דף אבטחת המכשיר של האפליקציה 'אבטחת Windows' מיועד לנהל את תכונות האבטחה המוכללות במכשיר Windows שלך. הדף מחולק למקטעים הבאים:
-
מחשב PC בעל ליבה מאובטחת: אם המכשיר שלך הוא מחשב PC בעל ליבה מאובטחת, הוא מציג מידע על תכונות מחשב PC בעל ליבה מאובטחת
-
בידוד ליבה: כאן תוכל להגדיר תכונות אבטחה שמגנות על ליבת Windows
-
מעבד אבטחה: מספק מידע על מעבד האבטחה, שנקרא Trusted Platform Module (TPM)
-
אתחול מאובטח: אם אתחול מאובטח מופעל, תוכל למצוא מידע נוסף עליו
-
הצפנת נתונים: כאן תוכל למצוא קישור להגדרות Windows, שבהן תוכל להגדיר את הצפנת המכשיר והגדרות נוספות של BitLocker
-
יכולת אבטחת חומרה: מעריך את תכונות אבטחת החומרה של המכשיר שלך
באפליקציית אבטחת Windows במחשב שלך,בחר אבטחת מכשיר, או השתמש בקיצור הדרך הבא:
מחשב PC בעל ליבה מאובטחת
מחשב PC בעל ליבה מאובטחת נועד לספק תכונות אבטחה מתקדמות כבר מההפעלה הראשונה. מחשבים אלה משלבים חומרה, קושחה ותוכנה כדי להציע הגנה חזקה מפני איומים מתוחכמים.
באפליקציית אבטחת Windows במחשב שלך,בחר אבטחת מכשיר > פרטי אבטחה.
לקבלת מידע נוסף, ראה Windows 11 - מחשבי PC בעלי ליבה מאובטחת.
בידוד ליבה
בידוד ליבה מספק תכונות אבטחה שמטרתן להגן על תהליכי הליבה של Windows מפני תוכנות זדוניות על-ידי בידודם בזיכרון. הוא עושה זאת על-ידי הפעלה של תהליכי הליבה בסביבה וירטואלית.
באפליקציית אבטחת Windows במחשב שלך, בחר אבטחת מכשיר > פרטי בידוד ליבה או השתמש בקיצור הדרך הבא:
הערה: התכונות המוצגות בדף בידוד הליבה משתנות בהתאם לגרסת Windows שבה אתה משתמש ולרכיבי החומרה המותקנים.
תקינות הזיכרון, המכונה גם תקינות קוד המוגנת על-ידי Hypervisor (HVCI), היא תכונת אבטחה של Windows שמקשה על תוכנות זדוניות להשתמש במנהלי התקנים ברמה נמוכה כדי להשתלט על המחשב שלך.
מנהל התקן הוא רכיב תוכנה שמאפשר למערכת ההפעלה (במקרה זה Windows) ולמכשיר (כמו מקלדת או מצלמת אינטרנט) לתקשר זה עם זה. כאשר המכשיר רוצה ש- Windows יבצע פעולה כלשהי, הוא משתמש במנהל ההתקן כדי לשלוח את הבקשה.
תקינות הזיכרון פועלת על-ידי יצירת סביבה מבודדת באמצעות וירטואליזציה של חומרה.
תחשוב על זה כמו על שומר אבטחה שנמצא בתוך תא נעול. סביבה מבודדת זו (התא הנעול בדימוי שלנו) מונעת מתוקף לשבש את תכונת תקינות הזיכרון. תוכנית שרוצה להפעיל קוד שעשוי להיות מסוכן חייבת להעביר את הקוד לתכונת תקינות הזיכרון בתוך התא הווירטואלי כדי לאמת אותו. כאשר תקינות הזיכרון מאשרת שהקוד בטוח, היא מחזירה את הקוד ל- Windows להפעלה. בדרך כלל, זה קורה מהר מאוד.
כאשר תקינות הזיכרון אינה פועלת, השומר עומד גלוי לחלוטין, כך שקל הרבה יותר לתוקף להפריע לו או לחבל בו, מה שמקל על קוד זדוני לעקוף אותו ולגרום לנזק.
באפשרותך להפעיל את תקינות הזיכרון (פועל) או לכבות אותה (כבוי) באמצעות הלחצן הדו-מצבי
הערה: כדי להשתמש בתקינות זיכרון, עליך לוודא שהווירטואליזציה של החומרה מופעלת ב- UEFI או ב- BIOS של המערכת.
מה אם מופיעה הודעה על מנהל התקן לא תואם?
אם תקינות הזיכרון נכשלת בהפעלה, ייתכן שתופיע הודעה על כך שמותקן כבר מנהל התקן לא תואם. בדוק מול יצרן המכשיר אם קיים מנהל התקן מעודכן. אם אין לו מנהל התקן תואם, ייתכן שתוכל להסיר את המכשיר או האפליקציה שמשתמשים במנהל ההתקן הבלתי תואם.
הערה: אם תנסה להתקין מכשיר עם מנהל התקן לא תואם לאחר הפעלת תקינות הזיכרון, ייתכן שתקבל את אותה הודעה. אם כן, ההמלצה נשארת זהה - בדוק מול יצרן המכשיר אם יש מנהל התקן מעודכן שניתן להוריד, או הימנע מהתקנת אותו מכשיר עד שתהיה זמינה גרסה תואמת.
הגנה על מחסנית הנאכפת על-ידי חומרה היא תכונת אבטחה מבוססת חומרה שמקשה על תוכנות זדוניות להשתמש במנהלי התקנים ברמה נמוכה כדי להשתלט על המחשב שלך.
מנהל התקן הוא רכיב תוכנה שמאפשר למערכת ההפעלה (במקרה זה Windows) ולמכשיר (כמו מקלדת או מצלמת אינטרנט) לתקשר זה עם זה. כאשר המכשיר רוצה ש- Windows יבצע פעולה כלשהי, הוא משתמש במנהל ההתקן כדי לשלוח את הבקשה.
הגנה על מחסנית הנאכפת על-ידי חומרה פועלת על-ידי מניעת מתקפות שמשנות כתובות חזרה בזיכרון מצב ליבה לצורך הפעלת קוד זדוני. תכונת אבטחה זו דורשת מעבד הכולל יכולת לאמת את כתובות ההחזרה של קוד פועל.
בעת ביצוע קוד במצב ליבה, כתובות ההחזרה במחסנית מצב הליבה עלולות להיפגם על-ידי תוכניות או מנהלי התקנים זדוניים כדי לנתב מחדש את ביצוע הקוד לקוד זדוני. במעבדים נתמכים, המעבד שומר עותק שני של כתובות חזרה חוקיות במחסנית צללים לקריאה בלבד, שמנהלי התקנים אינם יכולים לשנות. אם כתובת ההחזרה במחסנית הרגילה שונתה, המעבד יכול לזהות זאת על-ידי השוואת העותק במחסנית הצללים. כאשר מתרחש חוסר התאמה כזה, המחשב יציג שגיאת עצירה, המכונה לעיתים "מסך כחול", כדי למנוע את הפעלת הקוד הזדוני.
לא כל מנהלי ההתקנים תואמים לתכונת אבטחה זו, מאחר שמספר מצומצם של מנהלי התקנים חוקיים מבצעים שינוי בכתובות ההחזרה מסיבות שאינן זדוניות. Microsoft פועלת מול מגוון מפרסמי מנהלי התקנים כדי לוודא שהגרסאות האחרונות שלהם תואמות להגנה על מחסנית הנאכפת על-ידי חומרה.
באפשרותך להפעיל את ההגנה על מחסנית הנאכפת על-ידי חומרה (פועל) או לכבות אותה (כבוי) באמצעות הלחצן הדו-מצבי
כדי להשתמש בהגנה על מחסנית הנאכפת על-ידי חומרה, יש להפעיל את תקינות הזיכרון, ויש לעבוד עם מעבד שתומך ב- Intel Control-Flow Enforcement Technology או ב- AMD Shadow Stack.
מה אם מופיעה הודעה על מנהל התקן או שירות לא תואם?
אם ההגנה על מחסנית הנאכפת על-ידי חומרה נכשלת בהפעלה, ייתכן שתופיע הודעה על כך שמותקן כבר מנהל התקן או שירות לא תואם. בדוק מול יצרן המכשיר או מפרסם האפליקציה אם קיים מנהל התקן מעודכן. אם אין לו מנהל התקן תואם, ייתכן שתוכל להסיר את המכשיר או האפליקציה שמשתמשים במנהל ההתקן הבלתי תואם.
חלק מהאפליקציות עשויות להתקין שירות במקום מנהל התקן במהלך ההתקנה, ולהתקין את מנהל ההתקן רק עם הפעלת האפליקציה. לצורך זיהוי מדויק יותר של מנהלי התקנים לא תואמים, גם שירותים שידוע שהם משויכים למנהלי התקנים כאלה נבדקים וממופים.
הערה: אם תנסה להתקין מכשיר או אפליקציה עם מנהל התקן לא תואם לאחר הפעלת ההגנה על מחסנית הנאכפת על-ידי חומרה, ייתכן שתראה את אותה הודעה. אם כן, ההמלצה נשארת זהה - בדוק מול יצרן המכשיר או מפרסם האפליקציה אם יש מנהל התקן מעודכן שניתן להוריד, או הימנע מהתקנת אותו מכשיר או אפליקציה עד שתהיה זמינה גרסה תואמת.
המכונה גם הגנת DMA במצב ליבה, תכונת אבטחה זו מגנה על המכשיר שלך מפני מתקפות שעלולות להתרחש כאשר מכשיר זדוני מחובר ליציאת חברור רכיבים היקפיים (PCI) כגון יציאת Thunderbolt.
דוגמה פשוטה לאחת ממתקפות אלו היא כאשר מישהו עוזב את המחשב שלו להפסקת קפה קצרה, ובזמן היעדרותו תוקף ניגש, מחבר התקן דמוי USB ולוקח נתונים רגישים מהמחשב, או מזריק תוכנה זדונית שמאפשרת לו לשלוט מרחוק על המחשב.
הגנת גישה לזיכרון מונעת מתקפות מסוג זה על-ידי שלילת גישה ישירה לזיכרון עבור אותם התקנים, למעט בנסיבות מיוחדות, במיוחד כשהמחשב נעול או כשהמשתמש מנותק.
עצה: למידע נוסף, ראה הגנת DMA במצב ליבה.
לכל מכשיר יש תוכנה שנכתבה לזיכרון לקריאה בלבד של המכשיר - בעצם נכתבה לשבב בלוח האם - והיא משמשת לפונקציות הבסיסיות של המכשיר, כמו טעינת מערכת ההפעלה שמריצה את כל האפליקציות שאנו רגילים להשתמש בהן. מאחר שתוכנה זו קשה (אך לא בלתי אפשרית) לשינוי, אנו מתייחסים אליה כאל קושחה.
מאחר שהקושחה נטענת ראשונה ופועלת מתחת למערכת ההפעלה, כלי אבטחה ותכונות הפועלים במערכת ההפעלה מתקשים לזהות אותה או להגן מפניה. כמו בית שתלוי ביסוד טוב כדי להיות מאובטח, מחשב זקוק לקושחה מאובטחת כדי להבטיח שמערכת ההפעלה, האפליקציות והנתונים בו יהיו בטוחים.
System Guard היא קבוצת תכונות המסייעת להבטיח שתוקפים לא יוכלו להפעיל את המכשיר עם קושחה לא מהימנה או זדונית.
פלטפורמות המציעות הגנה על הקושחה מגנות בדרך כלל גם על מצב ניהול המערכת (SMM), מצב הפעלה בעל הרשאות גבוהות, במידה משתנה. ניתן לצפות לאחד משלושת הערכים, כאשר מספר גבוה יותר מציין רמת הגנה גבוהה יותר על SMM:
-
המכשיר שלך עומד בגירסה אחת של הגנת קושחה: זו מספקת את אמצעי האבטחה הבסיסיים המסייעים ל-SMM להתנגד לניצול על-ידי תוכנות זדוניות ומונעת דליפת סודות ממערכת ההפעלה (כולל VBS)
-
המכשיר שלך עומד בדרישות גרסה 2 של הגנה על קושחה בנוסף לגרסה 1 של הגנה על קושחה, גרסה 2 מוודאת ש- SMM לא יוכל להשבית את האבטחה מבוססת הווירטואליזציה (VBS) ואת הגנות ה- DMA במצב ליבה
-
המכשיר שלך עומד בדרישות גרסה 3 של הגנה על קושחה בנוסף לגרסה 2 של הגנה על קושחה, גרסה זו מחזקת עוד יותר את SMM על-ידי חסימת גישה לרשומות מסוימות שביכולתן לסכן את מערכת ההפעלה (כולל VBS)
עצה: למידע נוסף, ראה System Guard: איך שורש מהימן מבוסס חומרה מסייע להגן על Windows
הגנה על רשות אבטחה מקומית (LSA) היא תכונת אבטחה ב- Windows שמסייעת למנוע גנבה של אישורים המשמשים לכניסה ל- Windows.
רשות האבטחה המקומית (LSA) היא תהליך חיוני ב- Windows המעורב באימות משתמשים. היא אחראית לאימות האישורים במהלך תהליך הכניסה ולניהול אסימוני אימות וכרטיסים המשמשים לאפשר כניסה יחידה לשירותים. הגנת LSA מסייעת למנוע מתוכנות לא מהימנות לפעול בתוך LSA או לגשת לזיכרון של LSA.
איך מנהלים את ההגנה על רשות האבטחה המקומית?
באפשרותך להפעיל את הגנת LSA (פועל) או לכבות אותה (כבוי) באמצעות הלחצן הדו-מצבי
לאחר ששינית את ההגדרה, עליך לבצע אתחול מחדש כדי שהיא תוכל להיכנס לתוקף.
הערה: כדי לסייע בהגנה על האישורים, הגנת LSA מופעלת כברירת מחדל בכל ההתקנים. עבור התקנות חדשות, היא זמינה באופן מיידי. עבור שדרוגים, היא מופעלת לאחר אתחול מחדש לאחר תקופת הערכה של חמישה ימים.
מה קורה אם יש לי תוכנה לא תואמת?
אם הגנת LSA מופעלת והיא חוסמת טעינה של תוכנה לשירות LSA, תוצג הודעה המצביעה על הקובץ שנחסם. ייתכן שתוכל להסיר את התוכנה שטוענת את הקובץ, או לבטל התראות עתידיות עבור הקובץ כאשר הוא נחסם מטעינה ל- LSA.
הערה: Credential Guard זמין במכשירים שבהם פועלות גירסאות Enterprise או Education של Windows.
בעת השימוש במכשיר עבודה או לימודים, מתבצעת כניסה שקטה וגישה למשאבים שונים כגון קבצים, מדפסות, אפליקציות ומשאבים נוספים בארגון שלך. כדי לאפשר תהליך מאובטח אך פשוט למשתמש, יש במחשב מספר אסימוני אימות פעילים בכל רגע נתון.
אם תוקף יצליח לגשת לאחד או יותר מהאסימונים האלה, ייתכן שיוכל להשתמש בהם כדי לגשת למשאבים ארגוניים (כגון קבצים רגישים) שהאסימון מיועד להם. Credential Guard מסייע בהגנה על אותם אסימונים על-ידי שמירתם בסביבה וירטואלית ומוגנת, שרק שירותים מסוימים יכולים לגשת אליה לפי הצורך.
עצה: לקבלת מידע נוסף, ראה כיצד Credential Guard פועל.
מנהל התקן הוא רכיב תוכנה שמאפשר למערכת ההפעלה (במקרה זה Windows) ולמכשיר (כמו מקלדת או מצלמת אינטרנט) לתקשר זה עם זה. כאשר המכשיר רוצה ש- Windows יבצע פעולה כלשהי, הוא משתמש במנהל ההתקן כדי לשלוח את הבקשה. בשל כך, למנהלי התקנים יש גישה נרחבת ורגישה במערכת שלך.
Windows 11 כולל רשימת חסימה של מנהלי התקנים בעלי פגיעויות אבטחה ידועות, כאלה שנחתמו באמצעות אישורים ששימשו גם לחתימת תוכנות זדוניות, או כאלה שעוקפים את מודל אבטחת Windows.
אם מופעלים תקינות זיכרון, בקרת אפליקציות חכמה או מצב S של Windows, רשימת חסימות של מנהלי ההתקנים הפגיעים תהיה פעילה גם כן.
הערה: אם תיתקל בכרזה שכותרתה מסייע התאימות של תוכניות שבו הודעה המציינת שמנהל התקן לא יכול להיטען, או שהגדרת אבטחה מונעת את טעינתו, בדוק אם קיימים עדכונים באמצעות Windows Update או דרך מנהל ההתקנים. אם אין עדכונים זמינים, פנה ליצרן החומרה לקבלת מנהל התקן מעודכן.
מעבד האבטחה
הגדרות מעבד האבטחה בדף 'אבטחת מכשיר' באפליקציית אבטחת Windows מספקות פרטים על Trusted Platform Module (TPM) במכשיר שלך. ה- TPM הוא רכיב חומרה שנועד לשפר את האבטחה על-ידי ביצוע פעולות הצפנה
הערה: אם אינך רואה ערך מעבד אבטחה במסך זה, ייתכן שלמכשיר שלך אין חומרת TPM (Trusted Platform Module) הדרושה עבור תכונה זו או שאינה זמינה ב- UEFI (ממשק קושחה מורחב מאוחד). פנה ליצרן המכשיר כדי לבדוק אם המכשיר שלך תומך ב- TPM, ואם כן, בצע שלבים כדי להפוך אותו לזמין.
כאן תוכל למצוא מידע על היצרן ומספרי הגרסה של מעבד האבטחה וכן מידע על מצב מעבד האבטחה.
באפליקציית אבטחת Windows במחשב שלך,בחר אבטחת מכשיר > פרטי מעבד אבטחה או השתמש בקיצור הדרך הבא:
אם מעבד האבטחה שלך אינו פועל כראוי, באפשרותך לבחור את הקישור פתרון בעיות של מעבד האבטחה כדי לראות הודעות שגיאה ואפשרויות מתקדמות, או להשתמש בקיצור הדרך הבא:
דף פתרון הבעיות של מעבד האבטחה מספק הודעות שגיאה רלוונטיות אודות ה- TPM. לפניך רשימה של הודעות שגיאה שעלולות להופיע:
|
הודעה |
פרטים |
|---|---|
|
דרוש עדכון קושחה עבור מעבד האבטחה (TPM). |
נראה שלוח האם של המכשיר שלך אינו תומך ב- TPM כרגע, אך עדכון קושחה עשוי לפתור זאת. פנה ליצרן המכשיר כדי לראות אם קיים עדכון קושחה זמין וכיצד להתקין אותו. עדכוני קושחה זמינים בדרך כלל בחינם. |
|
ה- TPM אינו זמין ודורש את התייחסותך. |
Trusted Platform Module כבוי כנראה ב- BIOS של המערכת (מערכת קלט/פלט בסיסית) או ב- UEFI (ממשק קושחה מורחב מאוחד). עיין בתיעוד התמיכה של יצרן המכשיר או פנה לתמיכה הטכנית שלו לקבלת הוראות כיצד להפעיל אותו. |
|
אחסון TPM אינו זמין. נקה את ה- TPM שלך. |
לחצן 'נקה TPM' נמצא בדף זה. מומלץ לוודא שיש לך גיבוי טוב של הנתונים לפני שתמשיך. |
|
אימות של תקינות המכשיר אינו זמין. נקה את ה- TPM שלך. |
לחצן 'נקה TPM' נמצא בדף זה. מומלץ לוודא שיש לך גיבוי טוב של הנתונים לפני שתמשיך. |
|
אימות תקינות המכשיר אינו נתמך במכשיר זה. |
משמעות הדבר היא שהמכשיר אינו מספק מספיק מידע כדי לקבוע מדוע ה- TPM עשוי שלא לפעול כראוי במכשיר שלך. |
|
ה- TPM אינו תואם לקושחה שלך והוא עלול לא לפעול כהלכה. |
פנה ליצרן המכשיר כדי לראות אם קיים עדכון קושחה זמין וכיצד לקבל ולהתקין אותו. עדכוני קושחה זמינים בדרך כלל בחינם. |
|
יומן האתחול המדוד של TPM חסר. נסה להפעיל מחדש את המכשיר שלך. |
|
|
נתקלנו בבעיה ב- TPM שלך. נסה להפעיל מחדש את המכשיר שלך. |
אם אתה עדיין נתקל בבעיות לאחר טיפול בהודעות השגיאה, פנה ליצרן המכשיר שלך לקבלת סיוע.
בחר נקה TPM כדי לאפס את מעבד האבטחה להגדרות ברירת המחדל.
זהירות: הקפד לגבות את הנתונים לפני ניקוי ה-TPM.
אתחול מאובטח
אתחול מאובטח מונע מתוכנות זדוניות מתוחכמות ומסוכנות - Rootkit - מלהיטען בעת הפעלת המכשיר. תוכנות Rootkit משתמשות באותן ההרשאות כמו מערכת ההפעלה ומופעלות לפניה, מה שמאפשר להן להסתיר את עצמן לחלוטין. לעיתים קרובות תוכנות Rootkit הן חלק מחבילה של תוכנות זדוניות שיכולות לעקוף כניסות מקומיות, סיסמאות רשומות והקשות, להעביר קבצים פרטיים וללכוד נתונים מוצפנים.
ייתכן שיהיה עליך לבטל את האתחול המאובטח כדי להפעיל כרטיסי גרפיקה, חומרה או מערכות הפעלה מסוימות כגון Linux או גרסאות קודמות של Windows.
לקבלת מידע נוסף, ראה אתחול מאובטח.
יכולות אבטחה של החומרה
המקטע האחרון של דף אבטחת המכשיר מציג מידע המציין את יכולת האבטחה של המכשיר שלך. להלן רשימה של הודעות ופרטים:
|
הודעה |
פרטים |
|---|---|
|
המכשיר שלך עומד בדרישות לאבטחת חומרה רגילה. |
משמעות ההודעה היא שהמכשיר תומך בתקינות זיכרון ובידוד ליבה ובנוסף בעל:
|
|
המכשיר שלך עומד בדרישות לאבטחת חומרה משופרת. |
משמעות ההודעה היא שבנוסף לעמידה בכל הדרישות של אבטחת חומרה רגילה, במכשיר מופעלת האפשרות תקינות זיכרון. |
|
כל התכונות של מחשב PC בעל ליבה מאובטחת זמינות במכשיר שלך. |
משמעות ההודעה היא שבנוסף לעמידה בכל הדרישות של אבטחת חומרה משופרת, מכשיר שלך מופעלת הגנת System Management Mode (SMM). |
|
אבטחת חומרה רגילה אינה נתמכת. |
משמעות ההודעה היא שהמכשיר אינו עומד בדרישה אחת לפחות של אבטחת חומרה רגילה. |
שיפור אבטחת החומרה
אם יכולת האבטחה של המכשיר שלך אינה ברמה המבוקשת, ייתכן שיהיה עליך להפעיל תכונות חומרה מסוימות (כגון אתחול מאובטח, אם נתמך) או לשנות את ההגדרות ב-BIOS של המערכת שלך. פנה לספק החומרה שלך כדי להבין אילו תכונות נתמכות על ידי החומרה שלך וכיצד להפעיל אותן.
מנהל המחשב
|
|
היישום 'מנהל המחשב' עשוי להיות שימושי גם בתרחיש זה. לקבלת מידע נוסף, ראה מנהל המחשב של Microsoft. הערה: מנהל המחשב של Microsoft אינו זמין בכל האזור. |
