مشاركة عبر

مرجع قواعد تقليل الأجزاء المعرضة للهجوم

  • مقالة

ينطبق على:

مناص:

  • بالنسبة لنظام التشغيل

توفر هذه المقالة معلومات حول قواعد تقليل الأجزاء المعرضة للهجوم Microsoft Defender لنقطة النهاية (قواعد ASR):

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

تلميح

بصفتك مصاحبا لهذه المقالة، راجع دليل إعداد Microsoft Defender لنقطة النهاية لمراجعة أفضل الممارسات والتعرف على الأدوات الأساسية مثل تقليل الأجزاء المعرضة للهجوم وحماية الجيل التالي. للحصول على تجربة مخصصة استنادا إلى بيئتك، يمكنك الوصول إلى دليل الإعداد التلقائي ل Defender لنقطة النهاية في مركز مسؤولي Microsoft 365.

قواعد تقليل الأجزاء المعرضة للهجوم حسب النوع

يتم تصنيف قواعد تقليل الأجزاء المعرضة للهجوم على أنها واحدة من نوعين:

  • قواعد الحماية القياسية: هي الحد الأدنى لمجموعة القواعد التي توصي Microsoft بتمكينها دائما، أثناء تقييم التأثير واحتياجات التكوين لقواعد ASR الأخرى. عادة ما يكون لهذه القواعد تأثير ملحوظ من أدنى إلى لا على المستخدم النهائي.

  • قواعد أخرى: القواعد التي تتطلب قدرا من اتباع خطوات التوزيع الموثقة [اختبار الخطة > (التدقيق) > تمكين (أوضاع الحظر/التحذير)]، كما هو موثق في دليل نشر قواعد تقليل الأجزاء المعرضة للهجوم

للحصول على أسهل طريقة لتمكين قواعد الحماية القياسية، راجع: خيار الحماية القياسية المبسطة.

اسم قاعدة ASR: قاعدة الحماية القياسية؟ قاعدة أخرى؟
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال نعم
منع Adobe Reader من إنشاء عمليات تابعة نعم
حظر جميع تطبيقات Office من إنشاء عمليات تابعة نعم
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe) نعم
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني نعم
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها نعم
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة نعم
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله نعم
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ نعم
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى نعم
حظر تطبيق اتصال Office من إنشاء عمليات تابعة نعم
حظر الاستمرارية من خلال اشتراك حدث WMI نعم
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI نعم
حظر جهاز إعادة التشغيل في الوضع الآمن (معاينة) نعم
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB نعم
حظر استخدام أدوات النظام المنسخة أو المنتحلة (معاينة) نعم
حظر إنشاء Webshell للخوادم نعم
حظر مكالمات Win32 API من وحدات ماكرو Office نعم
استخدام الحماية المتقدمة ضد برامج الفدية الضارة نعم

Microsoft Defender استثناءات مكافحة الفيروسات وقواعد ASR

تنطبق استثناءات برنامج الحماية من الفيروسات Microsoft Defender على بعض قدرات Microsoft Defender لنقطة النهاية، مثل بعض قواعد تقليل الأجزاء المعرضة للهجوم.

لا تحترم قواعد ASR التالية استثناءات برنامج الحماية من الفيروسات Microsoft Defender:

اسم قواعد ASR:
منع Adobe Reader من إنشاء عمليات تابعة
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe)
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى
حظر تطبيق اتصال Office من إنشاء عمليات تابعة

ملاحظة

للحصول على معلومات حول تكوين استثناءات لكل قاعدة، راجع القسم بعنوان تكوين قواعد ASR لكل قاعدة في الموضوع اختبار قواعد تقليل الأجزاء المعرضة للهجوم.

قواعد ASR ومؤشرات Defender لنقطة النهاية للتسوية (IOC)

لا تحترم قواعد ASR التالية Microsoft Defender لنقطة النهاية مؤشرات التسوية (IOC):

اسم قاعدة ASR الوصف
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe) لا يحترم مؤشرات الاختراق للملفات أو الشهادات.
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى لا يحترم مؤشرات الاختراق للملفات أو الشهادات.
حظر مكالمات Win32 API من وحدات ماكرو Office لا يحترم مؤشرات الاختراق للشهادات.

أنظمة التشغيل المدعومة لقواعد ASR

يسرد الجدول التالي أنظمة التشغيل المدعومة للقواعد التي تم إصدارها حاليا للتوفر العام. يتم سرد القواعد بترتيب أبجدي في هذا الجدول.

ملاحظة

ما لم يشار إلى خلاف ذلك، فإن الحد الأدنى من إصدار Windows10 هو الإصدار 1709 (RS3، النسخة 16299) أو أحدث؛ الحد الأدنى من إصدار Windows Server هو الإصدار 1809 أو أحدث. تتوفر قواعد تقليل الأجزاء المعرضة للهجوم في Windows Server 2012 R2 وWindows Server 2016 للأجهزة المإلحاقة باستخدام حزمة الحلول الموحدة الحديثة. لمزيد من المعلومات، راجع وظائف Windows Server 2012 R2 و2016 الجديدة في الحل الموحد الحديث.

اسم القاعدة Windows 11
و
Windows 10		 Windows Server 2022
و
Windows Server 2019		 Windows Server Windows Server 2016 [1، 2] Windows Server
2012 R2 [1, 2]
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال Y Y Y
الإصدار 1803 (قناة المؤسسة نصف السنوية) أو أحدث		 Y Y
منع Adobe Reader من إنشاء عمليات تابعة Y
الإصدار 1809 أو أحدث [3]		 Y Y Y Y
حظر جميع تطبيقات Office من إنشاء عمليات تابعة Y Y Y Y Y
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe) Y
الإصدار 1803 أو أحدث [3]		 Y Y Y Y
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني Y Y Y Y Y
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها Y
الإصدار 1803 أو أحدث [3]		 Y Y Y Y
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة Y Y Y Y Y
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله Y Y Y N N
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ Y Y Y Y Y
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى Y Y Y Y Y
حظر تطبيق اتصال Office من إنشاء عمليات تابعة Y Y Y Y Y
حظر الاستمرارية من خلال اشتراك حدث Windows Management Instrumentation (WMI) Y
الإصدار 1903 (النسخة 18362) أو أحدث [3]		 Y Y
الإصدار 1903 (النسخة 18362) أو أحدث		 N N
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI Y
الإصدار 1803 أو أحدث [3]		 Y Y Y Y
حظر جهاز إعادة التشغيل في الوضع الآمن (معاينة) Y Y Y Y Y
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB Y Y Y Y Y
حظر استخدام أدوات النظام المنسخة أو المنتحلة (معاينة) Y Y Y Y Y
حظر إنشاء Webshell للخوادم N Y
دور Exchange فقط		 Y
دور Exchange فقط		 Y
دور Exchange فقط		 Y
دور Exchange فقط
حظر مكالمات Win32 API من وحدات ماكرو Office Y N N N N
استخدام الحماية المتقدمة ضد برامج الفدية الضارة Y
الإصدار 1803 أو أحدث [3]		 Y Y Y Y

(1) يشير إلى الحل الموحد الحديث ل Windows Server 2012 و2016. لمزيد من المعلومات، راجع إلحاق خوادم Windows بخدمة Defender لنقطة النهاية.

(2) بالنسبة إلى Windows Server 2016 وWindows Server 2012 R2، فإن الحد الأدنى المطلوب من إصدار Microsoft Endpoint Configuration Manager هو الإصدار 2111.

(3) يتم تطبيق رقم الإصدار والإصدار على Windows10 فقط.

قواعد ASR تدعم أنظمة إدارة التكوين

يتم سرد الارتباطات إلى معلومات حول إصدارات نظام إدارة التكوين المشار إليها في هذا الجدول أسفل هذا الجدول.

اسم القاعدة Microsoft Intune Microsoft Endpoint Configuration Manager نهج المجموعة[1] PowerShell[1]
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال Y Y Y
منع Adobe Reader من إنشاء عمليات تابعة Y Y Y
حظر جميع تطبيقات Office من إنشاء عمليات تابعة Y Y

CB 1710		 Y Y
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe) Y Y

CB 1802		 Y Y
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني Y Y

CB 1710		 Y Y
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها Y Y

CB 1802		 Y Y
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة Y Y

CB 1710		 Y Y
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله Y Y

CB 1710		 Y Y
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ Y Y

CB 1710		 Y Y
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى Y Y

CB 1710		 Y Y
حظر تطبيق اتصال Office من إنشاء عمليات تابعة Y Y

CB 1710		 Y Y
حظر الاستمرارية من خلال اشتراك حدث WMI Y Y Y
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI Y Y Y
حظر جهاز إعادة التشغيل في الوضع الآمن (معاينة) Y Y Y
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB Y Y

CB 1802		 Y Y
حظر استخدام أدوات النظام المنسخة أو المنتحلة (معاينة) Y Y Y
حظر إنشاء Webshell للخوادم Y Y Y
حظر مكالمات Win32 API من وحدات ماكرو Office Y Y

CB 1710		 Y Y
استخدام الحماية المتقدمة ضد برامج الفدية الضارة Y Y

CB 1802		 Y Y

(1) يمكنك تكوين قواعد تقليل الأجزاء المعرضة للهجوم على أساس كل قاعدة باستخدام GUID لأي قاعدة.

وفقا لتفاصيل التنبيه والإعلام لقاعدة ASR

يتم إنشاء الإعلامات المنبثقة لجميع القواعد في وضع الحظر. لا تنشئ القواعد في أي وضع آخر إعلامات منبثة.

بالنسبة للقواعد التي تم تحديد "حالة القاعدة":

  • تستخدم قواعد ASR مع \ASR Rule, Rule State\ المجموعات لعرض التنبيهات (الإعلامات المنبثقة) على Microsoft Defender لنقطة النهاية فقط للأجهزة على مستوى كتلة السحابة "عالي".
  • الأجهزة التي لا تعمل على مستوى كتلة السحابة العالي لا تنشئ تنبيهات لأي ASR Rule, Rule State مجموعات
  • يتم إنشاء تنبيهات EDR لقواعد ASR في الحالات المحددة، للأجهزة على مستوى كتلة السحابة "High+"
  • تحدث الإعلامات المنبثقة في وضع الحظر فقط وبالنسبة للأجهزة على مستوى كتلة السحابة "عالية"
اسم القاعدة حالة القاعدة تنبيهات EDR الإعلامات المنبثقة
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال N Y
منع Adobe Reader من إنشاء عمليات تابعة حظر Y Y
حظر جميع تطبيقات Office من إنشاء عمليات تابعة N Y
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe) N N
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني Y Y
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها N Y
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة التدقيق أو الحظر Y (في وضع الحظر)
N (في وضع التدقيق)		 Y (في وضع الحظر)
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله حظر Y Y
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ N Y
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى N Y
حظر تطبيق اتصال Office من إنشاء عمليات تابعة N Y
حظر الاستمرارية من خلال اشتراك حدث WMI التدقيق أو الحظر Y (في وضع الحظر)
N (في وضع التدقيق)		 Y (في وضع الحظر)
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI N Y
حظر جهاز إعادة التشغيل في الوضع الآمن (معاينة) N N
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB التدقيق أو الحظر Y (في وضع الحظر)
N (في وضع التدقيق)		 Y (في وضع الحظر)
حظر استخدام أدوات النظام المنسخة أو المنتحلة (معاينة) N N
حظر إنشاء Webshell للخوادم N N
حظر مكالمات Win32 API من وحدات ماكرو Office N Y
استخدام الحماية المتقدمة ضد برامج الفدية الضارة التدقيق أو الحظر Y (في وضع الحظر)
N (في وضع التدقيق)		 Y (في وضع الحظر)

قاعدة ASR إلى مصفوفة GUID

اسم القاعدة المعرف الفريد العمومي للقاعدة
حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال 56a863a9-875e-4185-98a7-b882c64b5ce5
منع Adobe Reader من إنشاء عمليات تابعة 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
حظر جميع تطبيقات Office من إنشاء عمليات تابعة d4f940ab-401b-4efc-aadc-ad5f3c50688a
حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني be9ba2d9-53ea-4cdc-84e5-9b1ee46550
حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها 01443614-cd74-433a-b99e-2ecdc07bfc25
حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة 5beb7efe-fd9a-4556-801d-275e5ffc04cc
حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله d3e037e1-3eb8-44c8-a917-57927947596d
حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ 3b576869-a4ec-4529-8536-b80a7769e899
حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
حظر تطبيق اتصال Office من إنشاء عمليات تابعة 26190899-1602-49e8-8b27-eb1d0a1ce869
حظر الاستمرارية من خلال اشتراك حدث WMI
* استثناءات الملفات والمجلدات غير مدعومة.		 e6db77e5-3df2-4cf1-b95a-636979351e5b
حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI d1e49aac-8f56-4280-b9ba-993a6d77406c
حظر جهاز إعادة التشغيل في الوضع الآمن (معاينة) 33ddedf1-c6e0-47cb-833e-de6133960387
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
حظر استخدام أدوات النظام المنسخة أو المنتحلة (معاينة) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
حظر إنشاء Webshell للخوادم a8f5898e-1dc8-49a9-9878-85004b8a61e6
حظر مكالمات Win32 API من وحدات ماكرو Office 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
استخدام الحماية المتقدمة ضد برامج الفدية الضارة c1db55ab-c21a-4637-bb3f-a12568109d35

أوضاع قاعدة ASR

  • لم يتم تكوينها أو تعطيلها: الحالة التي لم يتم فيها تمكين قاعدة ASR أو تعطيلها. التعليمات البرمجية لهذه الحالة = 0.
  • الكتلة: الحالة التي يتم فيها تمكين قاعدة ASR. التعليمات البرمجية لهذه الحالة هي 1.
  • التدقيق: الحالة التي يتم فيها تقييم قاعدة ASR لتأثيرها على المؤسسة أو البيئة إذا تم تمكينها (تعيين إلى حظر أو تحذير). التعليمة البرمجية لهذه الحالة هي 2.
  • حذر الحالة التي يتم فيها تمكين قاعدة ASR وتقدم إعلاما للمستخدم النهائي، ولكنها تسمح للمستخدم النهائي بتجاوز الكتلة. التعليمات البرمجية لهذه الحالة هي 6.

وضع التحذير هو نوع وضع الحظر الذي ينبه المستخدمين إلى الإجراءات التي يحتمل أن تكون محفوفة بالمخاطر. يمكن للمستخدمين اختيار تجاوز رسالة تحذير الحظر والسماح بالإجراء الأساسي. يمكن للمستخدمين تحديد موافق لفرض الكتلة، أو تحديد خيار التجاوز - إلغاء الحظر - من خلال الإعلام المنبثق للمستخدم النهائي الذي تم إنشاؤه في وقت الكتلة. بعد إلغاء حظر التحذير، يسمح بالعملية حتى المرة التالية التي تحدث فيها رسالة التحذير، وفي ذلك الوقت سيحتاج المستخدم النهائي إلى إعادة أداء الإجراء.

عند النقر فوق زر السماح، يتم منع الكتلة لمدة 24 ساعة. بعد 24 ساعة، سيحتاج المستخدم النهائي إلى السماح للكتلة مرة أخرى. يتم دعم وضع التحذير لقواعد ASR فقط لأجهزة RS5+ (1809+). إذا تم تعيين تجاوز لقواعد ASR على الأجهزة ذات الإصدارات القديمة، تكون القاعدة في الوضع المحظور.

يمكنك أيضا تعيين قاعدة في وضع التحذير عبر PowerShell عن طريق تحديد AttackSurfaceReductionRules_Actions على أنه "تحذير". على سبيل المثال:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

لكل أوصاف قاعدة

حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال

تمنع هذه القاعدة التطبيق من كتابة برنامج تشغيل موقع ضعيف إلى القرص. يمكن استغلال برامج التشغيل الموقعة الضعيفة داخل البرية من قبل التطبيقات المحلية - التي لديها امتيازات كافية - للوصول إلى النواة. تمكن برامج التشغيل الموقعة الضعيفة المهاجمين من تعطيل حلول الأمان أو التحايل عليها، مما يؤدي في النهاية إلى اختراق النظام.

لا تمنع قاعدة حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال تحميل برنامج تشغيل موجود بالفعل على النظام.

ملاحظة

يمكنك تكوين هذه القاعدة باستخدام Intune OMA-URI. راجع Intune OMA-URI لتكوين القواعد المخصصة. يمكنك أيضا تكوين هذه القاعدة باستخدام PowerShell. لفحص برنامج تشغيل، استخدم موقع ويب هذا لإرسال برنامج تشغيل للتحليل.

اسم Intune:Block abuse of exploited vulnerable signed drivers

اسم Configuration Manager: غير متوفر بعد

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

نوع إجراء التتبع المتقدم:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

منع Adobe Reader من إنشاء عمليات تابعة

تمنع هذه القاعدة الهجمات عن طريق حظر Adobe Reader من إنشاء العمليات.

يمكن للبرامج الضارة تنزيل حمولات وتشغيلها والخروج من Adobe Reader من خلال الهندسة الاجتماعية أو عمليات الاستغلال. من خلال منع إنشاء العمليات التابعة بواسطة Adobe Reader، يتم منع البرامج الضارة التي تحاول استخدام Adobe Reader كمتجه هجوم من الانتشار.

اسم Intune:Process creation from Adobe Reader (beta)

اسم Configuration Manager: غير متوفر بعد

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

نوع إجراء التتبع المتقدم:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر جميع تطبيقات Office من إنشاء عمليات تابعة

تمنع هذه القاعدة تطبيقات Office من إنشاء عمليات تابعة. تتضمن تطبيقات Office Word وExcel وPowerPoint وOneNote وAccess.

يعد إنشاء عمليات تابعة ضارة استراتيجية برامج ضارة شائعة. غالبا ما تقوم البرامج الضارة التي تسيء استخدام Office كمتجه بتشغيل وحدات ماكرو VBA واستغلال التعليمات البرمجية لتنزيل المزيد من الحمولات ومحاولة تشغيلها. ومع ذلك، قد تنشئ بعض تطبيقات خط الأعمال المشروعة أيضا عمليات تابعة لأغراض حميدة؛ مثل إنتاج موجه أوامر أو استخدام PowerShell لتكوين إعدادات التسجيل.

اسم Intune:Office apps launching child processes

اسم Configuration Manager:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

نوع إجراء التتبع المتقدم:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows

ملاحظة

إذا تم تمكين حماية LSA وتمكين Credential Guard ، فلن تكون قاعدة تقليل سطح الهجوم هذه مطلوبة.

تساعد هذه القاعدة على منع سرقة بيانات الاعتماد عن طريق تأمين خدمة النظام الفرعي لسلطة الأمان المحلية (LSASS).

يصادق LSASS المستخدمين الذين يسجلون الدخول على كمبيوتر Windows. يمنع Microsoft Defender Credential Guard في Windows عادة محاولات استخراج بيانات الاعتماد من LSASS. لا يمكن لبعض المؤسسات تمكين Credential Guard على جميع أجهزة الكمبيوتر الخاصة بها بسبب مشكلات التوافق مع برامج تشغيل البطاقات الذكية المخصصة أو البرامج الأخرى التي يتم تحميلها في هيئة الأمان المحلية (LSA). في هذه الحالات، يمكن للمهاجمين استخدام أدوات مثل Mimikatz لاستخراج كلمات مرور نص واضح وتجزئة NTLM من LSASS.

بشكل افتراضي، يتم تعيين حالة هذه القاعدة إلى حظر. في معظم الحالات، تجري العديد من العمليات مكالمات إلى LSASS للحصول على حقوق الوصول غير الضرورية. على سبيل المثال، مثل عندما تؤدي الكتلة الأولية من قاعدة ASR إلى استدعاء لاحق لامتياز أقل ينجح لاحقا. للحصول على معلومات حول أنواع الحقوق التي يتم طلبها عادة في عمليات الاستدعاء إلى LSASS، راجع: أمان العملية وحقوق الوصول.

لا يوفر تمكين هذه القاعدة حماية إضافية إذا كان لديك حماية LSA ممكنة منذ أن تعمل قاعدة ASR وحماية LSA بشكل مماثل. ومع ذلك، عندما لا يمكن تمكين حماية LSA، يمكن تكوين هذه القاعدة لتوفير حماية مكافئة ضد البرامج الضارة التي تستهدف lsass.exe.

ملاحظة

في هذا السيناريو، تصنف قاعدة ASR على أنها "غير قابلة للتطبيق" في إعدادات Defender لنقطة النهاية في مدخل Microsoft Defender. لا تدعم قاعدة حظر بيانات الاعتماد التي تسرق من النظام الفرعي لمرجع الأمان المحلي ل Windows ASR وضع WARN. في بعض التطبيقات، تقوم التعليمات البرمجية بتعداد جميع العمليات قيد التشغيل ومحاولات فتحها بأذونات شاملة. ترفض هذه القاعدة إجراء فتح عملية التطبيق وتسجل التفاصيل إلى سجل أحداث الأمان. يمكن أن تولد هذه القاعدة الكثير من الضوضاء. إذا كان لديك تطبيق يقوم ببساطة بتعداد LSASS، ولكن ليس له تأثير حقيقي في الوظائف، فلا حاجة لإضافته إلى قائمة الاستبعاد. في حد ذاته، لا يشير إدخال سجل الأحداث هذا بالضرورة إلى تهديد ضار.

اسم Intune:Flag credential stealing from the Windows local security authority subsystem

اسم Configuration Manager:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

نوع إجراء التتبع المتقدم:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني

تمنع هذه القاعدة البريد الإلكتروني المفتوح داخل تطبيق Microsoft Outlook، أو Outlook.com وموفري بريد الويب الشائعين الآخرين من نشر أنواع الملفات التالية:

  • الملفات القابلة للتنفيذ (مثل .exe أو .dll أو .scr)
  • ملفات البرنامج النصي (مثل ملف .ps1 PowerShell أو Visual Basic .vbs أو JavaScript .js)

اسم Intune:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

اسم Microsoft Configuration Manager:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

نوع إجراء التتبع المتقدم:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

ملاحظة

تحتوي القاعدة حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني على الأوصاف البديلة التالية، اعتمادا على التطبيق الذي تستخدمه:

  • Intune (ملفات تعريف التكوين): تم إسقاط تنفيذ المحتوى القابل للتنفيذ (exe وdll وps وjs وvbs وما إلى ذلك) من البريد الإلكتروني (عميل بريد الويب/البريد) (لا توجد استثناءات).
  • Configuration Manager: حظر تنزيل المحتوى القابل للتنفيذ من عملاء البريد الإلكتروني والبريد الإلكتروني.
  • نهج المجموعة: حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني.

حظر تشغيل الملفات القابلة للتنفيذ ما لم تكن تفي بمعيار الانتشار أو العمر أو القائمة الموثوق بها

تمنع هذه القاعدة تشغيل الملفات القابلة للتنفيذ، مثل .exe أو .dll أو .scr. وبالتالي، يمكن أن يكون تشغيل الملفات القابلة للتنفيذ غير الموثوق بها أو غير المعروفة محفوفا بالمخاطر، حيث قد لا يكون واضحا في البداية ما إذا كانت الملفات ضارة.

هام

يجب تمكين الحماية المقدمة من السحابة لاستخدام هذه القاعدة. يتم تشغيل القاعدة حظر الملفات القابلة للتنفيذ إلا إذا كانت تفي بمعيار انتشار أو عمر أو قائمة موثوق بها مع GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 مملوكة من قبل Microsoft ولا يحددها المسؤولون. تستخدم هذه القاعدة الحماية المقدمة من السحابة لتحديث قائمتها الموثوق بها بانتظام. يمكنك تحديد ملفات أو مجلدات فردية (باستخدام مسارات المجلدات أو أسماء الموارد المؤهلة بالكامل) ولكن لا يمكنك تحديد القواعد أو الاستثناءات التي تنطبق عليها.

اسم Intune:Executables that don't meet a prevalence, age, or trusted list criteria

اسم Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

نوع إجراء التتبع المتقدم:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، حماية السحابة

حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة

تكتشف هذه القاعدة الخصائص المشبوهة داخل برنامج نصي معتيم.

ملاحظة

يتم الآن دعم البرامج النصية PowerShell لقاعدة "حظر تنفيذ البرامج النصية التي يحتمل أن تكون عتيمة".

هام

يجب تمكين الحماية المقدمة من السحابة لاستخدام هذه القاعدة.

يعد تعتيم البرنامج النصي تقنية شائعة يستخدمها كل من مؤلفي البرامج الضارة والتطبيقات المشروعة لإخفاء الملكية الفكرية أو تقليل أوقات تحميل البرنامج النصي. يستخدم مؤلفو البرامج الضارة أيضا التعتيم لجعل التعليمات البرمجية الضارة أكثر صعوبة في القراءة، مما يعيق التدقيق الدقيق من قبل البشر وبرامج الأمان.

اسم Intune:Obfuscated js/vbs/ps/macro code

اسم Configuration Manager:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

نوع إجراء التتبع المتقدم:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، واجهة فحص مكافحة البرامج الضارة (AMSI)

حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله

تمنع هذه القاعدة البرامج النصية من تشغيل المحتوى الذي يحتمل أن يكون ضارا تم تنزيله. غالبا ما تعمل البرامج الضارة المكتوبة بلغة JavaScript أو VBScript كمنزل لجلب البرامج الضارة الأخرى وتشغيلها من الإنترنت. على الرغم من أن تطبيقات خط الأعمال ليست شائعة، إلا أنها تستخدم أحيانا البرامج النصية لتنزيل المثبتات وتشغيلها.

اسم Intune:js/vbs executing payload downloaded from Internet (no exceptions)

اسم Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

نوع إجراء التتبع المتقدم:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، AMSI

حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ

تمنع هذه القاعدة تطبيقات Office، بما في ذلك Word وExcel وPowerPoint، من إنشاء محتوى قابل للتنفيذ يحتمل أن يكون ضارا، عن طريق حظر كتابة التعليمات البرمجية الضارة على القرص. قد تحاول البرامج الضارة التي تسيء استخدام Office كمتجه الخروج من Office وحفظ المكونات الضارة على القرص. ستنجو هذه المكونات الضارة من إعادة تشغيل الكمبيوتر وتستمر على النظام. لذلك، تدافع هذه القاعدة ضد تقنية استمرارية مشتركة. تحظر هذه القاعدة أيضا تنفيذ الملفات غير الموثوق بها التي ربما تم حفظها بواسطة وحدات ماكرو Office المسموح بتشغيلها في ملفات Office.

اسم Intune:Office apps/macros creating executable content

اسم Configuration Manager:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

نوع إجراء التتبع المتقدم:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، RPC

حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى

تحظر هذه القاعدة محاولات إدخال التعليمات البرمجية من تطبيقات Office إلى عمليات أخرى.

ملاحظة

لا تدعم قاعدة حظر التطبيقات من إدخال التعليمات البرمجية في العمليات الأخرى قاعدة ASR وضع WARN.

هام

تتطلب هذه القاعدة إعادة تشغيل Microsoft 365 Apps (تطبيقات Office) حتى تسري تغييرات التكوين.

قد يحاول المهاجمون استخدام تطبيقات Office لترحيل التعليمات البرمجية الضارة إلى عمليات أخرى من خلال إدخال التعليمات البرمجية، بحيث يمكن أن تتنكر التعليمات البرمجية كعملية نظيفة. لا توجد أي أغراض تجارية مشروعة معروفة لاستخدام إدخال التعليمات البرمجية.

تنطبق هذه القاعدة على Word وExcel وOneNote وPowerPoint.

اسم Intune:Office apps injecting code into other processes (no exceptions)

اسم Configuration Manager:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

نوع إجراء التتبع المتقدم:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر تطبيق اتصال Office من إنشاء عمليات تابعة

تمنع هذه القاعدة Outlook من إنشاء عمليات تابعة، مع السماح بوظائف Outlook المشروعة. تحمي هذه القاعدة من هجمات الهندسة الاجتماعية وتمنع استغلال التعليمات البرمجية من إساءة استخدام الثغرات الأمنية في Outlook. كما أنه يحمي من عمليات استغلال قواعد ونماذج Outlook التي يمكن للمهاجمين استخدامها عند اختراق بيانات اعتماد المستخدم.

ملاحظة

تحظر هذه القاعدة تلميحات نهج DLP وتلميحات الأدوات في Outlook. تنطبق هذه القاعدة على Outlook Outlook.com فقط.

اسم Intune:Process creation from Office communication products (beta)

اسم Configuration Manager: غير متوفر

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

نوع إجراء التتبع المتقدم:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر الاستمرارية من خلال اشتراك حدث WMI

تمنع هذه القاعدة البرامج الضارة من إساءة استخدام WMI لتحقيق الاستمرارية على الجهاز.

هام

لا تنطبق استثناءات الملفات والمجلدات على قاعدة تقليل سطح الهجوم هذه.

تستخدم التهديدات بلا ملفات تكتيكات مختلفة للبقاء مخفيا، لتجنب المشاهدة في نظام الملفات، والحصول على التحكم الدوري في التنفيذ. يمكن أن تسيء بعض التهديدات استخدام مستودع WMI ونموذج الحدث للبقاء مخفيا.

ملاحظة

إذا CcmExec.exe تم الكشف عن (عامل SCCM) على الجهاز، يتم تصنيف قاعدة ASR على أنها "غير قابلة للتطبيق" في إعدادات Defender لنقطة النهاية في مدخل Microsoft Defender.

اسم Intune:Persistence through WMI event subscription

اسم Configuration Manager: غير متوفر

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

نوع إجراء التتبع المتقدم:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، RPC

حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI

تمنع هذه القاعدة العمليات التي تم إنشاؤها من خلال PsExecوWMI من التشغيل. يمكن لكل من PsExec وWMI تنفيذ التعليمات البرمجية عن بعد. هناك خطر من استخدام البرامج الضارة لوظائف PsExec وWMI لأغراض القيادة والتحكم، أو لنشر عدوى في جميع أنحاء شبكة المؤسسة.

تحذير

استخدم هذه القاعدة فقط إذا كنت تدير أجهزتك باستخدام Intune أو حل MDM آخر. هذه القاعدة غير متوافقة مع الإدارة من خلال Configuration Manager نقطة النهاية من Microsoft لأن هذه القاعدة تحظر أوامر WMI التي يستخدمها العميل Configuration Manager للعمل بشكل صحيح.

اسم Intune:Process creation from PSExec and WMI commands

اسم Configuration Manager: غير قابل للتطبيق

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

نوع إجراء التتبع المتقدم:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر جهاز إعادة التشغيل في الوضع الآمن (معاينة)

تمنع هذه القاعدة تنفيذ الأوامر لإعادة تشغيل الأجهزة في الوضع الآمن. الوضع الآمن هو وضع تشخيصي يقوم فقط بتحميل الملفات وبرامج التشغيل الأساسية اللازمة لتشغيل Windows. ومع ذلك، في الوضع الآمن، يتم تعطيل العديد من منتجات الأمان أو تشغيلها بسعة محدودة، ما يسمح للمهاجمين ببدء تشغيل أوامر العبث بشكل أكبر، أو ببساطة تنفيذ جميع الملفات وتشفيرها على الجهاز. تمنع هذه القاعدة مثل هذه الهجمات عن طريق منع العمليات من إعادة تشغيل الأجهزة في الوضع الآمن.

ملاحظة

هذه الإمكانية قيد المعاينة حاليا. هناك ترقيات إضافية لتحسين الكفاءة قيد التطوير.

اسم Intune:[PREVIEW] Block rebooting machine in Safe Mode

اسم Configuration Manager: غير متوفر بعد

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

نوع إجراء التتبع المتقدم:

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB

باستخدام هذه القاعدة، يمكن للمسؤولين منع تشغيل الملفات القابلة للتنفيذ غير الموقعة أو غير الموثوق بها من محركات أقراص USB القابلة للإزالة، بما في ذلك بطاقات SD. تتضمن أنواع الملفات المحظورة ملفات قابلة للتنفيذ (مثل .exe أو .dll أو .scr)

هام

سيتم حظر الملفات التي تم نسخها من USB إلى محرك الأقراص بواسطة هذه القاعدة إذا ومتى سيتم تنفيذها على محرك الأقراص.

اسم Intune:Untrusted and unsigned processes that run from USB

اسم Configuration Manager:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

نوع إجراء التتبع المتقدم:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر استخدام أدوات النظام المنسخة أو المنتحلة (معاينة)

تحظر هذه القاعدة استخدام الملفات القابلة للتنفيذ التي تم تعريفها كنسخ من أدوات نظام Windows. هذه الملفات إما مكررة أو محتالة من أدوات النظام الأصلية. قد تحاول بعض البرامج الضارة نسخ أدوات نظام Windows أو انتحالها لتجنب الكشف أو الحصول على امتيازات. يمكن أن يؤدي السماح بمثل هذه الملفات القابلة للتنفيذ إلى هجمات محتملة. تمنع هذه القاعدة نشر وتنفيذ مثل هذه التكرارات والمحيلين من أدوات النظام على أجهزة Windows.

ملاحظة

هذه الإمكانية قيد المعاينة حاليا. هناك ترقيات إضافية لتحسين الكفاءة قيد التطوير.

اسم Intune:[PREVIEW] Block use of copied or impersonated system tools

اسم Configuration Manager: غير متوفر بعد

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

نوع إجراء التتبع المتقدم:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر إنشاء Webshell للخوادم

تحظر هذه القاعدة إنشاء برنامج نصي ل shell على Microsoft Server، Exchange Role. البرنامج النصي ل shell على الويب هو برنامج نصي معد خصيصا يسمح للمهاجم بالتحكم في الخادم المخترق. قد تتضمن واجهة الويب وظائف مثل تلقي الأوامر الضارة وتنفيذها، وتنزيل الملفات الضارة وتنفيذها، وسرقة بيانات الاعتماد والمعلومات الحساسة واختراقها، وتحديد الأهداف المحتملة وما إلى ذلك.

اسم Intune:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

التبعيات: Microsoft Defender مكافحة الفيروسات

حظر مكالمات Win32 API من وحدات ماكرو Office

تمنع هذه القاعدة وحدات ماكرو VBA من استدعاء واجهات برمجة تطبيقات Win32. يتيح Office VBA استدعاءات Win32 API. يمكن للبرامج الضارة إساءة استخدام هذه الإمكانية، مثل استدعاء واجهات برمجة تطبيقات Win32 لتشغيل shellcode الضار دون كتابة أي شيء مباشرة إلى القرص. لا تعتمد معظم المؤسسات على القدرة على استدعاء واجهات برمجة تطبيقات Win32 في عملها اليومي، حتى لو كانت تستخدم وحدات الماكرو بطرق أخرى.

اسم Intune:Win32 imports from Office macro code

اسم Configuration Manager:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

نوع إجراء التتبع المتقدم:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، AMSI

استخدام الحماية المتقدمة ضد برامج الفدية الضارة

توفر هذه القاعدة طبقة إضافية من الحماية ضد برامج الفدية الضارة. ويستخدم كل من العميل والاستدلال السحابي لتحديد ما إذا كان الملف يشبه برامج الفدية الضارة. لا تحظر هذه القاعدة الملفات التي تحتوي على واحدة أو أكثر من الخصائص التالية:

  • تم بالفعل العثور على الملف غير مشارك في سحابة Microsoft.
  • الملف هو ملف موقع صالح.
  • الملف منتشر بما يكفي لعدم اعتباره برامج فدية.

تميل القاعدة إلى التكرار على جانب الحذر لمنع برامج الفدية الضارة.

ملاحظة

يجب تمكين الحماية المقدمة من السحابة لاستخدام هذه القاعدة.

اسم Intune:Advanced ransomware protection

اسم Configuration Manager:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

نوع إجراء التتبع المتقدم:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

التبعيات: Microsoft Defender مكافحة الفيروسات، حماية السحابة

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.