ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
ينطبق على:
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
تساعد الحماية من الهجماتيساعد في حماية الأجهزة من البرامج الضارة التي تستخدم عمليات الاستغلال لنشر الأجهزة الأخرى وإصابتها. يمكن تطبيق التقليل إما على نظام التشغيل أو على تطبيق فردي. يتم تضمين العديد من الميزات من مجموعة أدوات تجربة تقليل المخاطر المحسنة (EMET) في الحماية من الهجمات. (وصل فريق EMET إلى نهاية دعمه).
في التدقيق، يمكنك معرفة كيفية عمل التقليل لتطبيقات معينة في بيئة اختبار. يوضح هذا ما سيحدث إذا قمت بتمكين الحماية من الهجمات في بيئة الإنتاج الخاصة بك. بهذه الطريقة، يمكنك التحقق من أن الحماية من الاستغلال لا تؤثر سلباً على تطبيقات الأعمال الخاصة بك، ومعرفة الأحداث المشبوهة أو الضارة التي تحدث.
إرشادات عامة
تعمل عوامل التخفيف من الهجمات على مستوى منخفض في نظام التشغيل، وقد تواجه بعض أنواع البرامج التي تقوم بعمليات مماثلة منخفضة المستوى مشكلات في التوافق عند تكوينها لتكون محمية باستخدام الحماية من الهجمات.
ما هي أنواع البرامج التي لا ينبغي حمايتها من خلال الحماية من الهجمات؟
- برامج مكافحة البرامج الضارة والوقاية من الاختراق أو الكشف
- مصححو الأخطاء
- البرامج التي تتعامل مع تقنيات إدارة الحقوق الرقمية (DRM) (أي ألعاب الفيديو)
- البرامج التي تستخدم تقنيات مكافحة تصحيح الأخطاء أو التعتيم أو الربط
ما نوع التطبيقات التي يجب أن تفكر في تمكين الحماية من الهجمات؟
التطبيقات التي تتلقى البيانات غير الموثوق بها أو تتعامل معها.
ما نوع العمليات خارج نطاق الحماية من الهجمات؟
الخدمات
- خدمات النظام
- خدمات الشبكة
عمليات التخفيف من مخاطر الهجمات الممكنة بشكل افتراضي
| تقليل المخاطر | ممكن بشكل افتراضي |
|---|---|
| منع تنفيذ التعليمات البرمجية (DEP) | تطبيقات 64 بت و32 بت |
| التحقق من صحة سلاسل الاستثناء (SEHOP) | تطبيقات 64 بت |
| التحقق من صحة تكامل كومة الذاكرة المؤقتة | تطبيقات 64 بت و32 بت |
عوامل تخفيف "إعدادات البرنامج" المهملة
| عوامل التخفيف من المخاطر "إعدادات البرنامج" | سبب |
|---|---|
| تصدير عوامل تصفية العنوان (EAF) | مشكلات توافق التطبيق |
| استيراد عوامل تصفية العنوان (IAF) | مشكلات توافق التطبيق |
| محاكاة التنفيذ (SimExec) | تم استبداله ب Arbitrary Code Guard (ACG) |
| التحقق من صحة استدعاء واجهة برمجة التطبيقات API (CallerCheck) | تم استبداله ب Arbitrary Code Guard (ACG) |
| التحقق من صحة تكامل المكدس (StackPivot) | تم استبداله ب Arbitrary Code Guard (ACG) |
أفضل ممارسات تطبيق Office
بدلا من استخدام الحماية من الهجمات لتطبيقات Office مثل Outlook Word وExcel وPowerPoint وOneNote، ضع في اعتبارك استخدام نهج أكثر حداثة لمنع إساءة استخدامها: قواعد تقليل الأجزاء المعرضة للهجوم (قواعد ASR):
- حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني
- حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ
- حظر جميع تطبيقات Office من إنشاء عمليات تابعة
- حظر تطبيق اتصال Office من إنشاء عمليات تابعة
- حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى
- حظر تنفيذ البرامج النصية التي يحتمل أن تكون معطوبة
- حظر مكالمات Win32 API من وحدات ماكرو Office
بالنسبة إلى Adobe Reader، استخدم قاعدة ASR التالية:
لم يعد Google Chrome يوصي بتمكين الحماية من الهجمات (EMET) لأنه زائد عن الحاجة أو تم استبداله بتخفيف الهجمات المضمنة.
قائمة توافق التطبيقات
يسرد الجدول التالي منتجات محددة لها مشكلات توافق مع عوامل التخفيف المضمنة في الحماية من الهجمات. يجب تعطيل عوامل تخفيف معينة غير متوافقة إذا كنت تريد حماية المنتج باستخدام الحماية من الهجمات. يجب أن تدرك أن هذه القائمة تأخذ في الاعتبار الإعدادات الافتراضية لأحدث إصدارات المنتج. يمكن تقديم مشكلات التوافق عند تطبيق وظائف إضافية معينة أو مكونات أخرى على البرنامج القياسي.
| المنتج | التخفيف من مخاطر الحماية من الهجمات |
|---|---|
| .NET 2.0/3.5 | EAF/IAF |
| 7-Zip Console/GUI/File Manager | EAF |
| معالجات AMD 62xx | EAF |
| Avecto (ما بعد الثقة) Power Broker | EAF، EAF+، Stack Pivot |
| بعض برامج تشغيل فيديو AMD (ATI) | System ASLR=AlwaysOn |
| DropBox | EAF |
| Excel Power Query وPower View وPower Map وPowerPivot | EAF |
| Google Chrome (لم يعد مستحسنا) | EAF+ |
| Immidio Flex+ | EAF |
| Microsoft Office Web Components (OWC) | System DEP=AlwaysOn |
| Microsoft PowerPoint | EAF |
| Microsoft Teams | EAF+ |
| Oracle Javaǂ | كومة الذاكرة المؤقتة |
| Pitney Bowes Print Audit 6 | SimExecFlow |
| إصدار Siebel CRM هو 8.1.1.9 | SEHOP |
| Skype | EAF |
| SolarWinds Syslogd Manager | EAF |
| مشغل وسائط Windows | إلزاميASLR، EAF |
ǂ قد تكون عمليات التخفيف من مخاطر EMET غير متوافقة مع Oracle Java عند تشغيلها باستخدام الإعدادات التي تحتفظ بكمية كبيرة من الذاكرة للجهاز الظاهري (أي باستخدام خيار -Xms).
تمكين إعدادات نظام الحماية من الهجمات للاختبار
يتم تمكين إعدادات نظام الحماية من الهجمات هذه بشكل افتراضي باستثناء عشوائية تخطيط مساحة العنوان الإلزامي (ASLR) على Windows 10 والإصدارات الأحدث، Windows Server 2019 والإصدارات الأحدث، وعلى الإصدار الأساسي Windows Server 1803 والإصدارات الأحدث.
| إعدادات النظام | اعداد |
|---|---|
| حماية تدفق التحكم (CFG) | استخدام الافتراضي (تشغيل) |
| منع تنفيذ التعليمات البرمجية (DEP) | استخدام الافتراضي (تشغيل) |
| فرض العشوائية للصور (ASRL الإلزامي) | استخدام الافتراضي (إيقاف التشغيل) |
| عشوائية تخصيصات الذاكرة (ASRL من الأسفل إلى الأعلى) | استخدام الافتراضي (تشغيل) |
| ASRL عالي الإنتروبيا | استخدام الافتراضي (تشغيل) |
| التحقق من صحة سلاسل الاستثناء (SEHOP) | استخدام الافتراضي (تشغيل) |
يتوفر نموذج xml أدناه
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
تمكين إعدادات برنامج الحماية من الهجمات للاختبار
تلميح
نوصي بشدة بمراجعة النهج الحديث للتخفيف من الثغرات الأمنية، وهو استخدام قواعد تقليل الأجزاء المعرضة للهجوم (قواعد ASR).
يمكنك تعيين عوامل التخفيف في وضع اختبار لبرامج معينة باستخدام تطبيق أمان Windows أو Windows PowerShell.
تطبيق أمن Windows
افتح تطبيق أمان Windows. حدد رمز الدرع في شريط المهام أو ابحث في قائمة البدء عن أمان Windows.
حدد لوحة التحكم في التطبيق والمستعرض (أو أيقونة التطبيق على شريط القوائم الأيمن) ثم حدد الحماية من الهجمات.
انتقل إلى إعدادات البرنامج واختر التطبيق الذي تريد تطبيق عوامل تقليل المخاطر عليه:
إذا كان التطبيق الذي تريد تكوينه مدرجا بالفعل، فحدده ثم حدد تحرير.
إذا لم يكن التطبيق مدرجا في أعلى القائمة، فحدد إضافة برنامج لتخصيصه. ثم اختر كيف تريد إضافة التطبيق.
- استخدم إضافة حسب اسم البرنامج لتطبيق تخفيف المخاطر على أي عملية قيد التشغيل بهذا الاسم. حدد ملفا بملحق. يمكنك إدخال مسار كامل لتقييد تخفيف مخاطر التطبيق الذي يحمل هذا الاسم فقط في هذا الموقع.
- استخدم اختيار مسار ملف محدد لاستخدام نافذة منتقي ملفات مستكشف Windows قياسية للبحث عن الملف الذي تريده وتحديده.
بعد تحديد التطبيق، سترى قائمة بكل عوامل تخفيف المخاطر التي يمكن تطبيقها. يؤدي اختيار Audit إلى تطبيق التخفيف في وضع الاختبار فقط. يتم إعلامك إذا كنت بحاجة إلى إعادة تشغيل العملية أو التطبيق أو Windows.
كرر الخطوات من 3 إلى 4 لجميع التطبيقات المخاطر التي تريد تكوينها. حدد تطبيق عند الانتهاء من إعداد التكوين.
PowerShell
لتعيين عوامل التخفيف على مستوى التطبيق إلى وضع الاختبار، استخدم Set-ProcessMitigation مع الأمر cmdlet لوضع التدقيق .
قم بتكوين كل عملية لتخفيف المخاطر بالتنسيق التالي:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
المكان:
-
<النطاق>:
-
-Nameللإشارة إلى أنه يجب تطبيق عوامل تخفيف المخاطر على تطبيق معين. حدد ملف تنفيذ التطبيق بعد هذه العلامة.
-
-
<الإجراء>:
-
-Enableلتمكين تخفيف المخاطر-
-Disableلتعطيل تخفيف المخاطر
-
-
-
<التخفيف من المخاطر>:
- أمر cmdlet الخاص بالتخفيف كما هو محدد في الجدول التالي. يتم فصل كل عامل تخفيف من المخاطر بفاصلة.
| نوع تخفيف المخاطر | الأمر cmdlet لوضع الاختبار |
|---|---|
| حماية التعليمات البرمجية العشوائية (ACG) | AuditDynamicCode |
| حظر الصور منخفضة التكامل | AuditImageLoad |
| حظر الخطوط غير الموثوقة |
AuditFont, FontAuditOnly |
| حماية تكامل التعليمات البرمجية |
AuditMicrosoftSigned, AuditStoreSigned |
| تعطيل مكالمات نظام Win32k | AuditSystemCall |
| عدم السماح بالعمليات التابعة | AuditChildProcess |
على سبيل المثال، لتمكين حماية التعليمات البرمجية العشوائية (ACG) في وضع الاختبار لتطبيق يسمى testing.exe، قم بتشغيل الأمر التالي:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
يمكنك تعطيل وضع التدقيق-Enableعن طريق الاستبدال بـ-Disable.
راجع أحداث تدقيق الحماية من الهجمات الثغرات
لمراجعة التطبيقات التي سيتم حظرها، افتح عارض الأحداث وقم بتصفية الأحداث التالية في سجل Security-Mitigations.
| الميزة | موفّر/مصدر | معرف الحدث | الوصف |
|---|---|---|---|
| الحماية من استغلال | التخفيفات الأمنية (وضع Kernel / وضع المستخدم) | 1 | تدقيق ACG |
| الحماية من استغلال | التخفيفات الأمنية (وضع Kernel / وضع المستخدم) | 3 | لا تسمح بمراجعة العمليات الفرعية |
| الحماية من استغلال | التخفيفات الأمنية (وضع Kernel / وضع المستخدم) | 5 | حظر تدقيق الصور منخفضة التكامل |
| الحماية من استغلال | التخفيفات الأمنية (وضع Kernel / وضع المستخدم) | 7 | حظر تدقيق الصور البعيدة |
| الحماية من استغلال | التخفيفات الأمنية (وضع Kernel / وضع المستخدم) | 9 | تعطيل تدقيق مكالمات نظام Win32k |
| الحماية من استغلال | التخفيفات الأمنية (وضع Kernel / وضع المستخدم) | 11 | حماية تكامل التعليمات البرمجية |
راجع أيضًا
- تمكين الحماية من استغلال
- تكوين عمليات تخفيف مخاطر الهجمات والتدقيق فيها
- استيراد تكوينات الحماية من الاستغلال وتصديرها ونشرها
- استكشاف أخطاء الحماية من الهجمات وإصلاحها
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.