مشاركة عبر

نظرة عامة على الاستثناءات

  • مقالة

ينطبق على:

ملاحظة

ك Microsoft MVP، ساهم فابيان بدر في هذه المقالة وقدم ملاحظات مادية لها.

يتضمن Microsoft Defender لنقطة النهاية مجموعة واسعة من القدرات لمنع التهديدات الإلكترونية المتقدمة واكتشافها والتحقيق فيها والاستجابة لها. تتضمن هذه الإمكانات حماية الجيل التالي (التي تتضمن Microsoft Defender مكافحة الفيروسات).

كما هو الحال مع أي حل للحماية من الفيروسات أو نقطة النهاية، في بعض الأحيان يمكن الكشف عن الملفات أو المجلدات أو العمليات التي ليست في الواقع تهديدا ضارا بواسطة Defender لنقطة النهاية أو برنامج الحماية من الفيروسات Microsoft Defender. يمكن حظر هذه الكيانات أو إرسالها إلى العزل، على الرغم من أنها ليست في الحقيقة تهديدا.

تشرح هذه المقالة الأنواع المختلفة من الاستثناءات التي يمكن تعريفها أو الإجراءات التي يمكن اتخاذها ل Defender لنقطة النهاية Microsoft Defender مكافحة الفيروسات للمساعدة في إدارة هذه الحالات.

أنذر

يؤدي تحديد الاستثناءات إلى تقليل مستوى الحماية التي يوفرها Defender لنقطة النهاية Microsoft Defender Antivirus. استخدم الاستثناءات كحل أخير، وتأكد من تحديد الاستثناءات الضرورية فقط. تأكد من مراجعة استثناءاتك بشكل دوري، وإزالة الاستثناءات التي لم تعد بحاجة إليها. راجع النقاط المهمة حول الاستثناءاتوالأخطاء الشائعة لتجنبها.

أنواع الاستثناءات

يلخص الجدول التالي أنواع الاستبعاد المختلفة والقدرات في Defender لنقطة النهاية Microsoft Defender مكافحة الفيروسات. حدد كل نوع للاطلاع على مزيد من المعلومات حوله.

تلميح

أنواع الاستبعاد التكوين الوصف
استثناءات الحماية التلقائية من الفيروسات Microsoft Defender تلقائي الاستثناءات التلقائية لأدوار الخادم وميزاته في Windows Server. عند تثبيت دور على Windows Server 2016 أو إصدار أحدث، يتضمن برنامج الحماية من الفيروسات Microsoft Defender استثناءات تلقائية لدور الخادم وأي ملفات تتم إضافتها أثناء تثبيت الدور.
ملاحظة: للأدوار النشطة على Windows Server 2016 والإصدارات الأحدث.
استثناءات مكافحة الفيروسات Microsoft Defender المضمنة تلقائي يتضمن برنامج الحماية من الفيروسات Microsoft Defender استثناءات مضمنة لملفات نظام التشغيل على جميع إصدارات Windows.
استثناءات مكافحة الفيروسات Microsoft Defender المخصصة زبون يمكنك إضافة استثناء لملف أو مجلد أو عملية تم اكتشافها وتحديدها على أنها ضارة، على الرغم من أنها ليست تهديدا. سيتم تخطي الملفات أو المجلدات أو العمليات التي تستبعدها من خلال عمليات الفحص المجدولة وعمليات الفحص عند الطلب والحماية في الوقت الحقيقي.
استثناءات تقليل سطح هجوم Defender لنقطة النهاية زبون إذا كانت قواعد تقليل سطح الهجوم تتسبب في سلوك غير محدد في مؤسستك، يمكنك تحديد استثناءات لملفات ومجلدات معينة. يتم تطبيق هذه الاستثناءات على جميع قواعد تقليل الأجزاء المعرضة للهجوم.
مؤشرات Defender لنقطة النهاية زبون يمكنك تحديد مؤشرات ذات إجراءات محددة للكيانات، مثل الملفات وعناوين IP وعناوين URL/المجالات والشهادات. عند تحديد المؤشرات، يمكنك تحديد إجراءات مثل "السماح" حيث لن يقوم Defender لنقطة النهاية بحظر الملفات أو عناوين IP أو عناوين URL/المجالات أو الشهادات التي تحتوي على مؤشرات السماح.
استثناءات الوصول إلى مجلد Defender for Endpoint التي يتم التحكم فيها زبون يمكنك السماح لتطبيقات معينة أو الملفات التنفيذية الموقعة بالوصول إلى المجلدات المحمية عن طريق تحديد الاستثناءات.
استثناءات مجلد أتمتة Defender لنقطة النهاية زبون يفحص التحقيق والمعالجة التلقائيان في Defender for Endpoint التنبيهات ويتخذ إجراء فوريا لحل الخروقات المكتشفة تلقائيا. يمكنك تحديد المجلدات وملحقات الملفات في دليل معين وأسماء الملفات التي سيتم استبعادها من إمكانات التحقيق والمعالجة التلقائية.

ملاحظة

يمكن تطبيق استثناءات برنامج الحماية من الفيروسات Microsoft Defender على عمليات فحص مكافحة الفيروسات و/أو الحماية في الوقت الحقيقي.

ملاحظة

لا تتضمن الإصدارات المستقلة من Defender لنقطة النهاية الخطة 1 والخطة 2 تراخيص الخادم. لإلحاق الخوادم، تحتاج إلى ترخيص آخر، مثل Microsoft Defender لنقطة النهاية للخوادم أو Microsoft Defender للخوادم الخطة 1 أو 2. لمعرفة المزيد، راجع إلحاق Defender لنقطة النهاية ب Windows Server.

إذا كنت شركة صغيرة أو متوسطة الحجم تستخدم Microsoft Defender for Business، يمكنك الحصول على خوادم Microsoft Defender for Business.|

تصف الأقسام التالية هذه الاستثناءات بمزيد من التفصيل.

الاستثناءات التلقائية

تتضمن الاستثناءات التلقائية (يشار إليها أيضا باسم استثناءات دور الخادم التلقائية) استثناءات لأدوار الخادم وميزاته في Windows Server. لا يتم مسح هذه الاستثناءات ضوئيا بواسطة الحماية في الوقت الحقيقي ولكنها لا تزال خاضعة لعمليات فحص سريعة أو كاملة أو عند الطلب.

ومن الأمثلة على ذلك ما يلي:

  • خدمة النسخ المتماثل للملفات (FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • خادم DNS
  • خادم الطباعة
  • خادم ويب
  • خادم Windows Server Update Services
  • ... والمزيد.

ملاحظة

الاستثناءات التلقائية لأدوار الخادم غير مدعومة على Windows Server 2012 R2. بالنسبة للخوادم التي تعمل بنظام التشغيل Windows Server 2012 R2 مع تثبيت دور خادم خدمات مجال Active Directory (AD DS)، يجب تحديد استثناءات وحدات التحكم بالمجال يدويا. راجع استثناءات Active Directory.

لمزيد من المعلومات، راجع استثناءات دور الخادم التلقائي.

الاستثناءات المضمنة

تتضمن الاستثناءات المضمنة بعض ملفات نظام التشغيل التي يتم استبعادها بواسطة برنامج الحماية من الفيروسات Microsoft Defender على جميع إصدارات Windows (بما في ذلك Windows 10 Windows 11 وWindows Server).

ومن الأمثلة على ذلك ما يلي:

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • Windows Update الملفات
  • أمن Windows الملفات
  • ... والمزيد.

يتم تحديث قائمة الاستثناءات المضمنة في Windows مع تغير مشهد التهديد. لمعرفة المزيد حول هذه الاستثناءات، راجع Microsoft Defender استثناءات مكافحة الفيروسات على Windows Server: الاستثناءات المضمنة.

الاستثناءات المخصصة

تتضمن الاستثناءات المخصصة الملفات والمجلدات التي تحددها. سيتم تخطي استثناءات الملفات والمجلدات والعمليات من خلال عمليات الفحص المجدولة وعمليات الفحص عند الطلب والحماية في الوقت الحقيقي. لن يتم فحص استثناءات الملفات المفتوحة بواسطة المعالجة بواسطة الحماية في الوقت الحقيقي ولكنها لا تزال خاضعة لعمليات فحص سريعة أو كاملة أو عند الطلب.

إجراءات المعالجة المخصصة

عندما يكتشف برنامج الحماية من الفيروسات Microsoft Defender تهديدا محتملا أثناء تشغيل الفحص، فإنه يحاول معالجة التهديد المكتشف أو إزالته. يمكنك تحديد إجراءات المعالجة المخصصة لتكوين كيفية معالجة Microsoft Defender Antivirus لتهديدات معينة، وما إذا كان يجب إنشاء نقطة استعادة قبل المعالجة، ومتى يجب إزالة التهديدات. تكوين إجراءات المعالجة لاكتشافات مكافحة الفيروسات Microsoft Defender.

استثناءات تقليل الأجزاء المعرضة للهجوم

تستهدف قواعد تقليل الأجزاء المعرضة للهجوم (المعروفة أيضا باسم قواعد ASR) بعض سلوكيات البرامج، مثل:

  • بدء تشغيل الملفات والبرامج النصية القابلة للتنفيذ التي تحاول تنزيل الملفات أو تشغيلها
  • تشغيل البرامج النصية التي تبدو مشوشة أو مريبة بطريقة أخرى
  • تنفيذ السلوكيات التي لا تبدأها التطبيقات عادة أثناء العمل اليومي العادي

في بعض الأحيان، تعرض التطبيقات المشروعة سلوكيات البرامج التي يمكن حظرها بواسطة قواعد تقليل الأجزاء المعرضة للهجوم. إذا كان هذا يحدث في مؤسستك، يمكنك تحديد استثناءات لملفات ومجلدات معينة. يتم تطبيق هذه الاستثناءات على جميع قواعد تقليل الأجزاء المعرضة للهجوم. راجع تمكين قواعد تقليل الأجزاء المعرضة للهجوم.

لاحظ أيضا أنه في حين أن معظم استثناءات قواعد ASR مستقلة عن استثناءات مكافحة الفيروسات Microsoft Defender، فإن بعض قواعد ASR تحترم بعض استثناءات مكافحة الفيروسات Microsoft Defender. راجع مرجع قواعد تقليل الأجزاء المعرضة للهجوم - Microsoft Defender استثناءات مكافحة الفيروسات وقواعد ASR.

مؤشرات Defender لنقطة النهاية

يمكنك تحديد مؤشرات ذات إجراءات محددة للكيانات، مثل الملفات وعناوين IP وعناوين URL/المجالات والشهادات. في Defender لنقطة النهاية، يشار إلى المؤشرات باسم مؤشرات التسوية (IoCs)، وأقل تكرارا، كمؤشرات مخصصة. عند تحديد المؤشرات، يمكنك تحديد أحد الإجراءات التالية:

  • السماح - لن يقوم Defender لنقطة النهاية بحظر الملفات أو عناوين IP أو عناوين URL/المجالات أو الشهادات التي تحتوي على مؤشرات السماح. (استخدم هذا الإجراء بحذر.)

  • التدقيق – تتم مراقبة الملفات وعناوين IP وعناوين URL/المجالات ذات مؤشرات التدقيق، وعندما يتم الوصول إليها من قبل المستخدمين، يتم إنشاء تنبيهات إعلامية في مدخل Microsoft Defender.

  • الحظر والمعالجة – يتم حظر الملفات أو الشهادات ذات مؤشرات الحظر والمعالجة وعزلها عند اكتشافها.

  • تنفيذ الحظر - يتم حظر عناوين IP وعناوين URL/المجالات ذات مؤشرات تنفيذ الحظر. لا يمكن للمستخدمين الوصول إلى هذه المواقع.

  • تحذير – تتسبب عناوين IP وعناوين URL/المجالات ذات مؤشرات التحذير في عرض رسالة تحذير عندما يحاول المستخدم الوصول إلى تلك المواقع. يمكن للمستخدمين اختيار تجاوز التحذير والمتابعة إلى عنوان IP أو عنوان URL/المجال.

هام

يمكنك الحصول على ما يصل إلى 15000 مؤشر في المستأجر الخاص بك.

يلخص الجدول التالي أنواع IoC والإجراءات المتوفرة:

نوع المؤشر الإجراءات المتوفرة
الملفات -جوز
-مراجعه الحسابات
-حذر
- حظر التنفيذ
- الحظر والمعالجة
عناوين IP وعناوين URL/المجالات -جوز
-مراجعه الحسابات
-حذر
- حظر التنفيذ
الشهادات -جوز
- الحظر والمعالجة

تلميح

راجع الموارد التالية لمعرفة المزيد حول المؤشرات:

استثناءات الوصول إلى المجلدات الخاضعة للرقابة

يراقب الوصول المتحكم به إلى المجلدات التطبيقات للأنشطة التي يتم اكتشافها على أنها ضارة ويحمي محتويات مجلدات معينة (محمية) على أجهزة Windows. يسمح الوصول المتحكم به إلى المجلدات فقط للتطبيقات الموثوق بها بالوصول إلى المجلدات المحمية، مثل مجلدات النظام الشائعة (بما في ذلك قطاعات التمهيد) والمجلدات الأخرى التي تحددها. يمكنك السماح لتطبيقات معينة أو الملفات التنفيذية الموقعة بالوصول إلى المجلدات المحمية عن طريق تحديد الاستثناءات. راجع تخصيص الوصول المتحكم به إلى المجلدات.

استثناءات مجلد التنفيذ التلقائي

تنطبق استثناءات مجلد التنفيذ التلقائي على التحقيق والمعالجة التلقائية في Defender لنقطة النهاية، والتي تم تصميمها لفحص التنبيهات واتخاذ إجراء فوري لحل الانتهاكات المكتشفة. عند تشغيل التنبيهات، وتشغيل تحقيق تلقائي، يتم الوصول إلى حكم (ضار أو مريب أو لم يتم العثور على تهديدات) لكل دليل تم التحقيق فيه. اعتمادا على مستوى التنفيذ التلقائي وإعدادات الأمان الأخرى، يمكن أن تحدث إجراءات المعالجة تلقائيا أو فقط بناء على موافقة فريق عمليات الأمان.

يمكنك تحديد المجلدات وملحقات الملفات في دليل معين وأسماء الملفات التي سيتم استبعادها من إمكانات التحقيق والمعالجة التلقائية. تنطبق استثناءات مجلد التنفيذ التلقائي هذه على جميع الأجهزة المإلحاقة ب Defender لنقطة النهاية. لا تزال هذه الاستثناءات خاضعة لعمليات فحص مكافحة الفيروسات. راجع إدارة استثناءات مجلد التنفيذ التلقائي.

كيفية تقييم الاستثناءات والمؤشرات

لدى معظم المؤسسات عدة أنواع مختلفة من الاستثناءات والمؤشرات لتحديد ما إذا كان يجب أن يكون المستخدمون قادرين على الوصول إلى ملف أو عملية واستخدامها. وتعالج الاستثناءات والمؤشرات بترتيب معين بحيث تعالج التعارضات في السياسات بصورة منهجية.

تلخص الصورة التالية كيفية معالجة الاستثناءات والمؤشرات عبر Defender لنقطة النهاية Microsoft Defender Antivirus:

لقطة شاشة تعرض الترتيب الذي يتم به تقييم الاستثناءات والمؤشرات.

إليك كيفية عملها:

  1. إذا لم يسمح التحكم في تطبيق Windows Defender وAppLocker بملف/عملية تم اكتشافها، يتم حظرها. وإلا، فإنه ينتقل إلى Microsoft Defender مكافحة الفيروسات.

  2. إذا لم يكن الملف/العملية المكتشفة جزءا من استبعاد برنامج الحماية من الفيروسات Microsoft Defender، يتم حظره. وإلا، يتحقق Defender لنقطة النهاية من وجود مؤشر مخصص للملف/العملية.

  3. إذا كان الملف/العملية المكتشفة تحتوي على مؤشر حظر أو تحذير، يتم اتخاذ هذا الإجراء. وإلا، يسمح بالملف/العملية، وينتقل إلى التقييم حسب قواعد تقليل الأجزاء المعرضة للهجوم، والوصول إلى المجلدات الخاضعة للرقابة، وحماية SmartScreen.

  4. إذا لم يتم حظر الملف/العملية المكتشفة بواسطة قواعد تقليل الأجزاء المعرضة للهجوم أو الوصول إلى المجلدات الخاضعة للرقابة أو حماية SmartScreen، فإنها تنتقل إلى Microsoft Defender مكافحة الفيروسات.

  5. إذا لم يسمح برنامج الحماية من الفيروسات Microsoft Defender بالملف/العملية المكتشفة، يتم التحقق من وجود إجراء بناء على معرف التهديد الخاص به.

كيفية معالجة تعارضات النهج

في الحالات التي تتعارض فيها مؤشرات Defender لنقطة النهاية، إليك ما يمكن توقعه:

  • إذا كانت هناك مؤشرات ملفات متعارضة، يتم تطبيق المؤشر الذي يستخدم التجزئة الأكثر أمانا. على سبيل المثال، يكون ل SHA256 الأسبقية على SHA-1، والذي له الأسبقية على MD5.

  • إذا كانت هناك مؤشرات URL متعارضة، يتم استخدام المؤشر الأكثر صرامة. بالنسبة Microsoft Defender SmartScreen، يتم تطبيق مؤشر يستخدم أطول مسار URL. على سبيل المثال، www.dom.ain/admin/ له الأسبقية على www.dom.ain. (تنطبق حماية الشبكة على المجالات، بدلا من الصفحات الفرعية داخل المجال.)

  • إذا كانت هناك مؤشرات مشابهة لملف أو عملية لها إجراءات مختلفة، فإن المؤشر الذي يتم تحديد نطاقه لمجموعة أجهزة معينة له الأسبقية على مؤشر يستهدف جميع الأجهزة.

كيفية عمل التحقيق والمعالجة التلقائية مع المؤشرات

تحدد قدرات التحقيق والمعالجة التلقائية في Defender لنقطة النهاية أولا حكما لكل جزء من الأدلة، ثم اتخذ إجراء اعتمادا على مؤشرات Defender لنقطة النهاية. وبالتالي، يمكن أن يحصل الملف/العملية على حكم "جيد" (مما يعني أنه لم يتم العثور على تهديدات) ولا يزال يتم حظره إذا كان هناك مؤشر مع هذا الإجراء. وبالمثل، يمكن للكيان الحصول على حكم "سيئ" (مما يعني أنه مصمم على أنه ضار) ولا يزال مسموحا به إذا كان هناك مؤشر مع هذا الإجراء.

يوضح الرسم التخطيطي التالي كيفية عمل التحقيق والمعالجة التلقائية مع المؤشرات:

لقطة شاشة تعرض التحقيق والمعالجة التلقائيين والمؤشرات.

أحمال العمل والاستثناءات الأخرى للخادم

إذا كانت مؤسستك تستخدم أحمال عمل خادم أخرى، مثل Exchange Server أو SharePoint Server أو SQL Server، فكن على علم بأن أدوار الخادم المضمنة فقط (التي قد تكون متطلبات أساسية للبرامج التي تقوم بتثبيتها لاحقا) على Windows Server يتم استبعادها بواسطة ميزة الاستثناءات التلقائية (وفقط عند استخدام موقع التثبيت الافتراضي). ستحتاج على الأرجح إلى تحديد استثناءات مكافحة الفيروسات لأحمال العمل الأخرى هذه، أو لجميع أحمال العمل إذا قمت بتعطيل الاستثناءات التلقائية.

فيما يلي بعض الأمثلة على الوثائق التقنية لتحديد الاستثناءات التي تحتاج إليها وتنفيذها:

اعتمادا على ما تستخدمه، قد تحتاج إلى الرجوع إلى وثائق حمل عمل الخادم هذا.

تلميح

تلميح الأداء نظرا لمجموعة متنوعة من العوامل، يمكن أن يتسبب برنامج الحماية من الفيروسات Microsoft Defender، مثل برامج مكافحة الفيروسات الأخرى، في حدوث مشكلات في الأداء على أجهزة نقطة النهاية. في بعض الحالات، قد تحتاج إلى ضبط أداء برنامج الحماية من الفيروسات Microsoft Defender للتخفيف من مشكلات الأداء هذه. محلل الأداء من Microsoft هو أداة سطر أوامر PowerShell تساعد في تحديد الملفات ومسارات الملفات والعمليات وملحقات الملفات التي قد تسبب مشكلات في الأداء؛ بعض الأمثلة هي:

  • أهم المسارات التي تؤثر على وقت الفحص
  • أهم الملفات التي تؤثر على وقت الفحص
  • أهم العمليات التي تؤثر على وقت الفحص
  • أهم ملحقات الملفات التي تؤثر على وقت الفحص
  • مجموعات، مثل:
    • أهم الملفات لكل ملحق
    • أهم المسارات لكل ملحق
    • أهم العمليات لكل مسار
    • أهم عمليات الفحص لكل ملف
    • أهم عمليات الفحص لكل ملف لكل عملية

يمكنك استخدام المعلومات التي تم جمعها باستخدام محلل الأداء لتقييم مشكلات الأداء بشكل أفضل وتطبيق إجراءات المعالجة. راجع: محلل الأداء لبرنامج مكافحة الفيروسات Microsoft Defender.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.