Applies ToWindows 11 Windows 10

דף אבטחת המכשיר של האפליקציה אבטחת Windows מיועד לנהל את תכונות האבטחה המוכללות במכשיר Windows שלך. העמוד מחולק למקטעים הבאים:

  • בידוד ליבה: כאן באפשרותך לקבוע את תצורת תכונות האבטחה המוגנות על הליבה של Windows

  • מעבד אבטחה: מספק מידע אודות מעבד האבטחה, אשר נקרא מודול הפלטפורמה המהימנה (TPM)

  • אתחול מאובטח: אם אתחול מאובטח זמין, תוכל למצוא מידע נוסף לגביו

  • הצפנת נתונים: כאן תוכל למצוא קישור להגדרות Windows, שבהן תוכל לקבוע את התצורה של הצפנת המכשיר והגדרות אחרות של BitLocker

  • יכולת אבטחת חומרה: הערכת תכונות אבטחת החומרה של המכשיר שלך

באפליקציית אבטחת Windows במחשב שלך, בחר אבטחת מכשיר, או  השתמש בקיצור הדרך הבא:

אבטחת מכשיר

צילום מסך של מסך אבטחת המכשיר אבטחת Windows האפליקציה.

בידוד ליבה

בידוד ליבה מספק תכונות אבטחה שנועדו להגן על תהליכי הליבה של Windows מפני תוכנות זדוניות על-ידי בידודן בזיכרון. הוא עושה זאת על-ידי הפעלת תהליכי ליבה אלה בסביבה וירטואלית. 

באפליקציית אבטחת Windows במחשב שלך, בחר באפשרות אבטחת> פרטי בידוד ליבה או השתמש בקיצור הדרך הבא:

בידוד ליבה

הערה: התכונות החשופות בדף בידוד הליבה משתנות בהתאם לגירסת Windows שבה אתה משתמש, ולרכיבי החומרה המותקנים.

תקינות הזיכרון, המכונה גם תקינות קוד המוגנת על-ידי Hypervisor (HVCI) היא תכונת אבטחה של Windows שמקשה על תוכניות זדוניות להשתמש במנהלי התקנים ברמה נמוכה כדי לחטוף את המחשב שלך.

מנהל התקן הוא פריט תוכנה המאפשר למערכת ההפעלה (Windows במקרה זה) ולהתקן (כגון לוח מקשים או מצלמת אינטרנט) לשוחח זה עם זה. כאשר המכשיר מעוניין ש- Windows יתבצע פעולה כלשהי, הוא משתמש במנהל ההתקן כדי לשלוח בקשה זו.

תקינות הזיכרון פועלת על-ידי יצירת סביבה מבודדת באמצעות וירטואליזציה של חומרה.

תחשוב על זה כמו על איש אבטחה בתוך תא נעול. סביבה מבודדת זו (הדוכן הנעול באנלוגיה שלנו) מונע מתוקף לטפל שלא כדין בתכונת תקינות הזיכרון. תוכנית שרוצה להפעיל קטע קוד שעשוי להיות מסוכן צריך להעביר את הקוד לשלמות הזיכרון בתוך הדוכן הווירטואלי כדי שניתן יהיה לאמת אותו. כאשר תקינות הזיכרון נוחה שהקוד בטוח, הוא מריץ חזרה את הקוד ל- Windows. בדרך כלל, זה קורה מהר מאוד.

ללא הפעלה של תקינות זיכרון, שומר האבטחה בולט במקום שבו הרבה יותר קל לתוקף להפריע או לחבל בשומר, מה שמקל על קוד זדוני להתגנב בעבר גורם לבעיות.

באפשרותך להפעיל או לכבות את תקינותהזיכרון באמצעות הלחצן הדו-מצבי.

הערה: כדי להשתמש בתקינות זיכרון, עליך להפוך את וירטואליזצית החומרה לזמינה ב- UEFI או ב- BIOS של המערכת.

מה אם כתוב שיש לי מנהל התקן לא תואם?

אם הפעלת תקינות הזיכרון נכשלת, ייתכן שהיא תציין שכבר מותקן מנהל התקן לא תואם. פנה ליצרן ההתקן כדי לבדוק אם יש לו מנהל התקן מעודכן זמין. אם אין לו מנהל התקן תואם זמין, ייתכן שתוכל להסיר את המכשיר או האפליקציה המשתמשים במנהל התקן לא תואם זה.

הערה: אם אתה מנסה להתקין מכשיר עם מנהל התקן שאינו תואם לאחר הפעלת תקינות זיכרון, ייתכן שתקבל את אותה הודעה. אם כן, אותה עצה חלה - פנה ליצרן המכשיר כדי לבדוק אם יש לו מנהל התקן מעודכן שתוכל להוריד, או אל תתקין התקן מסוים זה עד שמנהל התקן תואם יהיה זמין.

הגנה על ערימה שנאכפת על-ידי חומרה היא תכונת אבטחה מבוססת חומרה שמקשה על תוכניות זדוניות להשתמש במנהלי התקנים ברמה נמוכה כדי לחטוף את המחשב שלך.

מנהל התקן הוא פריט תוכנה המאפשר למערכת ההפעלה (Windows במקרה זה) ולהתקן (כגון לוח מקשים או מצלמת אינטרנט) לשוחח זה עם זה. כאשר המכשיר מעוניין ש- Windows יתבצע פעולה כלשהי, הוא משתמש במנהל ההתקן כדי לשלוח בקשה זו.

הגנה על ערימה שנאכפת על-ידי חומרה פועלת על-ידי מניעת תקיפות ששינויים של כתובות ההחזרה בזיכרון במצב ליבה להפעלת קוד זדוני. תכונת אבטחה זו דורשת CPU המכיל את היכולת לאמת את כתובות ההחזרה של קוד פועל.

בעת ביצוע קוד במצב ליבה, כתובות השולח במחסנית מצב ליבה עלולות להיפגם על-ידי תוכניות או מנהלי התקנים זדוניים כדי לנתב מחדש ביצוע קוד רגיל לקוד זדוני. במעבדים נתמכים, ה- CPU שומר עותק שני של כתובות החזרה חוקיות במחסנית צל לקריאה בלבד שמנהלי התקנים אינם יכולים לשנות. אם כתובת השולח בערימה הרגילה שונתה, ה- CPU יכול לזהות אי-התאמה זו על-ידי בדיקת העותק של כתובת השולח בערימה של הצל. כאשר מתרחשת אי-התאמה זו, המחשב מבקש שגיאת עצירה, שנקראת לעתים מסך כחול, כדי למנוע את ביצוע הקוד הזדון.

לא כל מנהלי ההתקנים תואמים לתכונת אבטחה זו, מפני שמספר קטן של מנהלי התקנים לגיטימיים מבצעים שינויים בכתובת השולח למטרות שאינן זדוניות. Microsoft תשתף פעולה עם מפרסמים רבים של מנהלי התקנים כדי לוודא שמנהלי ההתקנים העדכניים ביותר שלהם תואמים להגנה על ערימה שנאכפת על-ידי חומרה.

באפשרותך להפעיל או לבטל הגנת ערימה שנאכפת על-ידי חומרה באמצעות הלחצן הדו-מצבי.

כדי להשתמש בהגנה על ערימה שנאכפת על-ידי חומרה, דרושה לך תקינות זיכרון זמינה, ועליך להפעיל CPU התומך בטכנולוגיית אכיפה של Intel Control-Flowאו AMD Shadow Stack.

מה אם מופיע הכיתוב יש לי מנהל התקן או שירות לא תואם?

אם הפעלת הגנת ערימה שנאכפת על-ידי חומרה נכשלת, ייתכן שתודע לך שיש לך מנהל התקן או שירות שאינם תואמים שכבר מותקנים. פנה ליצרן ההתקן או למפרסם היישום כדי לבדוק אם יש לו מנהל התקן מעודכן זמין. אם אין לו מנהל התקן תואם זמין, ייתכן שתוכל להסיר את המכשיר או האפליקציה המשתמשים במנהל התקן לא תואם זה.

אפליקציות מסוימות עשויות להתקין שירות במקום מנהל התקן במהלך התקנת היישום ולהתקין את מנהל ההתקן רק כאשר היישום מופעל. לגילוי מדויק יותר של מנהלי התקנים שאינם תואמים, גם שירותים שידוע כי הם משויכים למנהלי התקנים שאינם תואמים.

הערה: אם אתה מנסה להתקין מכשיר או אפליקציה עם מנהל התקן לא תואם לאחר הפעלת הגנת ערימה שנאכפת על-ידי חומרה, ייתכן שתראה את אותה הודעה. אם כן, אותה עצה חלה - פנה ליצרן המכשיר או למפרסם האפליקציה כדי לבדוק אם יש לו מנהל התקן מעודכן שבאפשרותך להוריד, או אל תתקין מכשיר או אפליקציה מסוימים אלה עד שמנהל התקן תואם יהיה זמין.

המכונה גם הגנת DMA של ליבה, תכונת אבטחה זו מגנה על המכשיר שלך מפני התקפות שעלולות להתרחש כאשר מכשיר זדוני מחובר ליציאת Peripheral Component Interconnect (PCI) כמו יציאת Thunderbolt.

דוגמה פשוטה לאחת מתקפות אלה היא אם מישהו יוצא מהמחשב שלו להפסקת קפה מהירה, ובשהותו לא נמצא, תוקף נכנס, מחבר התקן התואם ל- USB ומתרחק עם נתונים רגישים מהמחשב, או מזריק תוכנה זדונית המאפשרת לו לשלוט במחשב מרחוק. 

הגנה על גישה לזיכרון מונעת סוגים אלה של תקיפות על-ידי מניעת גישה ישירה לזיכרון למכשירים אלה למעט בנסיבות מיוחדות, במיוחד כאשר המחשב נעול או שהמשתמש מתנתק.

עצה: לקבלת מידע נוסף, ראה הגנת DMA של ליבה.

לכל מכשיר יש תוכנה מסוימת שנכתבה לזיכרון לקריאה בלבד של המכשיר - בעיקרון נכתבה על שבב בלוח המערכת - המשמשת לפונקציות הבסיסיות של המכשיר, כגון טעינת מערכת ההפעלה שמפעילה את כל האפליקציות שאנו רגילים להשתמש שבהם. מאחר שתוכנה זו קשה (אך לא בלתי אפשרית) לשנות אותה, אנו מתייחסים אליה בתור קושחה.

מאחר הקושחה נטענת תחילה ופועלים תחת מערכת ההפעלה, כלי אבטחה ותכונות שפועלים במערכת ההפעלה מתקשים לזהות אותה או להתגונן מפניה. כמו בית התבסס על בסיס טוב כדי להיות מאובטח, המחשב זקוק הקושחה שלו כדי להיות מאובטח כדי להבטיח שמערכת ההפעלה, האפליקציות והנתונים במחשב זה בטוחים.

System Guard היא קבוצה של תכונות שמסייעות להבטיח שהתוקפים לא יוכלו להפעיל את המכשיר בקושחה לא מהימנה או זדונית.

פלטפורמות המציעות הגנה על הקושחה מגנות בדרך כלל גם על מצב ניהול המערכת ( SMM), מצב הפעלה בעל הרשאה גבוהה, למעלות משתנות. אתה יכול לצפות לאחד משלושת הערכים, עם מספר גבוה יותר המציין מידה גדולה יותר של הגנת SMM:

  • המכשיר שלך עומד בגירסה אחת להגנה על קושחה: פעולה זו מציעה צמצום סיכונים של אבטחה בסיסית כדי לעזור ל- SMM להתנגד לניצול על-ידי תוכנות זדוניות, ומונעת הרחבה של סודות ממערכת ההפעלה (כולל VBS)

  • המכשיר שלך עומד בגירסה שתיים להגנה על קושחה: בנוסף לגירסת ההגנה על הקושחה 1, גירסה 2 מבטיחה של- SMM לא תהיה אפשרות להשבית הגנות מבוססות-וירטואליזציה (VBS) והגנת DMA בליבה

  • המכשיר שלך עומד בגירסה 3 להגנה על קושחה: בנוסף לגירסה 2 של הגנת הקושחה, הוא מקשה עוד יותר על SMM על-ידי מניעת גישה לרישוםים מסוימים בעלי היכולת לסכן את מערכת ההפעלה (כולל VBS)

עצה: לקבלת מידע נוסף, ראה System Guard: כיצד בסיס אמון מבוסס חומרה עוזר להגן על Windows

הגנה על רשות אבטחה מקומית (LSA) היא תכונת אבטחה של Windows שמונעת גניבה של אישורים המשמשים לכניסה ל- Windows.   

רשות האבטחה המקומית (LSA) היא תהליך חיוני ב- Windows המעורב באימות משתמשים. הוא אחראי לאימות אישורים במהלך תהליך הכניסה ולניהול אסימוני אימות וכרטיסים המשמשים לכניסה יחידה עבור שירותים. הגנה על LSA עוזרת למנוע מתוכנות לא מהימנה לפעול בתוך LSA או לגשת לזיכרון LSA.  

כיצד ניתן לבצע את ההגנה על רשות האבטחה המקומית?

באפשרותך להפעיל או לכבות את הגנת LSA באמצעות הלחצן הדו-מצבי.

לאחר ששינית את ההגדרה, עליך לבצע אתחול מחדש כדי שהיא תוכל להיכנס לתוקף. 

הערה: כדי לסייע בשמירה על בטיחות האישורים, הגנת LSA מופעלת כברירת מחדל בכל המכשירים. עבור התקנות חדשות, היא זמינה באופן מיידי. עבור שדרוגים, היא זמינה לאחר אתחול מחדש לאחר תקופת הערכה של 10 ימים.

מה קורה אם יש לי תוכנה לא תואמת? 

אם הגנת LSA זמינה והיא חוסמת את טעינת התוכנה בשירות LSA, הודעה מציינת את הקובץ החסומים. ייתכן שתוכל להסיר את התוכנה שטוענת את הקובץ, או לבטל אזהרות עתידיות עבור קובץ זה כאשר טעינה שלו תיחסם ב- LSA.  

הערה: Credential Guard זמין במכשירים שבהם פועלות גירסאות Enterprise או Education של Windows.

כאשר אתה משתמש במכשיר שלך בעבודה או בבית הספר, הוא נכנס בשקט למגוון דברים, כגון קבצים, מדפסות, אפליקציות ומשאבים אחרים בארגון שלך. הפיכת תהליך זה לאבטח, אך קל יותר למשתמש, פירושה שבמחשב שלך יש מספר אסימוני אימות בכל זמן נתון.

אם תוקף יכול לקבל גישה לאחד או יותר מאסימונים אלה, ייתכן שהוא יוכל להשתמש בהם כדי לקבל גישה למשאב הארגוני (קבצים רגישים וכו') שעבורו מיועד האסימון. Credential Guard עוזר להגן על אסימונים אלה על-ידי הצבתם בסביבה מוגנת, וירטואלית, שבה רק שירותים מסוימים יכולים לגשת אליהם בעת הצורך.

עצה: לקבלת מידע נוסף, ראה כיצד Credential Guard פועל.

מנהל התקן הוא פריט תוכנה המאפשר למערכת ההפעלה (Windows במקרה זה) ולהתקן (כגון לוח מקשים או מצלמת אינטרנט) לשוחח זה עם זה. כאשר המכשיר מעוניין ש- Windows יתבצע פעולה כלשהי, הוא משתמש במנהל ההתקן כדי לשלוח בקשה זו. לכן, למנהלי התקנים יש גישה רגישה רבה במערכת שלך.

Windows 11 כוללת רשימת חסימות של מנהלי התקנים בעלי פגיעויות אבטחה ידועות, נחתמו באמצעות אישורים המשמשים לחתימה על תוכנה זדונית או כדי לעקוף את אבטחת Windows המודל.

אם יש לך תקינות זיכרון, בקרת אפליקציות חכמות או מצב Windows S מופעלים, גם רשימת החסימה הפגיעה של מנהל ההתקן תהיה מופעלת.

מעבד האבטחה

הגדרות מעבד האבטחה תחת הדף 'אבטחת מכשירים' אבטחת Windows האפליקציה מספקות פרטים על Trusted Platform Module (TPM) במכשיר שלך. ה- TPM הוא רכיב חומרה שנועד לשפר את האבטחה על-ידי ביצוע פעולות הצפנה.

הערה: אם אינך רואה ערך מעבד אבטחה במסך זה, ייתכן שלמכשיר שלך אין חומרת TPM (Trusted Platform Module) הדרושה עבור תכונה זו או שאינה זמינה ב- UEFI (ממשק קושחה מורחב מאוחד). פנה ליצרן המכשיר כדי לבדוק אם המכשיר שלך תומך ב- TPM, ואם כן, בצע שלבים כדי להפוך אותו לזמין.

כאן תוכל למצוא מידע על היצרן ומספרי הגרסה של מעבד האבטחה וכן מידע על מצב מעבד האבטחה.

באפליקציית אבטחת Windows במחשב שלך, בחר באפשרות אבטחת> פרטי מעבד אבטחה או השתמש בקיצור הדרך הבא:

פרטי מעבד אבטחה

אם מעבד האבטחה שלך אינו פועל כראוי, באפשרותך לבחור בקישור פתרון בעיות במעבד האבטחה כדי לראות הודעות שגיאה ואפשרויות מתקדמות, או להשתמש בקיצור הדרך הבא:

פתרון בעיות במעבד אבטחה

דף פתרון הבעיות של מעבד האבטחה מספק הודעות שגיאה רלוונטיות אודות ה- TPM. להלן רשימה של הודעות השגיאה והפרטים:

הודעה

פרטים

דרוש עדכון קושחה עבור מעבד האבטחה (TPM).

נראה שללוחות האם של המכשיר שלך אין תמיכה ב- TPM בשלב זה, אך עדכון קושחה עשוי לפתור בעיה זו. פנה ליצרן המכשיר כדי לראות אם קיים עדכון קושחה זמין וכיצד להתקין אותו. עדכוני קושחה זמינים בדרך כלל בחינם.

ה- TPM אינו זמין ודורש את התייחסותך.

מודול הפלטפורמה המהימן כבוי כנראה ב- BIOS של המערכת (מערכת קלט/פלט בסיסית) או ב- UEFI (ממשק קושחה מורחב מאוחד). עיין בתיעוד התמיכה של יצרן המכשיר, או פנה לתמיכה הטכנית שלו, לקבלת הוראות כיצד להפעיל אותו.

אחסון TPM אינו זמין. נקה את ה- TPM שלך.

לחצן 'נקה TPM' נמצא בדף זה. מומלץ לוודא שיש לך גיבוי טוב של הנתונים לפני שתמשיך.

‎אימות של תקינות המכשיר אינו זמין. נקה את ה- TPM שלך.

לחצן 'נקה TPM' נמצא בדף זה. מומלץ לוודא שיש לך גיבוי טוב של הנתונים לפני שתמשיך.

אימות תקינות המכשיר אינו נתמך במכשיר זה.

משמעות הדבר היא שהמכשיר אינו מספק לנו מספיק מידע כדי לקבוע מדוע TPM עשוי שלא לפעול כראוי במכשיר שלך.

ה- TPM אינו תואם הקושחה שלך וייתכן שהוא אינו פועל כראוי.

פנה ליצרן המכשיר כדי לראות אם קיים עדכון קושחה זמין וכיצד לקבל ולהתקין אותו. עדכוני קושחה זמינים בדרך כלל בחינם.

יומן האתחול המדוד של TPM חסר. נסה להפעיל מחדש את המכשיר שלך.

נתקלנו בבעיה ב- TPM שלך. נסה להפעיל מחדש את המכשיר שלך.

אם אתה עדיין נתקל בבעיות לאחר טיפול בהודעות השגיאה, פנה ליצרן המכשיר שלך לקבלת סיוע.

בחר נקה TPM כדי לאפס את מעבד האבטחה להגדרות ברירת המחדל.

זהירות: הקפד לגבות את הנתונים לפני ניקוי ה-TPM.

אתחול מאובטח

אתחול מאובטח מונע מתוכנות זדוניות מתוחכמות ומסוכנות - Rootkit - לטעון בעת הפעלת המכשיר. ‏‫תוכנות Rootkit משתמשות באותן ההרשאות כמו מערכת ההפעלה ומופעלות לפניה, מה שמאפשר להן להסתיר את עצמן לחלוטין. לעיתים קרובות תוכנות Rootkit הן חלק מחבילה של תוכנות זדוניות שיכולות לעקוף כניסות מקומיות, סיסמאות רשומות והקשות, להעביר קבצים פרטיים וללכוד נתונים מוצפנים.

ייתכן שיהיה עליך להפוך אתחול מאובטח ללא זמין כדי להפעיל חלק מכרטיסי הגרפיקה, החומרה או מערכות ההפעלה, כגון Linux או גירסאות קודמות של Windows.

לקבלת מידע נוסף, ראה אתחול מאובטח.

יכולות אבטחה של החומרה

המקטע האחרון של דף אבטחת המכשיר מציג מידע המציין את יכולת האבטחה של המכשיר שלך. להלן רשימה של הודעות ופרטים:

הודעה

פרטים

המכשיר שלך עומד בדרישות לאבטחת חומרה רגילה.

משמעות ההודעה היא שהמכשיר תומך בתקינות זיכרון ובידוד ליבה ובנוסף בעל:

  • TPM 2.0 (שמכונה גם מעבד אבטחה)

  • אתחול מאובטח מופעל

  • DEP

  • UEFI MAT

המכשיר שלך עומד בדרישות לאבטחת חומרה משופרת.

משמעות ההודעה היא שבנוסף לעמידה בכל הדרישות של אבטחת חומרה רגילה, במכשיר מופעלת האפשרות תקינות זיכרון.

כל תכונות מחשב הליבה המאובטחת זמינות במכשיר שלך.

משמעות ההודעה היא שבנוסף לעמידה בכל הדרישות של אבטחת חומרה משופרת, מכשיר שלך מופעלת הגנת System Management Mode ‏(SMM).

Standard אין תמיכה באבטחה של החומרה.

משמעות ההודעה היא שהמכשיר אינו עומד בדרישה אחת לפחות של אבטחת חומרה רגילה.

שיפור אבטחת החומרה

אם יכולת האבטחה של המכשיר שלך אינה ברמה המבוקשת, ייתכן שיהיה עליך להפעיל תכונות חומרה מסוימות (כגון אתחול מאובטח, אם נתמך) או לשנות את ההגדרות ב-BIOS של המערכת שלך. פנה לספק החומרה שלך כדי להבין אילו תכונות נתמכות על ידי החומרה שלך וכיצד להפעיל אותן.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלותקהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365