف هذه القاعدة الخصائص المشبوهة داخل برنامج نصي معتيم.

ملاحظة

يتم الآن دعم البرامج النصية PowerShell لقاعدة "حظر تنفيذ البرامج النصية التي يحتمل أن تكون عتيمة".

هام

يجب تمكين الحماية المقدمة من السحابة لاستخدام هذه القاعدة.

يعد تعتيم البرنامج النصي تقنية شائعة يستخدمها كل من مؤلفي البرامج الضارة والتطبيقات المشروعة لإخفاء الملكية الفكرية أو تقليل أوقات تحميل البرنامج النصي. يستخدم مؤلفو البرامج الضارة أيضا التعتيم لجعل التعليمات البرمجية الضارة أكثر صعوبة في القراءة، مما يعيق التدقيق الدقيق من قبل البشر وبرامج الأمان.

اسم Intune:Obfuscated js/vbs/ps/macro code

اسم Configuration Manager:Block execution of potentially obfuscated scripts

Guid: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

نوع إجراء التتبع المتقدم:

• AsrObfuscatedScriptAudited
• AsrObfuscatedScriptBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، واجهة فحص مكافحة البرامج الضارة (AMSI)، حماية السحابة

حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله

تمنع هذه القاعدة البرامج النصية من تشغيل المحتوى الذي يحتمل أن يكون ضارا تم تنزيله. غالبا ما تعمل البرامج الضارة المكتوبة بلغة JavaScript أو VBScript كمنزل لجلب البرامج الضارة الأخرى وتشغيلها من الإنترنت. على الرغم من أن تطبيقات خط الأعمال ليست شائعة، إلا أنها تستخدم أحيانا البرامج النصية لتنزيل المثبتات وتشغيلها.

اسم Intune:js/vbs executing payload downloaded from Internet (no exceptions)

اسم Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content

Guid: d3e037e1-3eb8-44c8-a917-57927947596d

نوع إجراء التتبع المتقدم:

• AsrScriptExecutableDownloadAudited
• AsrScriptExecutableDownloadBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، AMSI

حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ

تمنع هذه القاعدة استخدام تطبيقات Office، بما في ذلك Word وExcel وPowerPoint، كمتجه لاستمرار التعليمات البرمجية الضارة على القرص. قد تحاول البرامج الضارة التي تسيء استخدام Office كمتجه حفظ المكونات الضارة على القرص والتي قد تنجو من إعادة تشغيل الكمبيوتر وتستمر على النظام. تدافع هذه القاعدة ضد تقنية الاستمرار هذه عن طريق حظر الوصول (فتح/تنفيذ) إلى التعليمات البرمجية المكتوبة على القرص. تحظر هذه القاعدة أيضا تنفيذ الملفات غير الموثوق بها التي ربما تم حفظها بواسطة وحدات ماكرو Office المسموح بتشغيلها في ملفات Office.

اسم Intune:Office apps/macros creating executable content

اسم Configuration Manager:Block Office applications from creating executable content

Guid: 3b576869-a4ec-4529-8536-b80a7769e899

نوع إجراء التتبع المتقدم:

• AsrExecutableOfficeContentAudited
• AsrExecutableOfficeContentBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، RPC

حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى

تحظر هذه القاعدة محاولات إدخال التعليمات البرمجية من تطبيقات Office إلى عمليات أخرى.

ملاحظة

لا تدعم قاعدة حظر التطبيقات من إدخال التعليمات البرمجية في العمليات الأخرى قاعدة ASR وضع WARN.

هام

تتطلب هذه القاعدة إعادة تشغيل Microsoft 365 Apps (تطبيقات Office) حتى تسري تغييرات التكوين.

قد يحاول المهاجمون استخدام تطبيقات Office لترحيل التعليمات البرمجية الضارة إلى عمليات أخرى من خلال إدخال التعليمات البرمجية، بحيث يمكن أن تتنكر التعليمات البرمجية كعملية نظيفة. لا توجد أي أغراض تجارية مشروعة معروفة لاستخدام إدخال التعليمات البرمجية.

تنطبق هذه القاعدة على Word وExcel وOneNote وPowerPoint.

اسم Intune:Office apps injecting code into other processes (no exceptions)

اسم Configuration Manager:Block Office applications from injecting code into other processes

Guid: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

نوع إجراء التتبع المتقدم:

• AsrOfficeProcessInjectionAudited
• AsrOfficeProcessInjectionBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

المشكلات المعروفة: هذه التطبيقات وقاعدة "حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى"، غير متوافقة:

اسم التطبيق	للحصول على معلومات
Avecto (BeyondTrust) Privilege Guard	سبتمبر-2024 (النظام الأساسي: 4.18.24090.11 |المحرك 1.1.24090.11).
أمان Heimdal	غير متوفر

للحصول على الدعم التقني، اتصل بناشر البرامج.

حظر تطبيق اتصال Office من إنشاء عمليات تابعة

تمنع هذه القاعدة Outlook من إنشاء عمليات تابعة، مع السماح بوظائف Outlook المشروعة. تحمي هذه القاعدة من هجمات الهندسة الاجتماعية وتمنع استغلال التعليمات البرمجية من إساءة استخدام الثغرات الأمنية في Outlook. كما أنه يحمي من عمليات استغلال قواعد ونماذج Outlook التي يمكن للمهاجمين استخدامها عند اختراق بيانات اعتماد المستخدم.

اسم Intune:Process creation from Office communication products (beta)

اسم Configuration Manager: غير متوفر

Guid: 26190899-1602-49e8-8b27-eb1d0a1ce869

نوع إجراء التتبع المتقدم:

• AsrOfficeCommAppChildProcessAudited
• AsrOfficeCommAppChildProcessBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر الاستمرارية من خلال اشتراك حدث WMI

تمنع هذه القاعدة البرامج الضارة من إساءة استخدام WMI لتحقيق الاستمرارية على الجهاز.

تستخدم التهديدات بلا ملفات تكتيكات مختلفة للبقاء مخفيا، لتجنب المشاهدة في نظام الملفات، والحصول على التحكم الدوري في التنفيذ. يمكن أن تسيء بعض التهديدات استخدام مستودع WMI ونموذج الحدث للبقاء مخفيا.

ملاحظة

إذا كنت تستخدم Configuration Manager (CM، المعروف سابقا باسم MEMCM أو SCCM) مع CcmExec.exe (عامل SCCM)، نوصي بتشغيله في وضع التدقيق لمدة 60 يوما على الأقل. بمجرد أن تكون مستعدا للتبديل إلى وضع الحظر، تأكد من نشر قواعد ASR المناسبة، مع مراعاة أي استثناءات قاعدة ضرورية.

اسم Intune:Persistence through WMI event subscription

اسم Configuration Manager: غير متوفر

Guid: e6db77e5-3df2-4cf1-b95a-636979351e5b

نوع إجراء التتبع المتقدم:

• AsrPersistenceThroughWmiAudited
• AsrPersistenceThroughWmiBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، RPC

حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI

تمنع هذه القاعدة العمليات التي تم إنشاؤها من خلال PsExecوWMI من التشغيل. يمكن لكل من PsExec وWMI تنفيذ التعليمات البرمجية عن بعد. هناك خطر من استخدام البرامج الضارة لوظائف PsExec وWMI لأغراض القيادة والتحكم، أو لنشر عدوى في جميع أنحاء شبكة المؤسسة.

تحذير

استخدم هذه القاعدة فقط إذا كنت تدير أجهزتك باستخدام Intune أو حل MDM آخر. هذه القاعدة غير متوافقة مع الإدارة من خلال Configuration Manager نقطة النهاية من Microsoft لأن هذه القاعدة تحظر أوامر WMI التي يستخدمها العميل Configuration Manager للعمل بشكل صحيح.

اسم Intune:Process creation from PSExec and WMI commands

اسم Configuration Manager: غير قابل للتطبيق

Guid: d1e49aac-8f56-4280-b9ba-993a6d77406c

نوع إجراء التتبع المتقدم:

• AsrPsexecWmiChildProcessAudited
• AsrPsexecWmiChildProcessBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر جهاز إعادة التشغيل في الوضع الآمن

تمنع هذه القاعدة تنفيذ أوامر معينة لإعادة تشغيل الأجهزة في الوضع الآمن. في الوضع الآمن، يتم تعطيل العديد من منتجات الأمان أو تعمل بسعة محدودة. يسمح هذا التأثير للمهاجمين ببدء تشغيل أوامر العبث بشكل أكبر، أو تنفيذ جميع الملفات على الجهاز وتشفيرها. تمنع هذه القاعدة إساءة استخدام الوضع الآمن عن طريق منع الأوامر التي يتم إساءة استخدامها بشكل شائع مثل bcdedit ومن bootcfg إعادة تشغيل الأجهزة في الوضع الآمن. لا يزال الوضع الآمن متاحا يدويا من بيئة استرداد Windows.

اسم Intune:Block rebooting machine in Safe Mode

اسم Configuration Manager: غير متوفر بعد

Guid: 33ddedf1-c6e0-47cb-833e-de6133960387

نوع إجراء التتبع المتقدم:

• AsrSafeModeRebootedAudited
• AsrSafeModeRebootBlocked
• AsrSafeModeRebootWarnBypassed

التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

حاليا، لا تتعرف إدارة التهديدات والثغرات الأمنية على هذه القاعدة، لذلك يعرض تقرير قاعدة تقليل الأجزاء المعرضة للهجوم أنها "غير قابلة للتطبيق".

حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB

باستخدام هذه القاعدة، يمكن للمسؤولين منع تشغيل الملفات القابلة للتنفيذ غير الموقعة أو غير الموثوق بها من محركات أقراص USB القابلة للإزالة، بما في ذلك بطاقات SD. تتضمن أنواع الملفات المحظورة ملفات قابلة للتنفيذ (مثل .exe أو .dll أو .scr)

هام

تحظر هذه القاعدة الملفات المنسخة من USB إلى محرك أقراص القرص إذا ومتى أوشك تنفيذها على محرك الأقراص.

اسم Intune:Untrusted and unsigned processes that run from USB

اسم Configuration Manager:Block untrusted and unsigned processes that run from USB

Guid: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

نوع إجراء التتبع المتقدم:

• AsrUntrustedUsbProcessAudited
• AsrUntrustedUsbProcessBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر استخدام أدوات النظام المنسخة أو المنتحلة

تحظر هذه القاعدة استخدام الملفات القابلة للتنفيذ التي تم تعريفها كنسخ من أدوات نظام Windows. هذه الملفات إما مكررة أو محتالة من أدوات النظام الأصلية. قد تحاول بعض البرامج الضارة نسخ أدوات نظام Windows أو انتحالها لتجنب الكشف أو الحصول على امتيازات. يمكن أن يؤدي السماح بمثل هذه الملفات القابلة للتنفيذ إلى هجمات محتملة. تمنع هذه القاعدة نشر وتنفيذ مثل هذه التكرارات والمحيلين من أدوات النظام على أجهزة Windows.

اسم Intune:Block use of copied or impersonated system tools

اسم Configuration Manager: غير متوفر بعد

Guid: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

نوع إجراء التتبع المتقدم:

• AsrAbusedSystemToolAudited

• AsrAbusedSystemToolBlocked

• AsrAbusedSystemToolWarnBypassed

التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

حاليا، لا تتعرف إدارة التهديدات والثغرات الأمنية على هذه القاعدة، لذلك يعرض تقرير قاعدة تقليل الأجزاء المعرضة للهجوم أنها "غير قابلة للتطبيق".

حظر إنشاء Webshell للخوادم

تحظر هذه القاعدة إنشاء برنامج نصي ل shell على Microsoft Server، Exchange Role. البرنامج النصي ل shell على الويب هو برنامج نصي معد يسمح للمهاجم بالتحكم في الخادم المخترق.

قد تتضمن واجهة الويب وظائف مثل تلقي الأوامر الضارة وتنفيذها، وتنزيل الملفات الضارة وتنفيذها، وسرقة بيانات الاعتماد والمعلومات الحساسة واختراقها، وتحديد الأهداف المحتملة.

اسم Intune:Block Webshell creation for Servers

Guid: a8f5898e-1dc8-49a9-9878-85004b8a61e6

التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

عند إدارة قواعد ASR باستخدام Microsoft Defender لنقطة النهاية إدارة إعدادات الأمان، تحتاج إلى تكوين إعداد Block Webshell للخوادم كما هو الحال Not Configured في نهج المجموعة أو الإعدادات المحلية الأخرى. إذا تم تعيين هذه القاعدة إلى أي قيمة أخرى (مثل Enabled أو Disabled)، فقد تتسبب في تعارضات وتمنع النهج من التطبيق بشكل صحيح من خلال إدارة إعدادات الأمان.

حاليا، لا تتعرف إدارة التهديدات والثغرات الأمنية على هذه القاعدة، لذلك يعرض تقرير قاعدة تقليل الأجزاء المعرضة للهجوم أنها "غير قابلة للتطبيق".

حظر مكالمات Win32 API من وحدات ماكرو Office

تمنع هذه القاعدة وحدات ماكرو VBA من استدعاء واجهات برمجة تطبيقات Win32. يتيح Office VBA استدعاءات Win32 API. يمكن للبرامج الضارة إساءة استخدام هذه الإمكانية، مثل استدعاء واجهات برمجة تطبيقات Win32 لتشغيل shellcode الضار دون كتابة أي شيء مباشرة إلى القرص. لا تعتمد معظم المؤسسات على القدرة على استدعاء واجهات برمجة تطبيقات Win32 في عملها اليومي، حتى لو كانت تستخدم وحدات الماكرو بطرق أخرى.

اسم Intune:Win32 imports from Office macro code

اسم Configuration Manager:Block Win32 API calls from Office macros

Guid: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

نوع إجراء التتبع المتقدم:

• AsrOfficeMacroWin32ApiCallsAudited
• AsrOfficeMacroWin32ApiCallsBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، AMSI

استخدام الحماية المتقدمة ضد برامج الفدية الضارة

توفر هذه القاعدة طبقة إضافية من الحماية ضد برامج الفدية الضارة. ويستخدم كل من العميل والاستدلال السحابي لتحديد ما إذا كان الملف يشبه برامج الفدية الضارة. لا تحظر هذه القاعدة الملفات التي تحتوي على واحدة أو أكثر من الخصائص التالية:

• تم العثور على الملف غير مفيد في سحابة Microsoft.
• الملف هو ملف موقع صالح.
• الملف منتشر بما يكفي لعدم اعتباره برامج فدية.

تميل القاعدة إلى التكرار على جانب الحذر لمنع برامج الفدية الضارة.

ملاحظة

يجب تمكين الحماية المقدمة من السحابة لاستخدام هذه القاعدة.

اسم Intune:Advanced ransomware protection

اسم Configuration Manager:Use advanced protection against ransomware

Guid: c1db55ab-c21a-4637-bb3f-a12568109d35

نوع إجراء التتبع المتقدم:

• AsrRansomwareAudited
• AsrRansomwareBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، حماية السحابة

راجع أيضًا

• نظرة عامة على نشر قواعد تقليل الأجزاء المعرضة للهجوم

• تخطيط توزيع قواعد تقليل الأجزاء المعرضة للهجوم

• اختبار قواعد تقليل الأجزاء المعرضة للهجوم

• تمكين قواعد تقليل الأجزاء المعرضة للهجوم

• تفعيل قواعد تقليل الأجزاء المعرضة للهجوم

• تقرير قواعد تقليل الأجزاء المعرضة للهجوم

• مرجع قواعد تقليل الأجزاء المعرضة للهجوم

• استثناءات برنامج الحماية من الفيروسات Microsoft Defender لنقطة النهاية Microsoft Defender

• استكشاف أخطاء قواعد تقليل الأجزاء المعرضة للهجوم وإصلاحها