- مقالة
ينطبق على:
- إدارة الثغرات الأمنية في Microsoft Defender
- Microsoft Defender XDR
- Microsoft Defender for Servers الخطة 2
ملاحظة
لاستخدام هذه الميزة، ستحتاج إلى إدارة الثغرات الأمنية ل Microsoft Defender مستقلة أو إذا كنت بالفعل عميل Microsoft Defender لنقطة النهاية الخطة 2، الوظيفة الإضافية Defender Vulnerability Management.
تستغرق معالجة الثغرات الأمنية وقتا ويمكن أن تعتمد على مسؤوليات وموارد فريق تكنولوجيا المعلومات. يمكن لمسؤولي الأمان تقليل مخاطر الثغرة الأمنية مؤقتا عن طريق اتخاذ إجراء فوري لحظر جميع الإصدارات الضعيفة المعروفة حاليا من التطبيق، حتى يكتمل طلب المعالجة. يمنح خيار الحظر فرق تكنولوجيا المعلومات الوقت لتصحيح التطبيق دون قلق مسؤولي الأمان من استغلال الثغرات الأمنية في هذه الأثناء.
أثناء اتخاذ خطوات المعالجة المقترحة بواسطة توصية أمان، يمكن لمسؤولي الأمان الذين لديهم الأذونات المناسبة تنفيذ إجراء التخفيف وحظر الإصدارات الضعيفة من التطبيق. يتم إنشاء مؤشرات الملفات للاختراق (IOC) لكل ملف من الملفات القابلة للتنفيذ التي تنتمي إلى إصدارات ضعيفة من هذا التطبيق. ثم يفرض برنامج الحماية من الفيروسات من Microsoft Defender الكتل على الأجهزة الموجودة في النطاق المحدد.
تلميح
هل تعلم أنه يمكنك تجربة جميع الميزات في Microsoft Defender Vulnerability Management مجانا؟ تعرف على كيفية التسجيل للحصول على نسخة تجريبية مجانية.
حظر إجراء التخفيف من المخاطر أو تحذيره
يهدف إجراء الحظر إلى حظر تشغيل جميع الإصدارات المعرضة للخطر المثبتة للتطبيق في مؤسستك. على سبيل المثال، إذا كانت هناك ثغرة أمنية نشطة في اليوم الصفري، يمكنك منع المستخدمين من تشغيل البرنامج المتأثر أثناء تحديد خيارات الحل البديل.
يهدف إجراء التحذير إلى إرسال تحذير إلى المستخدمين عند فتح إصدارات ضعيفة من التطبيق. يمكن للمستخدمين اختيار تجاوز التحذير والوصول إلى التطبيق للاطلاقات اللاحقة.
لكلا الإجراءين، يمكنك تخصيص الرسالة التي يراها المستخدمون. على سبيل المثال، يمكنك تشجيعهم على تثبيت أحدث إصدار. بالإضافة إلى ذلك، يمكنك توفير عنوان URL مخصص ينتقل إليه المستخدمون عند تحديد الإعلام. لاحظ أنه يجب على المستخدم تحديد نص الإعلام المنبثق للانتقال إلى عنوان URL المخصص. يمكن استخدام هذا لتوفير تفاصيل إضافية خاصة بإدارة التطبيق في مؤسستك.
ملاحظة
عادة ما يتم فرض إجراءات الحظر والتحذير في غضون دقيقتين ولكن يمكن أن تستغرق ما يصل إلى 3 ساعات.
الحد الأدنى للمتطلبات
- برنامج الحماية من الفيروسات من Microsoft Defender (الوضع النشط): يتطلب الكشف عن أحداث تنفيذ الملفات والحظر تمكين برنامج الحماية من الفيروسات من Microsoft Defender في الوضع النشط. حسب التصميم، لا يمكن للوضع السلبي وEDR في وضع الحظر اكتشافها وحظرها استنادا إلى تنفيذ الملف. لمعرفة المزيد، راجع نشر برنامج الحماية من الفيروسات من Microsoft Defender.
- الحماية المقدمة من السحابة (ممكنة): لمزيد من المعلومات، راجع إدارة الحماية المستندة إلى السحابة.
- السماح أو حظر الملف (تشغيل): انتقل إلى الإعدادات>>نقاط النهايةالميزات> المتقدمةالسماح أو حظر الملف. لمعرفة المزيد، راجع الميزات المتقدمة.
متطلبات الإصدار
- يجب أن يكون إصدار عميل مكافحة البرامج الضارة 4.18.1901.x أو أحدث.
- يجب أن يكون إصدار المحرك 1.1.16200.x أو أحدث.
- مدعوم على أجهزة Windows 10، الإصدار 1809 أو أحدث، مع تثبيت آخر تحديثات windows.
- يدعم إصدارات Windows Server 2022 و2019 و2016 و2012 R2 و2008 R2 SP1.
الأذونات
- إذا كنت تستخدم التحكم في الوصول استنادا إلى الدور (RBAC)، فأنت بحاجة إلى تعيين إذن معالجة التهديدات والثغرات الأمنية - التطبيق .
- إذا لم تقم بتشغيل RBAC، فيجب أن يكون لديك أحد أدوار Microsoft Entra التالية المعينة: مسؤول الأمان أو المسؤول العام. لمعرفة المزيد حول الأذونات، انتقل إلى الأذونات الأساسية.
هام
توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد استخدام الحسابات ذات الأذونات المنخفضة على تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.
كيفية حظر التطبيقات المعرضة للخطر
انتقل إلىتوصياتإدارة> الثغرات الأمنية في مدخل Microsoft Defender.
حدد توصية أمان لمشاهدة قائمة منبثقة مع مزيد من المعلومات.
حدد معالجة الطلب.
حدد ما إذا كنت تريد تطبيق المعالجة والتخفيف على جميع مجموعات الأجهزة أو عدد قليل فقط.
حدد خيارات المعالجة في صفحة طلب المعالجة . خيارات المعالجة هي تحديث البرامج وإلغاء تثبيت البرامج والاهتمام المطلوب.
اختر تاريخ استحقاق المعالجة وحدد التالي.
ضمن إجراء التخفيف، حدد حظر أو تحذير. بمجرد إرسال إجراء التخفيف، يتم تطبيقه على الفور.
See Alsoحظر الوصول إلى حسابات المستهلكينراجع التحديدات التي أجريتها وقدم الطلب. في الصفحة الأخيرة، يمكنك اختيار الانتقال مباشرة إلى صفحة المعالجة لعرض تقدم أنشطة المعالجة ورؤية قائمة التطبيقات المحظورة.
هام
استنادا إلى البيانات المتوفرة، سيدخل إجراء الحظر حيز التنفيذ على نقاط النهاية في المؤسسة التي تحتوي على برنامج الحماية من الفيروسات من Microsoft Defender. سيبذل Microsoft Defender لنقطة النهاية أفضل محاولة لمنع تشغيل التطبيق أو الإصدار الضعيف القابل للتطبيق.
إذا تم العثور على ثغرات أمنية إضافية في إصدار مختلف من أحد التطبيقات، فستحصل على توصية أمان جديدة تطلب منك تحديث التطبيق، ويمكنك أيضا اختيار حظر هذا الإصدار المختلف.
عندما لا يكون الحظر مدعوما
إذا كنت لا ترى خيار التخفيف أثناء طلب معالجة، فهذا لأن القدرة على حظر التطبيق غير مدعومة حاليا. تتضمن التوصيات التي لا تتضمن إجراءات التخفيف ما يلي:
- تطبيقات Microsoft
- التوصيات المتعلقة بأنظمة التشغيل
- التوصيات المتعلقة بتطبيقات macOS وLinux
- التطبيقات التي لا تحتوي فيها Microsoft على معلومات كافية أو ثقة عالية لحظرها
- تطبيقات Microsoft Store، التي لا يمكن حظرها لأنها موقعة من قبل Microsoft
إذا حاولت حظر تطبيق ولم يعمل، فربما تكون قد وصلت إلى الحد الأقصى لسعة المؤشر. إذا كان الأمر كذلك، يمكنك حذف المؤشرات القديمة معرفة المزيد حول المؤشرات.
بعد إرسال الطلب، انتقل إلىأنشطةمعالجة> إدارة >الثغرات الأمنيةلمشاهدة نشاط المعالجة الذي تم إنشاؤه حديثا.
التصفية حسب نوع التخفيف: حظر و/أو تحذير لعرض جميع الأنشطة المتعلقة بإجراءات الحظر أو التحذير.
هذا سجل نشاط، وليس حالة الكتلة الحالية للتطبيق. حدد النشاط ذي الصلة لمشاهدة لوحة قائمة منبثقة مع تفاصيل بما في ذلك وصف المعالجة ووصف التخفيف وحالة معالجة الجهاز:
عرض التطبيقات المحظورة
ابحث عن قائمة التطبيقات المحظورة بالانتقال إلى علامة تبويبالتطبيقات المحظورة>للمعالجة:
حدد تطبيقا محظورا لعرض قائمة منبثقة مع تفاصيل حول عدد الثغرات الأمنية، وما إذا كانت عمليات الاستغلال متاحة، والإصدارات المحظورة، وأنشطة المعالجة.
ينقلك خيار عرض تفاصيل الإصدارات المحظورة في صفحة المؤشر إلى صفحة Settings>Endpoints>Indicators حيث يمكنك عرض تجزئات الملف وإجراءات الاستجابة.
ملاحظة
إذا كنت تستخدم واجهة برمجة تطبيقات المؤشرات مع استعلامات المؤشرات البرمجية كجزء من مهام سير العمل، فكن على علم بأن إجراء الحظر سيعطي نتائج إضافية.
قد تظهر بعض عمليات الكشف المتعلقة بنهج التحذير حاليا كبرمجيات ضارة نشطة في Microsoft Defender XDR و/أو Microsoft Intune. سيتم إصلاح هذا السلوك في إصدار قادم.
يمكنك أيضا إلغاء حظر البرامج أو فتح صفحة البرامج:
إلغاء حظر التطبيقات
حدد تطبيقا محظورا لعرض خيار إلغاء حظر البرامج في القائمة المنبثقة.
بعد إلغاء حظر أحد التطبيقات، قم بتحديث الصفحة لمشاهدتها مزالة من القائمة. قد يستغرق الأمر ما يصل إلى 3 ساعات حتى يتم إلغاء حظر التطبيق ويصبح متاحا للمستخدمين مرة أخرى.
تجربة المستخدمين للتطبيقات المحظورة
عندما يحاول المستخدمون الوصول إلى تطبيق محظور، يتلقون رسالة تخبرهم بأن التطبيق كان من قبل مؤسستهم. هذه الرسالة قابلة للتخصيص.
بالنسبة للتطبيقات التي تم فيها تطبيق خيار التخفيف من التحذير، يتلقى المستخدمون رسالة تخبرهم بأن التطبيق قد تم حظره من قبل مؤسستهم. لدى المستخدم خيار تجاوز كتلة عمليات التشغيل اللاحقة، عن طريق اختيار "السماح". هذا السماح مؤقت فقط، وسيتم حظر التطبيق مرة أخرى بعد فترة من الوقت.
ملاحظة
إذا قامت مؤسستك بنشر نهج مجموعة DisableLocalAdminMerge، فقد تواجه مثيلات لا يسري فيها السماح بتطبيق ما. سيتم إصلاح هذا السلوك في إصدار قادم.
تحديث المستخدم النهائي للتطبيقات المحظورة
السؤال الشائع هو كيف يقوم المستخدم النهائي بتحديث تطبيق محظور؟ يتم فرض الكتلة عن طريق حظر الملف القابل للتنفيذ. تعتمد بعض التطبيقات، مثل Firefox، على تحديث منفصل قابل للتنفيذ، والذي لن يتم حظره بواسطة هذه الميزة. في حالات أخرى عندما يتطلب التطبيق تحديث الملف الرئيسي القابل للتنفيذ، يوصى إما بتنفيذ الكتلة في وضع التحذير (بحيث يمكن للمستخدم النهائي تجاوز الكتلة) أو يمكن للمستخدم النهائي حذف التطبيق (إذا لم يتم تخزين أي معلومات حيوية على العميل) وإعادة تثبيت التطبيق.
المقالات ذات الصلة
- نقاط الضعف في المؤسسة
