الترحيل من غير Microsoft HIPS إلى قواعد تقليل الأجزاء المعرضة للهجوم

مقالة
04/28/2024

ينطبق على:

تساعدك هذه المقالة على تعيين القواعد الشائعة إلى Microsoft Defender لنقطة النهاية.

سيناريوهات عند الترحيل من منتج غير تابع ل Microsoft HIPS إلى قواعد تقليل الأجزاء المعرضة للهجوم

حظر إنشاء ملفات معينة

ينطبق على - جميع العمليات
العملية - إنشاء ملف
أمثلة على الملفات/المجلدات، مفاتيح التسجيل/القيم، العمليات، الخدمات- *.zepto، *.odin، *.locky، *.jaff، *.lukitus، *.wnry، *.krab
قواعد تقليل الأجزاء المعرضة للهجوم- تمنع قواعد تقليل الأجزاء المعرضة للهجوم تقنيات الهجوم وليس مؤشرات التسوية (IOC). حظر ملحق ملف معين ليس مفيدا دائما، لأنه لا يمنع الجهاز من الاختراق. إنه يحبط الهجوم جزئيا فقط حتى يقوم المهاجمون بإنشاء نوع جديد من الملحق للحمولة.
الميزات الموصى بها الأخرى - يوصى بشدة بتمكين برنامج الحماية من الفيروسات Microsoft Defender، جنبا إلى جنب مع Cloud Protection and Behavior Analysis. نوصي باستخدام الوقاية الأخرى، مثل قاعدة تقليل الأجزاء المعرضة للهجوم استخدم الحماية المتقدمة ضد برامج الفدية الضارة، والتي توفر مستوى أكبر من الحماية ضد هجمات برامج الفدية الضارة. علاوة على ذلك، يراقب Microsoft Defender لنقطة النهاية العديد من مفاتيح التسجيل هذه، مثل تقنيات ASEP، التي تشغل تنبيهات محددة. تتطلب مفاتيح التسجيل المستخدمة الحد الأدنى من امتيازات مسؤول المحلية أو امتيازات المثبت الموثوق به. يوصى باستخدام بيئة مؤمنة مع الحد الأدنى من الحسابات أو الحقوق الإدارية. يمكن تمكين تكوينات النظام الأخرى، بما في ذلك تعطيل SeDebug للأدوار غير المطلوبة التي تشكل جزءا من توصيات الأمان الأوسع.

حظر إنشاء مفاتيح تسجيل محددة

ينطبق على - جميع العمليات
العمليات - N/A
العملية - تعديلات السجل
أمثلة على الملفات/المجلدات، مفاتيح/قيم التسجيل، العمليات، الخدمات- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
قواعد تقليل الأجزاء المعرضة للهجوم- تمنع قواعد تقليل الأجزاء المعرضة للهجوم تقنيات الهجوم وليس مؤشرات التسوية (IOC). حظر ملحق ملف معين ليس مفيدا دائما، لأنه لا يمنع الجهاز من الاختراق. إنه يحبط الهجوم جزئيا فقط حتى يقوم المهاجمون بإنشاء نوع جديد من الملحق للحمولة.
الميزات الموصى بها الأخرى - يوصى بشدة بتمكين برنامج الحماية من الفيروسات Microsoft Defender، جنبا إلى جنب مع Cloud Protection and Behavior Analysis. نوصي باستخدام منع إضافي، مثل قاعدة تقليل الأجزاء المعرضة للهجوم استخدم الحماية المتقدمة من برامج الفدية الضارة. يوفر هذا مستوى أكبر من الحماية ضد هجمات برامج الفدية الضارة. علاوة على ذلك، يراقب Microsoft Defender لنقطة النهاية العديد من مفاتيح التسجيل هذه، مثل تقنيات ASEP، التي تؤدي إلى تنبيهات محددة. بالإضافة إلى ذلك، تتطلب مفاتيح التسجيل المستخدمة الحد الأدنى من امتيازات مسؤول المحلية أو المثبت الموثوق به يمكن تعديلها. يوصى باستخدام بيئة مؤمنة مع الحد الأدنى من الحسابات أو الحقوق الإدارية. يمكن تمكين تكوينات النظام الأخرى، بما في ذلك تعطيل SeDebug للأدوار غير المطلوبة التي تشكل جزءا من توصيات الأمان الأوسع.

حظر تشغيل البرامج غير الموثوق بها من محركات الأقراص القابلة للإزالة

ينطبق على- البرامج غير الموثوق بها من USB
العمليات - *
تنفيذ العملية
* أمثلة على الملفات/المجلدات، مفاتيح/قيم التسجيل، العمليات، الخدمات:-
قواعد تقليل الأجزاء المعرضة للهجوم- تحتوي قواعد تقليل الأجزاء المعرضة للهجوم على قاعدة مضمنة لمنع إطلاق البرامج غير الموثوق بها وغير الموقعة من محركات الأقراص القابلة للإزالة: حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB، GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
الميزات الموصى بها الأخرى - يرجى استكشاف المزيد من عناصر التحكم لأجهزة USB والوسائط الأخرى القابلة للإزالة باستخدام Microsoft Defender لنقطة النهاية:كيفية التحكم في أجهزة USB والوسائط الأخرى القابلة للإزالة باستخدام Microsoft Defender لنقطة النهاية.

منع Mshta من تشغيل عمليات تابعة معينة

ينطبق على - Mshta
العمليات - mshta.exe
تنفيذ العملية
أمثلة على الملفات/المجلدات ومفاتيح/قيم التسجيل والعمليات والخدمات powershell.exe cmd.exe regsvr32.exe
قواعد تقليل الأجزاء المعرضة للهجوم - لا تحتوي قواعد تقليل الأجزاء المعرضة للهجوم على أي قاعدة محددة لمنع العمليات التابعة من mshta.exe. يقع عنصر التحكم هذا ضمن نطاق الحماية من الهجمات أو عنصر تحكم تطبيق Windows Defender.
الميزات الموصى بها الأخرى - تمكين Windows Defender Application Control لمنع تنفيذ mshta.exe تماما. إذا كانت مؤسستك تتطلب mshta.exe لتطبيقات خط العمل، فكون قاعدة حماية من الهجمات ل Windows Defender محددة، لمنع mshta.exe من بدء العمليات الفرعية.

حظر Outlook من بدء العمليات التابعة

ينطبق على - Outlook
العمليات - outlook.exe
تنفيذ العملية
أمثلة على الملفات/المجلدات ومفاتيح/قيم التسجيل والعمليات والخدمات - powershell.exe
قواعد تقليل الأجزاء المعرضة للهجوم- تحتوي قواعد تقليل الأجزاء المعرضة للهجوم على قاعدة مضمنة لمنع تطبيقات اتصالات Office (Outlook وSkype وTeams) من بدء العمليات الفرعية: حظر تطبيق اتصال Office من إنشاء عمليات تابعة، GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
الميزات الأخرى الموصى بها - نوصي بتمكين وضع اللغة المقيد ل PowerShell لتقليل سطح الهجوم من PowerShell.

حظر تطبيقات Office من بدء العمليات التابعة

ينطبق على - Office
العمليات - winword.exe، powerpnt.exe، excel.exe
تنفيذ العملية
أمثلة على الملفات/المجلدات ومفاتيح/قيم التسجيل والعمليات والخدمات powershell.exe cmd.exe wscript.exe mshta.exe EQNEDT32.EXE regsrv32.exe
قواعد تقليل الأجزاء المعرضة للهجوم- تحتوي قواعد تقليل الأجزاء المعرضة للهجوم على قاعدة مضمنة لمنع تطبيقات Office من بدء العمليات الفرعية: حظر جميع تطبيقات Office من إنشاء العمليات التابعة، GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
الميزات الموصى بها الأخرى - N/A

حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ

ينطبق على - Office
العمليات - winword.exe، powerpnt.exe، excel.exe
العملية - إنشاء ملف
أمثلة على الملفات/المجلدات، مفاتيح التسجيل/القيم، العمليات، الخدمات- C:\Users*\AppData**.exe، C:\ProgramData**.exe، C:\ProgramData**.com, C:\UsersAppData\Local\Temp***.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
قواعد تقليل الأجزاء المعرضة للهجوم- N/A.

حظر Wscript من قراءة أنواع معينة من الملفات

ينطبق على - Wscript
العمليات - wscript.exe
العملية - قراءة الملف
أمثلة على الملفات/المجلدات ومفاتيح التسجيل/القيم والعمليات والخدمات- C:\Users*\AppData**.js، C:\Users*\Downloads**.js
قواعد تقليل الأجزاء المعرضة للهجوم - نظرا لمشكلات الموثوقية والأداء، لا تحتوي قواعد تقليل الأجزاء المعرضة للهجوم على القدرة على منع عملية معينة من قراءة نوع ملف برنامج نصي معين. لدينا قاعدة لمنع ناقلات الهجوم التي قد تنشأ من هذه السيناريوهات. اسم القاعدة هو حظر JavaScript أو VBScript من بدء تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله (GUID d3e037e1-3eb8-44c8-a917-57927947596dوحظر تنفيذ البرامج النصية التي يحتمل أن تكون معتمة (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
الميزات الموصى بها الأخرى - على الرغم من وجود قواعد محددة لتقليل الأجزاء المعرضة للهجوم تخفف من بعض متجهات الهجوم ضمن هذه السيناريوهات، فمن المهم الإشارة إلى أن AV قادر بشكل افتراضي على فحص البرامج النصية (PowerShell ومضيف البرنامج النصي ل Windows وJavaScript وVBScript والمزيد) في الوقت الفعلي، من خلال واجهة فحص مكافحة البرامج الضارة (AMSI). يتوفر مزيد من المعلومات هنا: واجهة فحص مكافحة البرامج الضارة (AMSI).

حظر تشغيل العمليات التابعة

ينطبق على - Adobe Acrobat
العمليات - AcroRd32.exe، Acrobat.exe
تنفيذ العملية
أمثلة على الملفات/المجلدات ومفاتيح/قيم التسجيل والعمليات والخدمات cmd.exe powershell.exe wscript.exe
قواعد تقليل الأجزاء المعرضة للهجوم- تسمح قواعد تقليل الأجزاء المعرضة للهجوم بحظر Adobe Reader من بدء العمليات التابعة. اسم القاعدة هو حظر Adobe Reader من إنشاء عمليات تابعة، GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
الميزات الموصى بها الأخرى - N/A

حظر تنزيل المحتوى القابل للتنفيذ أو إنشائه

ينطبق على- CertUtil: حظر التنزيل أو إنشاء قابل للتنفيذ
العمليات - certutil.exe
العملية - إنشاء ملف
أمثلة على الملفات/المجلدات ومفاتيح/قيم التسجيل والعمليات والخدمات - *.exe
قواعد تقليل الأجزاء المعرضة للهجوم - لا تدعم قواعد تقليل الأجزاء المعرضة للهجوم هذه السيناريوهات لأنها جزء من الحماية من الفيروسات Microsoft Defender.
الميزات الموصى بها الأخرى - يمنع برنامج الحماية من الفيروسات Microsoft Defender CertUtil من إنشاء محتوى قابل للتنفيذ أو تنزيله.

منع العمليات من إيقاف مكونات النظام الهامة

ينطبق على - جميع العمليات
العمليات - *
إنهاء العملية
أمثلة على الملفات/المجلدات ومفاتيح/قيم التسجيل والعمليات والخدمات MsSense.exe MsMpEng.exe NisSrv.exe svchost.exe*services.exe csrss.exe smss.exe wininit.exe والمزيد.
قواعد تقليل الأجزاء المعرضة للهجوم - لا تدعم قواعد تقليل الأجزاء المعرضة للهجوم هذه السيناريوهات لأنها محمية بحماية الأمان المضمنة في Windows.
الميزات الموصى بها الأخرى - ELAM (التشغيل المبكر لمكافحة البرامج الضارة)، PPL (ضوء عملية الحماية)، PPL AntiMalware Light، حماية النظام.

حظر محاولة عملية تشغيل محددة

ينطبق على عمليات محددة
العمليات- تسمية العملية
تنفيذ العملية
أمثلة على الملفات/المجلدات ومفاتيح/قيم التسجيل والعمليات والخدمات tor.exe bittorrent.exe cmd.exe powershell.exe والمزيد
قواعد تقليل الأجزاء المعرضة للهجوم - بشكل عام، لم يتم تصميم قواعد تقليل الأجزاء المعرضة للهجوم لتعمل كمدير تطبيق.
الميزات الموصى بها الأخرى - لمنع المستخدمين من تشغيل عمليات أو برامج معينة، يوصى باستخدام Windows Defender Application Control. Microsoft Defender لنقطة النهاية مؤشرات الملفات والشهادات، يمكن استخدامها في سيناريو الاستجابة للحوادث (لا ينبغي اعتبارها آلية للتحكم في التطبيق).

حظر التغييرات غير المصرح بها على تكوينات برنامج الحماية من الفيروسات Microsoft Defender

ينطبق على - جميع العمليات
العمليات - *
العملية - تعديلات السجل
أمثلة على الملفات/المجلدات ومفاتيح التسجيل/القيم والعمليات والخدمات- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware وHKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring وما إلى ذلك.
قواعد تقليل الأجزاء المعرضة للهجوم- لا تغطي قواعد تقليل الأجزاء المعرضة للهجوم هذه السيناريوهات لأنها جزء من الحماية المضمنة Microsoft Defender لنقطة النهاية.
الميزات الموصى بها الأخرى - تمنع الحماية من العبث (الاشتراك، المدار من Intune) التغييرات غير المصرح بها إلى DisableAntiVirus و DisableAntiSpyware و DisableRealtimeMonitoring و DisableOnAccessProtection و DisableBehaviorMonitoring و DisableIOAVProtection registry keys (والمزيد).

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.

مشاركة عبر