استكشاف أخطاء قواعد تقليل الأجزاء المعرضة للهجوم وإصلاحها
ينطبق على:
الطريقة الأولى والأكثر إلحاحا هي التحقق محليا، على جهاز Windows، الذي يتم تمكين قواعد تقليل الأجزاء المعرضة للهجوم (وتكوينها) باستخدام أوامر PowerShell cmdlets.
فيما يلي بعض المصادر الأخرى للمعلومات التي يقدمها Windows لاستكشاف تأثير قواعد تقليل الأجزاء المعرضة للهجوم وتشغيلها وإصلاحها.
عند استخدام قواعد تقليل الأجزاء المعرضة للهجوم ، قد تواجه مشكلات، مثل:
- تحظر القاعدة ملفا أو عملية أو تنفذ بعض الإجراءات الأخرى التي لا ينبغي أن تقوم بها (إيجابية خاطئة)؛ أو
- لا تعمل القاعدة كما هو موضح، أو لا تحظر ملفا أو عملية يجب أن تعمل عليها (سلبية خاطئة).
هناك أربع خطوات لاستكشاف هذه المشكلات وإصلاحها:
- تأكيد المتطلبات الأساسية.
- استخدم وضع التدقيق لاختبار القاعدة.
- إضافة استثناءات للقاعدة المحددة (للإيجابيات الخاطئة).
- جمع سجلات الدعم وإرسالها.
تأكيد المتطلبات الأساسية
تعمل قواعد تقليل الأجزاء المعرضة للهجوم فقط على الأجهزة ذات الشروط التالية:
- يتم تشغيل الأجهزة Windows 10 Enterprise أو أحدث.
- تستخدم الأجهزة برنامج الحماية من الفيروسات Microsoft Defender كتطبيق الحماية من الفيروسات الوحيد. يؤدي استخدام أي تطبيق آخر للحماية من الفيروسات إلى تعطيل برنامج الحماية من الفيروسات Microsoft Defender نفسه.
- يتم تمكين الحماية في الوقت الحقيقي.
- لم يتم تمكين وضع التدقيق. استخدم نهج المجموعة لتعيين القاعدة إلى
Disabled(القيمة:0) كما هو موضح في تمكين قواعد تقليل الأجزاء المعرضة للهجوم.
إذا تم استيفاء هذه المتطلبات الأساسية، فانتقل إلى الخطوة التالية لاختبار القاعدة في وضع التدقيق.
أفضل الممارسات عند إعداد قواعد تقليل الأجزاء المعرضة للهجوم باستخدام نهج المجموعة
عند إعداد قواعد تقليل الأجزاء المعرضة للهجوم باستخدام نهج المجموعة، إليك بعض أفضل الممارسات لتجنب ارتكاب الأخطاء الشائعة:
تأكد من أنه عند إضافة GUID لقواعد تقليل الأجزاء المعرضة للهجوم، لا توجد علامات اقتباس مزدوجة (مثل: "ASR Rules GUID") في بداية GUID أو في نهايته.
تأكد من عدم وجود مسافات في البداية أو في النهاية عند إضافة GUID لقواعد تقليل الأجزاء المعرضة للهجوم.
الاستعلام عن القواعد النشطة
إحدى أسهل الطرق لتحديد ما إذا كانت قواعد تقليل الأجزاء المعرضة للهجوم ممكنة بالفعل هي من خلال PowerShell cmdlet، Get-MpPreference.
فيما يلي مثال:
هناك العديد من قواعد تقليل الأجزاء المعرضة للهجوم نشطة، مع إجراءات مختلفة تم تكوينها.
لتوسيع المعلومات حول قواعد تقليل الأجزاء المعرضة للهجوم، يمكنك استخدام الخصائص AttackSurfaceReductionRules_Ids و/أو AttackSurfaceReductionRules_Actions.
على سبيل المثال:
Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
تعرض الصورة السابقة جميع معرفات قواعد تقليل الأجزاء المعرضة للهجوم التي لها إعداد مختلف عن 0 (غير مكون).
الخطوة التالية هي بعد ذلك سرد الإجراءات الفعلية (الحظر أو التدقيق) التي تم تكوين كل قاعدة بها.
Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions
استخدام وضع التدقيق لاختبار القاعدة
اتبع هذه الإرشادات في استخدام أداة العرض التوضيحي لمعرفة كيفية عمل قواعد تقليل الأجزاء المعرضة للهجوم لاختبار القاعدة المحددة التي تواجه مشكلات معها.
تمكين وضع التدقيق للقاعدة المحددة التي تريد اختبارها. استخدم نهج المجموعة لتعيين القاعدة إلى
Audit mode(القيمة:2) كما هو موضح في تمكين قواعد تقليل الأجزاء المعرضة للهجوم. يسمح وضع التدقيق للقاعدة بالإبلاغ عن الملف أو العملية، ولكنه يسمح بتشغيلها.قم بتنفيذ النشاط الذي يسبب مشكلة. على سبيل المثال، افتح الملف أو قم بتشغيل العملية التي يجب حظرها، ولكن مسموح بها.
راجع سجلات أحداث قاعدة تقليل الأجزاء المعرضة للهجوم لمعرفة ما إذا كانت القاعدة ستحظر الملف أو العملية إذا تم تعيين القاعدة إلى
Enabled.
إذا كانت القاعدة لا تحظر ملفا أو عملية تتوقع حظرها، فتحقق أولا لمعرفة ما إذا كان وضع التدقيق ممكنا أم لا. قد يتم تمكين وضع التدقيق لاختبار ميزة أخرى، أو بواسطة برنامج نصي PowerShell تلقائي، وقد لا يتم تعطيله بعد اكتمال الاختبارات.
إذا اختبرت القاعدة باستخدام أداة العرض التوضيحي ومع وضع التدقيق، وكانت قواعد تقليل الأجزاء المعرضة للهجوم تعمل على سيناريوهات تم تكوينها مسبقا، ولكن القاعدة لا تعمل كما هو متوقع، فانتقل إلى أي من الأقسام التالية بناء على حالتك:
- إذا كانت قاعدة تقليل الأجزاء المعرضة للهجوم تحظر شيئا لا ينبغي حظره (يعرف أيضا باسم إيجابي خاطئ)، يمكنك أولا إضافة استثناء قاعدة تقليل الأجزاء المعرضة للهجوم.
- إذا كانت قاعدة تقليل الأجزاء المعرضة للهجوم لا تحظر شيئا يجب حظره (يعرف أيضا بالسلبية الخاطئة)، يمكنك المتابعة مباشرة إلى الخطوة الأخيرة، وجمع البيانات التشخيصية وإرسال المشكلة إلينا.
الاستعلام عن أحداث الحظر والتدقيق
يمكن عرض أحداث قاعدة تقليل الأجزاء المعرضة للهجوم داخل سجل Windows Defender.
للوصول إليه، افتح عارض الأحداث Windows، واستعرض وصولا إلى سجلات> التطبيقات والخدماتMicrosoft>Windows>Defender>Operational.
إضافة استثناءات لإيجابية خاطئة
إذا كانت قاعدة تقليل الأجزاء المعرضة للهجوم تحظر شيئا لا ينبغي حظره (يعرف أيضا باسم إيجابي خاطئ)، يمكنك إضافة استثناءات لمنع قواعد تقليل سطح الهجوم من تقييم الملفات أو المجلدات المستبعدة.
لإضافة استثناء، راجع تخصيص تقليل سطح الهجوم.
هام
يمكنك تحديد الملفات والمجلدات الفردية المراد استبعادها، ولكن لا يمكنك تحديد قواعد فردية. وهذا يعني أي ملفات أو مجلدات مستبعدة من جميع قواعد ASR.
الإبلاغ عن إيجابية خاطئة أو سلبية خاطئة
استخدم نموذج الإرسال المستند إلى الويب التحليل الذكي لمخاطر الأمان من Microsoft للإبلاغ عن إيجابية خاطئة أو سلبية خاطئة لحماية الشبكة. باستخدام اشتراك Windows E5، يمكنك أيضا توفير ارتباط إلى أي تنبيه مقترن.
جمع Microsoft Defender بيانات تشخيص الحماية من البرامج الضارة لتقديم الملفات
عند الإبلاغ عن مشكلة في قواعد تقليل الأجزاء المعرضة للهجوم، يطلب منك جمع البيانات التشخيصية وإرسالها لفرق الدعم والهندسة من Microsoft للمساعدة في استكشاف المشكلات وإصلاحها.
افتح موجه الأوامر كمسؤول وافتح دليل Windows Defender:
cd "c:\program files\Windows Defender"قم بتشغيل هذا الأمر لإنشاء سجلات التشخيص:
mpcmdrun -getfilesبشكل افتراضي، يتم حفظها في
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. إرفاق الملف بنموذج الإرسال.
يمكنك أيضا عرض أحداث القاعدة من خلال أداة سطر الأوامر المخصصة لبرنامج الحماية من الفيروسات Microsoft Defender، والتي *mpcmdrun.exe*تسمى ، والتي يمكن استخدامها لإدارة المهام وتكوينها وأتمتتها إذا لزم الأمر.
يمكنك العثور على هذه الأداة المساعدة في ٪ProgramFiles٪\Windows Defender\MpCmdRun.exe. يجب تشغيله من موجه أوامر غير مقيد (أي تشغيل ك مسؤول).
لإنشاء معلومات الدعم، اكتب MpCmdRun.exe -getfiles. بعد فترة من الوقت، سيتم حزم العديد من السجلات في أرشيف (MpSupportFiles.cab) وإتاحتها في C:\ProgramData\Microsoft\Windows Defender\Support.
استخرج هذا الأرشيف ولديك العديد من الملفات المتاحة لأغراض استكشاف الأخطاء وإصلاحها.
الملفات الأكثر صلة هي كما يلي:
-
MPOperationalEvents.txt: يحتوي هذا الملف على نفس مستوى المعلومات الموجودة في عارض الأحداث للسجل التشغيلي ل Windows Defender. -
MPRegistry.txt: في هذا الملف، يمكنك تحليل جميع تكوينات Windows Defender الحالية، من اللحظة، تم التقاط سجلات الدعم. -
MPLog.txt: يحتوي هذا السجل على مزيد من المعلومات المطولة حول جميع إجراءات/عمليات Windows Defender.
المقالات ذات الصلة
- قواعد تقليل الأجزاء المعرضة للهجوم
- تمكين قواعد تقليل الأجزاء المعرضة للهجوم
- تقييم قواعد تقليل الأجزاء المعرضة للهجوم
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.