مرجع قواعد تقليل الأجزاء المعرضة للهجوم

  • ينطبق على: Microsoft Defender for Endpoint Plan 2

تستهدف قواعد تقليل الأجزاء المعرضة للهجوم (ASR) سلوك البرامج الخطرة على أجهزة Windows التي يستغلها المهاجمون عادة من خلال البرامج الضارة (على سبيل المثال، تشغيل البرامج النصية التي تقوم بتنزيل الملفات وتشغيل البرامج النصية المشوشة وإدخال التعليمات البرمجية في عمليات أخرى). لمزيد من المعلومات حول قواعد ASR، راجع نظرة عامة على قواعد تقليل الأجزاء المعرضة للهجوم (ASR).

هذه المقالة هي مرجع تقني لقواعد ASR التي توفر المعلومات التالية:

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

دعم نظام التشغيل لقواعد ASR

قواعد ASR هي ميزة Microsoft Defender مكافحة الفيروسات المتوفرة على أي إصدار من Windows يتضمن Microsoft Defender Antivirus (على سبيل المثال، Windows 11 Home). يمكنك تكوين قواعد ASR محليا باستخدام PowerShell أو نهج المجموعة.

يصف الجدول التالي دعم نظام التشغيل لقواعد ASR في Microsoft Defender لنقطة النهاية، والذي يوفر الإدارة المركزية وإعداد التقارير والتنبيه من خلال Microsoft Intune Microsoft Configuration Manager و مدخل Microsoft Defender:

اسم القاعدة Windows 11 أو أحدث Windows 10 Windows Server 2019 أو أحدث Windows Server 2016* Windows Server 2012 R2*
قواعد حماية Standard
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال (الجهاز) Y 1709 أو أحدث Y Windows Server 1803 (SAC) أو أحدث Y
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows Y 1803 أو أحدث Y Y Y
حظر الاستمرارية من خلال اشتراك حدث WMI Y 1903 أو أحدث Windows Server 1903 (SAC) أو أحدث N N
قواعد ASR الأخرى
منع Adobe Reader من إنشاء عمليات تابعة Y 1809 أو أحدث Y Y Y
حظر جميع تطبيقات Office من إنشاء عمليات تابعة Y 1709 أو أحدث Y Y Y
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني Y 1709 أو أحدث Y Y Y
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها Y 1803 أو أحدث Y Y Y
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة Y 1709 أو أحدث Y Y Y
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله Y 1709 أو أحدث Y N N
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ Y 1709 أو أحدث Y Y Y
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى Y 1709 أو أحدث Y Y Y
حظر تطبيق اتصال Office من إنشاء عمليات تابعة Y 1709 أو أحدث Y Y Y
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI Y 1803 أو أحدث Y Y Y
حظر جهاز إعادة التشغيل في الوضع الآمن Y 1709 أو أحدث Y Y Y
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB Y 1709 أو أحدث Y Y Y
حظر استخدام أدوات النظام المنسخة أو المنتحلة Y 1709 أو أحدث Y Y Y
حظر إنشاء Webshell للخوادم غير متوفر غير متوفر خوادم Exchange فقط خوادم Exchange فقط N
حظر مكالمات Win32 API من وحدات ماكرو Office Y 1709 أو أحدث غير متوفر غير متوفر غير متوفر
استخدام الحماية المتقدمة ضد برامج الفدية الضارة Y 1803 أو أحدث Y Y Y

*تتطلب قواعد ASR المدعومة في Windows Server 2016 و Windows Server 2012 R2 الإلحاق باستخدام حزمة الحلول الموحدة الحديثة. لمزيد من المعلومات، راجع وظائف Windows Server 2012 R2 و2016 الجديدة في الحل الموحد الحديث.

دعم أسلوب التوزيع لقواعد ASR

على الرغم من أن Defender لنقطة النهاية يدعم قواعد ASR، إلا أنك تحتاج إلى خدمة منفصلة لنشر القواعد على الأجهزة. يتم وصف الأساليب المدعومة لنشر قواعد ASR في الجدول التالي.

اسم القاعدة Intune إدارة التكوين MDM CSP نهج المجموعة المركزية
قواعد حماية Standard
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال (الجهاز) Y N Y Y
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows Y 1802 أو أحدث Y Y
حظر الاستمرارية من خلال اشتراك حدث WMI Y N Y Y
قواعد ASR الأخرى
منع Adobe Reader من إنشاء عمليات تابعة Y N Y Y
حظر جميع تطبيقات Office من إنشاء عمليات تابعة Y 1710 أو أحدث Y Y
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني Y 1710 أو أحدث Y Y
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار انتشار أو عمر أو قائمة موثوق بها[1] Y 1802 أو أحدث Y Y
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة Y 1710 أو أحدث Y Y
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله Y 1710 أو أحدث Y Y
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ Y 1710 أو أحدث Y Y
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى Y 1710 أو أحدث Y Y
حظر تطبيق اتصال Office من إنشاء عمليات تابعة Y N Y Y
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI Y N Y Y
حظر جهاز إعادة التشغيل في الوضع الآمن Y N Y Y
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB Y 1802 أو أحدث Y Y
حظر استخدام أدوات النظام المنسخة أو المنتحلة Y N Y Y
حظر إنشاء Webshell للخوادم Y N Y Y
حظر مكالمات Win32 API من وحدات ماكرو Office Y 1710 أو أحدث Y Y
استخدام الحماية المتقدمة ضد برامج الفدية الضارة Y 1802 أو أحدث Y Y

تلميح

يمكنك أيضا تكوين قواعد ASR محليا على الأجهزة الفردية باستخدام نهج المجموعة أو PowerShell. يتم دعم جميع قواعد ASR من قبل كلا الأسلوبين على الأجهزة المحلية.

1 حاليا، قد لا تتوفر قاعدة ASR هذه في تكوين نهج INTUNE ASR بسبب مشكلة خلفية معروفة. ولكن القاعدة متاحة من خلال أساليب تكوين نهج ASR الأخرى المتوفرة أو في نهج ASR Intune الموجودة التي تم إنشاؤها قبل المشكلة.

التنبيهات والإعلامات من إجراءات قاعدة ASR

يصف الجدول التالي المؤسسة والتنبيهات المحلية التي يمكن لقواعد ASR النشطة إنشاؤها.

  • تشير قيمة تنبيهات EDR إلى ما إذا كانت قاعدة ASR في وضع الحظر أو التحذير تنشئ تنبيهات اكتشاف نقطة النهاية والاستجابة لها (EDR) في Defender لنقطة النهاية.
  • تشير قيمة إعلامات المستخدم إلى ما إذا كانت قاعدة ASR تدعم النوافذ المنبثقة لإشعارات المستخدم في وضع الحظر أو التحذير (إذا كانت القاعدة تدعم وضع التحذير ).
اسم القاعدة تنبيهات EDR User
الاخطارات
قواعد حماية Standard
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال (الجهاز) N Y
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows[¹] N N
حظر الاستمرارية من خلال اشتراك حدث WMI Y Y
قواعد ASR الأخرى
حظر Adobe Reader من إنشاء عمليات تابعة[²] Y Y
حظر جميع تطبيقات Office من إنشاء عمليات تابعة N Y
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني[²] Y Y
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها N Y
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة Y Y
حظر JavaScript أو VBScript من بدء تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله[²] Y Y
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ N Y
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى[¹] N Y
حظر تطبيق اتصال Office من إنشاء عمليات تابعة N Y
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI N Y
حظر جهاز إعادة التشغيل في الوضع الآمن N N
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB Y Y
حظر استخدام أدوات النظام المنسخة أو المنتحلة N Y
حظر إنشاء Webshell للخوادم N N
حظر مكالمات Win32 API من وحدات ماكرو Office Y N
استخدام الحماية المتقدمة ضد برامج الفدية الضارة Y Y

¹ لا تدعم قاعدة ASR هذه وضع التحذير .

² تحتوي قاعدة ASR هذه في وضع الحظر أو التحذير على المتطلبات الإضافية التالية في مستوى الحماية السحابية في برنامج الحماية من الفيروسات Microsoft Defender:

  • يتم إنشاء تنبيهات EDR فقط عندما يكون مستوى الحماية السحابية على الجهاز مرتفعا أوصفريا للتسامح.
  • يتم إنشاء النوافذ المنبثقة لإشعارات المستخدم فقط عندما يكون مستوى الحماية السحابية على الجهاز مرتفعا أو مرتفعا أوصفريا للتسامح.

تفاصيل قاعدة ASR

قواعد حماية Standard

حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال (الجهاز)

يمكن للتطبيقات المحلية ذات الامتيازات الكافية استغلال برامج التشغيل الموقعة الضعيفة للوصول إلى نواة نظام التشغيل. تمكن برامج التشغيل الموقعة الضعيفة المهاجمين من تعطيل حلول الأمان أو التحايل عليها، مما يؤدي في النهاية إلى اختراق النظام.

تمنع قاعدة ASR هذه التطبيقات من حفظ برامج التشغيل الموقعة الضعيفة على الكمبيوتر. لا يمنع تحميل برامج التشغيل الموجودة بالفعل على الكمبيوتر.

  • اسم Microsoft Intune:Block abuse of exploited vulnerable signed drivers (Device)
  • اسم Microsoft Configuration Manager: n/a
  • GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • نوع إجراء التتبع المتقدم:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • التبعيات: بلا

ملاحظة

حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows

ملاحظة

إذا قمت بتمكين حماية هيئة الأمان المحلية (LSA) ( مستحسن، جنبا إلى جنب مع Credential Guard):

  • قاعدة ASR هذه غير مطلوبة.
  • لا توفر قاعدة ASR هذه حماية إضافية (تعمل قاعدة ASR وحماية LSA بشكل مماثل).
  • تصنف قاعدة ASR هذه على أنها غير قابلة للتطبيق في إعدادات إدارة Defender لنقطة النهاية في مدخل Microsoft Defender.

تساعد قاعدة ASR هذه في منع سرقة بيانات الاعتماد عن طريق تأمين خدمة النظام الفرعي لهيئة الأمان المحلية (LSASS). يصادق LSASS المستخدمين الذين يسجلون الدخول على أجهزة كمبيوتر Windows. عادة ما يمنع Credential Guard في Windows محاولات استخراج بيانات الاعتماد من LSASS.

تجري العديد من العمليات مكالمات غير ضرورية إلى LSASS للحصول على حقوق الوصول غير المطلوبة. يولد هذا النشاط ضوضاء كبيرة في قاعدة ASR، ولكنه لا يمنع الوظائف. على سبيل المثال، يقوم Google Chrome بتحديث الوصول إلى LSASS دون داع، لأنه يتم تخزين كلمات المرور في LSASS على الجهاز. يؤدي تنشيط قاعدة ASR هذه على الجهاز إلى منع تحديثات Chrome من الوصول إلى LSASS، ولكنه لا يمنع Chrome من التحديث. أحداث قاعدة ASR هذه جيدة لأن عملية تحديث برنامج Chrome لا يجب أن تصل إلى LSASS.

للحصول على معلومات حول أنواع الحقوق المطلوبة عادة في عمليات الاستدعاء إلى LSASS، راجع أمان العملية وحقوق الوصول.

لا يمكن لبعض المؤسسات تمكين Credential Guard بسبب مشكلات التوافق مع برامج تشغيل البطاقة الذكية المخصصة أو البرامج الأخرى التي يتم تحميلها في LSA. في هذه الحالات، يمكن للمهاجمين استخدام أدوات مثل Mimikatz لاستخراج كلمات مرور نص واضح وتجزئة NTLM من LSASS.

إذا لم تتمكن من تمكين حماية LSA و/أو Credential Guard، يمكنك تكوين هذه القاعدة لتوفير حماية مكافئة ضد البرامج الضارة التي تستهدف lsass.exe.

  • اسم Microsoft Intune:Block credential stealing from the Windows local security authority subsystem
  • اسم Microsoft Configuration Manager:Block credential stealing from the Windows local security authority subsystem
  • GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • نوع إجراء التتبع المتقدم:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

  • لا تدعم قاعدة ASR هذه وضع التحذير .
  • تنتج قاعدة ASR هذه عددا كبيرا من أحداث التدقيق، وكلها تقريبا آمنة لتجاهلها عند تمكين القاعدة في وضع الحظر . يمكنك اختيار تخطي تقييم وضع التدقيق والمتابعة إلى نشر وضع الحظر. توصي Microsoft بالبدء بمجموعة صغيرة من الأجهزة والتوسع تدريجيا لتغطية الباقي.
  • تمنع قاعدة ASR هذه التنبيهات والنوافذ المنبثقة لإخطار المستخدم للعمليات المألوفة وإجراءات الكتلة المكررة.
  • تمنع قاعدة ASR هذه الوصول إلى ذاكرة عملية LSASS. لا يمنع تشغيل العمليات. عندما تحظر قاعدة ASR هذه عمليات مثل svchost.exe، فهذا يعني أن العملية محظورة من الوصول إلى ذاكرة عملية LSASS. يمكنك غالبا تجاهل حظر هذه العمليات بأمان بواسطة قاعدة ASR هذه.
  • تقوم بعض التطبيقات بتعداد جميع العمليات قيد التشغيل ومحاولة فتحها بأذونات شاملة. ترفض قاعدة ASR هذه إجراءات العملية المفتوحة للتطبيق وتسجل التفاصيل في سجل الأمان في Windows عارض الأحداث. يمكن أن تولد هذه القاعدة العديد من الضوضاء. إذا كان لديك تطبيق يقوم ببساطة بتعداد LSASS، ولكن ليس له تأثير حقيقي في الوظائف، فلا حاجة لإضافته إلى قائمة الاستبعاد. في حد ذاته، لا يشير إدخال سجل الأحداث هذا بالضرورة إلى تهديد ضار.
  • تحتوي قاعدة ASR هذه على مشكلات في Quest Dirsync Password Sync. لمزيد من المعلومات، راجع عدم عمل مزامنة كلمة مرور Dirsync عند تثبيت Windows Defender، الخطأ: "فشل VirtualAllocEx: 5" (4253914).
  • تحتوي هذه القاعدة على دعم استبعاد محدود. للحصول على التفاصيل، راجع استثناءات الملفات والمجلدات لقواعد ASR.

حظر الاستمرارية من خلال اشتراك حدث WMI

تمنع قاعدة ASR هذه البرامج الضارة من إساءة استخدام WMI للحصول على الاستمرار على الأجهزة.

تستخدم التهديدات بلا ملفات تكتيكات مختلفة للبقاء مخفيا، لتجنب المشاهدة في نظام الملفات، والحصول على التحكم الدوري. يمكن أن تسيء بعض التهديدات استخدام مستودع WMI ونموذج الحدث للبقاء مخفيا.

  • اسم Microsoft Intune:Block persistence through WMI event subscription
  • اسم Microsoft Configuration Manager: n/a
  • GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • نوع إجراء التتبع المتقدم:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • التبعيات: Microsoft Defender مكافحة الفيروسات، RPC

ملاحظة

  • لا يتم دعم هذه القاعدة عند نشرها عبر Microsoft Intune إلى Windows Server 2012 R2 أو Windows Server 2016 باستخدام الحل الموحد الحديث.
  • إذا كنت تستخدم Microsoft Configuration Manager، توصي Microsoft بإجراء اختبار شامل لقاعدة ASR هذه في وضع التدقيق قبل المتابعة إلى وضع الحظر. يعتمد عميل Configuration Manager بشكل كبير على WMI.
  • تحتوي هذه القاعدة على دعم استبعاد محدود. للحصول على التفاصيل، راجع استثناءات الملفات والمجلدات لقواعد ASR.

قواعد ASR الأخرى

منع Adobe Reader من إنشاء عمليات تابعة

تمنع قاعدة ASR هذه الهجمات عن طريق حظر Adobe Reader من إنشاء العمليات.

يمكن للبرامج الضارة تنزيل حمولات وتشغيلها والخروج من Adobe Reader من خلال الهندسة الاجتماعية أو عمليات الاستغلال. من خلال حظر Adobe Reader من إنشاء عمليات تابعة، يتم منع البرامج الضارة التي تحاول استخدام Adobe Reader كمتجه هجوم من الانتشار.

  • اسم Microsoft Intune:Block Adobe Reader from creating child processes
  • اسم Microsoft Configuration Manager: n/a
  • GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • نوع إجراء التتبع المتقدم:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

حظر جميع تطبيقات Office من إنشاء عمليات تابعة

تمنع هذه القاعدة تطبيقات Office من إنشاء عمليات تابعة. تتضمن تطبيقات Office Word وExcel وPowerPoint وOneNote وAccess.

يعد إنشاء عمليات تابعة ضارة استراتيجية برامج ضارة شائعة. غالبا ما تقوم البرامج الضارة التي تسيء استخدام Office كمتجه بتشغيل وحدات ماكرو VBA واستغلال التعليمات البرمجية لتنزيل المزيد من الحمولات ومحاولة تشغيلها. ومع ذلك، قد تنشئ بعض تطبيقات خط الأعمال المشروعة أيضا عمليات تابعة لأغراض حميدة. على سبيل المثال، إنتاج موجه الأوامر أو استخدام PowerShell لتكوين إعدادات التسجيل.

  • اسم Microsoft Intune:Block all Office applications from creating child processes
  • اسم Microsoft Configuration Manager:Block Office application from creating child processes
  • GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • نوع إجراء التتبع المتقدم:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

يتم فرض هذه القاعدة فقط إذا تم تثبيت Office في %ProgramFiles% الموقعين أو %ProgramFiles(x86)% (بشكل افتراضي، C:\Program Files و C:\Program Files (x86)).

حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني

تمنع هذه القاعدة البريد الإلكتروني الذي تم فتحه باستخدام Microsoft Outlook Outlook.com وموفري بريد الويب الشائعين الآخرين من نشر أنواع الملفات التالية:

  • الملفات القابلة للتنفيذ (على سبيل المثال، .exe أو .dll أو .scr).

  • ملفات البرنامج النصي (على سبيل المثال، .ps1 أو .vbs أو .js).

  • الأرشيف الملفات (على سبيل المثال، .zip).

  • اسم Microsoft Intune:Block executable content from email client and webmail

  • اسم Microsoft Configuration Manager:Block executable content from email client and webmail

  • GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • نوع إجراء التتبع المتقدم:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

  • تحتوي قاعدة ASR هذه في وضع الحظر أو التحذير على متطلبات إضافية في مستوى الحماية السحابية في برنامج الحماية من الفيروسات Microsoft Defender:
    • يتم إنشاء تنبيهات EDR فقط عندما يكون مستوى الحماية السحابية على الجهاز مرتفعا أوصفريا للتسامح.
    • يتم إنشاء النوافذ المنبثقة لإشعارات المستخدم فقط عندما يكون مستوى الحماية السحابية على الجهاز مرتفعا أو مرتفعا أوصفريا للتسامح.
  • تحتوي قاعدة ASR هذه على الأوصاف البديلة التالية:
    • Intune (ملفات تعريف التكوين):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Configuration Manager:Block executable content download from email and webmail clients
    • نهج المجموعة:Block executable content from email client and webmail

حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها

تلميح

حاليا، قد لا تتوفر قاعدة ASR هذه في تكوين نهج Intune ASR بسبب مشكلة خلفية معروفة. ولكن القاعدة متاحة من خلال أساليب تكوين نهج ASR الأخرى المتوفرة أو في نهج ASR Intune الموجودة التي تم إنشاؤها قبل المشكلة.

تمنع قاعدة ASR هذه الملفات القابلة للتنفيذ (على سبيل المثال، .exe أو .dll أو .scr، من التشغيل). قد يكون تشغيل الملفات القابلة للتنفيذ غير الموثوق بها أو غير المعروفة محفوفا بالمخاطر، لأنه ليس من الواضح في البداية ما إذا كانت الملفات ضارة.

  • اسم Microsoft Intune:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • اسم Microsoft Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • نوع إجراء التتبع المتقدم:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • التبعيات: Microsoft Defender مكافحة الفيروسات وحماية السحابة

ملاحظة

حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة

تكتشف قاعدة ASR هذه الخصائص المشبوهة داخل برنامج نصي معتيم.

يعد تعتيم البرنامج النصي تقنية شائعة يستخدمها كل من مؤلفي البرامج الضارة والتطبيقات المشروعة لإخفاء الملكية الفكرية أو تقليل أوقات تحميل البرنامج النصي. يستخدم مؤلفو البرامج الضارة أيضا التعتيم لجعل التعليمات البرمجية الضارة أكثر صعوبة في القراءة، مما يعيق التدقيق الدقيق من قبل البشر وبرامج الأمان.

  • اسم Microsoft Intune:Block execution of potentially obfuscated scripts
  • اسم Microsoft Configuration Manager:Block execution of potentially obfuscated scripts
  • GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • نوع إجراء التتبع المتقدم:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • التبعيات: Microsoft Defender مكافحة الفيروسات، واجهة فحص البرامج الضارة (AMSI)، حماية السحابة

ملاحظة

حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله

تمنع قاعدة ASR هذه البرامج النصية من تشغيل المحتوى الذي يحتمل أن يكون ضارا تم تنزيله. غالبا ما تعمل البرامج الضارة المكتوبة بلغة JavaScript أو VBScript كمنزل لجلب البرامج الضارة الأخرى وتشغيلها من الإنترنت. على الرغم من أن تطبيقات خط الأعمال غير شائعة، إلا أنها تستخدم أحيانا البرامج النصية لتنزيل المثبتات وتشغيلها.

  • اسم Microsoft Intune:Block JavaScript or VBScript from launching downloaded executable content
  • اسم Microsoft Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content
  • GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • نوع إجراء التتبع المتقدم:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • التبعيات: Microsoft Defender مكافحة الفيروسات، واجهة فحص البرامج الضارة (AMSI)

ملاحظة

  • لا يتم دعم هذه القاعدة عند نشرها عبر Microsoft Intune إلى Windows Server 2012 R2 أو Windows Server 2016 باستخدام الحل الموحد الحديث.

  • تحتوي قاعدة ASR هذه في وضع الحظر أو التحذير على متطلبات إضافية في مستوى الحماية السحابية في برنامج الحماية من الفيروسات Microsoft Defender:

    • يتم إنشاء تنبيهات EDR فقط عندما يكون مستوى الحماية السحابية على الجهاز مرتفعا أوصفريا للتسامح.
    • يتم إنشاء النوافذ المنبثقة لإشعارات المستخدم فقط عندما يكون مستوى الحماية السحابية على الجهاز مرتفعا أو مرتفعا أوصفريا للتسامح.

حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ

تمنع قاعدة ASR هذه استخدام تطبيقات Office (على سبيل المثال، Word وExcel وPowerPoint) كمتجه لحفظ المكونات الضارة على القرص. يمكن أن تنجو هذه المكونات الضارة من إعادة تشغيل الكمبيوتر وتستمر على النظام. تدافع هذه القاعدة ضد تقنية الاستمرار هذه من خلال:

  • حظر الوصول (فتح/تنفيذ) إلى التعليمات البرمجية المكتوبة على القرص.

  • حظر تنفيذ الملفات غير الموثوق بها المحفوظة بواسطة وحدات ماكرو Office المسموح بتشغيلها في ملفات Office.

  • اسم Microsoft Intune:Block Office applications from creating executable content

  • اسم Microsoft Configuration Manager:Block Office applications from creating executable content

  • GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • نوع إجراء التتبع المتقدم:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • التبعيات: Microsoft Defender مكافحة الفيروسات، RPC

ملاحظة

تحتوي هذه القاعدة على دعم استبعاد محدود. للحصول على التفاصيل، راجع استثناءات الملفات والمجلدات لقواعد ASR.

لا تتأثر قاعدة ASR هذه بموقع تثبيت Office.

حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى

تحظر قاعدة ASR هذه محاولات إدخال التعليمات البرمجية من تطبيقات Office إلى عمليات أخرى. قد يحاول المهاجمون استخدام تطبيقات Office لترحيل التعليمات البرمجية الضارة إلى عمليات أخرى من خلال إدخال التعليمات البرمجية، بحيث يمكن أن تتنكر التعليمات البرمجية كعملية نظيفة. لا توجد أي أغراض تجارية مشروعة معروفة لاستخدام إدخال التعليمات البرمجية.

  • اسم Microsoft Intune:Block Office applications from injecting code into other processes
  • اسم Microsoft Configuration Manager:Block Office applications from injecting code into other processes
  • GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • نوع إجراء التتبع المتقدم:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

  • لا تدعم قاعدة ASR هذه وضع التحذير .
  • تنطبق قاعدة ASR هذه على Word وExcel وOneNote وPowerPoint.
  • تتطلب قاعدة ASR هذه إعادة تشغيل Microsoft 365 Apps (تطبيقات Office) حتى تسري تغييرات التكوين.
  • تحتوي هذه القاعدة على دعم استبعاد محدود. للحصول على التفاصيل، راجع استثناءات الملفات والمجلدات لقواعد ASR.
  • قاعدة ASR هذه غير متوافقة مع التطبيقات التالية:
  • يتم فرض قاعدة ASR هذه فقط إذا تم تثبيت Office في %ProgramFiles% المواقع أو %ProgramFiles(x86)% (بشكل افتراضي، C:\Program Files و C:\Program Files (x86)).

حظر تطبيق اتصال Office من إنشاء عمليات تابعة

تمنع قاعدة ASR هذه Outlook من إنشاء عمليات تابعة، مع السماح بوظائف Outlook الشرعية. تحمي قاعدة ASR هذه من:

  • هجمات الهندسة الاجتماعية ومنع استغلال التعليمات البرمجية من إساءة استخدام الثغرات الأمنية في Outlook.

  • تستغل قواعد ونماذج Outlook التي يمكن للمهاجمين استخدامها عند اختراق بيانات اعتماد المستخدم.

  • اسم Microsoft Intune:Block Office communication application from creating child processes

  • اسم Microsoft Configuration Manager: n/a

  • GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • نوع إجراء التتبع المتقدم:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

تحتوي هذه القاعدة على دعم استبعاد محدود. للحصول على التفاصيل، راجع استثناءات الملفات والمجلدات لقواعد ASR.

يتم فرض هذه القاعدة فقط إذا تم تثبيت Office في %ProgramFiles% الموقعين أو %ProgramFiles(x86)% (بشكل افتراضي، C:\Program Files و C:\Program Files (x86)).

حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI

هام

إذا كنت تستخدم Microsoft Configuration Manager، فلا تستخدم أساليب التوزيع الأخرى المتوفرة لتمكين هذه القاعدة على الأجهزة المدارة. يعتمد عميل Configuration Manager بشكل كبير على WMI.

تمنع قاعدة ASR هذه العمليات التي تم إنشاؤها من خلال PsExecوWMI من التشغيل. يمكن ل PsExec وWMI تنفيذ التعليمات البرمجية عن بعد. يمكن للبرامج الضارة استخدام PsExec وWMI للأوامر والتحكم، أو لنشر العدوى بالشبكة.

  • اسم Microsoft Intune:Block process creations originating from PSExec and WMI commands
  • اسم Microsoft Configuration Manager: n/a
  • GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • نوع إجراء التتبع المتقدم:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

تحتوي هذه القاعدة على دعم استبعاد محدود. للحصول على التفاصيل، راجع استثناءات الملفات والمجلدات لقواعد ASR.

حظر جهاز إعادة التشغيل في الوضع الآمن

تمنع قاعدة ASR هذه الأوامر التي يتم إساءة استخدامها بشكل شائع مثل bcdedit ومن bootcfg إعادة تشغيل أجهزة كمبيوتر Windows في الوضع الآمن. في الوضع الآمن، يتم تعطيل العديد من منتجات الأمان أو تشغيلها بوظائف محدودة. يسمح الوضع الآمن للمهاجمين ببدء تشغيل أوامر العبث بشكل أكبر، أو تنفيذ جميع الملفات على الجهاز وتشفيرها.

لا يزال الوضع الآمن متاحا يدويا من بيئة استرداد Windows.

  • اسم Microsoft Intune:Block rebooting machine in Safe Mode
  • اسم Microsoft Configuration Manager: n/a
  • GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • نوع إجراء التتبع المتقدم:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

حاليا، لا يتعرف إدارة الثغرات الأمنية في Microsoft Defender على هذه القاعدة. يعرض تقرير قواعد تقليل الأجزاء المعرضة للهجوم (ASR) هذه القاعدة على أنها غير قابلة للتطبيق.

حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB

تمنع قاعدة ASR هذه الملفات القابلة للتنفيذ غير الموقعة أو غير الموثوق بها (على سبيل المثال، .exe أو .dll أو .scr) من التشغيل من محركات أقراص USB القابلة للإزالة، بما في ذلك بطاقات SD.

لا تمنع قاعدة ASR هذه نسخ الملفات من محرك أقراص USB إلى القرص. يمنع تشغيل الملفات المنسخة من القرص.

  • اسم Microsoft Intune:Block untrusted and unsigned processes that run from USB
  • اسم Microsoft Configuration Manager:Block untrusted and unsigned processes that run from USB
  • GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • نوع إجراء التتبع المتقدم:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • التبعيات: Microsoft Defender مكافحة الفيروسات

حظر استخدام أدوات النظام المنسخة أو المنتحلة

تحظر قاعدة ASR هذه نشر واستخدام الملفات القابلة للتنفيذ التي تم تعريفها كنسخ (مكررة أو محتالة) من أدوات نظام Windows. قد تحاول بعض البرامج الضارة نسخ أدوات نظام Windows أو انتحالها لتجنب الكشف أو الحصول على امتيازات. يمكن أن يؤدي السماح بمثل هذه الملفات القابلة للتنفيذ إلى هجمات محتملة.

  • اسم Microsoft Intune:Block use of copied or impersonated system tools
  • اسم Microsoft Configuration Manager: n/a
  • GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • نوع إجراء التتبع المتقدم:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

حاليا، لا يتعرف إدارة الثغرات الأمنية في Microsoft Defender على هذه القاعدة. يعرض تقرير قواعد تقليل الأجزاء المعرضة للهجوم (ASR) هذه القاعدة على أنها غير قابلة للتطبيق.

حظر إنشاء Webshell للخوادم

تحظر قاعدة ASR هذه إنشاء برنامج نصي لواجهة الويب على خوادم Windows التي تقوم بتشغيل Microsoft Exchange. البرنامج النصي ل shell على الويب هو برنامج نصي معد يسمح للمهاجم بالتحكم في الخادم المخترق. قد يتضمن البرنامج النصي ل shell على الويب الوظائف التالية:

  • تلقي الأوامر الضارة وتشغيلها.

  • قم بتنزيل الملفات الضارة وتشغيلها.

  • سرقة بيانات الاعتماد والمعلومات الحساسة واختراقها.

  • تحديد الأهداف المحتملة.

  • اسم Microsoft Intune:Block Webshell creation for Servers

  • اسم Microsoft Configuration Manager: n/a

  • GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • نوع إجراء التتبع المتقدم: n/a

  • التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

  • لا يتم دعم هذه القاعدة عند نشرها عبر Microsoft Intune إلى Windows Server 2012 R2 أو Windows Server 2016 باستخدام الحل الموحد الحديث.
  • إذا كنت تدير قواعد ASR في Microsoft Defender لنقطة النهاية، فلا تقم بتكوين ASR هذا في نهج المجموعة أو الإعدادات المحلية الأخرى (اترك القيمة ك Not Configured). يمكن أن تتسبب أي قيمة أخرى (على سبيل المثال، Enabled أو Disabled) في حدوث تعارضات وتمنع القاعدة من التطبيق بشكل صحيح.
  • حاليا، لا يتعرف إدارة الثغرات الأمنية في Microsoft Defender على هذه القاعدة. يعرض تقرير قواعد تقليل الأجزاء المعرضة للهجوم (ASR) هذه القاعدة على أنها غير قابلة للتطبيق.

حظر مكالمات Win32 API من وحدات ماكرو Office

يتيح Office Visual Basic for Applications (VBA) استدعاءات Win32 API. تمنع قاعدة ASR هذه وحدات ماكرو VBA من استدعاء واجهات برمجة تطبيقات Win32. يمكن للبرامج الضارة إساءة استخدام هذه الإمكانية، مثل استدعاء واجهات برمجة تطبيقات Win32 لتشغيل shellcode الضار دون كتابة أي شيء مباشرة إلى القرص.

لا تتطلب معظم المؤسسات استدعاءات Win32 API من وحدات ماكرو VBA، حتى إذا كانت تستخدم وحدات الماكرو بطرق أخرى.

  • اسم Microsoft Intune:Block Win32 API calls from Office macros
  • اسم Microsoft Configuration Manager:Block Win32 API calls from Office macros
  • GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • نوع إجراء التتبع المتقدم:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • التبعيات: Microsoft Defender مكافحة الفيروسات، واجهة فحص البرامج الضارة (AMSI)

استخدام الحماية المتقدمة ضد برامج الفدية الضارة

ملاحظة

توفر قاعدة ASR هذه طبقة إضافية من الحماية ضد برامج الفدية الضارة. ويستخدم كل من العميل والاستدلال السحابي لتحديد ما إذا كان الملف يشبه برامج الفدية الضارة. لا تحظر هذه القاعدة الملفات التي تحتوي على واحدة أو أكثر من الخصائص التالية:

  • تم العثور على الملف غير مفيد في سحابة Microsoft.
  • الملف هو ملف موقع صالح.
  • الملف منتشر بما يكفي لعدم اعتباره برامج فدية.

لا تحظر هذه القاعدة الملفات ذات السمعة السيئة فقط. بدلا من ذلك، تسيء القاعدة إلى جانب الحذر وتحظر أيضا الملفات التي لا تتمتع بسمعة إيجابية حتى الآن. عادة ما تقوم كتل الملفات غير الحميدة وغير المعروفة بواسطة هذه القاعدة بحل نفسها في النهاية. تزداد سمعة الملف وقيم الثقة بشكل متزايد مع زيادة الاستخدام غير المسبب للمشاكل.

إذا لم يتم حل الكتل الموجودة على الملفات غير الحميدة وغير المعروفة في الوقت المناسب، يمكنك تكوين استبعاد قاعدة لكل ASR لهذه القاعدة أو استخدام الإجراء السماح لمؤشر التسوية (IoC).

  • اسم Microsoft Intune:Use advanced protection against ransomware
  • اسم Microsoft Configuration Manager:Use advanced protection against ransomware
  • GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • نوع إجراء التتبع المتقدم:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • التبعيات: Microsoft Defender مكافحة الفيروسات وحماية السحابة

المحتويات ذات الصلة

  • Last updated on