فهم واستخدام قدرات تقليل الأجزاء المعرضة للهجوم

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ينطبق على:

• Microsoft 365 Defender
• Microsoft Defender لنقطة النهاية الخطة 1
• Defender for Endpoint الخطة 2
• برنامج الحماية من الفيروسات من Microsoft Defender

الأنظمة الأساسية

• بالنسبة لنظام التشغيل

تلميح

هل تريد تجربة Microsoft Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

الأسطح المعرضة للهجوم هي جميع الأماكن التي تكون فيها مؤسستك عرضة للتهديدات الإلكترونية والهجمات. يتضمن Defender لنقطة النهاية العديد من القدرات للمساعدة في تقليل أسطح الهجوم. شاهد الفيديو التالي لمعرفة المزيد حول تقليل الأجزاء المعرضة للهجوم.

تكوين قدرات تقليل الأجزاء المعرضة للهجوم

لتكوين تقليل الأجزاء المعرضة للهجوم في بيئتك، اتبع الخطوات التالية:

1. تمكين العزل المستند إلى الأجهزة Microsoft Edge.

2. تمكين التحكم في التطبيق.

   1. مراجعة النهج الأساسية في Windows. راجع نهج قاعدة الأمثلة.
   2. راجع دليل تصميم Windows Defender Application Control.
   3. راجع نشر نهج التحكم في تطبيق Windows Defender (WDAC).

3. تمكين الوصول المتحكم به إلى المجلد.

4. تشغيل حماية الشبكة.

5. تمكين الحماية من الاستغلال.

6. نشر قواعد تقليل الأجزاء المعرضة للهجوم.

7. إعداد جدار حماية الشبكة.

   1. احصل على نظرة عامة على جدار حماية Windows Defender مع أمان متقدم.
   2. استخدم دليل تصميم جدار حماية Windows Defender لتحديد كيفية تصميم نهج جدار الحماية.
   3. استخدم دليل نشر جدار حماية Windows Defender لإعداد جدار حماية مؤسستك باستخدام أمان متقدم.

تلميح

في معظم الحالات، عند تكوين قدرات تقليل الأجزاء المعرضة للهجوم، يمكنك الاختيار من بين عدة أساليب:

• إدارة نقاط النهاية من Microsoft (التي تتضمن الآن Microsoft Intune Microsoft Endpoint Configuration Manager)
• نهج المجموعة
• PowerShell cmdlets

اختبار تقليل الأجزاء المعرضة للهجوم في Microsoft Defender لنقطة النهاية

كجزء من فريق الأمان في مؤسستك، يمكنك تكوين قدرات تقليل الأجزاء المعرضة للهجوم للتشغيل في وضع التدقيق لمعرفة كيفية عملها. يمكنك تمكين ميزات أمان ASR التالية في وضع التدقيق:

• قواعد تقليل الأجزاء المعرضة للهجوم
• الحماية من استغلال
• حماية الشبكة
• والوصول المتحكم به إلى المجلد

يتيح لك وضع التدقيق رؤية سجل لما كان سيحدث إذا قمت بتمكين الميزة.

يمكنك تمكين وضع التدقيق عند اختبار كيفية عمل الميزات. يساعد تمكين وضع التدقيق للاختبار فقط على منع وضع التدقيق من التأثير على تطبيقات خط العمل. يمكنك أيضا الحصول على فكرة عن عدد محاولات تعديل الملفات المشبوهة التي تحدث على مدى فترة زمنية معينة.

لن تمنع الميزات أو تمنع تعديل التطبيقات أو البرامج النصية أو الملفات. ومع ذلك، سيقوم سجل الأحداث Windows بتسجيل الأحداث كما لو تم تمكين الميزات بالكامل. باستخدام وضع التدقيق، يمكنك مراجعة سجل الأحداث لمعرفة تأثير الميزة إذا تم تمكينها.

للعثور على الإدخالات التي تم تدقيقها، انتقل إلى Applications and Services > Microsoft > Windows > Windows Defender > Operational.

استخدم Defender لنقطة النهاية للحصول على تفاصيل أكبر لكل حدث. هذه التفاصيل مفيدة بشكل خاص للتحقيق في قواعد تقليل الأجزاء المعرضة للهجوم. يتيح لك استخدام وحدة تحكم Defender لنقطة النهاية التحقق من المشكلات كجزء من المخطط الزمني للتنبيه وسيناريوهات التحقيق.

يمكنك تمكين وضع التدقيق باستخدام نهج المجموعة وPowerShell وموفري خدمات التكوين (CSPs).

تلميح

يمكنك أيضا زيارة موقع ويب Windows Defender Testground في demo.wd.microsoft.com لتأكيد عمل الميزات ومعرفة كيفية عملها.

ملاحظة

تم إهمال الموقع التجريبي ل Defender لنقطة النهاية في demo.wd.microsoft.com وستتم إزالته في المستقبل.

خيارات التدقيق	كيفية تمكين وضع التدقيق	كيفية عرض الأحداث
ينطبق التدقيق على جميع الأحداث	تمكين الوصول إلى المجلدات الخاضعة للتحكم	أحداث الوصول إلى المجلدات التي يتم التحكم فيها
ينطبق التدقيق على القواعد الفردية	الخطوة 1: اختبار قواعد ASR باستخدام وضع التدقيق	الخطوة 2: فهم صفحة الإبلاغ عن قواعد تقليل الأجزاء المعرضة للهجوم
ينطبق التدقيق على جميع الأحداث	تمكين حماية الشبكة	أحداث حماية الشبكة
ينطبق التدقيق على عمليات التخفيف الفردية	تمكين الحماية من استغلال	أحداث الحماية من الاستغلال

قواعد تقليل الأجزاء المعرضة للهجوم

يتم تعريف قواعد تقليل الأجزاء المعرضة للهجوم (ASR) مسبقا لتقوية الأسطح الهجومية الشائعة المعروفة. هناك العديد من الأساليب التي يمكنك استخدامها لتنفيذ قواعد تقليل الأجزاء المعرضة للهجوم. يتم توثيق الأسلوب المفضل في مواضيع نشر قواعد تقليل الأجزاء المعرضة للهجوم (ASR) التالية:

• نظرة عامة على دليل نشر قواعد الحد من سطح الهجوم (ASR)
• تخطيط نشر قواعد تقليل الأجزاء المعرضة للهجوم (ASR)
• اختبار قواعد تقليل الأجزاء المعرضة للهجوم (ASR)
• تمكين قواعد تقليل الأجزاء المعرضة للهجوم (ASR)
• تشغيل قواعد تقليل الأجزاء المعرضة للهجوم (ASR)

عرض أحداث تقليل الأجزاء المعرضة للهجوم

راجع أحداث تقليل الأجزاء المعرضة للهجوم في عارض الأحداث لمراقبة القواعد أو الإعدادات التي تعمل. يمكنك أيضا تحديد ما إذا كانت أي إعدادات "مزعجة" أو تؤثر على سير العمل اليومي.

تعد مراجعة الأحداث مفيدة عند تقييم الميزات. يمكنك تمكين وضع التدقيق للميزات أو الإعدادات، ثم مراجعة ما كان سيحدث إذا تم تمكينها بالكامل.

يسرد هذا القسم كافة الأحداث والميزة أو الإعدادات المقترنة بها، ويصف كيفية إنشاء طرق عرض مخصصة للتصفية إلى أحداث معينة.

احصل على تقارير مفصلة حول الأحداث والكتل والتحذيرات كجزء من أمن Windows إذا كان لديك اشتراك E5 واستخدم Microsoft Defender لنقطة النهاية.

استخدام طرق عرض مخصصة لمراجعة قدرات تقليل الأجزاء المعرضة للهجوم

إنشاء طرق عرض مخصصة في Windows عارض الأحداث لمشاهدة الأحداث فقط لإمكانيات وإعدادات معينة. أسهل طريقة هي استيراد طريقة عرض مخصصة كملف XML. يمكنك نسخ XML مباشرة من هذه الصفحة.

يمكنك أيضا الانتقال يدويا إلى منطقة الحدث التي تتوافق مع الميزة.

استيراد طريقة عرض XML مخصصة موجودة

1. أنشئ ملف .txt فارغا وانسخ XML لطريقة العرض المخصصة التي تريد استخدامها في ملف .txt. قم بذلك لكل طريقة عرض مخصصة تريد استخدامها. أعد تسمية الملفات كما يلي (تأكد من تغيير النوع من .txt إلى .xml):

   • طريقة عرض مخصصة لأحداث الوصول إلى المجلدات المتحكم فيها: cfa-events.xml
   • طريقة عرض مخصصة لأحداث الحماية من الاستغلال: ep-events.xml
   • عرض مخصص لأحداث تقليل الأجزاء المعرضة للهجوم: asr-events.xml
   • طريقة العرض المخصصة لأحداث الحماية/الشبكة: np-events.xml

2. اكتب عارض الأحداث في قائمة البدء وافتح عارض الأحداث.

3. تحديد طريقة عرض استيراد الإجراء > المخصصة...

   

4. انتقل إلى المكان الذي قمت باستخراج ملف XML الخاص بطريقة العرض المخصصة التي تريدها وحدده.

5. حدد "فتح".

6. سينشئ طريقة عرض مخصصة تقوم بتصفية لإظهار الأحداث المتعلقة بتلك الميزة فقط.

نسخ XML مباشرة

1. اكتب عارض الأحداث في قائمة البدء وافتح عارض الأحداث Windows.

2. في اللوحة اليمنى، ضمن "إجراءات"، حدد "إنشاء طريقة عرض مخصصة"...

   

3. انتقل إلى علامة التبويب XML وحدد تحرير الاستعلام يدويا. سترى تحذيرا يفيد بأنه لا يمكنك تحرير الاستعلام باستخدام علامة التبويب "تصفية" إذا كنت تستخدم خيار XML. حدد "نعم".

4. الصق رمز XML للميزة التي تريد تصفية الأحداث منها في قسم XML.

5. حدد موافق. حدد اسما لعامل التصفية. يؤدي ذلك إلى إنشاء طريقة عرض مخصصة تقوم بتصفية لإظهار الأحداث المتعلقة بهذه الميزة فقط.

XML لأحداث قاعدة تقليل الأجزاء المعرضة للهجوم

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML لأحداث الوصول إلى المجلدات التي يتم التحكم فيها

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML لأحداث الحماية من الاستغلال

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML لأحداث حماية الشبكة

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

قائمة أحداث تقليل الأجزاء المعرضة للهجوم

تقع جميع أحداث تقليل الأجزاء المعرضة للهجوم ضمن سجلات التطبيقات والخدمات > Microsoft > Windows ثم المجلد أو الموفر كما هو مدرج في الجدول التالي.

يمكنك الوصول إلى هذه الأحداث في عارض الأحداث Windows:

1. افتح قائمة البدء واكتب عارض الأحداث، ثم حدد النتيجة عارض الأحداث.

2. قم بتوسيع سجلات التطبيقات والخدمات > Microsoft > Windows ثم انتقل إلى المجلد المدرج ضمن الموفر/المصدر في الجدول أدناه.

3. انقر نقرا مزدوجا فوق العنصر الفرعي لمشاهدة الأحداث. قم بالتمرير عبر الأحداث للعثور على الحدث الذي تبحث عنه.

   

---

ميزه	الموفر/المصدر	معرف الحدث	الوصف
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	1	تدقيق ACG
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	2	فرض ACG
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	3	عدم السماح بتدقيق العمليات التابعة
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	4	عدم السماح لكتلة العمليات التابعة
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	5	حظر تدقيق الصور منخفضة التكامل
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	6	حظر كتلة الصور منخفضة التكامل
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	7	حظر تدقيق الصور البعيدة
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	8	حظر كتلة الصور البعيدة
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	9	تعطيل تدقيق مكالمات نظام win32k
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	10	تعطيل كتلة مكالمات نظام win32k
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	11	تدقيق حماية تكامل التعليمات البرمجية
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	12	كتلة حماية تكامل التعليمات البرمجية
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	13	تدقيق EAF
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	14	فرض EAF
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	15	تدقيق EAF+
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	16	فرض EAF+
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	17	تدقيق IAF
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	18	فرض IAF
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	19	تدقيق ROP StackPivot
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	20	فرض ROP StackPivot
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	21	تدقيق ROP CallerCheck
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	22	فرض ROP CallerCheck
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	23	تدقيق ROP SimExec
الحماية من استغلال	Security-Mitigations (وضع النواة/وضع المستخدم)	24	فرض ROP SimExec
الحماية من استغلال	WER-Diagnostics	5	CFG Block
الحماية من استغلال	Win32K (تشغيلي)	260	خط غير موثوق به
حماية الشبكة	Windows Defender (تشغيلي)	5007	حدث عند تغيير الإعدادات
حماية الشبكة	Windows Defender (تشغيلي)	1125	حدث عند تشغيل حماية الشبكة في وضع التدقيق
حماية الشبكة	Windows Defender (تشغيلي)	1126	حدث عند تشغيل حماية الشبكة في وضع الحظر
الوصول إلى المجلدات الخاضعة للتحكم	Windows Defender (تشغيلي)	5007	حدث عند تغيير الإعدادات
الوصول إلى المجلدات الخاضعة للتحكم	Windows Defender (تشغيلي)	1124	حدث الوصول إلى المجلدات الخاضعة للرقابة التي تم تدقيقها
الوصول إلى المجلدات الخاضعة للتحكم	Windows Defender (تشغيلي)	1123	حدث الوصول إلى المجلدات المحظورة الخاضعة للرقابة
الوصول إلى المجلدات الخاضعة للتحكم	Windows Defender (تشغيلي)	1127	حدث كتلة الكتابة الخاصة بالوصول إلى المجلدات المحظورة
الوصول إلى المجلدات الخاضعة للتحكم	Windows Defender (تشغيلي)	1128	حدث كتلة الكتابة الخاصة بالوصول إلى المجلدات الخاضعة للرقابة التي تم تدقيقها
قواعد تقليل الأجزاء المعرضة للهجوم	Windows Defender (تشغيلي)	5007	حدث عند تغيير الإعدادات
قواعد تقليل الأجزاء المعرضة للهجوم	Windows Defender (تشغيلي)	1122	حدث عند تشغيل القاعدة في وضع التدقيق
قواعد تقليل الأجزاء المعرضة للهجوم	Windows Defender (تشغيلي)	1121	حدث عند تشغيل القاعدة في وضع الحظر

ملاحظة

من منظور المستخدم، يتم إجراء إعلامات وضع تحذير ASR كإشعار منبثق Windows لقواعد تقليل الأجزاء المعرضة للهجوم.

في ASR، توفر Network Protection أوضاع التدقيق والحظر فقط.

موارد لمعرفة المزيد حول تقليل الأجزاء المعرضة للهجوم

كما ذكر في الفيديو، يتضمن Defender لنقطة النهاية العديد من قدرات تقليل الأجزاء المعرضة للهجوم. استخدم الموارد التالية لمعرفة المزيد:

مقالة	الوصف
العزل المستند إلى الأجهزة	حماية سلامة النظام والحفاظ عليها عند بدء تشغيله وأثناء تشغيله. التحقق من سلامة النظام من خلال الإثبات المحلي والبعيد. استخدم عزل الحاوية Microsoft Edge للمساعدة في الحماية من مواقع الويب الضارة.
التحكم في التطبيق	استخدم التحكم في التطبيق بحيث يجب أن تكتسب تطبيقاتك الثقة من أجل التشغيل.
الوصول إلى المجلدات الخاضعة للتحكم	المساعدة في منع التطبيقات الضارة أو المشبوهة (بما في ذلك البرامج الضارة لتشفير الملفات من برامج الفدية الضارة) من إجراء تغييرات على الملفات في مجلدات النظام الرئيسية (يتطلب برنامج الحماية من الفيروسات من Microsoft Defender).
حماية الشبكة	توسيع نطاق الحماية لنسبة استخدام الشبكة والاتصال على أجهزة مؤسستك. (يتطلب برنامج الحماية من الفيروسات من Microsoft Defender).
الحماية من استغلال	المساعدة في حماية أنظمة التشغيل والتطبيقات التي تستخدمها مؤسستك من الاستغلال. تعمل الحماية من الاستغلال أيضا مع حلول مكافحة الفيروسات من الجهات الخارجية.
عنصر تحكم الجهاز	يحمي من فقدان البيانات من خلال مراقبة الوسائط المستخدمة على الأجهزة والتحكم فيها، مثل التخزين القابل للإزالة ومحركات أقراص USB، في مؤسستك.
دليل نشر قواعد الحد من سطح الهجوم (ASR)	يقدم معلومات النظرة العامة والمتطلبات الأساسية لنشر قواعد تقليل الأجزاء المعرضة للهجوم.
تخطيط نشر قواعد تقليل الأجزاء المعرضة للهجوم (ASR)	يسرد الخطوات الموصى بها لتوزيع قواعد تقليل الأجزاء المعرضة للهجوم.
اختبار قواعد تقليل الأجزاء المعرضة للهجوم (ASR)	يوفر خطوات لاستخدام وضع التدقيق لاختبار قواعد تقليل الأجزاء المعرضة للهجوم.
تمكين قواعد تقليل الأجزاء المعرضة للهجوم (ASR)	يعرض خطوات نقل قواعد تقليل الأجزاء المعرضة للهجوم من وضع الاختبار (التدقيق) إلى الوضع النشط والممكن (حظر).
تشغيل قواعد تقليل الأجزاء المعرضة للهجوم (ASR)	يوفر معلومات حول أنشطة المراجعة والصيانة اليومية.
مرجع قواعد تقليل الأجزاء المعرضة للهجوم	يوفر تفاصيل حول كل قاعدة تقليل الأجزاء المعرضة للهجوم.
قواعد تقليل الأجزاء المعرضة للهجوم	تقليل الثغرات الأمنية (أسطح الهجوم) في تطبيقاتك باستخدام قواعد ذكية تساعد على إيقاف البرامج الضارة. (يتطلب برنامج الحماية من الفيروسات من Microsoft Defender).