מדיניות מנהלי ההתקנים של Windows

Windows כולל תכונת אבטחה הנקראת תקינות קוד ליבה שמסייעת להגן על המערכת שלך על-ידי כך שהוא מוודא שמנהלי התקנים של ליבה נטענים במערכת שלך פועלים עם תקינות ונחתם באופן מוצפן על-ידי רשות ש- Microsoft בטחה בה.

אם אתה רואה הודעה זו, פירוש הדבר שמנהל התקן או תוכנת מצב ליבה אינם חתומים כראוי או אינם עומדים בדרישות החתימה של תקינות קוד הליבה של Windows.

אבטחת Windows-שיח של חסימה מוצגת כאשר מנהל התקן חסום

Windows דורש שכל מנהלי ההתקנים החדשים יישלח ויתוכנס באמצעות תהליך תוכנית תאימות החומרה (WHCP) של Windows . מנהלי התקנים שהיו מהימנים בעבר ב- Windows שחתמו על-ידי התוכנית החתימה חוצה התוקף שפג תוקפה . עם זאת, עם עדכון האבטחה של אפריל 2026, מנהלי התקנים אלה אינם מהימנים עוד כברירת מחדל. ההודעה זמינה כאן: https://go.microsoft.com/fwlink/?linkid=2356646.

מהי מדיניות מנהלי ההתקנים של Windows?

מדיניות מנהל ההתקן של Windows היא מדיניות בליבת Windows שמגבילה את מנהלי ההתקנים במצב ליבה שניתן לטעון במכשיר שלך. כאשר הם פעילים, רק מנהלי ההתקנים הבאים מורשים לטעון:

  1. מנהלי התקנים שנכנסו כראוי באמצעות תהליך אישור ה- WHCP של Microsoft
  2. מנהלי התקנים המופיעים ברשימת מנהלי ההתקנים של מנהלי ההתקנים של Windows מאפשרים רשימה של מנהלי התקנים מוניטין החתמו על-ידי התוכנית החתימה

מנהלי התקנים שאינם חתומים על-ידי Microsoft WHCP או שמופיעים במדיניות מנהל ההתקן של Windows ייחסמו במערכות מותאמות לטווח.

תכונה זו עוזרת להגן עליך מפני מנהלי התקנים שעלולים להיות לא בטוחים או לא נבדקים, ולהפחית את הסיכון לתוכנות זדוניות, אי-יציבות מערכת ופגיעות אבטחה שנגרמו על-ידי מנהלי התקנים ומפרסם מנהלי התקנים שלא נבדקו.

כיצד תכונה זו עובדת?

מדיניות מנהל ההתקן של Windows משתמשת בגישה דו-פאזית, כגון בקרת אפליקציות חכמות , כדי להגדיל בהדרגה את ההגנה במכשיר שלך:

מצב הערכה (ביקורת)

כאשר התכונה מופעלת לראשונה, היא מופעלת במצב הערכה . בשלב זה:

  • מנהלי התקנים שהמדיניות תיחסם עבורם לביקורת אך עדיין מורשים לטעון אותם . פעולה זו מבטיחה שהמכשיר שלך ימשיך לפעול כרגיל בזמן ש- Windows קובע אם האכיפה מתאימה למערכת שלך.
  • Windows עוקב אחר מספר מנהלי ההתקנים במערכת שלך שהושפעו מהמדיניות.
  • אם מנהל התקן שעלול להפר את המדיניות מזוהה במהלך הערכה, התקדמות ההערכה מאופסת . משמעות הדבר היא שהספירה לאחור לאכיפת מתחילה מחדש, ונותן ל- Windows זמן רב יותר לבחון את השימוש במנהל ההתקן של המערכת שלך.

קריטריוני הערכה

Windows מנטר את הקריטריונים הבאים כדי לקבוע מתי המכשיר שלך מוכן לאכיפה:

  • זמן פעולה תקינה של המערכת: המכשיר שלך חייב לצבור 100 שעות של שימוש פעיל.
  • הפעלות אתחול: המכשיר שלך חייב אותחל מחדש לפחות 3 פעמים (פעמיים ב- Windows Server) מאז שההערכה התחילה.
  • אין הפרות מדיניות: אם מנהל התקן שנחסם נטען במהלך תקופת ההערכה, מוני ההפעלה של זמן התמיכה והאתחול מאופסים לאפס, מרחיבים את תקופת ההערכה.

אם המכשיר שלך טוען באופן עקבי מנהלי התקנים העוברים את המדיניות ועומדים בקריטריונים אלה, המערכת נחשבת למועמדת טובה לאכיפה.

מצב אכיפה

לאחר התמלאות קריטריוני ההערכה, Windows עובר באופן אוטומטי למצב אכיפה . בשלב זה:

  • התקנים מוגנים מפני מנהלי התקנים שאינם עומדים בדרישות החתימה במדיניות מנהלי ההתקנים של Windows.
  • טעינה ולהפיק של נתוני אבחון אלה נחסמים על-ידי Microsoft לסקירה, וערכים ביומן האירועים של Windows שבאפשרותך לסקור.
  • רשימת התרות של מנהלי התקנים ומפרסם ספציפיים כלולה במדיניות כדי לאפשר למנהלי התקנים נפוצים מסוימים מדור קודם שעדיין לא אושרו על-ידי WHCP כדי להמשיך לתפקד.

לאחר שמצב האכיפה יהיה פעיל, המדיניות תישאר בתוקף במהלך אתחולים מחדש.

שאלות נפוצות

כיצד ניתן לבצע לדעת אם מנהל התקן חסום?

אם מנהל התקן נחסם על-ידי מדיניות זו, ייתכן שתראה:

  • התקן חומרה אינו פועל כראוי.
  • ציוד היקפי או רכיב (מדפסת, מתאם רשת, GPU וכדומה) אינו מזוהה.
  • הפעלת יישום התבסס על מנהל התקן ליבה נכשלת.

באפשרותך לבדוק אם מדיניות מנהל ההתקן של Windows אחראית על-ידי בדיקת יומני האירועים תקינות קוד באמצעות שתי השיטות הבאות.

אירועי תקינות קוד שאילתה באופן ידני

  1. לחץ באמצעות לחצן העכבר הימני על לחצן התחל ובחר מציג האירועים .
  2. בחלונית הימנית, נווט אל: אפליקציות ושירותים יומני>רישום של Microsoft>Windows>CodeIntegrity>Operational
  3. חפש או סנן את יומן הרישום עבור אירועים עם זהים אלה:
  • מזהה אירוע 3076 — מנהל התקן עבר ביקורת (היה חסום אך הותר מאחר שהמדיניות נמצאת במצב ביקורת).
  • מזהה אירוע 3077 — טעינת מנהל התקן נחסמה מאחר שהוא הפר את מדיניות האכיפה.

בפרטי האירוע, חפש את השדה מזהה מדיניות. אירועים שנגרמו על-ידי תכונה זו יפנה לאחד מזהי ה- GUID הבאים של המדיניות:

  • מדיניות ביקורת : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}
  • מדיניות אכיפת : {8F9CB695-5D48-48D6-A329-7202B44607E3}

אירועי תקינות קוד שאילתה עם PowerShell

באפשרותך להשתמש ב- PowerShell כדי למצוא במהירות אירועים הקשורים לתכונה זו:

# Find audit events (Event ID 3076) from the Windows Driver audit policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

# Find block events (Event ID 3077) from the Windows Driver enforced policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

פרטי האירוע יכללו את שם מנהל ההתקן שנוקב או נחסם ואת שם התהליך שניסה לטעון את מנהל ההתקן, שיכול לעזור לך לזהות איזה מנהל התקן או מכשיר מושפע.

מה עליי לעשות אם מנהל התקן חסום?

אם אתה משתמש המכשיר או מנהל ה- IT

  1. עיין ביומני האירועים באמצעות השלבים שלעיל כדי לזהות איזה מנהל התקן חסום.

  2. בדוק Windows Update מנהלי התקנים מעודכנים. ייתכן שמנהלי התקנים חתומים עם אישור WHCP כבר זמינים דרך Windows Update. עבור אל הגדרות>Windows Update>אפשרויות מתקדמותעדכונים אופציונליים>עדכוני מנהל התקן>כדי לבדוק אם קיימים עדכונים זמינים של מנהלי התקנים.

  3. בקר באתר האינטרנט של היצרן . הורד את הגירסה העדכנית ביותר של מנהל ההתקן מתוך דף התמיכה הרשמי של הספק - יש יותר להניח שגרסאות חדשות יותר יהיו חתומות באמצעות WHCP.

  4. פנה לספק החומרה או התוכנה שתפרסם את מנהל ההתקן. שאל אותם אם גירסה מאושרת WHCP של מנהל ההתקן זמינה והיכן לגשת אליה. רוב הספקים כבר מאשרים את מניעי הפעילויות שלהם.

אם אתה מפרסם של מנהל התקן

אם אתה מפתח ומפיץ מנהלי התקנים של מצב ליבה עבור Windows, עליך לוודא שמנהלי ההתקנים שלך חתומים באמצעות תהליך WHCP:

  1. הצטרף למרכז הפיתוח של החומרה של Windows . הירשם במרכז הפיתוח של החומרה של Windows באמצעות אישור חוקי של חתימת קוד EV (אימות מורחב).
  2. צור הגשה . בלוח המחוונים של החומרה, צור מוצר חדש ושלח את חבילת מנהל ההתקן שלך לאישור.
  3. הפעל את בדיקות HLK . השתמש ב - Windows Hardware Lab Kit (HLK) כדי להפעיל את הבדיקות הנדרשות עבור סוג מנהל ההתקן והקטגוריה של המכשיר שלך.
  4. שלח לחתימה . לאחר ביצוע הבדיקות, שלח את תוצאות ה- HLK יחד עם חבילת מנהל ההתקן. Microsoft תחתום על מנהל ההתקן באמצעות אישור WHCP.
  5. הפץ את מנהל ההתקן החתום . לאחר ההתחברות, פרסם את מנהל ההתקן המאושר על-ידי WHCP באמצעות Windows Update ו/או באמצעות אתר האינטרנט שלך.

חשוב

מנהלי התקנים שנחתמו באמצעות אישורים חוצי אישורים בלבד ללא אישור WHCP עשויים להיחסם במערכות עם מדיניות מנהל ההתקן של Windows במצב אכיפה.

כיצד ניתן לבצע את מדיניות מנהלי ההתקנים של Windows?

אזהרה

הפיכת תכונה זו ללא זמינה מפחיתה את אבטחת המכשיר שלך. אנו ממליצים להפוך אותה לזמינה ולעבודה עם מפרסמי מניעי פעילויות כדי להשיג מנהלי התקנים החתמים על-ידי WHCP במקום זאת.

מדיניות מנהל ההתקן של Windows היא מדיניות שלמות קוד חתומה המאוחסנת במחיצת המערכת של EFI ומוגנת על-ידי רכיבי אתחול מוקדם של Windows. ביטול התכונה דורש את השלבים הידניים הבאים, כך שתוכנות זדוניות הפועלות כמנהל מערכת לא יכולות לטפל שלא כדין בתכונה:

שלב 1: הפיכת אתחול מאובטח ללא זמין

  1. הפעל מחדש את המחשב והזן את תפריט הגדרות הקושחה (BIOS) של UEFI. בדרך כלל ניתן לעשות זאת על-ידי הקשה על מקש במהלך האתחול (כגון F2 , F10 , Del או Esc — עיין בתיעוד של יצרן ההתקן)

    1. לחלופין, ב- Windows: עבור אל הגדרות שחזור>מערכת>הפעלה>מתקדמת הפעלה>מחדש כעת . לאחר מכן בחר פתרון בעיות>אפשרויות מתקדמות>הגדרות קושחה UEFI הפעל>מחדש .
  2. בהגדרות הקושחה, אתר את האפשרות אתחול מאובטח (בדרך כלל, תחת הכרטיסיה אבטחהאו אתחול).

  3. הגדר אתחול מאובטח כלא זמין .

  4. שמור שינויים ויציאה מהגדרות הקושחה.

שלב 2: מחיקת קבצי המדיניות ממחיצת המערכת של EFI

1.1.1.1   פתח את PowerShell כמנהל מערכת .

2.2.2.2   לטעון את מחיצת המערכת של EFI על-ידי הפעלת:

mountvol S: /s

באפשרותך להשתמש בכל אות כונן זמינה במקום 'S:'.

שלוש .   מחק את קובץ מדיניות הביקורת:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

ארבע .    אם מדיניות האכיפה קיימת גם היא, מחק אותה:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

חמש .   בנוסף, חפש ומחק את פריטי המדיניות מספריה של המערכת של Windows:

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

6 .אני לא יכול לעשות את זה .    בטל את טעינת מחיצת ה- EFI:

mountvol S: /d

שלב 3: הפעל מחדש את המחשב

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. לאחר ההפעלה מחדש, המדיניות לא תהיה פעילה עוד וכל מנהלי ההתקנים החתמו - כולל אלה ללא אישור WHCP - יורשו להיטען.

שלב 4: הפעל מחדש אתחול מאובטח

לאחר הסרת קבצי המדיניות, הפעל מחדש אתחול מאובטח בהגדרות הקושחה של UEFI כדי לשמור על הגנות אתחול מאובטח אחרות.

מדוע מנהל ההתקן שלי פעל בעבר ופתאום נחסם?

התכונה מתחילה במצב הערכה , שבו היא מבצעת רישום אך אינה חוסמת מנהלי התקנים לא מוגדרים. לאחר שהמערכת שלך עומדת בקריטריוני ההערכה (מספיק זמן פעולה ואתחול מחדש ללא הפרות מדיניות), המדיניות תעבר באופן אוטומטי למצב אכיפה , ומנהלי התקנים שאינם חתומים באמצעות WHCP ייחסמו. הדבר עלול לגרום למנהלי התקנים פועלים בעבר להפסיק את הטעינה.

האם ניתן לאפשר מנהל התקן בודד מבלי להפוך את התכונה ללא זמינה לחלוטין?

בשלב זה אין דרך לעקוף את המדיניות עבור מנהלי התקנים בודדים. באפשרותך להפוך את התכונה ללא זמינה לחלוטין (ראה לעיל) או – עדיף — לפנות אל מפרסם מנהל ההתקן ובקש ממנו לספק גירסה החתימה על-ידי WHCP של מנהל ההתקן שלו.

האם פעולה זו משפיעה על יישומי מצב משתמש או רק על מנהלי התקנים של ליבה?

תכונה זו חלה על מנהלי התקנים של מצב ליבה בלבד . אפליקציות במצב משתמש אינן מושפעות ממדיניות זו.

האם המכשיר שלי במצב הערכה או במצב אכיפה?

באפשרותך לבדוק זאת על-ידי הפעלת הפקודות הבאות כמנהל מערכת ב- PowerShell:

$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }

$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }

if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }

elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }

else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }

האם זה משפיע על Windows Server?

כן - Windows Server 2025 ופלטפורמות שרת חדשות יותר. עם זאת, Windows Server, דרישת הפעלת האתחול היא 2 אתחולים מחדש (בהשוואה ל- 3 בהדורות לקוח). כל שאר הקריטריונים זהים.

מה קורה אם אני מאפס או מתקין מחדש את Windows?

אם תאפס או תתקין מחדש את Windows, התכונה תתחיל לפעול מחדש במצב הערכה. מוני ההערכה יאופסו והמעבר לאכיפת יתחיל שוב מההתחלה.

זקוק לעזרה נוספת?

אם אתה ממשיך להיתקל בבעיות עם מנהל התקן חסום, בקר בפורומים של קהילת Microsoft או פנה לתמיכה של Microsoft .

נשמח לקבל ממך משוב לגבי תכונה זו. כדי לשתף את החוויה שלך:

  1. ב- Windows, פתח את מרכז המשוב (הקש Win + F ).

2.2.2.2 בשלב 2 — בחר קטגוריה , בחר בקרתאפליקציות אבטחה ופרטיות> .