تمكين قواعد تقليل الأجزاء المعرضة للهجوم

تساعد قواعد تقليل الأجزاء المعرضة للهجوم على منع الإجراءات التي غالبا ما تسيء البرامج الضارة استخدامها لتهدد الأجهزة والشبكات. توضح هذه المقالة كيفية تمكين قواعد تقليل الأجزاء المعرضة للهجوم وتكوينها عبر:

• Microsoft Intune
• إدارة الجهاز المحمول (MDM)
• Microsoft Configuration Manager
• نهج المجموعة (GP)
• PowerShell

المتطلبات الأساسية

لاستخدام مجموعة الميزات الكاملة لقواعد تقليل الأجزاء المعرضة للهجوم، يجب استيفاء المتطلبات التالية:

• يجب تعيين برنامج الحماية من الفيروسات Microsoft Defender على أنه برنامج الحماية من الفيروسات الأساسي. يجب ألا يكون قيد التشغيل في الوضع السلبي أو أن يكون معطلا.

• يجب أن تكون الحماية في الوقت الحقيقي قيد التشغيل.

• يجب أن تكون حماية تسليم السحابة قيد التشغيل (تتطلب بعض القواعد حماية السحابة).

• يجب أن يكون لديك اتصال شبكة حماية السحابة

• مستحسن: Microsoft 365 E5

  على الرغم من أن قواعد تقليل الأجزاء المعرضة للهجوم لا تتطلب ترخيصا Microsoft 365 E5، فمن المستحسن استخدام قواعد تقليل الأجزاء المعرضة للهجوم مع ترخيص Microsoft 365 E5 (أو SKU ترخيص مشابه) للاستفادة من قدرات الإدارة المتقدمة، بما في ذلك المراقبة والتحليلات ومهام سير العمل المتوفرة في Defender لنقطة النهاية، بالإضافة إلى إمكانات إعداد التقارير والتكوين في مدخل Microsoft Defender XDR. في حين أن هذه الإمكانات المتقدمة غير متوفرة مع ترخيص E3، مع ترخيص E3، لا يزال بإمكانك استخدام عارض الأحداث لمراجعة أحداث قاعدة تقليل الأجزاء المعرضة للهجوم.

  إذا كان لديك ترخيص آخر، مثل Windows Professional أو Microsoft 365 E3 لا يتضمن قدرات متقدمة للمراقبة وإعداد التقارير، يمكنك تطوير أدوات المراقبة وإعداد التقارير الخاصة بك أعلى الأحداث التي يتم إنشاؤها في كل نقطة نهاية عند تشغيل قواعد تقليل سطح الهجوم (على سبيل المثال، إعادة توجيه الأحداث).

  لمعرفة المزيد حول ترخيص Windows، راجع Windows 10 الترخيص والحصول على دليل الترخيص المجمع Windows 10.

أنظمة التشغيل المدعومة

يمكنك تعيين قواعد تقليل الأجزاء المعرضة للهجوم للأجهزة التي تقوم بتشغيل أي من الإصدارات والإصدارات التالية من Windows:

• Windows 11 Pro
• Windows 11 Enterprise
• Windows 10 Pro، الإصدار 1709 أو أحدث
• Windows 10 Enterprise، الإصدار 1709 أو أحدث
• Windows Server، الإصدار 1803 (قناة نصف سنوية) أو أحدث
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Windows Server 2025
• Azure Stack HCI OS، الإصدار 23H2 والإصدارات الأحدث

ملاحظة

يتم فرض بعض قواعد تقليل الأجزاء المعرضة للهجوم فقط إذا تم تثبيت الملفات التنفيذية ل Office ضمن أدلة ٪ProgramFiles٪ أو ٪ProgramFiles(x86)٪ المعرفة من قبل النظام (على معظم الأنظمة، يشير ٪ProgramFiles٪ إلى C:\Program Files). إذا تم تثبيت Office في مسار مخصص خارج أحد هذه الدلائل المعرفة من قبل النظام، فلن يتم تطبيق هذه القواعد. القواعد المتأثرة هي:

• حظر تطبيقات اتصال Office من إنشاء عمليات تابعة (26190899-1602-49e8-8b27-eb1d0a1ce869)
• حظر جميع تطبيقات Office من إنشاء عمليات تابعة (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
• حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)

تمكين قواعد تقليل الأجزاء المعرضة للهجوم

تحتوي كل قاعدة تقليل الأجزاء المعرضة للهجوم على أحد الإعدادات الأربعة:

• غير مكون أو معطل: تعطيل قاعدة تقليل الأجزاء المعرضة للهجوم
• كتلة: تمكين قاعدة تقليل الأجزاء المعرضة للهجوم
• التدقيق: تقييم كيفية تأثير قاعدة تقليل الأجزاء المعرضة للهجوم على مؤسستك إذا تم تمكينها
• تحذير: تمكين قاعدة تقليل الأجزاء المعرضة للهجوم ولكن اسمح للمستخدم النهائي بتجاوز الكتلة

يمكنك تمكين قواعد تقليل الأجزاء المعرضة للهجوم باستخدام أي من الطرق التالية:

• Microsoft Intune
• إدارة الجهاز المحمول (MDM)
• Microsoft Configuration Manager
• نهج المجموعة (GP)
• PowerShell

يوصى بإدارة على مستوى المؤسسة مثل Intune أو Microsoft Configuration Manager. تقوم الإدارة على مستوى المؤسسة بالكتابة فوق أي نهج مجموعة متعارض أو إعدادات PowerShell عند بدء التشغيل.

استبعاد الملفات والمجلدات من قواعد تقليل الأجزاء المعرضة للهجوم

يمكنك استبعاد الملفات والمجلدات من التقييم بواسطة معظم قواعد تقليل الأجزاء المعرضة للهجوم. وهذا يعني أنه حتى إذا حددت قاعدة تقليل سطح الهجوم الملف أو المجلد الذي يحتوي على سلوك ضار، فإنه لا يمنع الملف من التشغيل.

هام

يمكن أن يؤدي استثناء الملفات أو المجلدات إلى تقليل الحماية التي توفرها قواعد تقليل الأجزاء المعرضة للهجوم بشكل كبير. يسمح بتشغيل الملفات المستبعدة، ولا يتم تسجيل أي تقرير أو حدث. إذا كانت قواعد تقليل الأجزاء المعرضة للهجوم تكتشف الملفات التي تعتقد أنه لا ينبغي اكتشافها، فيجب عليك استخدام وضع التدقيق أولا لاختبار القاعدة. يتم تطبيق الاستبعاد فقط عند بدء تشغيل التطبيق أو الخدمة المستبعدة. على سبيل المثال، إذا أضفت استثناء لخدمة تحديث قيد التشغيل بالفعل، تستمر خدمة التحديث في تشغيل الأحداث حتى يتم إيقاف الخدمة وإعادة تشغيلها.

عند إضافة استثناءات، ضع هذه النقاط في الاعتبار:

• تستند الاستثناءات عادة إلى ملفات أو مجلدات فردية (باستخدام مسارات المجلدات أو المسار الكامل للملف المراد استبعاده).
• يمكن أن تستخدم مسارات الاستبعاد متغيرات البيئة وأحرف البدل. راجع استخدام أحرف البدل في اسم الملف ومسار المجلد أو قوائم استبعاد الملحق
• عند التوزيع من خلال نهج المجموعة أو PowerShell أو Intune، يمكنك تكوين استثناءات لقواعد تقليل سطح الهجوم المحددة. للحصول على إرشادات Intune، راجع تكوين قواعد تقليل الأجزاء المعرضة للهجوم لكل قاعدة.
• يمكن إضافة الاستثناءات استنادا إلى تجزئات الشهادة والملف، عن طريق السماح بملف Defender لنقطة النهاية المحدد ومؤشرات الشهادة. راجع نظرة عامة على المؤشرات.

كيفية معالجة تعارضات النهج

إذا تم تطبيق نهج متعارض عبر MDM وGP، فإن الإعداد المطبق من نهج المجموعة له الأسبقية.

تدعم قواعد تقليل الأجزاء المعرضة للهجوم للأجهزة المدارة سلوك دمج الإعدادات من نهج مختلفة لإنشاء مجموعة فائقة للنهج لكل جهاز. يتم دمج الإعدادات غير المتضاربة فقط، بينما لا تتم إضافة تعارضات النهج إلى المجموعة الفائقة من القواعد. في السابق، إذا تضمن نهجان تعارضات لإعداد واحد، فقد تم وضع علامة على كلا النهجين على أنهما متعارضان، ولم يتم نشر أي إعدادات من أي من ملفي التعريف.

يعمل سلوك دمج قاعدة تقليل الأجزاء المعرضة للهجوم كما يلي:

• يتم تقييم قواعد تقليل الأجزاء المعرضة للهجوم من ملفات التعريف التالية لكل جهاز تنطبق عليه القواعد:

  • الاجهزه>ملفات تعريف> التكوينملف تعريف> حماية نقطة النهايةMicrosoft Defenderتقليل سطح هجوم الحمايةمن الهجمات>. (راجع تقليل الأجزاء المعرضة للهجوم.)
  • أمان> نقطة النهايةنهج تقليل الأجزاء المعرضة> للهجومقواعد تقليل الأجزاء المعرضة للهجوم. (راجع قواعد تقليل الأجزاء المعرضة للهجوم.)
  • أمان> نقطة النهايةخطوط الأمان الأساسية>Microsoft Defenderقواعد تقليل الأجزاء المعرضة للهجومالأساسي> ATP. (راجع قواعد تقليل الأجزاء المعرضة للهجوم.)

• تتم إضافة الإعدادات التي لا تحتوي على تعارضات إلى مجموعة فائقة من النهج للجهاز.

• عندما يحتوي نهجان أو أكثر على إعدادات متعارضة، لا تتم إضافة الإعدادات المتضاربة إلى النهج المدمج، بينما تتم إضافة الإعدادات التي لا تتعارض مع نهج المجموعة الفائقة الذي ينطبق على الجهاز.

• يتم الاحتفاظ بتكوينات الإعدادات المتضاربة فقط.

أساليب التكوين

يوفر هذا القسم تفاصيل التكوين لأساليب التكوين التالية:

• Intune
• ملف تعريف مخصص في Intune
• MDM
• Microsoft Configuration Manager
• نهج المجموعة
• PowerShell

تتضمن الإجراءات التالية لتمكين قواعد تقليل الأجزاء المعرضة للهجوم إرشادات حول كيفية استبعاد الملفات والمجلدات.

Intune

هام

إذا كنت تستخدم Intune على Windows Server 2012 R2 Windows Server 2016 مع الحل الموحد الحديث، فأنت بحاجة إلى تعيين قواعد تقليل الأجزاء المعرضة للهجوم التالية إلى Not Configured لأنها غير مدعومة في إصدارات نظام التشغيل هذه. وإلا، ستفشل النهج التي تحتوي على أي من هذه القواعد المستهدفة في Windows Server 2012 R2 أو Windows Server 2016 في التطبيق:

• حظر الاستمرارية من خلال اشتراك حدث Windows Management Instrumentation (WMI)
• حظر JavaScript أو VBScript من تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله
• حظر مكالمات Win32 API من ماكرو Office
• حظر إنشاء Webshell للخوادم، هذا غير مدعوم في Windows Server 2012 R2، ولكنه مدعوم في Windows Server 2016. ينطبق فقط على دور خادم Exchange.

نهج أمان نقطة النهاية (مفضل)

1. حدد Endpoint Security>Attack surface reduction. اختر قاعدة تقليل سطح الهجوم الموجودة أو أنشئ قاعدة جديدة. لإنشاء نهج جديد، حدد إنشاء نهج وأدخل معلومات لملف التعريف هذا. بالنسبة إلى نوع ملف التعريف، حدد Attack surface reduction rules. إذا اخترت ملف تعريف موجودا، فحدد خصائص ثم حدد الإعدادات.

2. في جزء Configuration settings ، حدد Attack Surface Reduction ثم حدد الإعداد المطلوب لكل قاعدة تقليل سطح الهجوم.

3. ضمن قائمة المجلدات الإضافية التي تحتاج إلى الحماية، وقائمة التطبيقات التي لديها حق الوصول إلى المجلدات المحمية، واستبعاد الملفات والمسارات من قواعد تقليل الأجزاء المعرضة للهجوم، أدخل الملفات والمجلدات الفردية.

   يمكنك أيضا تحديد استيراد لاستيراد ملف CSV يحتوي على ملفات ومجلدات لاستبعادها من قواعد تقليل الأجزاء المعرضة للهجوم. يجب تنسيق كل سطر في ملف CSV كما يلي:

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. حدد التالي في أجزاء التكوين الثلاثة، ثم حدد إنشاء إذا كنت تقوم بإنشاء نهج جديد أو حفظ إذا كنت تقوم بتحرير نهج موجود.

ملاحظة

في أحدث واجهة Intune، توجد ملفات تعريف التكوين ضمن ملفات تعريف تكوين الأجهزة>.
أظهرت الإصدارات السابقة من Intune هذا ضمن ملفات تعريف تكوين > الجهاز.
إذا كنت لا ترى "ملف تعريف التكوين" كما هو مكتوب في الإرشادات القديمة، فابحث عن ملفات تعريف التكوين ضمن قائمة الأجهزة.

ملفات تعريف تكوين الجهاز (البديل 1)

1. حدد ملفات تعريف تكوين> الجهاز. اختر ملف تعريف حماية نقطة نهاية موجود أو أنشئ ملفا جديدا. لإنشاء ملف تعريف جديد، حدد إنشاء ملف تعريف وأدخل معلومات لملف التعريف هذا. بالنسبة إلى نوع ملف التعريف، حدد Endpoint protection. إذا اخترت ملف تعريف موجودا، فحدد خصائص ثم حدد الإعدادات.

2. في جزء Endpoint protection ، حدد Windows Defender Exploit Guard، ثم حدد Attack Surface Reduction. حدد الإعداد المطلوب لكل قاعدة تقليل الأجزاء المعرضة للهجوم.

3. ضمن استثناءات تقليل الأجزاء المعرضة للهجوم، أدخل الملفات والمجلدات الفردية. يمكنك أيضا تحديد استيراد لاستيراد ملف CSV يحتوي على ملفات ومجلدات لاستبعادها من قواعد تقليل الأجزاء المعرضة للهجوم. يجب تنسيق كل سطر في ملف CSV كما يلي:

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. حدد OK في أجزاء التكوين الثلاثة. ثم حدد إنشاء إذا كنت تقوم بإنشاء ملف حماية نقطة نهاية جديد أو حفظ إذا كنت تقوم بتحرير ملف موجود.

ملف تعريف مخصص في Intune (بديل 2)

يمكنك استخدام Microsoft Intune OMA-URI لتكوين قواعد تقليل سطح الهجوم المخصصة. يستخدم الإجراء التالي قاعدة حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال على سبيل المثال.

1. في مركز إدارة Microsoft Intune في https://intune.microsoft.com، حدد إدارة الأجهزة>تكوينالأجهزة>. أو، للانتقال مباشرة إلى الأجهزة | صفحة التكوين ، استخدم https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

2. في علامة التبويب نهجللأجهزة | صفحة التكوين ، حدد إنشاء>نهج جديد.

   

3. في القائمة المنبثقة Create a profile التي تفتح، قم بتكوين الإعدادات التالية:

   • النظام الأساسي: حدد Windows 10 والإصدارات الأحدث.
   • نوع ملف التعريف: حدد إحدى القيم التالية:

     • القوالب

       في قسم Template name الذي يظهر، حدد Custom.

       او

     • إذا تم بالفعل تعيين قواعد تقليل الأجزاء المعرضة للهجوم من خلال أمان نقطة النهاية، فحدد Settings Catalog.

   عند الانتهاء من القائمة المنبثقة إنشاء ملف تعريف ، حدد إنشاء.

   

4. تفتح أداة القالب المخصص إلى الخطوة 1 الأساسيات. في 1 أساسيات، في الاسم، اكتب اسما للقالب، وفي الوصف يمكنك كتابة وصف (اختياري).

5. انقر فوق التالي. يتم فتح إعدادات التكوين للخطوة 2 . بالنسبة لإعدادات OMA-URI، انقر فوق إضافة. يظهر الآن خياران: إضافةوتصدير.

   

6. انقر فوق إضافة مرة أخرى. يتم فتح إعدادات Add Row OMA-URI . في إضافة صف، املأ المعلومات التالية:

   1. في الاسم، اكتب اسما للقاعدة.

   2. في الوصف، اكتب وصفا موجزا.

   3. في OMA-URI، اكتب أو الصق ارتباط OMA-URI المحدد للقاعدة التي تضيفها. راجع قسم MDM في هذه المقالة لكي يستخدم OMA-URI لقاعدة المثال هذه. للحصول على GUIDS لقاعدة تقليل الأجزاء المعرضة للهجوم، راجع وصف كل قاعدة.

   4. في القيمة، اكتب أو الصق قيمة GUID والعلامة \= وقيمة الحالة بدون مسافات (GUID=StateValue):

      • 0: تعطيل (تعطيل قاعدة تقليل الأجزاء المعرضة للهجوم)
      • 1: حظر (تمكين قاعدة تقليل الأجزاء المعرضة للهجوم)
      • 2: التدقيق (تقييم كيفية تأثير قاعدة تقليل الأجزاء المعرضة للهجوم على مؤسستك إذا تم تمكينها)
      • 6: تحذير (قم بتمكين قاعدة تقليل الأجزاء المعرضة للهجوم ولكن اسمح للمستخدم النهائي بتجاوز الكتلة)

      

7. حدد حفظ. إضافة إغلاقات الصف . في مخصص، حدد التالي. في الخطوة 3 علامات النطاق، تكون علامات النطاق اختيارية. قم بأحد الإجراءات التالية:

   • حدد تحديد علامات النطاق، وحدد علامة النطاق (اختياري) ثم حدد التالي.
   • أو حدد التالي

8. في الخطوة 4 الواجبات، في المجموعات المضمنة، للمجموعات التي تريد تطبيق هذه القاعدة عليها، حدد من الخيارات التالية:

   • إضافة مجموعات
   • إضافة جميع المستخدمين
   • إضافة جميع الأجهزة

   

9. في المجموعات المستبعدة، حدد أي مجموعات تريد استبعادها من هذه القاعدة، ثم حدد التالي.

10. في الخطوة 5 قواعد قابلية التطبيق للإعدادات التالية، قم بما يلي:

    1. في Rule، حدد إما Assign profile if، أو Don't assign profile if.
    2. في الخاصية، حدد الخاصية التي تريد تطبيق هذه القاعدة عليها.
    3. في Value، أدخل القيمة القابلة للتطبيق أو نطاق القيمة.

    

11. حدد التالي. في الخطوة 6 مراجعة + إنشاء، راجع الإعدادات والمعلومات التي حددتها وأدخلتها، ثم حدد إنشاء.

    

    القواعد نشطة وتعيش في غضون دقائق.

ملاحظة

فيما يتعلق بمعالجة التعارض، إذا قمت بتعيين نهجين مختلفين لتقليل سطح الهجوم لجهاز، يمكن أن تحدث تعارضات محتملة في النهج، اعتمادا على ما إذا كانت القواعد معينة حالات مختلفة، وما إذا كانت إدارة التعارض موجودة، وما إذا كانت النتيجة خطأ.

لا تؤدي قواعد عدم العبث إلى حدوث خطأ، ويتم تطبيق هذه القواعد بشكل صحيح. يتم تطبيق القاعدة الأولى، ويتم دمج قواعد عدم الدمج اللاحقة في النهج.

MDM

استخدم موفر خدمة تكوين ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules لتمكين الوضع لكل قاعدة وتعيينه بشكل فردي.

فيما يلي عينة للرجوع إليها، باستخدام قيم GUID لمرجع قواعد تقليل الأجزاء المعرضة للهجوم.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

القيم التي يجب تمكينها (حظر) أو تعطيلها أو تحذيرها أو تمكينها في وضع التدقيق هي:

• 0: تعطيل (تعطيل قاعدة تقليل الأجزاء المعرضة للهجوم)
• 1: حظر (تمكين قاعدة تقليل سطح الهجوم)
• 2: التدقيق (تقييم كيفية تأثير قاعدة تقليل سطح الهجوم على مؤسستك إذا تم تمكينها)
• 6: تحذير (قم بتمكين قاعدة تقليل الأجزاء المعرضة للهجوم ولكن اسمح للمستخدم النهائي بتجاوز الكتلة). يتوفر وضع التحذير لمعظم قواعد تقليل الأجزاء المعرضة للهجوم.

استخدم موفر خدمة تكوين ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions (CSP) لإضافة استثناءات.

على سبيل المثال:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

ملاحظة

تأكد من إدخال قيم OMA-URI بدون مسافات.

Microsoft Configuration Manager

1. في Microsoft Configuration Manager، انتقل إلى Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

2. حدد Home>Create Exploit Guard Policy.

3. أدخل اسما ووصفا، وحدد تقليل الأجزاء المعرضة للهجوم، وحدد التالي.

4. اختر القواعد التي ستقوم بحظر الإجراءات أو تدقيقها وحدد التالي.

5. راجع الإعدادات وحدد التالي لإنشاء النهج.

6. بعد إنشاء النهج، حدد إغلاق.

تحذير

هناك مشكلة معروفة تتعلق بتطبيق تقليل سطح الهجوم على إصدارات نظام تشغيل الخادم التي تم وضع علامة عليها على أنها متوافقة دون أي فرض فعلي. حاليا، لا يوجد تاريخ إصدار محدد لموعد إصلاح ذلك.

هام

إذا كنت تستخدم "تعطيل دمج المسؤولين" المعين على true الأجهزة، وكنت تستخدم أيا من الأدوات/الأساليب التالية، فلن تنطبق إضافة قواعد ASR لكل قاعدة أو استثناءات قاعدة ASR المحلية:

• إدارة إعدادات أمان Defender لنقطة النهاية (تعطيل دمج مسؤول المحلي)
• Intune (تعطيل دمج مسؤول المحلي)
• Defender CSP (DisableLocalAdminMerge)
• نهج المجموعة (تكوين سلوك دمج المسؤول المحلي للقوائم) لتعديل هذا السلوك، تحتاج إلى تغيير "تعطيل دمج المسؤول" إلى false.

نهج المجموعة

تحذير

إذا كنت تدير أجهزة الكمبيوتر والأجهزة باستخدام Intune أو Configuration Manager أو نظام أساسي آخر للإدارة على مستوى المؤسسة، فإن برنامج الإدارة يحل محل أي إعدادات نهج مجموعة متعارضة عند بدء التشغيل.

1. على كمبيوتر إدارة نهج المجموعة، افتح وحدة تحكم إدارة نهج المجموعة، وانقر بزر الماوس الأيمن فوق عنصر نهج المجموعة الذي تريد تكوينه وحدد تحرير.

2. في محرر إدارة نهج المجموعة، انتقل إلى تكوين الكمبيوتر وحدد القوالب الإدارية.

3. قم بتوسيع الشجرة إلى مكونات> Windows Microsoft Defender مكافحة الفيروسات> Microsoft Defenderتقليل سطح هجومExploit Guard>.

4. حدد Configure Attack surface reduction rules وحدد Enabled. يمكنك بعد ذلك تعيين الحالة الفردية لكل قاعدة في قسم الخيارات. حدد إظهار... وأدخل معرف القاعدة في عمود اسم القيمة والحالة التي اخترتها في عمود القيمة كما يلي:

   • 0: تعطيل (تعطيل قاعدة تقليل الأجزاء المعرضة للهجوم)
   • 1: حظر (تمكين قاعدة تقليل سطح الهجوم)
   • 2: التدقيق (تقييم كيفية تأثير قاعدة تقليل سطح الهجوم على مؤسستك إذا تم تمكينها)
   • 6: تحذير (قم بتمكين قاعدة تقليل الأجزاء المعرضة للهجوم ولكن اسمح للمستخدم النهائي بتجاوز الكتلة)

   

5. لاستبعاد الملفات والمجلدات من قواعد تقليل الأجزاء المعرضة للهجوم، حدد إعداد استبعاد الملفات والمسارات من قواعد تقليل الأجزاء المعرضة للهجوم وقم بتعيين الخيار إلى ممكن. حدد إظهار وأدخل كل ملف أو مجلد في عمود اسم القيمة . أدخل 0 في عمود القيمة لكل عنصر.

   تحذير

   لا تستخدم علامات الاقتباس لأنها غير مدعومة لعمود اسم القيمة أو عمود القيمة . يجب ألا يحتوي معرف القاعدة على أي مسافات بادئة أو لاحقة.

ملاحظة

قامت Microsoft بإعادة تسمية Windows برنامج الحماية من الفيروسات من Defender إلى برنامج الحماية من الفيروسات Microsoft Defender بدءا من الإصدار Windows 10 20H1. قد لا تزال المسارات نهج المجموعة على إصدارات Windows السابقة تشير إلى برنامج الحماية من الفيروسات من Defender Windows، بينما تظهر الإصدارات الأحدث Microsoft Defender مكافحة الفيروسات. يشير كلا الاسمين إلى نفس موقع النهج.

PowerShell

تحذير

إذا كنت تدير أجهزة الكمبيوتر والأجهزة باستخدام Intune أو Configuration Manager أو نظام أساسي آخر للإدارة على مستوى المؤسسة، فإن برنامج الإدارة يحل محل أي إعدادات PowerShell متعارضة عند بدء التشغيل.

1. اكتب PowerShell في قائمة البدء، وانقر بزر الماوس الأيمن فوق Windows PowerShell وحدد تشغيل كمسؤول.

2. اكتب أحد أوامر cmdlets التالية. لمزيد من المعلومات، مثل معرف القاعدة، راجع مرجع قواعد تقليل الأجزاء المعرضة للهجوم.

   المهمه	PowerShell cmdlet
   تمكين قواعد تقليل الأجزاء المعرضة للهجوم	Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
   تمكين قواعد تقليل الأجزاء المعرضة للهجوم في وضع التدقيق	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
   تمكين قواعد تقليل الأجزاء المعرضة للهجوم في وضع التحذير	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
   تمكين إساءة استخدام كتلة الحد من الأجزاء المعرضة للهجوم لبرامج التشغيل الموقعة المعرضة للاستغلال	Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
   إيقاف تشغيل قواعد تقليل الأجزاء المعرضة للهجوم	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

   هام

   يجب تحديد الحالة بشكل فردي لكل قاعدة، ولكن يمكنك دمج القواعد والحالات في قائمة مفصولة بفواصل.

   في المثال التالي، يتم تمكين أول قاعدتين، ويتم تعطيل القاعدة الثالثة، ويتم تمكين القاعدة الرابعة في وضع التدقيق: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

   يمكنك أيضا استخدام Add-MpPreference فعل PowerShell لإضافة قواعد جديدة إلى القائمة الموجودة.

   تحذير

   Set-MpPreference الكتابة فوق مجموعة القواعد الموجودة. إذا كنت تريد إضافة إلى المجموعة الموجودة، فاستخدم Add-MpPreference بدلا من ذلك. يمكنك الحصول على قائمة بالقواعد وحالتها الحالية باستخدام Get-MpPreference.

3. لاستبعاد الملفات والمجلدات من قواعد تقليل الأجزاء المعرضة للهجوم، استخدم cmdlet التالي:

   Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

   تابع الاستخدام Add-MpPreference -AttackSurfaceReductionOnlyExclusions لإضافة المزيد من الملفات والمجلدات إلى القائمة.

   هام

   استخدم Add-MpPreference لإلحاق التطبيقات أو إضافتها إلى القائمة. Set-MpPreference سيؤدي استخدام cmdlet إلى الكتابة فوق القائمة الموجودة.

المحتويات ذات الصلة

• مرجع قواعد تقليل الأجزاء المعرضة للهجوم
• تقييم تقليل الأجزاء المعرضة للهجوم
• الأسئلة المتداولة حول قواعد تقليل الأجزاء المعرضة للهجوم