إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تطبق الحماية من الهجمات تلقائيا العديد من تقنيات التخفيف من الهجمات على عمليات وتطبيقات نظام التشغيل. يتم دعم الحماية من الهجمات بدءا من الإصدار Windows 10، الإصدار 1709، Windows 11، Windows Server، الإصدار 1803.
تعمل الحماية من الهجمات بشكل أفضل مع Defender لنقطة النهاية - والتي تمنحك تقارير مفصلة عن أحداث وكتل الحماية من الهجمات كجزء من سيناريوهات التحقيق في التنبيه المعتادة.
يمكنك تمكين الحماية من الاستغلال على جهاز فردي، ثم استخدام نهج المجموعة لتوزيع ملف XML على أجهزة متعددة في وقت واحد.
عند العثور على تخفيف على الجهاز، يتم عرض إعلام من مركز الصيانة. يمكنك تخصيص الإعلام مع تفاصيل شركتك ومعلومات الاتصال. يمكنك أيضا تمكين القواعد بشكل فردي لتخصيص التقنيات التي تراقبها الميزات.
يمكنك أيضا استخدام وضع التدقيق لتقييم كيفية تأثير الحماية من الهجمات على مؤسستك إذا تم تمكينها.
يتم تضمين العديد من الميزات في مجموعة أدوات تجربة التخفيف المحسنة (EMET) في الحماية من الهجمات. في الواقع، يمكنك تحويل واستيراد ملفات تعريف تكوين EMET الموجودة إلى الحماية من الهجمات. لمعرفة المزيد، راجع استيراد تكوينات الحماية من الهجمات وتصديرها وتوزيعها.
هام
إذا كنت تستخدم EMET حاليا، فمن المهم ملاحظة أنEMET وصلت إلى نهاية الدعم في 31 يوليو 2018. ضع في اعتبارك استبدال EMET بالحماية من الهجمات في Windows 10.
تحذير
قد تواجه بعض تقنيات التخفيف من المخاطر الأمنية مشكلات في التوافق مع بعض التطبيقات. يجب اختبار الحماية من الهجمات في جميع سيناريوهات الاستخدام الهدف باستخدام وضع التدقيق قبل نشر التكوين عبر بيئة الإنتاج، أو بقية الشبكة.
مراجعة أحداث الحماية من الهجمات في مدخل Microsoft Defender
يوفر Defender لنقطة النهاية تقارير مفصلة عن الأحداث والكتل كجزء من سيناريوهات التحقيق في التنبيه الخاصة به.
يمكنك الاستعلام عن بيانات Defender لنقطة النهاية باستخدام التتبع المتقدم. إذا كنت تستخدم وضع التدقيق، يمكنك استخدام التتبع المتقدم لمعرفة كيف يمكن أن تؤثر إعدادات الحماية من الهجمات على بيئتك.
فيما يلي مثال على الاستعلام:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
الحماية من الهجمات والتتبع المتقدم
أنواع إجراءات التتبع المتقدمة المتوفرة للحماية من الهجمات هي كما يلي:
| اسم تخفيف الحماية من الهجمات | الحماية من الهجمات - التتبع المتقدم - أنواع الإجراءات |
|---|---|
| حماية التعليمات البرمجية العشوائية | ExploitGuardAcgAudited تم إستغلالGuardAcgEnforced |
| عدم السماح بالعمليات التابعة | ExploitGuardChildProcessAudited تم حظر ExploitGuardChildProcessBlocked |
| تصدير عوامل تصفية العنوان (EAF) | ExploitGuardEafViolationAudited تم حظر ExploitGuardEafViolationBlocked |
| استيراد عوامل تصفية العنوان (IAF) | ExploitGuardIafViolationAudited تم حظر ExploitGuardIafViolationBlocked |
| حظر الصور منخفضة التكامل | ExploitGuardLowIntegrityImageAudited تم حظر ExploitGuardLowIntegrityImageBlocked |
| حماية تكامل التعليمات البرمجية | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
| • محاكاة التنفيذ (SimExec) • التحقق من صحة استدعاء واجهة برمجة التطبيقات (CallerCheck) • التحقق من سلامة المكدس (StackPivot) |
ExploitGuardRopExploitAudited تم حظر ExploitGuardRopExploitBlocked |
| حظر الصور البعيدة | ExploitGuardSharedBinaryAudited تم حظر ExploitGuardSharedBinaryBlocked |
| تعطيل مكالمات نظام Win32k | ExploitGuardWin32SystemCallAudited تم حظر ExploitGuardWin32SystemCallBlocked |
مراجعة أحداث الحماية من الهجمات في Windows عارض الأحداث
يمكنك مراجعة سجل أحداث Windows لمشاهدة الأحداث التي يتم إنشاؤها عند كتل الحماية من الهجمات (أو عمليات التدقيق) أحد التطبيقات:
| موفّر/مصدر | معرف الحدث | الوصف |
|---|---|---|
| Security-Mitigations | 1 | تدقيق ACG |
| Security-Mitigations | 2 | فرض ACG |
| Security-Mitigations | 3 | عدم السماح بمراجعة العمليات التابعة |
| Security-Mitigations | 4 | عدم السماح بحظر العمليات التابعة |
| Security-Mitigations | 5 | حظر تدقيق الصور منخفضة التكامل |
| Security-Mitigations | 6 | حظر كتلة صور التكامل المنخفض |
| Security-Mitigations | 7 | حظر تدقيق الصور البعيدة |
| Security-Mitigations | 8 | حظر كتلة الصور البعيدة |
| Security-Mitigations | 9 | تعطيل تدقيق مكالمات نظام Win32k |
| Security-Mitigations | 10 | تعطيل كتلة مكالمات نظام win32k |
| Security-Mitigations | 11 | حماية تكامل التعليمات البرمجية |
| Security-Mitigations | 12 | كتلة حماية تكامل التعليمات البرمجية |
| Security-Mitigations | 13 | تدقيق EAF |
| Security-Mitigations | 14 | فرض EAF |
| Security-Mitigations | 15 | تدقيق EAF+ |
| Security-Mitigations | 16 | فرض EAF+ |
| Security-Mitigations | 17 | تدقيق IAF |
| Security-Mitigations | 18 | فرض IAF |
| Security-Mitigations | 19 | تدقيق ROP StackPivot |
| Security-Mitigations | 20 | فرض ROP StackPivot |
| Security-Mitigations | 21 | تدقيق ROP CallerCheck |
| Security-Mitigations | 22 | فرض ROP CallerCheck |
| Security-Mitigations | 23 | تدقيق ROP SimExec |
| Security-Mitigations | 24 | فرض ROP SimExec |
| WER-Diagnostics | 5 | كتلة CFG |
| Win32K | 260 | خط غير موثوق به |
مقارنة التخفيف من المخاطر
يتم تضمين عوامل التخفيف المتوفرة في EMET في الأصل في Windows 10 (بدءا من الإصدار 1709)، Windows 11، Windows Server (بدءا من الإصدار 1803)، ضمن الحماية من الهجمات.
يشير الجدول الموجود في هذا القسم إلى توفر ودعم عوامل التخفيف الأصلية بين EMET والحماية من الهجمات.
| تقليل المخاطر | متوفر في إطار الحماية من الهجمات | متوفر في EMET |
|---|---|---|
| حماية التعليمات البرمجية العشوائية (ACG) | نعم | نعم ك "التحقق من حماية الذاكرة" |
| حظر الصور البعيدة | نعم | نعم ك "التحقق من مكتبة التحميل" |
| حظر الخطوط غير الموثوقة | نعم | نعم |
| منع تنفيذ التعليمات البرمجية (DEP) | نعم | نعم |
| تصدير عوامل تصفية العنوان (EAF) | نعم | نعم |
| فرض إعادة الترتيب العشوائي للصور (ASLR إلزامي) | نعم | نعم |
| تخفيف أمان NullPage | نعم مضمن أصلا في Windows 10 Windows 11 لمزيد من المعلومات، راجع التخفيف من التهديدات باستخدام ميزات الأمان Windows 10 |
نعم |
| تخصيصات الذاكرة عشوائيا (ASLR من الأسفل إلى الأعلى) | نعم | نعم |
| محاكاة التنفيذ (SimExec) | نعم | نعم |
| التحقق من صحة استدعاء واجهة برمجة التطبيقات API (CallerCheck) | نعم | نعم |
| التحقق من صحة سلاسل الاستثناء (SEHOP) | نعم | نعم |
| التحقق من صحة تكامل المكدس (StackPivot) | نعم | نعم |
| ثقة الشهادة (تثبيت الشهادة القابلة للتكوين) | Windows 10 Windows 11 توفير تثبيت شهادة المؤسسة | نعم |
| تخصيص رذاذ كومة الذاكرة المؤقتة | غير فعال ضد عمليات الاستغلال الأحدث المستندة إلى المستعرض؛ توفر عوامل التخفيف الأحدث حماية أفضل لمزيد من المعلومات، راجع التخفيف من التهديدات باستخدام ميزات الأمان Windows 10 |
نعم |
| حظر الصور منخفضة التكامل | نعم | لا |
| حماية تكامل التعليمات البرمجية | نعم | لا |
| تعطيل نقاط الملحق | نعم | لا |
| تعطيل مكالمات نظام Win32k | نعم | لا |
| عدم السماح بالعمليات التابعة | نعم | لا |
| استيراد عوامل تصفية العنوان (IAF) | نعم | لا |
| التحقق من صحة استخدام المؤشر | نعم | لا |
| التحقق من صحة تكامل كومة الذاكرة المؤقتة | نعم | لا |
| التحقق من صحة تكامل تبعية الصورة | نعم | لا |
ملاحظة
تحل ACG محل عوامل التخفيف المتقدمة من ROP المتوفرة في EMET في Windows 10 Windows 11، والتي يتم تمكين الإعدادات المتقدمة الأخرى ل EMET بشكل افتراضي، كجزء من تمكين عمليات التخفيف من المخاطر المضادة ل ROP لعملية ما. لمزيد من المعلومات حول كيفية استخدام Windows 10 لتقنية EMET الحالية، راجع مخاطر التخفيف باستخدام ميزات الأمان Windows 10.