تمكين قواعد تقليل الأجزاء المعرضة للهجوم

ينطبق على:

الأنظمة الأساسية

  • بالنسبة لنظام التشغيل

تلميح

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

تساعد قواعد تقليل الأجزاء المعرضة للهجوم على منع الإجراءات التي غالبا ما تسيء البرامج الضارة استخدامها لتهدد الأجهزة والشبكات.

المتطلبات

ميزات تقليل الأجزاء المعرضة للهجوم عبر إصدارات Windows

يمكنك تعيين قواعد تقليل الأجزاء المعرضة للهجوم للأجهزة التي تقوم بتشغيل أي من الإصدارات والإصدارات التالية من Windows:

لاستخدام مجموعة الميزات الكاملة لقواعد تقليل الأجزاء المعرضة للهجوم، تحتاج إلى:

  • Microsoft Defender مكافحة الفيروسات ك AV أساسي (الحماية في الوقت الحقيقي)
  • حماية تسليم السحابة في (تتطلب بعض القواعد ذلك)
  • ترخيص Windows 10 Enterprise E5 أو E3

على الرغم من أن قواعد تقليل الأجزاء المعرضة للهجوم لا تتطلب ترخيص Windows E5، مع ترخيص Windows E5، إلا أنك تحصل على قدرات إدارة متقدمة بما في ذلك المراقبة والتحليلات ومهام سير العمل المتوفرة في Defender لنقطة النهاية، بالإضافة إلى إمكانات إعداد التقارير والتكوين في مدخل Microsoft Defender XDR. لا تتوفر هذه الإمكانات المتقدمة مع ترخيص E3، ولكن لا يزال بإمكانك استخدام عارض الأحداث لمراجعة أحداث قاعدة تقليل الأجزاء المعرضة للهجوم.

تحتوي كل قاعدة تقليل الأجزاء المعرضة للهجوم على أحد الإعدادات الأربعة:

  • لم يتم تكوينه | معطل: تعطيل قاعدة تقليل الأجزاء المعرضة للهجوم
  • كتلة: تمكين قاعدة تقليل الأجزاء المعرضة للهجوم
  • التدقيق: تقييم كيفية تأثير قاعدة تقليل الأجزاء المعرضة للهجوم على مؤسستك إذا تم تمكينها
  • تحذير: تمكين قاعدة تقليل الأجزاء المعرضة للهجوم ولكن اسمح للمستخدم النهائي بتجاوز الكتلة

نوصي باستخدام قواعد تقليل الأجزاء المعرضة للهجوم مع ترخيص Windows E5 (أو SKU ترخيص مشابه) للاستفادة من إمكانات المراقبة وإعداد التقارير المتقدمة المتوفرة في Microsoft Defender لنقطة النهاية (Defender لنقطة النهاية). ومع ذلك، إذا كان لديك ترخيص آخر، مثل Windows Professional أو Windows E3 لا يتضمن قدرات متقدمة للمراقبة وإعداد التقارير، يمكنك تطوير أدوات المراقبة وإعداد التقارير الخاصة بك أعلى الأحداث التي يتم إنشاؤها في كل نقطة نهاية عند تشغيل قواعد تقليل سطح الهجوم (على سبيل المثال، إعادة توجيه الأحداث).

تلميح

لمعرفة المزيد حول ترخيص Windows، راجع Windows 10 الترخيص والحصول على دليل الترخيص المجمع Windows 10.

يمكنك تمكين قواعد تقليل الأجزاء المعرضة للهجوم باستخدام أي من هذه الطرق:

يوصى بإدارة على مستوى المؤسسة مثل Intune أو Microsoft Configuration Manager. تقوم الإدارة على مستوى المؤسسة بالكتابة فوق أي إعدادات نهج المجموعة أو PowerShell متعارضة عند بدء التشغيل.

استبعاد الملفات والمجلدات من قواعد تقليل الأجزاء المعرضة للهجوم

يمكنك استبعاد الملفات والمجلدات من التقييم بواسطة معظم قواعد تقليل الأجزاء المعرضة للهجوم. وهذا يعني أنه حتى إذا حددت قاعدة تقليل سطح الهجوم الملف أو المجلد الذي يحتوي على سلوك ضار، فإنه لا يمنع الملف من التشغيل.

هام

يمكن أن يؤدي استثناء الملفات أو المجلدات إلى تقليل الحماية التي توفرها قواعد تقليل الأجزاء المعرضة للهجوم بشكل كبير. سيسمح بتشغيل الملفات المستبعدة، ولن يتم تسجيل أي تقرير أو حدث. إذا كانت قواعد تقليل الأجزاء المعرضة للهجوم تكتشف الملفات التي تعتقد أنه لا ينبغي اكتشافها، فيجب عليك استخدام وضع التدقيق أولا لاختبار القاعدة. يتم تطبيق الاستبعاد فقط عند بدء تشغيل التطبيق أو الخدمة المستبعدة. على سبيل المثال، إذا أضفت استثناء لخدمة تحديث قيد التشغيل بالفعل، تستمر خدمة التحديث في تشغيل الأحداث حتى يتم إيقاف الخدمة وإعادة تشغيلها.

عند إضافة استثناءات، ضع هذه النقاط في الاعتبار:

تعارض النهج

  1. إذا تم تطبيق نهج متعارض عبر MDM وGP، فإن الإعداد المطبق من GP له الأسبقية.

  2. تدعم قواعد تقليل الأجزاء المعرضة للهجوم للأجهزة المدارة الآن سلوك دمج الإعدادات من نهج مختلفة، لإنشاء مجموعة فائقة من النهج لكل جهاز. يتم دمج الإعدادات غير المتضاربة فقط، بينما لا تتم إضافة الإعدادات التي تكون متعارضة إلى المجموعة الفائقة من القواعد. في السابق، إذا تضمن نهجان تعارضات لإعداد واحد، فقد تم وضع علامة على كلا النهجين على أنهما متعارضان، ولن يتم نشر أي إعدادات من أي من ملفي التعريف. سلوك دمج قاعدة تقليل الأجزاء المعرضة للهجوم كما يلي:

    • يتم تقييم قواعد تقليل الأجزاء المعرضة للهجوم من ملفات التعريف التالية لكل جهاز تنطبق عليه القواعد:
    • تتم إضافة الإعدادات التي لا تحتوي على تعارضات إلى مجموعة فائقة من النهج للجهاز.
    • عندما يحتوي نهجان أو أكثر على إعدادات متعارضة، لا تتم إضافة الإعدادات المتضاربة إلى النهج المدمج، بينما تتم إضافة الإعدادات التي لا تتعارض مع نهج المجموعة الفائقة الذي ينطبق على الجهاز.
    • يتم الاحتفاظ بتكوينات الإعدادات المتضاربة فقط.

أساليب التكوين

يوفر هذا القسم تفاصيل التكوين لأساليب التكوين التالية:

تتضمن الإجراءات التالية لتمكين قواعد تقليل الأجزاء المعرضة للهجوم إرشادات حول كيفية استبعاد الملفات والمجلدات.

Intune

ملفات تعريف تكوين الجهاز

  1. حدد ملفات تعريف تكوين> الجهاز. اختر ملف تعريف حماية نقطة نهاية موجود أو أنشئ ملفا جديدا. لإنشاء ملف تعريف جديد، حدد الإنشاء ملف التعريف وأدخل معلومات لملف التعريف هذا. بالنسبة إلى نوع ملف التعريف، حدد Endpoint protection. إذا اخترت ملف تعريف موجودا، فحدد خصائص ثم حدد الإعدادات.

  2. في جزء Endpoint protection ، حدد Windows Defender Exploit Guard، ثم حدد Attack Surface Reduction. حدد الإعداد المطلوب لكل قاعدة تقليل الأجزاء المعرضة للهجوم.

  3. ضمن استثناءات تقليل الأجزاء المعرضة للهجوم، أدخل الملفات والمجلدات الفردية. يمكنك أيضا تحديد استيراد لاستيراد ملف CSV يحتوي على ملفات ومجلدات لاستبعادها من قواعد تقليل الأجزاء المعرضة للهجوم. يجب تنسيق كل سطر في ملف CSV كما يلي:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. حدد OK في أجزاء التكوين الثلاثة. ثم حدد الإنشاء إذا كنت تقوم بإنشاء ملف حماية نقطة نهاية جديد أو حفظ إذا كنت تقوم بتحرير ملف موجود.

نهج أمان نقطة النهاية

  1. حدد Endpoint Security>Attack surface reduction. اختر قاعدة تقليل سطح الهجوم الموجودة أو أنشئ قاعدة جديدة. لإنشاء واحد جديد، حدد الإنشاء Policy وأدخل معلومات لملف التعريف هذا. بالنسبة إلى نوع ملف التعريف، حدد Attack surface reduction rules. إذا اخترت ملف تعريف موجودا، فحدد خصائص ثم حدد الإعدادات.

  2. في جزء Configuration settings ، حدد Attack Surface Reduction ثم حدد الإعداد المطلوب لكل قاعدة تقليل سطح الهجوم.

  3. ضمن قائمة المجلدات الإضافية التي تحتاج إلى الحماية، وقائمة التطبيقات التي لديها حق الوصول إلى المجلدات المحمية، واستبعاد الملفات والمسارات من قواعد تقليل الأجزاء المعرضة للهجوم، أدخل الملفات والمجلدات الفردية. يمكنك أيضا تحديد استيراد لاستيراد ملف CSV يحتوي على ملفات ومجلدات لاستبعادها من قواعد تقليل الأجزاء المعرضة للهجوم. يجب تنسيق كل سطر في ملف CSV كما يلي:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. حدد التالي في أجزاء التكوين الثلاثة، ثم حدد الإنشاء إذا كنت تقوم بإنشاء نهج جديد أو حفظ إذا كنت تقوم بتحرير نهج موجود.

ملف تعريف مخصص في Intune

يمكنك استخدام Microsoft Intune OMA-URI لتكوين قواعد تقليل سطح الهجوم المخصصة. يستخدم الإجراء التالي قاعدة حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال على سبيل المثال.

  1. افتح مركز إدارة Microsoft Intune. في القائمة الصفحة الرئيسية، انقر فوق الأجهزة، وحدد ملفات تعريف التكوين، ثم انقر فوق الإنشاء ملف التعريف.

    صفحة ملف تعريف الإنشاء في مدخل مركز إدارة Microsoft Intune.

  2. في الإنشاء ملف تعريف، في القائمتين المنسدلتين التاليتين، حدد ما يلي:

    • في النظام الأساسي، حدد Windows 10 والإصدارات الأحدث
    • في نوع ملف التعريف، حدد قوالب
    • إذا تم تعيين قواعد تقليل الأجزاء المعرضة للهجوم بالفعل من خلال أمان نقطة النهاية، في نوع ملف التعريف، حدد كتالوج الإعدادات.

    حدد مخصص، ثم حدد الإنشاء.

    سمات ملف تعريف القاعدة في مدخل مركز إدارة Microsoft Intune.

  3. تفتح أداة القالب المخصص إلى الخطوة 1 الأساسيات. في 1 أساسيات، في الاسم، اكتب اسما للقالب، وفي الوصف يمكنك كتابة وصف (اختياري).

    السمات الأساسية في مدخل مركز إدارة Microsoft Intune

  4. انقر فوق التالي. يتم فتح إعدادات التكوين للخطوة 2 . بالنسبة لإعدادات OMA-URI، انقر فوق إضافة. يظهر الآن خياران: إضافةوتصدير.

    إعدادات التكوين في مدخل مركز إدارة Microsoft Intune.

  5. انقر فوق إضافة مرة أخرى. يتم فتح إعدادات Add Row OMA-URI . في إضافة صف، قم بما يلي:

    • في الاسم، اكتب اسما للقاعدة.

    • في الوصف، اكتب وصفا موجزا.

    • في OMA-URI، اكتب أو الصق ارتباط OMA-URI المحدد للقاعدة التي تضيفها. راجع قسم MDM في هذه المقالة لكي يستخدم OMA-URI لقاعدة المثال هذه. للحصول على GUIDS لقاعدة تقليل الأجزاء المعرضة للهجوم، راجع وصف لكل قاعدة في المقالة: قواعد تقليل الأجزاء المعرضة للهجوم.

    • في Data type، حدد String.

    • في القيمة، اكتب قيمة GUID أو الصقها، وعلامة = وقيمة الحالة بدون مسافات (GUID=StateValue). المكان:

      • 0: تعطيل (تعطيل قاعدة تقليل الأجزاء المعرضة للهجوم)
      • 1: حظر (تمكين قاعدة تقليل سطح الهجوم)
      • 2: التدقيق (تقييم كيفية تأثير قاعدة تقليل سطح الهجوم على مؤسستك إذا تم تمكينها)
      • 6: تحذير (قم بتمكين قاعدة تقليل الأجزاء المعرضة للهجوم ولكن اسمح للمستخدم النهائي بتجاوز الكتلة)

    تكوين OMA URI في مدخل مركز إدارة Microsoft Intune

  6. حدد حفظ. إضافة إغلاقات الصف . في مخصص، حدد التالي. في الخطوة 3 علامات النطاق، تكون علامات النطاق اختيارية. قم بأحد الإجراءات التالية:

    • حدد تحديد علامات النطاق، وحدد علامة النطاق (اختياري) ثم حدد التالي.
    • أو حدد التالي
  7. في الخطوة 4 الواجبات، في المجموعات المضمنة، للمجموعات التي تريد تطبيق هذه القاعدة عليها، حدد من الخيارات التالية:

    • إضافة مجموعات
    • إضافة جميع المستخدمين
    • إضافة جميع الأجهزة

    التعيينات في مدخل مركز إدارة Microsoft Intune

  8. في المجموعات المستبعدة، حدد أي مجموعات تريد استبعادها من هذه القاعدة، ثم حدد التالي.

  9. في الخطوة 5 قواعد قابلية التطبيق للإعدادات التالية، قم بما يلي:

    • في القاعدة، حدد إما تعيين ملف تعريف إذا، أو عدم تعيين ملف تعريف إذا

    • في الخاصية، حدد الخاصية التي تريد تطبيق هذه القاعدة عليها

    • في القيمة، أدخل القيمة أو نطاق القيمة القابل للتطبيق

    قواعد التطبيق في مدخل مركز إدارة Microsoft Intune

  10. حدد التالي. في الخطوة 6 مراجعة + إنشاء، راجع الإعدادات والمعلومات التي حددتها وأدخلتها، ثم حدد الإنشاء.

    خيار المراجعة والإنشاء في مدخل مركز إدارة Microsoft Intune

    القواعد نشطة وتعيش في غضون دقائق.

ملاحظة

معالجة التعارض:

إذا قمت بتعيين نهجين مختلفين لتقليل سطح الهجوم لجهاز، يمكن أن تحدث تعارضات محتملة في النهج، اعتمادا على ما إذا كانت القواعد معينة حالات مختلفة، وما إذا كانت إدارة التعارض في مكانها، وما إذا كانت النتيجة خطأ. لا تؤدي قواعد عدم العبث إلى حدوث خطأ، ويتم تطبيق هذه القواعد بشكل صحيح. يتم تطبيق القاعدة الأولى، ويتم دمج قواعد عدم الدمج اللاحقة في النهج.

MDM

استخدم موفر خدمة تكوين ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules لتمكين الوضع لكل قاعدة وتعيينه بشكل فردي.

فيما يلي عينة للرجوع إليها، باستخدام قيم GUID لمرجع قواعد تقليل الأجزاء المعرضة للهجوم.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

القيم التي يجب تمكينها (حظر) أو تعطيلها أو تحذيرها أو تمكينها في وضع التدقيق هي:

  • 0: تعطيل (تعطيل قاعدة تقليل الأجزاء المعرضة للهجوم)
  • 1: حظر (تمكين قاعدة تقليل سطح الهجوم)
  • 2: التدقيق (تقييم كيفية تأثير قاعدة تقليل سطح الهجوم على مؤسستك إذا تم تمكينها)
  • 6: تحذير (قم بتمكين قاعدة تقليل الأجزاء المعرضة للهجوم ولكن اسمح للمستخدم النهائي بتجاوز الكتلة). يتوفر وضع التحذير لمعظم قواعد تقليل الأجزاء المعرضة للهجوم.

استخدم موفر خدمة تكوين ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions (CSP) لإضافة استثناءات.

على سبيل المثال:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

ملاحظة

تأكد من إدخال قيم OMA-URI بدون مسافات.

Microsoft Configuration Manager

  1. في Microsoft Configuration Manager، انتقل إلى Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

  2. حدد Home>الإنشاء Exploit Guard Policy.

  3. أدخل اسما ووصفا، وحدد تقليل الأجزاء المعرضة للهجوم، وحدد التالي.

  4. اختر القواعد التي ستقوم بحظر الإجراءات أو تدقيقها وحدد التالي.

  5. راجع الإعدادات وحدد التالي لإنشاء النهج.

  6. بعد إنشاء النهج، حدد إغلاق.

تحذير

هناك مشكلة معروفة تتعلق بتطبيق تقليل الأجزاء المعرضة للهجوم على إصدارات نظام تشغيل الخادم التي تم وضع علامة عليها على أنها متوافقة دون أي فرض فعلي. حاليا، لا توجد ETA لمتى سيتم إصلاح ذلك.

نهج المجموعة

تحذير

إذا كنت تدير أجهزة الكمبيوتر والأجهزة باستخدام Intune أو Configuration Manager أو نظام أساسي آخر للإدارة على مستوى المؤسسة، فسيستبدل برنامج الإدارة أي إعدادات نهج المجموعة متعارضة عند بدء التشغيل.

  1. على كمبيوتر إدارة نهج المجموعة، افتح وحدة تحكم إدارة نهج المجموعة، وانقر بزر الماوس الأيمن فوق عنصر نهج المجموعة الذي تريد تكوينه وحدد تحرير.

  2. في محرر إدارة نهج المجموعة، انتقل إلى تكوين الكمبيوتر وحدد القوالب الإدارية.

  3. قم بتوسيع الشجرة إلى مكونات> Windows Microsoft Defender مكافحة الفيروسات> Microsoft Defenderتقليل سطح هجومExploit Guard>.

  4. حدد Configure Attack surface reduction rules وحدد Enabled. يمكنك بعد ذلك تعيين الحالة الفردية لكل قاعدة في قسم الخيارات. حدد إظهار... وأدخل معرف القاعدة في عمود اسم القيمة والحالة التي اخترتها في عمود القيمة كما يلي:

    • 0: تعطيل (تعطيل قاعدة تقليل الأجزاء المعرضة للهجوم)

    • 1: حظر (تمكين قاعدة تقليل سطح الهجوم)

    • 2: التدقيق (تقييم كيفية تأثير قاعدة تقليل سطح الهجوم على مؤسستك إذا تم تمكينها)

    • 6: تحذير (قم بتمكين قاعدة تقليل الأجزاء المعرضة للهجوم ولكن اسمح للمستخدم النهائي بتجاوز الكتلة)

      قواعد تقليل الأجزاء المعرضة للهجوم في نهج المجموعة

  5. لاستبعاد الملفات والمجلدات من قواعد تقليل الأجزاء المعرضة للهجوم، حدد إعداد استبعاد الملفات والمسارات من قواعد تقليل الأجزاء المعرضة للهجوم وقم بتعيين الخيار إلى ممكن. حدد إظهار وأدخل كل ملف أو مجلد في عمود اسم القيمة . أدخل 0 في عمود القيمة لكل عنصر.

    تحذير

    لا تستخدم علامات الاقتباس لأنها غير معتمدة إما لعمود اسم القيمة أو عمود القيمة . يجب ألا يحتوي معرف القاعدة على أي مسافات بادئة أو لاحقة.

PowerShell

تحذير

إذا كنت تدير أجهزة الكمبيوتر والأجهزة باستخدام Intune أو Configuration Manager أو نظام أساسي آخر للإدارة على مستوى المؤسسة، فإن برنامج الإدارة يحل محل أي إعدادات PowerShell متعارضة عند بدء التشغيل.

  1. اكتب PowerShell في قائمة البدء، وانقر بزر الماوس الأيمن فوق Windows PowerShell وحدد تشغيل كمسؤول.

  2. اكتب أحد أوامر cmdlets التالية. (لمزيد من المعلومات، مثل معرف القاعدة، راجع مرجع قواعد تقليل الأجزاء المعرضة للهجوم.)

    المهمه PowerShell cmdlet
    تمكين قواعد تقليل الأجزاء المعرضة للهجوم Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    تمكين قواعد تقليل الأجزاء المعرضة للهجوم في وضع التدقيق Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    تمكين قواعد تقليل الأجزاء المعرضة للهجوم في وضع التحذير Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    تمكين إساءة استخدام كتلة الحد من الأجزاء المعرضة للهجوم لبرامج التشغيل الموقعة المعرضة للاستغلال Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    إيقاف تشغيل قواعد تقليل الأجزاء المعرضة للهجوم Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    هام

    يجب تحديد الحالة بشكل فردي لكل قاعدة، ولكن يمكنك دمج القواعد والحالات في قائمة مفصولة بفواصل.

    في المثال التالي، يتم تمكين أول قاعدتين، ويتم تعطيل القاعدة الثالثة، ويتم تمكين القاعدة الرابعة في وضع التدقيق: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    يمكنك أيضا استخدام Add-MpPreference فعل PowerShell لإضافة قواعد جديدة إلى القائمة الموجودة.

    تحذير

    Set-MpPreference الكتابة فوق مجموعة القواعد الموجودة. إذا كنت تريد إضافة إلى المجموعة الموجودة، فاستخدم Add-MpPreference بدلا من ذلك. يمكنك الحصول على قائمة بالقواعد وحالتها الحالية باستخدام Get-MpPreference.

  3. لاستبعاد الملفات والمجلدات من قواعد تقليل الأجزاء المعرضة للهجوم، استخدم cmdlet التالي:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    تابع الاستخدام Add-MpPreference -AttackSurfaceReductionOnlyExclusions لإضافة المزيد من الملفات والمجلدات إلى القائمة.

    هام

    استخدم Add-MpPreference لإلحاق التطبيقات أو إضافتها إلى القائمة. Set-MpPreference سيؤدي استخدام cmdlet إلى الكتابة فوق القائمة الموجودة.

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.