إعداد Microsoft Defender لنقطة النهاية الخطة 1 وتكوينها

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ينطبق على:

• Microsoft Defender لنقطة النهاية الخطة 1

تصف هذه المقالة كيفية إعداد وتكوين Defender لخطة نقطة النهاية 1. سواء كان لديك مساعدة أو كنت تقوم بذلك بنفسك، يمكنك استخدام هذه المقالة كدليل طوال عملية النشر.

عملية الإعداد والتكوين

عملية الإعداد والتكوين العامة ل Defender لنقطة النهاية الخطة 1 هي كما يلي:

عدد	خطوه	الوصف
1	مراجعة المتطلبات	سرد متطلبات الترخيص والمستعرض ونظام التشغيل ومركز البيانات
2	التخطيط للتوزيع	يسرد العديد من أساليب النشر التي يجب مراعاتها ويتضمن ارتباطات إلى المزيد من الموارد لمساعدتك في تحديد الطريقة التي يجب استخدامها
3	إعداد بيئة المستأجر	سرد المهام لإعداد بيئة المستأجر
4	تعيين الأدوار والأذونات	سرد الأدوار والأذونات التي يجب مراعاتها لفريق الأمان تلميح: بمجرد تعيين الأدوار والأذونات، يمكن لفريق الأمان بدء استخدام مدخل Microsoft 365 Defender. لمعرفة المزيد، راجع بدء الاستخدام.
5	إلحاق Defender لنقطة النهاية	يسرد عدة أساليب بواسطة نظام التشغيل للإلحاق بخطة Defender لنقطة النهاية 1 ويتضمن ارتباطات إلى معلومات أكثر تفصيلا لكل أسلوب
6	تكوين حماية الجيل التالي	يصف كيفية تكوين إعدادات الحماية من الجيل التالي في إدارة نقاط النهاية من Microsoft
7	تكوين قدرات تقليل الأجزاء المعرضة للهجوم	يسرد أنواع قدرات تقليل الأجزاء المعرضة للهجوم التي يمكنك تكوينها ويتضمن إجراءات ذات ارتباطات إلى المزيد من الموارد

مراجعة المتطلبات

يسرد الجدول التالي المتطلبات الأساسية لخطة Defender لنقطة النهاية 1:

شرط	الوصف
متطلبات الترخيص	Defender for Endpoint الخطة 1
متطلبات المستعرض	Microsoft Edge الإصدار 11 من Internet Explorer Google Chrome
أنظمة التشغيل	Windows 10، الإصدار 1709 أو الإصدارات الأحدث macOS: 11.5 (Big Sur) أو 10.15.7 (Catalina) أو 10.14.6 (Mojave) دائره الرقابه الداخليه نظام التشغيل Android
Datacenter	أحد مواقع مراكز البيانات التالية: - الاتحاد الأوروبي - المملكة المتحدة - الولايات المتحدة

التخطيط للتوزيع

عند التخطيط للتوزيع، يمكنك الاختيار من بين العديد من البنيات وأساليب النشر المختلفة. كل مؤسسة فريدة من نوعها، لذلك لديك العديد من الخيارات التي يجب مراعاتها، كما هو مذكور في الجدول التالي:

الاسلوب	الوصف
Microsoft Intune (مضمن في إدارة نقاط النهاية من Microsoft)	استخدام Intune لإدارة نقاط النهاية في بيئة سحابية أصلية
Microsoft Intune Configuration Manager (مضمن في إدارة نقاط النهاية من Microsoft)	استخدام Intune و Configuration Manager لإدارة نقاط النهاية وأحمال العمل التي تمتد عبر بيئة محلية وسحابية
إدارة التكوين	استخدام Configuration Manager لحماية نقاط النهاية المحلية باستخدام القوة المستندة إلى السحابة ل Defender لنقطة النهاية
البرنامج النصي المحلي الذي تم تنزيله من مدخل Microsoft 365 Defender	استخدام البرامج النصية المحلية على نقاط النهاية لتشغيل إصدار تجريبي أو إلحاق بعض الأجهزة فقط

لمعرفة المزيد حول خيارات النشر، راجع تخطيط توزيع Defender لنقطة النهاية. وقم بتنزيل الملصق التالي:

الحصول على ملصق النشر

تلميح

للحصول على مزيد من المعلومات التفصيلية حول التخطيط للنشر، راجع التخطيط لتوزيع Microsoft Defender لنقطة النهاية.

إعداد بيئة المستأجر

يتضمن إعداد بيئة المستأجر مهاما، مثل:

• التحقق من التراخيص
• تكوين المستأجر الخاص بك
• تكوين إعدادات الوكيل (فقط إذا لزم الأمر)
• التأكد من أن أجهزة الاستشعار تعمل بشكل صحيح وتبليغ البيانات إلى Defender لنقطة النهاية

يتم تضمين هذه المهام في مرحلة الإعداد ل Defender لنقطة النهاية. راجع إعداد Defender لنقطة النهاية.

تعيين الأدوار والأذونات

من أجل الوصول إلى مدخل Microsoft 365 Defender أو تكوين إعدادات Defender لنقطة النهاية أو تنفيذ المهام، مثل اتخاذ إجراءات الاستجابة على التهديدات المكتشفة، يجب تعيين الأذونات المناسبة. يستخدم Defender لنقطة النهاية أدوارا مضمنة داخل Azure Active Directory.

توصي Microsoft بتعيين مستوى الإذن الذي يحتاجونه فقط إلى المستخدمين لتنفيذ مهامهم. يمكنك تعيين الأذونات باستخدام إدارة الأذونات الأساسية، أو باستخدام التحكم في الوصول استنادا إلى الدور (RBAC).

• مع إدارة الأذونات الأساسية، يمكن للمسؤولين العموميين والمسؤولين الأمنيين الوصول الكامل، في حين أن برامج قراءة الأمان هي حق الوصول للقراءة فقط.
• باستخدام RBAC، يمكنك تعيين أذونات أكثر دقة من خلال المزيد من الأدوار. على سبيل المثال، يمكنك الحصول على برامج قراءة الأمان وعوامل تشغيل الأمان ومسؤولي الأمان ومسؤولي نقاط النهاية والمزيد.

يصف الجدول التالي الأدوار الرئيسية التي يجب مراعاتها ل Defender لنقطة النهاية في مؤسستك:

دور	الوصف
المسؤولون العموميون (يشار إليهم أيضا باسم المسؤولين العموميين) وكأفضل ممارسة، قم بتحديد عدد المسؤولين العموميين.	يمكن للمسؤولين العموميين تنفيذ جميع أنواع المهام. الشخص الذي سجل شركتك للحصول على Microsoft 365 أو الخطة 1 Microsoft Defender لنقطة النهاية هو مسؤول عام بشكل افتراضي. يمكن للمسؤولين العموميين الوصول/تغيير الإعدادات عبر جميع بوابات Microsoft 365، مثل: - مركز مسؤولي Microsoft 365 (https://admin.microsoft.com) - مدخل Microsoft 365 Defender (https://security.microsoft.com) - مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com)
مسؤولو الأمان (يشار إليهم أيضا باسم مسؤولي الأمان)	يمكن لمسؤولي الأمان تنفيذ مهام مشغل الأمان بالإضافة إلى المهام التالية: - مراقبة النهج المتعلقة بالأمان - إدارة التهديدات والتنبيهات الأمنية - عرض التقارير
عامل تشغيل الأمان	يمكن لمشغلي الأمان تنفيذ مهام قارئ الأمان بالإضافة إلى المهام التالية: - عرض معلومات حول التهديدات المكتشفة - التحقيق في التهديدات المكتشفة والاستجابة لها
قارئ الأمان	يمكن لقارئي الأمان تنفيذ المهام التالية: - عرض النهج المتعلقة بالأمان عبر خدمات Microsoft 365 - عرض التهديدات والتنبيهات الأمنية - عرض التقارير

تلميح

لمعرفة المزيد حول الأدوار في Azure Active Directory، راجع تعيين أدوار المسؤول وغير المسؤول للمستخدمين الذين لديهم Azure Active Directory. والمزيد من المعلومات حول أدوار Defender لنقطة النهاية، راجع التحكم في الوصول المستند إلى الدور.

إلحاق Defender لنقطة النهاية

عندما تكون مستعدا لإلحاق نقاط نهاية مؤسستك، يمكنك الاختيار من بين عدة أساليب، كما هو مذكور في الجدول التالي:

نظام تشغيل نقطة النهاية	أساليب الإلحاق
Windows 10	البرنامج النصي المحلي (ما يصل إلى 10 أجهزة) نهج المجموعة إدارة الأجهزة إدارة نقاط النهاية من Microsoft/ الهاتف الجوال Microsoft Endpoint Configuration Manager البرامج النصية ل VDI
ماك	البرامج النصية المحلية إدارة نقاط النهاية من Microsoft PRO JAMF إدارة الجهاز الجوال
دائره الرقابه الداخليه	مستند إلى التطبيق
الروبوت	إدارة نقاط النهاية من Microsoft

بعد ذلك، تابع لتكوين حماية الجيل التالي وقدرات تقليل الأجزاء المعرضة للهجوم.

تكوين حماية الجيل التالي

نوصي باستخدام إدارة نقاط النهاية من Microsoft لإدارة أجهزة مؤسستك وإعدادات الأمان، كما هو موضح في الصورة التالية:

لتكوين حماية الجيل التالي في إدارة نقاط النهاية من Microsoft، اتبع الخطوات التالية:

1. انتقل إلى مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com) وسجل الدخول.

2. حدد Endpoint securityAntivirus > ، ثم حدد نهج موجود. (إذا لم يكن لديك نهج موجود، ف قم بإنشاء نهج جديد.)

3. تعيين إعدادات تكوين برنامج الحماية من الفيروسات أو تغييرها. هل تحتاج إلى مساعدة؟ راجع الموارد التالية:
   

   • الإعدادات لنهج Windows 10 برنامج الحماية من الفيروسات من Microsoft Defender في Microsoft Intune
   • تكوين Defender لنقطة النهاية على ميزات iOS

4. عند الانتهاء من تحديد الإعدادات، اختر Review + save.

تكوين قدرات تقليل الأجزاء المعرضة للهجوم

الحد من الأجزاء المعرضة للهجوم هو كل شيء عن تقليل الأماكن والطرق التي تكون بها مؤسستك مفتوحة للهجوم. تتضمن خطة Defender لنقطة النهاية 1 العديد من الميزات والقدرات لمساعدتك على تقليل أسطح الهجوم عبر نقاط النهاية. يتم سرد هذه الميزات والقدرات في الجدول التالي:

الميزة/القدرة	الوصف
قواعد تقليل الأجزاء المعرضة للهجوم	تكوين قواعد تقليل الأجزاء المعرضة للهجوم لتقييد السلوكيات المحفوفة بالمخاطر المستندة إلى البرامج والمساعدة في الحفاظ على أمان مؤسستك. تستهدف قواعد تقليل الأجزاء المعرضة للهجوم بعض سلوكيات البرامج، مثل - تشغيل الملفات والبرامج النصية القابلة للتنفيذ التي تحاول تنزيل الملفات أو تشغيلها - تشغيل البرامج النصية المشوشة أو المريبة - تنفيذ السلوكيات التي لا تبدأها التطبيقات عادة أثناء العمل اليومي العادي ينظر إلى مثل هذه السلوكيات البرمجية في بعض الأحيان في التطبيقات المشروعة. ومع ذلك، غالبا ما تعتبر هذه السلوكيات محفوفة بالمخاطر لأنها عادة ما يتم إساءة استخدامها من قبل المهاجمين من خلال البرامج الضارة.
التخفيف من برامج الفدية الضارة	إعداد التخفيف من برامج الفدية الضارة عن طريق تكوين الوصول المتحكم به إلى المجلدات، مما يساعد على حماية البيانات القيمة لمؤسستك من التطبيقات الضارة والتهديدات، مثل برامج الفدية الضارة.
عنصر تحكم الجهاز	تكوين إعدادات التحكم في الجهاز لمؤسستك للسماح بالأجهزة القابلة للإزالة أو حظرها (مثل محركات أقراص USB).
حماية الشبكة	قم بإعداد حماية الشبكة لمنع الأشخاص في مؤسستك من استخدام التطبيقات التي تصل إلى مجالات خطرة أو محتوى ضار على الإنترنت.
حماية ويب	قم بإعداد الحماية من التهديدات على الويب لحماية أجهزة مؤسستك من مواقع التصيد الاحتيالي ومواقع الاستغلال وغيرها من المواقع غير الموثوق بها أو ذات السمعة المنخفضة. قم بإعداد تصفية محتوى الويب لتعقب الوصول إلى مواقع الويب وتنظيمه استنادا إلى فئات المحتوى الخاصة بها (مثل"الترفيه" أو النطاق الترددي العالي أو محتوى "البالغين" أو المسؤولية القانونية).
جدار حماية الشبكة	قم بتكوين جدار حماية الشبكة باستخدام القواعد التي تحدد نسبة استخدام الشبكة المسموح لها بالدخول أو الخروج من أجهزة مؤسستك.
التحكم في التطبيق	تكوين قواعد التحكم في التطبيق إذا كنت تريد السماح بتشغيل التطبيقات والعمليات الموثوق بها فقط على أجهزة Windows.

قواعد تقليل الأجزاء المعرضة للهجوم

تتوفر قواعد تقليل الأجزاء المعرضة للهجوم على الأجهزة التي تعمل Windows. نوصي باستخدام إدارة نقاط النهاية من Microsoft، كما هو موضح في الصورة التالية:

1. انتقل إلى مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com) وسجل الدخول.

2. اختر Endpoint securityAttack > surface reduction > + Create policy.

3. بالنسبة إلى النظام الأساسي، حدد Windows 10 والإصدارات الأحدث.

4. بالنسبة إلى ملف التعريف، حدد قواعد تقليل الأجزاء المعرضة للهجوم، ثم اختر "إنشاء".

5. في علامة التبويب "Basics "، حدد اسما ووصفا للنهج، ثم اختر "التالي".

6. في علامة التبويب إعدادات التكوين ، قم بتوسيع قواعد تقليل الأجزاء المعرضة للهجوم.

7. حدد الإعدادات لكل قاعدة، ثم اختر "التالي". (لمزيد من المعلومات حول ما تفعله كل قاعدة، راجع قواعد تقليل الأجزاء المعرضة للهجوم.)

8. في علامة التبويب "Scope tags "، إذا كانت مؤسستك تستخدم علامات النطاق، فاختر + Select scope tags، ثم حدد العلامات التي تريد استخدامها. ثم اختر "التالي".

   لمعرفة المزيد حول علامات النطاق، راجع استخدام عنصر التحكم في الوصول استنادا إلى الدور (RBAC) وعلامات النطاق ل تكنولوجيا المعلومات الموزعة.

9. في علامة التبويب "الواجبات "، حدد المستخدمين والمجموعات التي يجب تطبيق نهجك عليها، ثم اختر "التالي". (لمعرفة المزيد حول التعيينات، راجع تعيين ملفات تعريف المستخدمين والجهاز في Microsoft Intune.)

10. في علامة التبويب "مراجعة + إنشاء "، راجع الإعدادات، ثم اختر "إنشاء".

تلميح

لمعرفة المزيد حول قواعد تقليل الأجزاء المعرضة للهجوم، راجع الموارد التالية:

• استخدام قواعد تقليل الأجزاء المعرضة للهجوم لمنع إصابة البرامج الضارة
• عرض قائمة قواعد تقليل الأجزاء المعرضة للهجوم
• نشر قواعد تقليل الأجزاء المعرضة للهجوم الخطوة 3: تنفيذ قواعد ASR

التخفيف من برامج الفدية الضارة

يمكنك تقليل برامج الفدية الضارة من خلال الوصول المتحكم به إلى المجلدات، والذي يسمح للتطبيقات الموثوق بها فقط بالوصول إلى المجلدات المحمية على نقاط النهاية الخاصة بك.

نوصي باستخدام إدارة نقاط النهاية من Microsoft لتكوين الوصول إلى المجلدات التي يتم التحكم فيها.

1. انتقل إلى مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com) وسجل الدخول.

2. حدد أمان نقطة النهاية، ثم حدد تقليل الأجزاء المعرضة للهجوم.

3. اختر + إنشاء نهج.

4. بالنسبة إلى النظام الأساسي، حدد Windows 10 والإصدارات الأحدث، وبالنسبة إلى ملف التعريف، حدد قواعد تقليل الأجزاء المعرضة للهجوم. ثم اختر "إنشاء".

5. في علامة التبويب "Basics "، قم بتسمية النهج وأضف وصفا. حدد "التالي".

6. في علامة التبويب "إعدادات التكوين "، في قسم "قواعد تقليل الأجزاء المعرضة للهجوم"، مرر لأسفل إلى الأسفل. في القائمة المنسدلة "تمكين حماية المجلد "، حدد "تمكين". يمكنك تحديد هذه الإعدادات الأخرى اختياريا:

   • إلى جانب قائمة المجلدات الإضافية التي تحتاج إلى حماية، حدد القائمة المنسدلة، ثم أضف المجلدات التي تحتاج إلى حماية.
   • إلى جانب قائمة التطبيقات التي لديها حق الوصول إلى المجلدات المحمية، حدد القائمة المنسدلة، ثم أضف التطبيقات التي يجب أن يكون لها حق الوصول إلى المجلدات المحمية.
   • إلى جانب استبعاد الملفات والمسارات من قواعد تقليل الأجزاء المعرضة للهجوم، حدد القائمة المنسدلة، ثم أضف الملفات والمسارات التي يجب استبعادها من قواعد تقليل الأجزاء المعرضة للهجوم.

   ثم اختر "التالي".

7. في علامة التبويب "Scope tags "، إذا كانت مؤسستك تستخدم علامات النطاق، فاختر + Select scope tags، ثم حدد العلامات التي تريد استخدامها. ثم اختر "التالي".

   لمعرفة المزيد حول علامات النطاق، راجع استخدام عنصر التحكم في الوصول استنادا إلى الدور (RBAC) وعلامات النطاق ل تكنولوجيا المعلومات الموزعة.

8. في علامة التبويب "الواجبات"، حدد "إضافة كافة المستخدمين**" و"+ إضافة كافة الأجهزة**"، ثم اختر "التالي". (يمكنك بدلا من ذلك تحديد مجموعات معينة من المستخدمين أو الأجهزة.)

9. في علامة التبويب "مراجعة + إنشاء "، راجع إعدادات النهج الخاص بك، ثم اختر "إنشاء". سيتم تطبيق النهج على أي نقاط نهاية تم إلحاقها ب Defender لنقطة النهاية قريبا.

عنصر تحكم الجهاز

يمكنك تكوين Defender لنقطة النهاية لحظر الأجهزة والملفات القابلة للإزالة أو السماح بها على الأجهزة القابلة للإزالة. نوصي باستخدام إدارة نقاط النهاية من Microsoft لتكوين إعدادات التحكم في جهازك.

1. انتقل إلى مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com) وسجل الدخول.

2. حدد ملف تعريف > DevicesConfigurationCreate > profile.

3. بالنسبة إلى النظام الأساسي، حدد Windows 10 والإصدارات الأحدث، ولنوع ملف التعريف، حدد "قوالب".

   ضمن اسم القالب، حدد "قوالب إدارية"، ثم اختر "إنشاء".

4. في علامة التبويب "Basics "، قم بتسمية النهج وأضف وصفا. حدد "التالي".

5. في علامة التبويب "إعدادات التكوين"، حدد "كافة الإعدادات". ثم في مربع البحث، اكتب Removable لمشاهدة جميع الإعدادات المتعلقة بالأجهزة القابلة للإزالة.

6. حدد عنصرا في القائمة، مثل كافة فئات التخزين القابلة للإزالة: رفض الوصول بالكامل، لفتح جزء القائمة المنبثقة الخاص به. توضح القائمة المنبثقة لكل إعداد ما يحدث عند تمكينه أو تعطيله أو عدم تكوينه. حدد إعدادا، ثم اختر "موافق".

7. كرر الخطوة 6 لكل إعداد تريد تكوينه. ثم اختر "التالي".

8. في علامة التبويب "Scope tags "، إذا كانت مؤسستك تستخدم علامات النطاق، فاختر + Select scope tags، ثم حدد العلامات التي تريد استخدامها. ثم اختر "التالي".

   لمعرفة المزيد حول علامات النطاق، راجع استخدام عنصر التحكم في الوصول استنادا إلى الدور (RBAC) وعلامات النطاق ل تكنولوجيا المعلومات الموزعة.

9. في علامة التبويب "الواجبات"، حدد "إضافة كافة المستخدمين**" و"+ إضافة كافة الأجهزة**"، ثم اختر "التالي". (يمكنك بدلا من ذلك تحديد مجموعات معينة من المستخدمين أو الأجهزة.)

10. في علامة التبويب "مراجعة + إنشاء "، راجع إعدادات النهج الخاص بك، ثم اختر "إنشاء". سيتم تطبيق النهج على أي نقاط نهاية تم إلحاقها ب Defender لنقطة النهاية قريبا.

تلميح

لمزيد من المعلومات، راجع كيفية التحكم في أجهزة USB والوسائط الأخرى القابلة للإزالة باستخدام Microsoft Defender لنقطة النهاية.

حماية الشبكة

من خلال حماية الشبكة، يمكنك المساعدة في حماية مؤسستك من المجالات الخطيرة التي قد تستضيف رسائل التصيد الاحتيالي والمستغلة والمحتوى الضار الآخر على الإنترنت. نوصي باستخدام إدارة نقاط النهاية من Microsoft لتشغيل حماية الشبكة.

1. انتقل إلى مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com) وسجل الدخول.

2. حدد ملف تعريف > DevicesConfigurationCreate > profile.

3. بالنسبة إلى النظام الأساسي، حدد Windows 10 والإصدارات الأحدث، ولنوع ملف التعريف، حدد "قوالب".

   ضمن اسم القالب، حدد حماية نقطة النهاية، ثم اختر "إنشاء".

4. في علامة التبويب "Basics "، قم بتسمية النهج وأضف وصفا. حدد "التالي".

5. في علامة التبويب "إعدادات التكوين"، قم بتوسيع الحماية من مخاطر الهجمات من Microsoft Defender، ثم قم بتوسيع تصفية الشبكة.

   تعيين حماية الشبكة إلى تمكين. (يمكنك بدلا من ذلك اختيار التدقيق لمعرفة كيفية عمل حماية الشبكة في بيئتك في البداية.)

   ثم اختر "التالي".

6. في علامة التبويب "الواجبات"، حدد "إضافة كافة المستخدمين**" و"+ إضافة كافة الأجهزة**"، ثم اختر "التالي". (يمكنك بدلا من ذلك تحديد مجموعات معينة من المستخدمين أو الأجهزة.)

7. في علامة التبويب " قواعد التطبيق" ، قم بإعداد قاعدة. سيتم تطبيق ملف التعريف الذي تقوم بتكوينه فقط على الأجهزة التي تفي بالمعايير المجمعة التي تحددها.

   على سبيل المثال، قد تختار تعيين النهج إلى نقاط النهاية التي تقوم بتشغيل إصدار نظام تشغيل معين فقط.

   ثم اختر "التالي".

8. في علامة التبويب "مراجعة + إنشاء "، راجع إعدادات النهج الخاص بك، ثم اختر "إنشاء". سيتم تطبيق النهج على أي نقاط نهاية تم إلحاقها ب Defender لنقطة النهاية قريبا.

تلميح

يمكنك استخدام أساليب أخرى، مثل Windows PowerShell أو نهج المجموعة، لتمكين حماية الشبكة. لمعرفة المزيد، راجع تشغيل حماية الشبكة.

حماية ويب

باستخدام حماية الويب، يمكنك حماية أجهزة مؤسستك من تهديدات الويب والمحتوى غير المرغوب فيه. تتضمن حماية الويب الحماية من تهديدات الويب وتصفية محتوى الويب. تكوين كلتا مجموعتي القدرات. نوصي باستخدام إدارة نقاط النهاية من Microsoft لتكوين إعدادات حماية الويب.

تكوين الحماية من تهديدات الويب

1. انتقل إلى مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com)، وسجل الدخول.

2. اختر تقليل سطح Endpoint securityAttack > ، ثم اختر + Create policy.

3. حدد نظاما أساسيا، مثل Windows 10 والإي وقت لاحق، وحدد ملف تعريف حماية ويب، ثم اختر "إنشاء".

4. في علامة التبويب "أساسيات "، حدد اسما ووصفا، ثم اختر "التالي".

5. ضمن علامة التبويب "إعدادات التكوين" ، قم بتوسيع حماية ويب، وحدد الإعدادات في الجدول التالي، ثم اختر "التالي".
   
   

   اعداد	توصية
   تمكين حماية الشبكة	تعيين إلى ممكن. يمنع المستخدمين من زيارة المواقع أو المجالات الضارة. بدلا من ذلك، يمكنك تعيين حماية الشبكة إلى وضع التدقيق لمعرفة كيفية عملها في بيئتك. في وضع التدقيق، لا تمنع حماية الشبكة المستخدمين من زيارة المواقع أو المجالات، ولكنها تتعقب عمليات الكشف كالأحداث.
   طلب SmartScreen الإصدار القديم من Microsoft Edge	تعيين إلى "نعم". يساعد على حماية المستخدمين من رسائل التصيد الاحتيالي المحتملة والبرامج الضارة.
   حظر الوصول إلى الموقع الضار	تعيين إلى "نعم". يمنع المستخدمين من تجاوز التحذيرات حول المواقع التي يحتمل أن تكون ضارة.
   حظر تنزيل الملفات التي لم يتم التحقق منها	تعيين إلى "نعم". يمنع المستخدمين من تجاوز التحذيرات وتنزيل الملفات التي لم يتم التحقق منها.

6. في علامة التبويب "Scope tags "، إذا كانت مؤسستك تستخدم علامات النطاق، فاختر + Select scope tags، ثم حدد العلامات التي تريد استخدامها. ثم اختر "التالي".

   لمعرفة المزيد حول علامات النطاق، راجع استخدام عنصر التحكم في الوصول استنادا إلى الدور (RBAC) وعلامات النطاق ل تكنولوجيا المعلومات الموزعة.

7. في علامة التبويب "الواجبات" ، حدد المستخدمين والأجهزة لتلقي نهج حماية الويب، ثم اختر "التالي".

8. في علامة التبويب "مراجعة + إنشاء "، راجع إعدادات النهج، ثم اختر "إنشاء".

تلميح

لمعرفة المزيد حول الحماية من تهديدات الويب، راجع حماية مؤسستك من تهديدات الويب.

تكوين تصفية محتوى ويب

1. انتقل إلى مدخل Microsoft 365 Defender (https://security.microsoft.com/) وسجل الدخول.

2. اختر الإعدادات > Endpoints.

3. ضمن القواعد، اختر تصفية محتوى ويب، ثم اختر + إضافة نهج.

4. في القائمة المنبثقة "إضافة نهج "، ضمن علامة التبويب "عام "، حدد اسما للنهج الخاص بك، ثم اختر "التالي".

5. في الفئات المحظورة، حدد فئة واحدة أو أكثر تريد حظرها، ثم اختر "التالي".

6. في علامة التبويب "النطاق" ، حدد مجموعات الأجهزة التي تريد تلقي هذا النهج، ثم اختر "التالي".

7. في علامة التبويب "ملخص "، راجع إعدادات النهج، ثم اختر "حفظ".

تلميح

لمعرفة المزيد حول تكوين تصفية محتوى ويب، راجع تصفية محتوى ويب.

جدار حماية الشبكة

يساعد جدار حماية الشبكة على تقليل مخاطر تهديدات أمان الشبكة. يمكن لفريق الأمان تعيين القواعد التي تحدد نسبة استخدام الشبكة المسموح لها بالتدفق من أو إلى أجهزة مؤسستك. نوصي باستخدام إدارة نقاط النهاية من Microsoft لتكوين جدار حماية الشبكة.

لتكوين إعدادات جدار الحماية الأساسية، اتبع الخطوات التالية:

1. انتقل إلى مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com)، وسجل الدخول.

2. اختر Endpoint securityFirewall > ، ثم اختر + Create Policy.

3. حدد نظاما أساسيا، مثل Windows 10 والإي وقت لاحق، وحدد ملف تعريف جدار حماية Microsoft Defender، ثم اختر "إنشاء".

4. في علامة التبويب "أساسيات "، حدد اسما ووصفا، ثم اختر "التالي".

5. قم بتوسيع جدار حماية Microsoft Defender، ثم قم بالتمرير لأسفل إلى أسفل القائمة.

6. تعيين كل من الإعدادات التالية إلى "نعم":

   • تشغيل جدار حماية Microsoft Defender لشبكات المجال
   • تشغيل جدار حماية Microsoft Defender للشبكات الخاصة
   • تشغيل جدار حماية Microsoft Defender للشبكات العامة

   راجع قائمة الإعدادات ضمن كل شبكة من شبكات المجال والشبكات الخاصة والشبكات العامة. يمكنك تركها معينة إلى "غير مكونة"، أو تغييرها لتلائم احتياجات مؤسستك.

   ثم اختر "التالي".

7. في علامة التبويب "Scope tags "، إذا كانت مؤسستك تستخدم علامات النطاق، فاختر + Select scope tags، ثم حدد العلامات التي تريد استخدامها. ثم اختر "التالي".

   لمعرفة المزيد حول علامات النطاق، راجع استخدام عنصر التحكم في الوصول استنادا إلى الدور (RBAC) وعلامات النطاق ل تكنولوجيا المعلومات الموزعة.

8. في علامة التبويب "الواجبات"، حدد "إضافة كافة المستخدمين**" و"+ إضافة كافة الأجهزة**"، ثم اختر "التالي". (يمكنك بدلا من ذلك تحديد مجموعات معينة من المستخدمين أو الأجهزة.)

9. في علامة التبويب "مراجعة + إنشاء "، راجع إعدادات النهج، ثم اختر "إنشاء".

تلميح

إعدادات جدار الحماية مفصلة ويمكن أن تبدو معقدة. راجع أفضل الممارسات لتكوين جدار حماية Windows Defender.

التحكم في التطبيق

يساعد Windows Defender Application Control (WDAC) على حماية نقاط النهاية Windows عن طريق السماح بتشغيل التطبيقات والعمليات الموثوق بها فقط. استخدمت معظم المؤسسات توزيعا مرحليا ل WDAC. أي أن معظم المؤسسات لا تقوم بطرح WDAC عبر جميع نقاط النهاية Windows في البداية. في الواقع، اعتمادا على ما إذا كانت نقاط نهاية Windows الخاصة بمؤسستك مدارة بالكامل أو مدارة بخفة أو نقاط نهاية "إحضار جهازك الخاص"، يمكنك نشر WDAC على جميع نقاط النهاية أو بعضها.

للمساعدة في التخطيط لتوزيع WDAC، راجع الموارد التالية:

• التحكم في التطبيق Windows

• قرارات تصميم نهج التحكم في تطبيق Windows Defender

• Windows نشر Defender Application Control في سيناريوهات مختلفة: أنواع الأجهزة

الخطوات التالية

الآن بعد أن مررت بعملية الإعداد والتكوين، فإن خطوتك التالية هي البدء باستخدام Defender لنقطة النهاية.

• بدء استخدام Defender لنقطة النهاية الخطة 1