Microsoft Defender: جدولة عمليات الفحص التلقائية

أتمتة عمليات فحص مكافحة الفيروسات باستخدام Microsoft Defender يُمكّنك هذا البرنامج من حماية أجهزة الكمبيوتر لديك دون مقاطعة عملك اليومي، من خلال إجراء عمليات فحص دورية عندما يكون النظام خاملاً أو خلال فترات تُحددها بنفسك. في هذه المقالة، نشرح بالتفصيل آلية عمل هذه الفحوصات التلقائية، وأنواعها، وكيفية اختيار الأنسب لكل حالة.

لقد قمنا أيضًا بتحليل بعض تحسينات الأداء لتجنب عمليات المسح غير الضرورية، القيود المهمة مثل التعامل مع البريد الإلكتروني ومحركات الشبكة المخصصة، بالإضافة إلى تحسينات استخبارات التهديدات مثل التحليل التلقائي لتفجير الملفات وعناوين URL المدمجة في تجربة Defender XDR.

ماذا نعني بالفحص التلقائي في Microsoft Defender؟

التحليلات التلقائية هي عمليات الفحص المجدولة التي تضيف إلى الحماية في الوقت الفعلي لبرنامج Microsoft Defender Antivirus، الذي يفحص الملفات عند فتحها أو إغلاقها، وعند التنقل عبر المجلدات. الهدف هو فحص جهاز الكمبيوتر الخاص بك دوريًا وبشكل استباقي، ويفضل عند عدم استخدامه، لتقليل التأثير على الإنتاجية.

بالإضافة إلى البرمجة العادية، يمكنك فرض المراجعات لمرة واحدة عند الطلب وحتى تشغيل عمليات المسح عن بعد من البوابة مايكروسوفت ديفندر، مما يتيح لك التحكم الكامل في الاستجابة لعلامات العدوى المحتملة أو التحقق من القضاء تمامًا على التهديد السابق.

أنواع الفحص في Microsoft Defender: سريع، وكامل، ومخصص

• فحص سريع (مستحسن)يتحقق هذا النوع من الفحص من المواقع الحرجة التي غالبًا ما تستقر فيها البرامج الضارة. وبدمجه مع الحماية الفورية، يوفر هذا الفحص تغطية فعّالة ضد التهديدات التي تبدأ من النظام وضد البرامج الضارة على مستوى النواة، دون استهلاك مفرط للموارد.
• حداثة ذات صلة بالفحص السريع- منذ تحديث النظام الأساسي لشهر ديسمبر 2023 (4.18.2311.xx)، يتوفر إصدار معاينة لـ "الفحص السريع يتضمن استثناءات" لفحص الملفات والدلائل أثناء الفحص السريع المستبعدة من الحماية في الوقت الفعلي باستخدام الاستثناءات السياقية.
• امتحان كامليبدأ بفحص سريع، ثم يفحص جميع الأقراص الثابتة المُثبّتة، بالإضافة إلى محركات الأقراص القابلة للإزالة أو محركات الأقراص الشبكية إذا قمتَ بتكوينها. قد يستغرق هذا ساعات أو حتى أيامًا، حسب حجم البيانات ونوعها.
• امتحان شخصييركز على المسارات التي تختارها: مجلدات محددة، محرك أقراص USB، موقع شبكة محدد، وما إلى ذلك. وهو مفيد للتحقق من صحة الوسائط المحمولة أو مناطق النظام التي تريد مسحها ضوئيًا على وجه التحديد.

جدولة عمليات المسح التلقائي: الخيارات والخطوات

الامتحانات المقررة هي إضافة إلى الحماية في الوقت الفعلي ويمكن تعريفها على أساس يومي أو أسبوعيهناك وضعان أصليان للجدولة: يومي (فحص سريع فقط) وأسبوعي (سريع أو كامل). تُجرى عمليات الفحص المجدولة بناءً على المنطقة الزمنية المحلية للجهاز.

إذا كنت تفضل ضبط جدولك الزمني من داخل Windows، فيمكنك استخدام جدولة المهامكدليل عام، هذه هي الخطوات الرئيسية:

1. في شريط البحث، اكتب "مجدول المهام" وافتح التطبيق.
2. في اللوحة اليسرى، قم بتوسيع "مكتبة جدولة المهام" > "Microsoft" > "Windows" وانتقل إلى مجلد "Windows Defender".
3. في اللوحة المركزيةانقر نقرًا مزدوجًا فوق "فحص Windows Defender المجدول".
4. في خصائص المسح المجدولانتقل إلى علامة التبويب "المشغلات" واختر "جديد".
5. يحدد التردد الذي تريد أن يتم إجراء الاختبار به ووقت البدء الذي تفضله.

تحسين الأداء المجدول للامتحانات السريعة

للتقليل من التأثير، قد يتخطى Defender الفحص السريع المجدول إذا تم إجراء فحص "مؤهل" بالفعل خلال الأيام السبعة الماضيةينطبق هذا التحسين فقط على عمليات الفحص السريعة المجدولة؛ ولا يؤثر على عمليات الفحص السريعة اليدوية عند الطلب.

إذا لم يتم استيفاء شروط التأهيل الداخلي للامتحان السريع الأخيرلا ينطبق التحسين، وسيبدأ النظام فحصًا مُجدولًا. على الرغم من عدم ذكر المعايير المُفصّلة في هذا المقتطف، إلا أن الهدف هو تجنب التكرار غير الضروري دون المساس بالحماية.

النقاط الرئيسية والممارسات الجيدة التي ينبغي مراعاتها:

• الحماية في الوقت الحقيقي + الفحص السريعيوفر الجمع بين الاثنين تغطية قوية، حيث تقوم الحماية في الوقت الفعلي بفحص كل ملف يتم فتحه أو إغلاقه وكل مجلد يتم الوصول إليه بواسطة المستخدم، بينما تقوم الحماية السريعة بفحص مواقع الثبات.
• الحماية في السحابةتجعل الحماية المستندة إلى السحابة والوصول المتحكم فيه من السهل تقييم الملفات التي تم الوصول إليها باستخدام أحدث نماذج الذكاء المستندة إلى السحابة والتعلم الآلي.
• التصعيد إلى الفحص الكامل لبعض الاكتشافاتإذا اكتشفت الحماية في الوقت الفعلي وجود برامج ضارة ولم تتمكن في البداية من تحديد امتداد الملفات المتأثرة، فيمكن لبرنامج Defender بدء فحص كامل كجزء من عملية الإصلاح.
• التأثير والمدةتستهلك الامتحانات الكاملة موارد أكثر وقد تستغرق وقتًا طويلاً. نظّم جدولك بعناية، واجعل الامتحان السريع الخيار الافتراضي، مع تخصيص الامتحان الكامل لحالات محددة.

التكوين باستخدام Intune وConfiguration Manager وGroup Policy

• مايكروسوفت Intuneيمكنك تكوين إعدادات فحص الجهاز والتقييد من Intune، بما في ذلك إدارة Defender Antivirus على Windows 10 وWindows 11. يتيح لك عرض Endpoint Security تطبيق سياسات مكافحة الفيروسات بشكل مركزي.
• Microsoft Configuration Manager (الفرع الحالي)إذا كنت تستخدم ConfigMgr، فيمكنك إنشاء سياسات مكافحة البرامج الضارة ونشرها باستخدام قسم إعدادات المسح، وتحديد الإيقاعات والسلوكيات للعملاء المُدارين.
• نهج المجموعة (GPO)من وحدة تحكم إدارة نهج المجموعة، عدّل كائن نهج المجموعة المطلوب وانتقل إلى "تكوين الكمبيوتر" > "القوالب الإدارية" > "مكونات Windows" > "Microsoft Defender Antivirus". حدد الموقع المناسب وعدّل السياسات حسب الحاجة. طبّقها بالنقر على "موافق"، وكرّر الخطوات مع الخيارات الأخرى.

خيارات GPO الرئيسية والمعلمات المرتبطة بها

• فحص البريد الإلكتروني (مسح > تفعيل مسح البريد الإلكتروني). الإعداد الافتراضي: مُعطّل. PowerShell: -DisableEmailScanningانظر قيود البريد الإلكتروني أدناه.
• امتحان السيناريومُفعّل افتراضيًا. يسمح لك بتفعيل فحص النصوص البرمجية أو الحفاظ عليه. المرجع: Defender/AllowScriptScanning.
• فحص نقاط إعادة التحليل (مسح > تفعيل مسح نقطة إعادة التحليل). الإعداد الافتراضي: مُعطّل. المعلمة المباشرة غير متوفرة؛ راجع دليل نقطة إعادة التحليل.
• محركات الشبكة المرسومة في الاختبار الكامل (فحص > تشغيل فحص كامل على محركات أقراص الشبكة المُعيَّنة). الإعداد الافتراضي: مُعطَّل. PowerShell: -DisableScanningMappedNetworkDrivesForFullScan.
• ملفات الأرشيف (مسح > مسح ملف الأرشيف). مُفعّل افتراضيًا. PowerShell: -DisableArchiveScanningقائمة استبعاد التمديد لها الأولوية.
• ملفات الشبكة (فحص > فحص ملفات الشبكة). مُعطّل افتراضيًا. PowerShell: -DisableScanningNetworkFilesتُظهر بعض القوالب أيضًا "تكوين فحص ملفات الشبكة" على أنه مُمكّن بشكل افتراضي؛ يُرجى ملاحظة الاختلافات المحتملة بين إصدارات ADMX.
• الملفات القابلة للتنفيذ المجمعة (فحص > فحص الملفات التنفيذية المجمعة). مُفعّل افتراضيًا. تمت إزالة هذا الخيار من بعض قوالب إدارة Windows 11 (21H2، 22H2، و23H2). لا يوجد إعداد مُكافئ.
• محركات الأقراص القابلة للإزالة (فحص > فحص محركات الأقراص القابلة للإزالة فقط أثناء الفحص الكامل). افتراضيًا: معطل. PowerShell: -DisableRemovableDriveScanning.
• الحد الأقصى لعمق ملفات الأرشيف (مسح > تحديد أقصى عمق). الافتراضي 0. لا يوجد معلمة متاحة.
• الحد الأقصى لاستخدام وحدة المعالجة المركزية (المسح > النسبة المئوية القصوى لوحدة المعالجة المركزية أثناء المسح). الافتراضي 50. PowerShell: -ScanAvgCPULoadFactorإنه متوسط إرشادي، وليس حدًا صارمًا؛ وتتجاهله الاختبارات اليدوية.
• الحد الأقصى لحجم ملف الأرشيف (مسح ضوئي > تحديد الحد الأقصى للحجم بالكيلوبايت). الافتراضي غير محدود (القيمة ٠ تعني عدم وجود حد). لا توجد معلمة متاحة.
• أولوية وحدة المعالجة المركزية المنخفضة للامتحانات المجدولةتم تعطيل الإعداد الافتراضي. لا توجد معلمة مباشرة.
• نوع خنق وحدة المعالجة المركزية. مُعطَّل افتراضيًا. PowerShell: -ThrottleForScheduledScanOnly.
• تضمين المستبعدين في الامتحان السريع (فحص > فحص الملفات والمجلدات المستبعدة أثناء الفحص السريع). مُعطّل افتراضيًا. يتعلق بإمكانية معاينة الاستثناءات.

إجراء الاختبارات عند الطلب وعن بعد

بوابة Microsoft Defender (security.microsoft.com)يمكنك تشغيل فحص عن بعد على جهاز:

1. الوصول إلى البوابة وتسجيل الدخول.
2. افتح صفحة الجهاز الهدف.
3. حدد النقاط الثلاث (…) واختر "تشغيل فحص مكافحة الفيروسات".
4. اختر نوع الامتحان بين سريع أو كامل، أضف تعليقًا وأكد.

التحقق من الحالة في مركز الإجراءاتانتقل إلى "الإجراءات والإرساليات" > "مركز الإجراءات" > علامة التبويب "السجل". ضمن "المرشحات"، حدد نوع الإجراء "بدء فحص مكافحة الفيروسات"، وطبّقه، ثم راجع الحالة. ستظهر لك حالة "مكتمل" عند الانتهاء.

مايكروسوفت Intuneلديك طريقتان شائعتان لإجراء الاختبار:

• أمان نقطة النهاية > مكافحة الفيروسات:من قائمة الإجراءات، حدد الفحص السريع (مستحسن) أو الفحص الكامل على نظام التشغيل Windows 10 أو Windows 11.
• الأجهزة > جميع الأجهزة:انتقل إلى الجهاز المطلوب، وحدد "… المزيد" ثم قم بتشغيل الفحص السريع أو الفحص الكامل.

تطبيق أمان Windowsفي نقطة النهاية نفسها، يمكنك بدء فحص من تطبيق Windows Security الأصلي، وهو مثالي لإجراء فحوصات عشوائية.

بوويرشيل. لبدء الاختبار استخدم Start-MpScanإذا كنت تريد أن يتضمن الفحص السريع الاستثناءات، فقم بتعيين التفضيل باستخدام Set-MpPreference -QuickScanIncludeExclusions 1.

سطر الأوامر (mpcmdrun.exe). الولايات المتحدة الأمريكية mpcmdrun.exe -scan -scantype 1 لإجراء فحص سريع. توفر الأداة معلمات أخرى للمسارات الكاملة أو المحددة، وهي مفيدة في البرامج النصية أو البيئات التي لا تحتوي على واجهات.

WMI. من خلال الفصل MSFT_MpScan وطريقته Start بإمكانك أتمتة عمليات المسح من أدوات الإدارة التي تنظم مكالمات WMIv2.

ما الجديد: تحليل التفجير التلقائي للملفات وعناوين URL

استخبارات التهديدات في Microsoft Defender (MDTI) يتضمن إمكانية تفجير الملفات وعناوين URL تلقائيًامُدمج في واجهة Defender XDR. عند البحث عن ملف أو رابط URL بدون نتائج تتعلق بالسمعة، يتم تشغيل عملية تفجير خلفية غير متزامنة، خاصةً في منطقة الولايات المتحدة.

إذا لم يكن هناك أي سمعة أو تفجير في البداية، يُعيد MDTI محاولة الاستعلام عن هذا الملف أو عنوان URL في الخلفية. على الرغم من عدم وجود اتفاقية مستوى خدمة ثابتة للحجم والتوافر، فإن الهدف التشغيلي هو تقديم النتائج في غضون ساعتين تقريبًا، حسب حمل النظام.

هذه الأتمتة توسيع قاعدة المعرفة حول مشهد التهديدات العالمية، مما يمنح فرق الأمان نظرة أعمق وأكثر دقة للملفات وعناوين URL غير المعروفة لتعزيز الدفاعات.

ينطبق على المنصات والإصدارات

تستهدف الإمكانيات الموضحة نقاط نهاية Windows التي تتم إدارتها باستخدام Microsoft Defender Antivirus.. على وجه الخصوص، ينطبق التحسين لتخطي عمليات الفحص السريع المجدولة على Windows 10 Anniversary Update (1607) والإصدارات الأحدث، وWindows Server 2016 (1607) والإصدارات الأحدث، باستثناء تثبيتات Core Server.

قم بتعزيز وضعك الأمني من خلال مراجعة وثائق أفضل ممارسات الاختبار واعتبارات Microsoft Defender Antivirus، بالإضافة إلى موارد التعلم والمساعدة الخاصة بـ Microsoft Security.