حماية الأجهزة من استغلالها

ينطبق على:

تطبق الحماية من الهجمات تلقائيا العديد من تقنيات التخفيف من الهجمات على عمليات وتطبيقات نظام التشغيل. يتم دعم الحماية من الهجمات بدءا من Windows 10 والإصدار 1709 Windows 11 وWindows Server، الإصدار 1803.

تعمل الحماية من الهجمات بشكل أفضل مع Defender لنقطة النهاية - والتي تمنحك تقارير مفصلة عن أحداث وكتل الحماية من الهجمات كجزء من سيناريوهات التحقيق في التنبيه المعتادة.

يمكنك تمكين الحماية من الاستغلال على جهاز فردي، ثم استخدام نهج المجموعة لتوزيع ملف XML على أجهزة متعددة في وقت واحد.

عند العثور على تخفيف على الجهاز، يتم عرض إعلام من مركز الصيانة. يمكنك تخصيص الإعلام مع تفاصيل شركتك ومعلومات الاتصال. يمكنك أيضا تمكين القواعد بشكل فردي لتخصيص التقنيات التي تراقبها الميزات.

يمكنك أيضا استخدام وضع التدقيق لتقييم كيفية تأثير الحماية من الهجمات على مؤسستك إذا تم تمكينها.

يتم تضمين العديد من الميزات في مجموعة أدوات تجربة التخفيف المحسنة (EMET) في الحماية من الهجمات. في الواقع، يمكنك تحويل واستيراد ملفات تعريف تكوين EMET الموجودة إلى الحماية من الهجمات. لمعرفة المزيد، راجع استيراد تكوينات الحماية من الهجمات وتصديرها وتوزيعها.

هام

إذا كنت تستخدم EMET حاليا، فيجب أن تدرك أن EMET قد وصلت إلى نهاية الدعم في 31 يوليو 2018. ضع في اعتبارك استبدال EMET بالحماية من الهجمات في Windows 10.

تحذير

قد تواجه بعض تقنيات تقليل المخاطر الأمنية مشاكل في التوافق مع بعض التطبيقات. يجب اختبار الحماية من الهجمات في جميع سيناريوهات الاستخدام الهدف باستخدام وضع التدقيق قبل نشر التكوين عبر بيئة الإنتاج، أو بقية الشبكة.

مراجعة أحداث الحماية من الهجمات في مدخل Microsoft Defender

يوفر Defender لنقطة النهاية تقارير مفصلة عن الأحداث والكتل كجزء من سيناريوهات التحقيق في التنبيه الخاصة به.

يمكنك الاستعلام عن بيانات Defender لنقطة النهاية باستخدام التتبع المتقدم. إذا كنت تستخدم وضع التدقيق، يمكنك استخدام التتبع المتقدم لمعرفة كيف يمكن أن تؤثر إعدادات الحماية من الهجمات على بيئتك.

فيما يلي مثال على الاستعلام:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

مراجعة أحداث الحماية من الهجمات في Windows عارض الأحداث

يمكنك مراجعة سجل أحداث Windows لمشاهدة الأحداث التي يتم إنشاؤها عند كتل الحماية من الهجمات (أو عمليات التدقيق) أحد التطبيقات:

موفّر/مصدر معرف الحدث الوصف
Security-Mitigations 1 تدقيق ACG
Security-Mitigations 2 فرض ACG
Security-Mitigations 3 عدم السماح بمراجعة العمليات التابعة
Security-Mitigations 4 عدم السماح بحظر العمليات التابعة
Security-Mitigations 5 حظر تدقيق الصور منخفضة التكامل
Security-Mitigations 6 حظر كتلة صور التكامل المنخفض
Security-Mitigations 7 حظر تدقيق الصور البعيدة
Security-Mitigations 8 حظر كتلة الصور البعيدة
Security-Mitigations 9 تعطيل تدقيق مكالمات نظام Win32k
Security-Mitigations 10 تعطيل كتلة مكالمات نظام win32k
Security-Mitigations 11 حماية تكامل التعليمات البرمجية
Security-Mitigations 12 كتلة حماية تكامل التعليمات البرمجية
Security-Mitigations 13 تدقيق EAF
Security-Mitigations 14 فرض EAF
Security-Mitigations 15 تدقيق EAF+
Security-Mitigations 16 فرض EAF+
Security-Mitigations 17 تدقيق IAF
Security-Mitigations 18 فرض IAF
Security-Mitigations 19 تدقيق ROP StackPivot
Security-Mitigations 20 فرض ROP StackPivot
Security-Mitigations 21 تدقيق ROP CallerCheck
Security-Mitigations 22 فرض ROP CallerCheck
Security-Mitigations 23 تدقيق ROP SimExec
Security-Mitigations 24 فرض ROP SimExec
WER-Diagnostics 5 كتلة CFG
Win32K 260 خط غير موثوق به

مقارنة التخفيف من المخاطر

يتم تضمين عوامل التخفيف المتوفرة في EMET في الأصل في Windows 10 (بدءا من الإصدار 1709) Windows 11 وWindows Server (بدءا من الإصدار 1803)، ضمن الحماية من الهجمات.

يشير الجدول الموجود في هذا القسم إلى توفر ودعم عوامل التخفيف الأصلية بين EMET والحماية من الهجمات.

تقليل المخاطر متوفر في إطار الحماية من الهجمات متوفر في EMET
حماية التعليمات البرمجية العشوائية (ACG) نعم نعم
ك "التحقق من حماية الذاكرة"
حظر الصور البعيدة نعم نعم
ك "التحقق من مكتبة التحميل"
حظر الخطوط غير الموثوقة نعم نعم
منع تنفيذ التعليمات البرمجية (DEP) نعم نعم
تصدير عوامل تصفية العنوان (EAF) نعم نعم
فرض إعادة الترتيب العشوائي للصور (ASLR إلزامي) نعم نعم
تخفيف أمان NullPage نعم
مضمن أصلا في Windows 10 Windows 11
لمزيد من المعلومات، راجع التخفيف من التهديدات باستخدام ميزات الأمان Windows 10
نعم
تخصيصات الذاكرة عشوائيا (ASLR من الأسفل إلى الأعلى) نعم نعم
محاكاة التنفيذ (SimExec) نعم نعم
التحقق من صحة استدعاء واجهة برمجة التطبيقات API (CallerCheck) نعم نعم
التحقق من صحة سلاسل الاستثناء (SEHOP) نعم نعم
التحقق من صحة تكامل المكدس (StackPivot) نعم نعم
ثقة الشهادة (تثبيت الشهادة القابلة للتكوين) Windows 10 Windows 11 توفير تثبيت شهادة المؤسسة نعم
تخصيص رذاذ كومة الذاكرة المؤقتة غير فعال ضد عمليات الاستغلال الأحدث المستندة إلى المستعرض؛ توفر عوامل التخفيف الأحدث حماية أفضل
لمزيد من المعلومات، راجع التخفيف من التهديدات باستخدام ميزات الأمان Windows 10
نعم
حظر الصور منخفضة التكامل نعم لا
حماية تكامل التعليمات البرمجية نعم لا
تعطيل نقاط الملحق نعم لا
تعطيل مكالمات نظام Win32k نعم لا
عدم السماح بالعمليات التابعة نعم لا
استيراد عوامل تصفية العنوان (IAF) نعم لا
التحقق من صحة استخدام المؤشر نعم لا
التحقق من صحة تكامل كومة الذاكرة المؤقتة نعم لا
التحقق من صحة تكامل تبعية الصورة نعم لا

ملاحظة

تحل ACG محل عوامل التخفيف المتقدمة من ROP المتوفرة في EMET في Windows 10 Windows 11، والتي يتم تمكين الإعدادات المتقدمة الأخرى ل EMET بشكل افتراضي، كجزء من تمكين عمليات التخفيف من المخاطر المضادة ل ROP لعملية ما. لمزيد من المعلومات حول كيفية استخدام Windows 10 لتقنية EMET الحالية، راجع مخاطر التخفيف باستخدام ميزات الأمان Windows 10.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.