نظرة عامة على نشر قواعد تقليل الأجزاء المعرضة للهجوم
ينطبق على:
أسطح الهجوم هي جميع الأماكن التي تكون فيها مؤسستك عرضة للتهديدات الإلكترونية والهجمات. تقليل سطح الهجوم الخاص بك يعني حماية أجهزة مؤسستك وشبكة الاتصال، ما يترك المهاجمين مع طرق أقل للهجوم. يمكن أن يساعد تكوين قواعد تقليل الأجزاء المعرضة للهجوم Microsoft Defender لنقطة النهاية.
تستهدف قواعد تقليل الأجزاء المعرضة للهجوم بعض سلوكيات البرامج، مثل:
- بدء تشغيل الملفات والبرامج النصية القابلة للتنفيذ التي تحاول تنزيل الملفات أو تشغيلها
- تشغيل البرامج النصية المشوشة أو المشبوهة بطريقة أخرى
- السلوكيات التي لا تحدثها التطبيقات عادة أثناء العمل اليومي العادي
من خلال تقليل أسطح الهجوم المختلفة، يمكنك المساعدة في منع حدوث الهجمات في المقام الأول.
توفر مجموعة التوزيع هذه معلومات حول الجوانب التالية لقواعد تقليل الأجزاء المعرضة للهجوم:
- متطلبات قواعد تقليل الأجزاء المعرضة للهجوم
- خطة لنشر قواعد تقليل الأجزاء المعرضة للهجوم
- اختبار قواعد تقليل الأجزاء المعرضة للهجوم
- تكوين قواعد تقليل الأجزاء المعرضة للهجوم وتمكينها
- أفضل ممارسات قواعد تقليل الأجزاء المعرضة للهجوم
- قواعد تقليل الأجزاء المعرضة للهجوم التتبع المتقدم
- عارض أحداث قواعد تقليل الأجزاء المعرضة للهجوم
خطوات توزيع قواعد تقليل الأجزاء المعرضة للهجوم
كما هو الحال مع أي تنفيذ جديد واسع النطاق، والذي قد يؤثر على عمليات خط عملك، من المهم أن تكون منهجيا في التخطيط والتنفيذ. من الضروري التخطيط الدقيق لقواعد تقليل الأجزاء المعرضة للهجوم ونشرها للتأكد من أنها تعمل على أفضل نحو لسير عمل العملاء الفريد. للعمل في بيئتك، تحتاج إلى تخطيط قواعد تقليل سطح الهجوم واختبارها وتنفيذها وتشغيلها بعناية.
تحذير مهم قبل النشر
نوصي بتمكين قواعد الحماية القياسية الثلاث التالية. راجع قواعد تقليل الأجزاء المعرضة للهجوم حسب النوع للحصول على تفاصيل مهمة حول نوعي قواعد تقليل الأجزاء المعرضة للهجوم.
- حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe)
- حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال
- حظر الاستمرارية من خلال اشتراك حدث Windows Management Instrumentation (WMI)
عادة، يمكنك تمكين قواعد الحماية القياسية مع الحد الأدنى من التأثير الملحوظ للمستخدم النهائي. للحصول على طريقة سهلة لتمكين قواعد الحماية القياسية، راجع خيار الحماية القياسية المبسطة.
ملاحظة
بالنسبة للعملاء الذين يستخدمون HIPS غير تابعين ل Microsoft وينتقلون إلى قواعد تقليل سطح الهجوم Microsoft Defender لنقطة النهاية، تنصح Microsoft بتشغيل حل HIPS جنبا إلى جنب مع نشر قواعد تقليل الأجزاء المعرضة للهجوم حتى اللحظة التي تنتقل فيها من وضع التدقيق إلى وضع الحظر. ضع في اعتبارك أنه يجب عليك التواصل مع موفر الحماية من الفيروسات غير التابع ل Microsoft للحصول على توصيات الاستبعاد.
قبل البدء في اختبار قواعد تقليل الأجزاء المعرضة للهجوم أو تمكينها
أثناء التحضير الأولي، من الضروري فهم قدرات الأنظمة التي وضعتها. يساعدك فهم الإمكانات على تحديد قواعد تقليل الأجزاء المعرضة للهجوم الأكثر أهمية لحماية مؤسستك. بالإضافة إلى ذلك، هناك العديد من المتطلبات الأساسية، والتي يجب عليك حضورها استعدادا لتوزيع تقليل الأجزاء المعرضة للهجوم.
هام
يوفر هذا الدليل الصور والأمثلة لمساعدتك في تحديد كيفية تكوين قواعد تقليل الأجزاء المعرضة للهجوم؛ قد لا تعكس هذه الصور والأمثلة أفضل خيارات التكوين لبيئتك.
قبل البدء، راجع نظرة عامة على تقليل سطح الهجوم، وإزالة الغموض عن قواعد تقليل الأجزاء المعرضة للهجوم - الجزء 1 للحصول على معلومات أساسية. لفهم مجالات التغطية والتأثير المحتمل، تعرف على المجموعة الحالية من قواعد تقليل الأجزاء المعرضة للهجوم؛ راجع مرجع قواعد تقليل الأجزاء المعرضة للهجوم. أثناء التعرف على مجموعة قواعد تقليل الأجزاء المعرضة للهجوم، لاحظ تعيينات GUID لكل قاعدة؛ راجع قاعدة تقليل الأجزاء المعرضة للهجوم إلى مصفوفة GUID.
قواعد تقليل الأجزاء المعرضة للهجوم هي قدرة واحدة فقط لإمكانيات تقليل سطح الهجوم داخل Microsoft Defender لنقطة النهاية. تتناول هذه الوثيقة المزيد من التفاصيل حول نشر قواعد الحد من الأجزاء المعرضة للهجوم بشكل فعال لإيقاف التهديدات المتقدمة مثل برامج الفدية الضارة التي يديرها الإنسان والتهديدات الأخرى.
قائمة قواعد تقليل الأجزاء المعرضة للهجوم حسب الفئة
يعرض الجدول التالي قواعد تقليل الأجزاء المعرضة للهجوم حسب الفئة:
| تهديدات متعددة الأشكال | الحركة الجانبية & سرقة بيانات الاعتماد | قواعد تطبيقات الإنتاجية | قواعد البريد الإلكتروني | قواعد البرنامج النصي | قواعد Misc |
|---|---|---|---|---|---|
| حظر تشغيل الملفات القابلة للتنفيذ ما لم تستوف معايير الانتشار (1000 جهاز) أو العمر أو قائمة موثوق بها | حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI | حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ | حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني | حظر التعليمات البرمجية JS/VBS/PS/الماكرو المعتيمة | حظر إساءة استخدام برامج التشغيل الموقعة الضعيفة المستغلة [1] |
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows (lsass.exe)[2] | حظر تطبيقات Office من إنشاء عمليات تابعة | حظر تطبيقات اتصال Office فقط من إنشاء عمليات تابعة | حظر JS/VBS من بدء تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله | |
| استخدام الحماية المتقدمة ضد برامج الفدية الضارة | حظر الاستمرارية من خلال اشتراك حدث WMI | حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى | حظر تطبيقات اتصالات Office من إنشاء عمليات تابعة | ||
| منع Adobe Reader من إنشاء عمليات تابعة |
(1) يتوفر الآن حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للخطر المستغلة ضمن Endpoint Security>Attack Surface Reduction.
(2) بعض قواعد تقليل الأجزاء المعرضة للهجوم تولد ضوضاء كبيرة، ولكن لا تمنع الوظائف. على سبيل المثال، إذا كنت تقوم بتحديث Chrome، فسيوصول Chrome إلىlsass.exe؛ يتم تخزين كلمات المرور في lsass على الجهاز. ومع ذلك، لا ينبغي أن يصل Chrome إلى الجهاز المحلي lsass.exe. إذا قمت بتمكين القاعدة لمنع الوصول إلى lsass، فسترى العديد من الأحداث. هذه الأحداث هي أحداث جيدة لأن عملية تحديث البرنامج لا ينبغي أن تصل إلى lsass.exe. يؤدي استخدام هذه القاعدة إلى منع تحديثات Chrome من الوصول إلى lsass، ولكنها لن تمنع Chrome من التحديث. ينطبق هذا أيضا على التطبيقات الأخرى التي تجري مكالمات غير ضرورية إلىlsass.exe. يمنع حظر الوصول إلى قاعدة lsass الاستدعاءات غير الضرورية إلى lsass، ولكنه لا يمنع تشغيل التطبيق.
متطلبات البنية الأساسية لتقليل الأجزاء المعرضة للهجوم
على الرغم من إمكانية استخدام أساليب متعددة لتنفيذ قواعد تقليل الأجزاء المعرضة للهجوم، يعتمد هذا الدليل على بنية أساسية تتكون من
- Microsoft Entra ID
- Microsoft Intune
- أجهزة Windows 10 Windows 11
- تراخيص Microsoft Defender لنقطة النهاية E5 أو Windows E5
للاستفادة الكاملة من قواعد تقليل الأجزاء المعرضة للهجوم وإعداد التقارير، نوصي باستخدام ترخيص Microsoft Defender XDR E5 أو Windows E5 و A5. تعرف على المزيد عند الحد الأدنى لمتطلبات Microsoft Defender لنقطة النهاية.
ملاحظة
هناك طرق متعددة لتكوين قواعد تقليل الأجزاء المعرضة للهجوم. يمكن تكوين قواعد تقليل الأجزاء المعرضة للهجوم باستخدام: Microsoft Intune وPowerShell نهج المجموعة Microsoft Configuration Manager (ConfigMgr) Intune OMA-URI. إذا كنت تستخدم تكوين بنية أساسية مختلفا عما هو مدرج لمتطلبات البنية الأساسية، يمكنك معرفة المزيد حول توزيع قواعد تقليل الأجزاء المعرضة للهجوم باستخدام تكوينات أخرى هنا: تمكين قواعد تقليل الأجزاء المعرضة للهجوم.
تبعيات قواعد تقليل الأجزاء المعرضة للهجوم
يجب تمكين Microsoft Defender Antivirus وتكوينه كحل أساسي لمكافحة الفيروسات، ويجب أن يكون في الوضع التالي:
- حل مكافحة الفيروسات/الحماية من البرامج الضارة الأساسي
- الحالة: الوضع النشط
يجب ألا يكون برنامج الحماية من الفيروسات Microsoft Defender في أي من الأوضاع التالية:
- السلبي
- الوضع السلبي مع الكشف عن نقطة النهاية والاستجابة لها (EDR) في وضع الحظر
- المسح الدوري المحدود (LPS)
- قباله
راجع الحماية المقدمة من السحابة ومكافحة الفيروسات Microsoft Defender للحصول على المزيد.
يجب تمكين حماية السحابة (MAPS) لتمكين قواعد تقليل الأجزاء المعرضة للهجوم
يعمل برنامج الحماية من الفيروسات Microsoft Defender بسلاسة مع خدمات Microsoft السحابية. تعزز خدمات الحماية السحابية هذه، التي يشار إليها أيضا باسم خدمة الحماية المتقدمة من Microsoft (MAPS)، الحماية القياسية في الوقت الحقيقي، مما يوفر أفضل دفاع عن مكافحة الفيروسات. تعد الحماية السحابية أمرا بالغ الأهمية لمنع الخروقات من البرامج الضارة ومكون مهم لقواعد تقليل الأجزاء المعرضة للهجوم. قم بتشغيل الحماية المقدمة من السحابة في برنامج الحماية من الفيروسات Microsoft Defender.
يجب أن تكون مكونات برنامج الحماية من الفيروسات Microsoft Defender إصدارات حالية لقواعد تقليل الأجزاء المعرضة للهجوم
يجب ألا يزيد إصدارات مكونات برنامج الحماية من الفيروسات Microsoft Defender التالي عن إصدارين أقدم من الإصدار الأكثر توفرا حاليا:
- Microsoft Defender إصدار تحديث النظام الأساسي للحماية من الفيروسات - يتم تحديث نظام الحماية من الفيروسات Microsoft Defender شهريا.
- Microsoft Defender إصدار محرك مكافحة الفيروسات - يتم تحديث محرك مكافحة الفيروسات Microsoft Defender شهريا.
- Microsoft Defender التحليل الذكي لأمان مكافحة الفيروسات - تقوم Microsoft بتحديث Microsoft Defender ذكاء الأمان باستمرار (المعروف أيضا باسم التعريف والتوقيع) لمعالجة أحدث التهديدات، وتحسين منطق الكشف.
يساعد الحفاظ على Microsoft Defender إصدارات مكافحة الفيروسات الحالية في تقليل قواعد تقليل الأجزاء المعرضة للهجوم نتائج إيجابية خاطئة وتحسين قدرات الكشف عن برنامج مكافحة الفيروسات Microsoft Defender. لمزيد من التفاصيل حول الإصدارات الحالية وكيفية تحديث مكونات مكافحة الفيروسات Microsoft Defender المختلفة، تفضل بزيارة دعم النظام الأساسي Microsoft Defender Antivirus.
التحذير
لا تعمل بعض القواعد بشكل جيد إذا كانت التطبيقات والبرامج النصية غير الموقعة والمطورة داخليا قيد الاستخدام العالي. من الصعب توزيع قواعد تقليل الأجزاء المعرضة للهجوم إذا لم يتم فرض توقيع التعليمات البرمجية.
مقالات أخرى في مجموعة التوزيع هذه
اختبار قواعد تقليل الأجزاء المعرضة للهجوم
تمكين قواعد تقليل الأجزاء المعرضة للهجوم
تفعيل قواعد تقليل الأجزاء المعرضة للهجوم
مرجع قواعد تقليل الأجزاء المعرضة للهجوم
المرجع
بلوق
إزالة الغموض عن قواعد تقليل الأجزاء المعرضة للهجوم - الجزء 1
إزالة الغموض عن قواعد تقليل الأجزاء المعرضة للهجوم - الجزء 2
إزالة الغموض عن قواعد تقليل الأجزاء المعرضة للهجوم - الجزء 3
إزالة الغموض عن قواعد تقليل الأجزاء المعرضة للهجوم - الجزء 4
مجموعة قواعد تقليل الأجزاء المعرضة للهجوم
نظرة عامة على تقليل الأجزاء المعرضة للهجوم
استخدام قواعد تقليل الأجزاء المعرضة للهجوم لمنع الإصابة بالبرامج الضارة
تمكين قواعد تقليل الأجزاء المعرضة للهجوم - تكوينات بديلة
مرجع قواعد تقليل الأجزاء المعرضة للهجوم
الأسئلة المتداولة حول قواعد تقليل الأجزاء المعرضة للهجوم
Microsoft Defender
معالجة الإيجابيات/السلبيات الخاطئة في Microsoft Defender لنقطة النهاية
الحماية المقدمة من السحابة ومكافحة الفيروسات Microsoft Defender
تشغيل الحماية المقدمة من السحابة في برنامج الحماية من الفيروسات Microsoft Defender
تكوين الاستثناءات والتحقق من صحتها استنادا إلى الملحق أو الاسم أو الموقع
دعم النظام الأساسي لبرنامج الحماية من الفيروسات من Microsoft Defender
نظرة عامة على المخزون في مركز إدارة Microsoft 365 Apps
الإنشاء خطة توزيع لنظام التشغيل Windows
تعيين ملفات تعريف الأجهزة في Microsoft Intune
مواقع الإدارة
قواعد تقليل الأجزاء المعرضة للهجوم
تكوينات قواعد تقليل الأجزاء المعرضة للهجوم
استثناءات قواعد تقليل الأجزاء المعرضة للهجوم
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ