Applies ToWindows 10 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise, version 1809 Windows Server 2019 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2
הוזמנת לנסות את Microsoft 365 בחינם

בטל את הנעילה כעת

תאריך פרסום מקורי: ה-13 באוגוסט 2024

מזהה KB: 5042562

התמיכה עבור Windows 10 תסתיים באוקטובר 2025

לאחר 14 באוקטובר 2025, Microsoft לא תספק עוד עדכוני תוכנה ללא תשלום מ- Windows Update, סיוע טכני או תיקוני אבטחה עבור Windows 10. המחשב שלך עדיין יפעל, אך אנו ממליצים לעבור ל- Windows 11.

למידע נוסף

הערה חשובה לגבי מדיניות SkuSiPolicy.p7b

מדיניות SkuSiPolicy.p7b עודכנה. עליך להחיל את המדיניות המעודכנת על-ידי התקנת העדכון האחרון של Windows שפורסם בינואר 2025 או לאחר מכן. לקבלת הוראות להחלת המדיניות המעודכנת, עיין בסעיף פריסת מדיניות ביטול חתומה של Microsoft (SkuSiPolicy.p7b ). 

במאמר זה

סיכום

Microsoft המודעות לפגיעות ב- Windows המאפשרת לתוקף בעל הרשאות מנהל מערכת להחליף קבצי מערכת מעודכנים של Windows בעלי גירסאות ישנות יותר, ופותחת את הדלת כדי שתוקף יוכל להציג מחדש פגיעויות לאבטחה מבוססת-וירטואליזציה (VBS).  חזרה למצב קודם של קבצים בינאריים אלה עשויה לאפשר לתוקף לעקוף תכונות אבטחה של VBS ולצלוח נתונים המוגנים על-ידי VBS. בעיה זו מתוארת ב- CVE-2024-21302 | העלאת מצב ליבה מאובטח של Windows של פגיעות הרשאה.

כדי לפתור בעיה זו, נבטל קבצי מערכת VBS פגיעים שאינם מעודכנים. עקב מספר גדול של קבצים הקשורים ל- VBS שיש לחסום, אנו משתמשים בגישה חלופית לחסימת גירסאות קבצים לא מעודכנות.

טווח ההשפעה

כל מכשירי Windows התומכים ב- VBS מושפעים מבעיה זו. הדבר כולל מכשירים פיזיים מקומיים ומחשבים וירטואליים (VM). VBS נתמך בגירסאות Windows 10 ובגרסאות מתקדמות יותר של Windows, Windows Server 2016 ואילך Windows Server אלה.

ניתן לבדוק את מצב VBS באמצעות הכלי Microsoft System Information (Msinfo32.exe). כלי זה אוסף מידע אודות המכשיר שלך. לאחר הפעלת Msinfo32.exe, גלול מטה אל השורה אבטחה מבוססת-וירטואליזציה . אם הערך של שורה זו פועל, VBS זמין פועלים.

תיבת הדו-שיח 'מידע מערכת' עם השורה 'אבטחה מבוססת וירטואליזציה' מסומנת

ניתן גם לבדוק את מצב VBS עם Windows PowerShell באמצעות Win32_DeviceGuard WMI. כדי לבצע שאילתה על מצב VBS מ- PowerShell, פתח Windows PowerShell עם הרשאות מלאות ולאחר מכן הפעל את הפקודה הבאה:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

לאחר הפעלת הפקודה של PowerShell לעיל, מצב מצב VBS צריך להיות אחד מהמצבים הבאים.

שם שדה

מצב

VirtualizationBasedSecurityStatus

  • אם השדה שווה ל- 0, VBS אינו זמין.

  • אם השדה שווה ל- 1, VBS זמין אך אינו פועל.

  • אם השדה שווה ל- 2, VBS זמין ותפעל.

צמצום סיכונים זמין

עבור כל הגירסאות הנתמכות של Windows 10, גירסה 1507 וגירסאות מתקדמות יותר של Windows, ו- Windows Server 2016 וגירסאות מאוחרות יותר של Windows Server, מנהלי מערכת יכולים לפרוס מדיניות ביטול חתימה של Microsoft (SkuSiPolicy.p7b). פעולה זו תחסום גירסאות פגיעות של קבצי מערכת VBS שמערכת ההפעלה לא תעדכן.

כאשר מדיניות זו מוחלת על מכשיר Windows, המדיניות תינעל גם במכשיר על-ידי הוספת משתנה בקושחת UEFI. במהלך ההפעלה, המדיניות נטענת ו- Windows חוסמת את הטעינה של קבצים בינאריים המפרים את המדיניות. אם נעילת UEFI מוחלת והמדיניות מוסרת או מוחלת בגירסה קודמת, מנהל האתחול של Windows לא יופעל והמכשיר לא יופעל. כשל אתחול זה לא יציג שגיאה והמערכת תמשיך אל אפשרות האתחול הזמינה הבאה שעלולה לגרום ל לולאת אתחול.

כדי שמדיניות צמצום הסיכון יפעלו, יש לעדכן את המדיניות באמצעות עדכון השירות של Windows מאחר שהרכיבים של Windows והמדיניות חייבים להיות מאותה מהדורה. אם צמצום המדיניות מועתק למכשיר, ייתכן שהמכשיר לא יופעל אם הוחלה גירסה שגויה של צמצום הסיכונים, או שההפחתת הסיכון לא תיפתה כצפוי. בנוסף, צמצום סיכונים המתואר KB5025885 יש להחיל על המכשיר שלך.

הבנת סיכוני צמצום סיכונים

עליך להיות מודע לסיכונים פוטנציאליים לפני החלת מדיניות הביטוליות החתימה על-ידי Microsoft. סקור סיכונים אלה ובצע את העדכונים הנחוצים למדיית שחזור לפני החלת צמצום הסיכונים.

  • תקינות קוד של מצב משתמש (UMCI). מדיניות הביטול החתימה על-ידי Microsoft מאפשרת תקינות קוד של מצב משתמש כך שכללים במדיניות יחולו על קבצים בינאריים של מצב משתמש. UMCI גם מאפשר אבטחת קוד דינאמי כברירת מחדל. אכיפת תכונות אלה עשויה לגרום לבעיות תאימות עם אפליקציות ו- Scriptים, והיא עשויה למנוע את הפעלתן ולהשפיע על הביצועים על זמן ההתחלה. לפני פריסת צמצום הסיכונים, בצע את ההוראות לפריסת מדיניות מצב ביקורת כדי לבדוק אם קיימים בעיות אפשריות.

  • UEFI - נעילה והסרת התקנה של עדכונים. לאחר החלת נעילת UEFI עם מדיניות הביטוליות החתימה על-ידי Microsoft במכשיר, לא ניתן להחזיר את המכשיר (על-ידי הסרת ההתקנה של עדכוני Windows, באמצעות נקודת שחזור או באופן אחר) אם תמשיך להחיל אתחול מאובטח. אפילו לא ניתן יהיה להסיר את נעילת UEFI של צמצום הסיכונים אם היא כבר הוחלה. משמעות הדבר היא שאם אתה מנסה להחזיר את מערכת ההפעלה Windows למצב קודם שלא הוחל עליה צמצום הסיכונים, המכשיר לא יופעל, לא תוצג הודעת שגיאה ו- UEFI ימשיך אל אפשרות האתחול הזמינה הבאה. פעולה זו עלולה לגרום ל לולאת אתחול. עליך להפוך אתחול מאובטח ללא זמין כדי להסיר את נעילת UEFI. שים לב לכל ההשלכות האפשריות ובדוק היטב לפני החלת הביטוליים המתוארים במאמר זה על המכשיר שלך.

  • מדיית אתחול חיצוני. לאחר החלת צמצום הסיכונים של נעילת UEFI על מכשיר, יש לעדכן את מדיית האתחול החיצוני עם העדכון האחרון של Windows המותקן במכשיר. אם מדיית אתחול חיצוני אינה מתעדכנת לאותה גירסה של עדכון Windows, ייתכן שההתקן לא מאותה מדיה. עיין בהוראות במקטע עדכון מדיית אתחול חיצוני לפני החלת צמצום הסיכונים.

  • סביבת השחזור של Windows. יש לעדכן את סביבת השחזור של Windows (WinRE) במכשיר עם העדכונים האחרונים של Windows המותקנים במכשיר לפני החלת SkuSipolicy.p7b על המכשיר. השמטת שלב זה עשויה למנוע מ- WinRE להפעיל את התכונה איפוס מחשב.  לקבלת מידע נוסף, ראה הוספת חבילת עדכון ל- Windows RE.

  • אתחול סביבת ביצוע של קדם-אתחול (PXE). אם צמצום הסיכונים נפרס במכשיר ואתה מנסה להשתמש באתחול PXE, המכשיר לא יופעל אלא אם העדכון האחרון של Windows יוחל גם על תמונת האתחול של שרת PXE. איננו ממליצים לפרוס צמצום סיכונים במקורות אתחול רשת, אלא אם שרת האתחול של PXE עודכן לעדכון האחרון של Windows שפורסם בינואר 2025 או לאחר מכן, כולל מנהל האתחול של PXE.  

קווים מנחים לפריקת צמצום סיכונים

כדי לטפל בבעיות המתוארות במאמר זה, באפשרותך לפרוס מדיניות ביטול חתימה של Microsoft (SkuSiPolicy.p7b). צמצום סיכונים זה נתמך רק Windows 10, גירסה 1507 וגירסאות מתקדמות יותר של Windows, Windows Server 2016. לפני שתפרוס את מדיניות הביטוליות החתימה על-ידי Microsoft (SkuSiPolicy.p7b), עליך לבדוק אם יש בעיות תאימות באמצעות מדיניות מצב ביקורת.

הערה אם אתה משתמש ב- BitLocker, ודא שמפתח השחזור של BitLocker עבר גיבוי. באפשרותך להפעיל את הפקודה הבאה משורת פקודה של מנהל מערכת ולרשום לעצמך את הסיסמה המספרית בת 48 הספרות:

manage-bde -protectors -get %systemdrive%​​​​​​​

פריסת מדיניות מצב ביקורת

מדיניות הביטולים החתומות על-ידי Microsoft (SkuSiPolicy.p7b) אוכפת תקינות קוד של מצב משתמש (UMCI) ואבטחה של קוד דינאמי. לתכונות אלה עשויות להיות בעיות תאימות עם יישומי הלקוח. לפני פריסת צמצום הסיכונים, עליך לפרוס מדיניות ביקורת כדי לזהות בעיות תאימות.

יש לך שתי אפשרויות מדיניות ביקורת:

  • השתמש במדיניות הביקורת שסופקה של SiPolicy.p7b,

  • לחלופין, בצע קומפילציה בינארית של מדיניות ביקורת משלך מתוך קובץ XML שסופק.

אנו ממליצים להשתמש במדיניות הביקורת של SiPolicy.p7b שסופקה, אלא אם כן כבר פרוסת מדיניות קיימת של בקרת אפליקציות של Windows Defender (WDAC). הבינארי של מדיניות הביקורת שסופקה לא יינעל UEFI. אין צורך לעדכן מדיית אתחול ושחזור חיצונית לפני החלת מדיניות הביקורת.

תקינות הקוד של Windows תעריך קבצים בינאריים של מצב משתמש והליבה מול הכללים במדיניות הביקורת. אם תקינות קוד מזהה יישום או קובץ Script בניגוד למדיניות, ילהפיק אירוע יומן אירועים של Windows עם מידע אודות היישום או קובץ ה- Script החסומים ומידע אודות המדיניות שנאכפת. ניתן להשתמש באירועים אלה כדי לקבוע אם קיימים במכשיר שלך אפליקציות או קבצי Script שאינם תואמים. לקבלת מידע נוסף, עיין בסעיף יומני אירועים של Windows .

מדיניות הביקורת SiPolicy.p7b כלולה בעדכונים האחרונים של Windows עבור כל מערכות ההפעלה הנתמכות של Windows. יש להחיל מדיניות ביקורת זו רק על מכשירים על-ידי התקנת עדכון השירות האחרון ולאחר מכן ביצוע השלבים הבאים:

  1. הפעל את הפקודות הבאות מתוך בקשה Windows PowerShell מלא:

    # Initialize policy location and destination

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"

    $DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Copy the audit policy binary

    Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force

  2. הפעל מחדש את המכשיר.

  3. ודא שהמדיניות נטענת ב- מציג האירועים באמצעות המידע במקטע אירועי הפעלת מדיניות.

  4. בדוק באמצעות אפליקציות וקבצי Script בזמן החלת המדיניות כדי לזהות בעיות תאימות.

כדי להסיר את מדיניות הביקורת SiPolicy.p7b, בצע את הפעולות הבאות:

  1. הפעל את הפקודות הבאות מתוך בקשה Windows PowerShell מלא:

    # Initialize policy location

    $PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Remove SiPolicy.p7b

    Remove-Item -Path $PolicyBinary -force

  2. הפעל מחדש את המכשיר.

  3. ודא שמדיניות הביקורת לא נטענה מציג האירועים באמצעות המידע במקטע אירועי הפעלת מדיניות.

פריסת מדיניות ביטול החתימה על-ידי Microsoft (SkuSiPolicy.p7b)

מדיניות הביטוליות החתימה על-ידי Microsoft כלולה כחלק מהעדכון האחרון של Windows. יש להחיל מדיניות זו רק על מכשירים על-ידי התקנת עדכון Windows הזמין האחרון שפורסם ב- ינואר 2025 או לאחר מכן, ולאחר מכן בצע את הפעולות הבאות:

הערה אם עדכונים חסרים, ייתכן שהמכשיר לא יתחיל עם צמצום הסיכונים שהוחל או שההפחתת הסיכון לא תפעל כצפוי. הקפד לעדכן את מדיית Windows הניתנת לאתחול באמצעות העדכון האחרון הזמין של Windows לפני פריסת המדיניות. לקבלת פרטים אודות אופן העדכון של מדיה הניתנת לאתחול, עיין בסעיף עדכון מדיית אתחול חיצוני.

  1. הפעל את הפקודות הבאות בשורת Windows PowerShell הבאה:

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force mountvol $MountPoint /D

  2. הפעל מחדש את המכשיר.

  3. ודא שהמדיניות נטענת ב- מציג האירועים באמצעות המידע במקטע יומני אירועים של Windows.

הערות

  • אין להסיר את קובץ הביטור (מדיניות) של SkuSiPolicy.p7b לאחר פריסתו. ייתכן שהמכשיר שלך לא יוכל עוד לפעול אם הקובץ יוסר.

  • אם המכשיר שלך אינו פועל, עיין בסעיף הליך שחזור.

מעדכן מדיית אתחול חיצוני

כדי להשתמש ממדיית אתחול חיצוני עם מכשיר שחלה עליו מדיניות ביטול חתומה של Microsoft, יש לעדכן את מדיית האתחול החיצונית בעדכון האחרון של Windows, כולל מנהל האתחול. אם המדיה אינה כוללת את העדכון האחרון של Windows, המדיה לא תתחיל לפעול.

חשוב מומלץ ליצור כונן שחזור לפני שתמשיך. מדיה זו יכולה לשמש להתקנה מחדש של מכשיר במקרה שיש בעיה חמורה.

השתמש בשלבים הבאים כדי לעדכן את מדיית האתחול החיצוני:

  1. עבור אל מכשיר שבו הותקנו העדכונים האחרונים של Windows.

  2. טעינת מדיית האתחול החיצוני כאות כונן. לדוגמה, הרכב כונן אצבע כ- D:.

  3. לחץ על התחל , הקלד צור כונן שחזור בתיבת החיפוש ולאחר מכן לחץ על צור כונן שחזור בלוח הבקרה. בצע את ההוראות כדי ליצור כונן שחזור באמצעות כונן האצבע המוטען.

  4. הסר בבטחה את כונן האצבע התלוכם.

אם אתה מנהל מדיה הניתנת להתקנה בסביבה שלך באמצעות מדיית ההתקנה של Windows עדכון עם הדרכה לעדכון דינאמי , בצע את הפעולות הבאות:

  1. עבור אל מכשיר שבו הותקנו העדכונים האחרונים של Windows.

  2. בצע את השלבים המפורטים במאמר עדכון מדיית ההתקנה של Windows באמצעות עדכון דינאמי כדי ליצור מדיה שבה מותקנים העדכונים האחרונים של Windows.

יומני אירועים של Windows

Windows רושם אירועים כאשר פריטי מדיניות של תקינות קוד, כולל SkuSiPolicy.p7b, נטענים ומתי טעינת קובץ נחסמת עקב אכיפת מדיניות. באפשרותך להשתמש באירועים אלה כדי לוודא שהוחלה צמצום הסיכונים.

יומני תקינות קוד זמינים ב- Windows מציג האירועים תחת יומני רישום של יישומים ושירותים > Microsoft > > CodeIntegrity > Operational > יומני רישום של שירותי >>Microsoft > Windows > AppLocker > MSI ו- Script.

לקבלת מידע נוסף על אירועי תקינות קוד, עיין במדריך התפעול של בקרת האפליקציות של Windows Defender.

אירועי הפעלת מדיניות

אירועי הפעלת מדיניות זמינים ב- Windows מציג האירועים תחת יומני רישום של יישומים ושירותים > Microsoft > Windows > CodeIntegrity > Operational.

CodeIntegrity Event 3099 ביומן האירועים "CodeIntegrity - Operational" מציין שמדיניות נטענה וכוללת פרטים אודות המדיניות שנטען. המידע באירוע כולל את השם הידידותי של המדיניות, מזהה ייחודי כללי (GUID) ו- Hash של המדיניות. אירועים מרובים של אירוע CodeIntegrity 3099 יהיו קיימים אם חלות על המכשיר פריטי מדיניות מרובים של תקינות קוד.

בעת החלת מדיניות הביקורת שסופקה, יהיה אירוע עם המידע הבא:

  • PolicyNameBuffer – מדיניות ביקורת אבטחה המבוססת על וירטואליזציה של Microsoft Windows

  • PolicyGUID – {a244370e-44c9-4c06-b551-f6016e563076}

  • PolicyHash – 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387

מדיניות ביקורת אבטחה המבוססת על וירטואליזציה של Microsoft

כאשר מדיניות הביטול החתימה על-ידי Microsoft (SkuSiPolicy.p7b) מוחלת, יהיה אירוע עם המידע הבא (ראה צילום מסך של אירוע CodeIntegrity 3099 להלן):

  • PolicyNameBuffer – מדיניות SI של Microsoft Windows SKU

  • PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

מדיניות SI של Microsoft Windows SKU

אם החלת את מדיניות הביקורת או את צמצום הסיכונים על המכשיר שלך ועל אירוע CodeIntegrity 3099 עבור המדיניות שהוחלה אינו קיים, המדיניות אינה נאכפת. עיין בהוראות הפריסה כדי לוודא שהמדיניות הותקנה כראוי.

הערה אירוע תקינות קוד 3099 אינו נתמך בגירסאות של Windows 10 Enterprise 2016, Windows Server 2016 ו- Windows 10 Enterprise 2015 LTSB. כדי לוודא שהמדיניות הוחלת (מדיניות ביקורת או ביטול), עליך לטעון את מחיצת המערכת של EFI באמצעות הפקודה mountvol.exe ולראות שהמדיניות הוחלה על מחיצת ה- EFI. הקפד לבטל את טעינת מחיצת המערכת של EFI לאחר האימות.

SkuSiPolicy.p7b - מדיניות ביטול

מדיניות SkuSiPolicy.p7b הוחלה

SiPolicy.p7b - מדיניות ביקורת

מדיניות ביקורת SiPolicy.p7b הוחלה

ביקורת וחסימה של אירועים

אירועי ביקורת וחסום של תקינות קוד זמינים ב- Windows מציג האירועים תחת יומני רישום של יישומים ושירותים > Microsoft > Windows > CodeIntegrity > Operational > Application and Services > Microsoft > Windows > AppLocker > MSI ו- Script.

מיקום הרישום הקודם כולל אירועים אודות השליטה של קבצי הפעלה, קבצי dll ומנהלי התקנים. מיקום הרישום האחרון כולל אירועים אודות הפקד של מתקיני MSI, קבצי Script או אובייקטי COM.

CodeIntegrity Event 3076 ביומן "CodeIntegrity – Operational" הוא אירוע הבלוק הראשי עבור פריטי מדיניות של מצב ביקורת ומציין שקובץ היה נחסם אם המדיניות נאכפת. אירוע זה כולל מידע אודות הקובץ החסומים ועל המדיניות שנאכפת. עבור קבצים שנחסמו על-ידי צמצום הסיכונים, פרטי המדיניות באירוע 3077 יתאימו למידע המדיניות של מדיניות הביקורת מאירוע 3099.

CodeIntegrity Event 3077 ביומן "CodeIntegrity – Operational" מציין שטעינת קובץ הפעלה, .dll או מנהל התקן נחסמה. אירוע זה כולל מידע אודות הקובץ החסומים ועל המדיניות שנאכפת. עבור קבצים שנחסמו על-ידי צמצום הסיכונים, פרטי המדיניות באירוע CodeIntegrity 3077 יתאימו למידע המדיניות של SkuSiPolicy.p7b מ- CodeIntegrity Event 3099. אירוע CodeIntegrity 3077 לא יהיה קיים אם אין קבצי הפעלה, .dll או מנהלי התקנים להפרת מדיניות תקינות קוד במכשיר שלך.

עבור אירועים אחרים של ביקורת תקינות קוד וחסום אירועים, ראה הכרת אירועי בקרת יישומים.

הליך הסרת מדיניות ושחזור

אם משהו משתבש לאחר החלת צמצום הסיכונים, באפשרותך להשתמש בשלבים הבאים כדי להסיר את צמצום הסיכונים:

  1. השעה את BitLocker אם הוא זמין. הפעל את הפקודה הבאה מחלון שורת פקודה עם הרשאות מלאות:

    Manager-bde -protectors -disable c: -rebootcount 3

  2. כבה אתחול מאובטח מתפריט ה- BIOS של UEFI.ההליך לביטול אתחול מאובטח משתנה בין יצרני המכשירים והמודלים. לקבלת עזרה באיתור המיקום שבו יש לכבות אתחול מאובטח, עיין בתיעוד של יצרן המכשיר שלך. ניתן למצוא פרטים נוספים במאמר הפיכת אתחול מאובטח ללא זמין.

  3. הסר את מדיניות SkuSiPolicy.p7b.

    1. הפעל את Windows כרגיל ולאחר מכן היכנס.יש להסיר את מדיניות SkuSiPolicy.p7b מהמיקום הבא:

      • <EFI System Partition>\Microsoft\Boot\SkuSiPolicy.p7b

    2. הפעל את הפקודות הבאות מהפעלה Windows PowerShell כדי לנקות את המדיניות ממיקומים אלה:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b" $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } if (Test-Path   $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force } ​​​​​​​mountvol $MountPoint /D

  4. הפעל אתחול מאובטח מ- BIOS.עיין בתיעוד של יצרן המכשיר שלך כדי לאתר היכן להפעיל אתחול מאובטח.אם ביטלת את האתחול המאובטח בשלב 1 והכונן שלך מוגן על-ידי BitLocker, השהה את ההגנה של BitLocker ולאחר מכן הפעל אתחול מאובטח מתפריט ה- BIOS של UEFI .

  5. הפעל את BitLocker. הפעל את הפקודה הבאה מחלון שורת פקודה עם הרשאות מלאות:

    Manager-bde -protectors -enable c:

  6. הפעל מחדש את המכשיר.

שנה תאריך

תיאור

(יום שלישי 24 פברואר 2025)

  • ההערה עודכנה במקטע "אירועי הפעלת מדיניות" והוספת צילום מסך שני של רישום מדריך הכתובות המציג את הקובץ "SiPolicy.p7b - מדיניות ביקורת".

(יום שלישי 11 פברואר 2025)

  • עודכן קובץ ה- Script בשלב 1 בסעיף "פריסת מדיניות ביטול החתימה על-ידי Microsoft (SkuSiPolicy.p7b)".

  • הוספת הערה לסוף המקטע "אירועי הפעלת מדיניות" והוספנו צילום מסך של רישום מדריך הכתובות המציג את הקובץ "SkuSiPolicy.p7b - מדיניות ביטול".

  • עודכן קובץ ה- Script בשלב 3b בסעיף "הליך הסרת מדיניות ושחזור".

ה-14 בינואר 2025

  • נוסף הערה חשובה לגבי מדיניות SkuSiPolicy.p7b בחלק העליון של מאמר זה.*

  • הוסרה המדיניות הערה (שנוספה ב- 12 בנובמבר 2024) אודות פריטי המדיניות SkuSiPolicy.p7b ו- VbsSI_Audit.p7b עבור Windows 10, גירסה 1507, Windows 10 Enterprise 2016 ו- Windows Server 2016 מהסעיף "צמצום סיכונים זמינים" ללא עוד צורך.

  • נוסף מידע נוסף להערה בסעיף "פריסת מדיניות ביטול החתימה על-ידי Microsoft (SkuSiPolicy.p7b)". הטקסט המקורי היה "הערה אם חסרים עדכונים, ייתכן שהמכשיר לא יתחיל עם צמצום הסיכונים שהוחל או שההפחתת הסיכון לא תפעל כצפוי". אני לא יכול לעשות את

  • הוסרה הפיסקה השניה של המקטע 'עדכון מדיית אתחול חיצוני'. הטקסט המקורי שהוסר היה 'מדיית אתחול המעודכנת במדיניות הביטול החתימה על-ידי Microsoft, יש להשתמש רק לאתחול מכשירים שהוחלו בהם כבר צמצום הסיכונים.  אם נעשה בו שימוש עם מכשירים ללא צמצום הסיכון, נעילת UEFI תחול במהלך ההפעלה ממדיית האתחול. ההפעלה הבאה מהדיסק תיכשל, אלא אם המכשיר יתעדכן עם צמצום הסיכונים או אם נעילת UEFI תוסר." אני לא יכול לעשות את

  • הסרת את השלב "כאשר המדיה החדשה שנוצרה מותקנת, העתק את הקובץ SkuSiPolicy.p7b ל- <MediaRoot>\EFI\Microsoft\Boot (לדוגמה, D:\EFI\Microsoft\Boot)" בהליך "שלבים לעדכון מדיית האתחול החיצוני" במקטע "עדכון מדיית אתחול חיצוני" כאשר שלב זה אינו נחוץ עוד.*

  • הוסר שלבים 3 עד 5 בהליך "עדכון מדיית ההתקנה של Windows באמצעות הדרכה לעדכון דינאמי" בסעיף "עדכון מדיית אתחול חיצוני" מכיוון שהפעולות אינן דרושות עוד.*

    • 3. הנח את תוכן המדיה בכונן USB והתקן את כונן האצבע כ אות כונן. לדוגמה, הרכב את כונן האצבע כ- D:.

    • ארבע . העתק את SkuSiPolicy.p7b<MediaRoot>\EFI\Microsoft\Boot (לדוגמה, D:\EFI\Microsoft\Boot).

    • 5. הסר בבטחה את כונן האצבע התלוכם.

  • עודכן הפיסקה הראשונה של הנושא 'מדיית אתחול חיצונית' במקטע 'הבנת סיכוני צמצום סיכונים'. הטקסט המקורי היה "לאחר החלת צמצום הסיכונים של נעילת UEFI על מכשיר, יש לעדכן את מדיית האתחול החיצוני עם העדכונים האחרונים של Windows המותקנים במכשיר ובמדיניות הביטול החתימה על-ידי Microsoft (SkuSiPolicy.p7b). אם מדיית האתחול החיצוני אינה מתעדכנת, ייתכן שההתקן לא יאתחול ממדיה זו. עיין בהוראות במקטע עדכון מדיית אתחול חיצוני לפני החלת צמצום הסיכונים.*

  • הוסרה הפיסקה השניה של הנושא 'מדיית אתחול חיצונית' במקטע 'הבנת סיכוני צמצום סיכונים'. הטקסט המקורי היה "מדיית אתחול המעודכנת במדיניות הביטול החתימה על-ידי Microsoft, יש להשתמש רק לאתחול מכשירים שהוחלו בהם צמצום הסיכונים.  אם נעשה בו שימוש עם מכשירים ללא צמצום הסיכון, נעילת UEFI תחול במהלך ההפעלה ממדיית האתחול. ההפעלה הבאה מהדיסק תיכשל, אלא אם המכשיר יתעדכן עם צמצום הסיכונים או אם נעילת UEFI תוסר." אני לא יכול לעשות את

  • עודכן הנושא 'אתחול סביבת ביצוע קדם-אתחול (PXE) במקטע 'הבנת סיכוני צמצום סיכונים'. הטקסט המקורי היה "אם צמצום הסיכונים נפרס במכשיר ואתה מנסה להשתמש באתחול PXE, המכשיר לא יופעל אלא אם כן צמצום הסיכונים יחול גם על מקורות אתחול הרשת (בסיס שבו bootmgfw.efi קיים). אם מכשיר מופעל ממקור אתחול רשת שהוחל עליו צמצום הסיכונים, נעילת UEFI תחול על המכשיר וההשפעה על ההפעלה הבאה. איננו ממליצים לפרוס צמצום סיכונים במקורות אתחול רשת, אלא אם כן כל המכשירים בסביבה שלך נפרסים על-ידי צמצום סיכונים. "*

הפצה ב- 12 בנובמבר 2024

  • בסעיף "צמצום סיכונים זמינים", נוספה התמיכה עבור פריטי המדיניות SkuSiPolicy.p7b ו- VbsSI_Audit.p7b עבור Windows 10, גירסה 1507, Windows 10 Enterprise 2016 ו- Windows Server 2016 כחלק מהעדכונים של Windows שהופצו ב- 8 באוקטובר 2024 ולאחר מכן.

  • עודכנו תאריכי ההפצה של Windows מ- 13 באוגוסט 2024 ל- 12 בנובמבר 2024 לאורך כל השנה.
Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

הוזמנת לנסות את Microsoft 365 בחינם

בטל את הנעילה כעת