בידוד ליבה הוא תכונת אבטחה של Microsoft Windows שמגנה על תהליכי ליבה חשובים של Windows מפני תוכנות זדוניות על-ידי בידודם בזיכרון. הוא עושה זאת על-ידי הפעלת תהליכי ליבה אלה בסביבה וירטואלית. 

הערה: מה שאתה רואה בדף בידוד הליבה עשוי להשתנות מעט בהתאם לגירסה של Windows שבה אתה משתמש.

תקינות זיכרון

תקינות הזיכרון, המכונה גם תקינות קוד המוגנת על-ידי Hypervisor (HVCI) היא תכונת אבטחה של Windows שמקשה על תוכניות זדוניות להשתמש במנהלי התקנים ברמה נמוכה כדי לחטוף את המחשב שלך.

מנהל התקן הוא פריט תוכנה המאפשר למערכת ההפעלה (Windows במקרה זה) ולהתקן (כגון לוח מקשים או מצלמת אינטרנט, לקבלת שתי דוגמאות) לשוחח זה עם זה. כאשר המכשיר רוצה ש- Windows תעשה משהו, הוא משתמש במנהל ההתקן כדי לשלוח בקשה זו.

עצה: מעוניין לקבל מידע נוסף על מנהלי התקנים? ראה מהו מנהל התקן?

תקינות הזיכרון פועלת על-ידי יצירת סביבה מבודדת באמצעות וירטואליזציה של חומרה.

תחשוב על זה כמו על איש אבטחה בתוך תא נעול. סביבה מבודדת זו (הדוכן הנעול באנלוגיה שלנו) מונע מתוקף לטפל שלא כדין בתכונת תקינות הזיכרון. תוכנית שרוצה להפעיל קטע קוד שעשוי להיות מסוכן צריך להעביר את הקוד לשלמות הזיכרון בתוך הדוכן הווירטואלי כדי שניתן יהיה לאמת אותו. כאשר תקינות הזיכרון נוחה שהקוד בטוח, הוא מריץ חזרה את הקוד ל- Windows. בדרך כלל, זה קורה מהר מאוד.

ללא הפעלת תקינות זיכרון, "איש האבטחה" בולט במקום שבו הרבה יותר קל לתוקף להפריע לשומר או לחבל בו, מה שמקל על קוד זדוני להתגנב בעבר גורם לבעיות.

כיצד ניתן לנהל את תקינות הזיכרון?

ברוב המקרים, תקינות הזיכרון מופעלת כברירת מחדל ב- Windows 11, ובאפשרותך להפעיל אותה עבור Windows 10.

כדי להפעיל או לכבות אותו:

  1. בחר בלחצן התחל והקלד "בידוד ליבה".

  2. בחר את הגדרות מערכת בידוד הליבה בתוצאות החיפוש כדי לפתוח את אפליקציית האבטחה של Windows.

בדף בידוד ליבה, תמצא תקינות זיכרון יחד עם הלחצן הדו-מצבי כדי להפעיל או לכבות אותו.

דף בידוד הליבה של אבטחת Windows

חשוב: לבטיחות, מומלץ להפעיל את תקינות הזיכרון.

כדי להשתמש בתקינות זיכרון, עליך להפוך את וירטואליזצית החומרה לזמינה ב- UEFI או ב- BIOS של המערכת. 

מה אם כתוב שיש לי מנהל התקן לא תואם?

אם הפעלת תקינות הזיכרון נכשלת, ייתכן שהוא יודע לך שיש לך מנהל התקן לא תואם שכבר מותקן. פנה ליצרן ההתקן כדי לבדוק אם יש לו מנהל התקן מעודכן זמין. אם אין לו מנהל התקן תואם זמין, ייתכן שתוכל להסיר את המכשיר או האפליקציה המשתמשים במנהל התקן לא תואם זה.

תכונת תקינות הזיכרון של Windows מראה שמנהל התקן אינו תואם

הערה: אם אתה מנסה להתקין מכשיר עם מנהל התקן שאינו תואם לאחר הפעלת תקינות זיכרון, ייתכן שתראה את אותה הודעה. אם כן, אותה עצה חלה - פנה ליצרן המכשיר כדי לבדוק אם יש לו מנהל התקן מעודכן שתוכל להוריד, או אל תתקין התקן מסוים זה עד שמנהל התקן תואם יהיה זמין.

הגנת ערימה שנאכפת על-ידי חומרה במצב ליבה

Kernel-mode Hardware-enforced Stack Protection היא תכונת אבטחה מבוססת חומרה של Windows שמקשה על תוכניות זדוניות להשתמש במנהלי התקנים ברמה נמוכה כדי לחטוף את המחשב שלך.

מנהל התקן הוא פריט תוכנה המאפשר למערכת ההפעלה (Windows במקרה זה) ולהתקן כמו לוח מקשים או מצלמת אינטרנט, לדוגמה, לשוחח זה עם זה. כאשר המכשיר רוצה ש- Windows תעשה משהו, הוא משתמש במנהל ההתקן כדי לשלוח בקשה זו.

עצה: מעוניין לקבל מידע נוסף על מנהלי התקנים? ראה מהו מנהל התקן?

ההגנה על ערימה שנאכפת על-ידי מצב ליבה פועלת על-ידי מניעת תקיפות ששינוי כתובות ההחזרה בזיכרון במצב ליבה להפעלת קוד זדוני. תכונת אבטחה זו דורשת CPU המכיל את היכולת לאמת את כתובות ההחזרה של קוד פועל.

בעת ביצוע קוד במצב ליבה, כתובות השולח במחסנית מצב ליבה עלולות להיפגם על-ידי תוכניות או מנהלי התקנים זדוניים כדי לנתב מחדש ביצוע קוד רגיל לקוד זדוני. במעבדים נתמכים, ה- CPU שומר עותק שני של כתובות החזרה חוקיות במחסנית צל לקריאה בלבד שמנהלי התקנים אינם יכולים לשנות. אם כתובת השולח בערימה הרגילה שונתה, ה- CPU יכול לזהות אי-התאמה זו על-ידי בדיקת העותק של כתובת השולח בערימה של הצל. כאשר מתרחשת אי-התאמה זו, המחשב מבקש שגיאת עצירה, שנקראת לעתים מסך כחול, כדי למנוע את ביצוע הקוד הזדון.

לא כל מנהלי ההתקנים תואמים לתכונת אבטחה זו, מפני שמספר קטן של מנהלי התקנים לגיטימיים מבצעים שינויים בכתובת השולח למטרות שאינן זדוניות. Microsoft תשתף פעולה עם מפרסמים רבים של מנהלי התקנים כדי לוודא שמנהלי ההתקנים העדכניים ביותר שלהם תואמים להגנה על ערימה שנאכפת על-ידי חומרה במצב ליבה.

כיצד ניתן לנהל הגנת ערימה שנאכפת על-ידי חומרה במצב ליבה?

הגנת ערימה שנאכפת על-ידי חומרה במצב ליבה מבוטלת כברירת מחדל.

כדי להפעיל או לכבות אותו:

  1. בחר בלחצן התחל והקלד "בידוד ליבה".

  2. בחר את הגדרות מערכת בידוד הליבה בתוצאות החיפוש כדי לפתוח את אפליקציית האבטחה של Windows.

בדף בידוד ליבה, תמצא את ההגנה על ערימה שנאכפת על-ידי מצב ליבה יחד עם הלחצן הדו-מצבי כדי להפעיל או לכבות אותה.

מציין את המיקום של הלחצן הדו-מצבי של ממשק המשתמש של הגנת מחסנית שנאכף על-ידי מצב ליבה של מצב ליבה בדף בידוד הליבה של האפליקציה 'אבטחת Windows'.

כדי להשתמש בהגנת ערימה שנאכפת על-ידי חומרת מצב ליבה, דרושה לך תקינות זיכרון זמינה, ועליך להפעיל CPU התומך בטכנולוגיית אכיפה של Intel Control-Flowאו במחסנית צל AMD.

מה אם מופיע הכיתוב יש לי מנהל התקן או שירות לא תואם?

אם ההגנה על ערימה שנאכפת על-ידי מצב ליבה אינה מופעלת, ייתכן שהיא תציין כי כבר מותקן מנהל התקן או שירות שאינם תואמים. פנה ליצרן ההתקן או למפרסם היישום כדי לבדוק אם יש לו מנהל התקן מעודכן זמין. אם אין לו מנהל התקן תואם זמין, ייתכן שתוכל להסיר את המכשיר או האפליקציה המשתמשים במנהל התקן לא תואם זה.

יישומים מסוימים עשויים להתקין שירות במקום מנהל התקן במהלך התקנת היישום ולהתקין את מנהל ההתקן רק בעת הפעלת היישום. לגילוי מדויק יותר של מנהלי התקנים שאינם תואמים, גם שירותים שידוע כי הם משויכים למנהלי התקנים שאינם תואמים.

דף מנהלי התקנים ושירותים לא תואמים עבור הגנת מחסנית שנאכפת על-ידי מצב ליבה באפליקציה 'אבטחת Windows', עם מנהל התקן אחד שאינו תואם מוצג. מנהל ההתקן שאינו תואם נקרא ExampleDriver.sys, שפורסם על-ידי "דוגמה חברה".

הערה: אם אתה מנסה להתקין מכשיר או אפליקציה עם מנהל התקן לא תואם לאחר הפעלת הגנת ערימה שנאכפת על-ידי חומרה במצב ליבה, ייתכן שתראה את אותה הודעה. אם כן, אותה עצה חלה - פנה ליצרן המכשיר או למפרסם האפליקציה כדי לבדוק אם יש לו מנהל התקן מעודכן שבאפשרותך להוריד, או אל תתקין מכשיר או אפליקציה מסוימים אלה עד שמנהל התקן תואם יהיה זמין.

הגנה על גישה לזיכרון

פעולה זו המכונה גם "הגנת DMA של ליבה" מגנה על המכשיר שלך מפני התקפות שעלולות להתרחש כאשר התקן זדוני מחובר ליציאת PCI (Peripheral Component Interconnect) כמו יציאת Thunderbolt.

דוגמה פשוטה לאחת מתקפות אלה היא אם מישהו יוצא מהמחשב שלו להפסקת קפה מהירה, ובשהותו לא נמצא, תוקף נכנס, מחבר התקן התואם ל- USB ומתרחק עם נתונים רגישים מהמחשב, או מזריק תוכנה זדונית המאפשרת לו לשלוט במחשב מרחוק. 

הגנה על גישה לזיכרון מונעת סוגים אלה של תקיפות על-ידי מניעת גישה ישירה לזיכרון למכשירים אלה למעט בנסיבות מיוחדות, במיוחד כאשר המחשב נעול או שהמשתמש מתנתק.

אנו ממליצים להפעיל הגנה מפני גישה לזיכרון.

עצה: אם ברצונך לקבל פרטים טכניים נוספים על כך, ראה הגנת DMA של ליבה.

הגנת קושחה

לכל מכשיר יש תוכנה מסוימת שנכתבה לזיכרון לקריאה בלבד של המכשיר - בעיקרון נכתבה על שבב בלוח המערכת - המשמשת לפונקציות הבסיסיות של המכשיר, כגון טעינת מערכת ההפעלה שמפעילה את כל האפליקציות שאנו רגילים להשתמש שבהם. מאחר שתוכנה זו קשה (אך לא בלתי אפשרית) לשנות אותה, אנו מתייחסים אליה בתור קושחה.

מאחר הקושחה נטענת תחילה ופועלים תחת מערכת ההפעלה, כלי אבטחה ותכונות שפועלים במערכת ההפעלה מתקשים לזהות אותה או להתגונן מפניה. כמו בית המתבסס על בסיס טוב כדי להיות מאובטח, המחשב זקוק הקושחה שלו כדי להיות מאובטח כדי להבטיח שמערכת ההפעלה, האפליקציות ותוני הלקוח במחשב זה בטוחים.

Windows Defender System Guard הוא קבוצה של תכונות שמסייעות להבטיח שהתוקפים לא יוכלו להפעיל את המכשיר בקושחה לא מהימנה או זדונית.

אנו ממליצים להפעיל אותו אם המכשיר שלך תומך בו.

פלטפורמות המציעות הגנה על הקושחה מגנות בדרך כלל גם על מצב ניהול המערכת ( SMM), מצב הפעלה בעל הרשאה גבוהה, למעלות משתנות. אתה יכול לצפות לאחד משלושת הערכים, עם מספר גבוה יותר המציין מידה גדולה יותר של הגנת SMM:

  • המכשיר שלך עומד בגירסה אחת להגנה על קושחה: פעולה זו מציעה צמצום סיכונים של אבטחה בסיסית כדי לעזור ל- SMM להתנגד לניצול על-ידי תוכנות זדוניות, ומונעת הרחבה של סודות ממערכת ההפעלה (כולל VBS)

  • המכשיר שלך עומד בגירסה שתיים להגנה על קושחה: בנוסף לגירסת ההגנה על הקושחה 1, גירסה 2 מבטיחה של- SMM לא תהיה אפשרות להשבית הגנות מבוססות-וירטואליזציה (VBS) והגנת DMA בליבה

  • המכשיר שלך עומד בגירסה 3 להגנה על קושחה: בנוסף לגירסה 2 של הגנת הקושחה, הוא מקשה עוד יותר על SMM על-ידי מניעת גישה לרישוםים מסוימים בעלי היכולת לסכן את מערכת ההפעלה (כולל VBS)

עצה: אם אתה מעוניין בפרטים טכניים נוספים בנושא זה, ראה Windows Defender System Guard: כיצד בסיס אמון מבוסס חומרה עוזר להגן על Windows

הגנה על רשות אבטחה מקומית

הגנה על רשות אבטחה מקומית (LSA) היא תכונת אבטחה של Windows שמונעת גניבה של אישורים המשמשים לכניסה ל- Windows.   

רשות האבטחה המקומית (LSA) היא תהליך חיוני ב- Windows המעורב באימות משתמשים. הוא אחראי לאימות אישורים במהלך תהליך הכניסה ולניהול אסימוני אימות וכרטיסים המשמשים לכניסה יחידה עבור שירותים. הגנה על LSA עוזרת למנוע מתוכנות לא מהימנה לפעול בתוך LSA או לגשת לזיכרון LSA.  

כיצד ניתן לנהל הגנה של רשות אבטחה מקומית

הגנת LSA מופעלת כברירת מחדל בהתקנות חדשות של Windows 11 גירסה 22H2 ו- 23H2 במכשירים מנוהלים ארגוניים. היא מופעלת כברירת מחדל בכל התקנות החדשות של Windows 11 גירסה 24H2 ואילך. 

אם אתה משדרג ל- Windows 11 24H2 והגנת LSA אינה מופעלת עדיין, הגנת LSA מנסה להפוך לזמינה לאחר השדרוג. הגנת LSA תזין מצב הערכה לאחר השדרוג ותבדוק אם יש בעיות תאימות במהלך תקופה של 5 ימים. אם לא זוהו בעיות, הגנת LSA תופעל באופן אוטומטי באתחול הבא לאחר שחלון ההערכה הסתיים.  

כדי להפעיל או לכבות אותו: 

  1. בחר התחל בשורת המשימות והקלד "בידוד ליבה".

  2. בחר את הגדרות מערכת בידוד הליבה בתוצאות החיפוש כדי לפתוח את אפליקציית האבטחה של Windows.

בדף בידוד ליבה, תמצא את ההגנה על רשות האבטחה המקומית יחד עם הלחצן הדו-מצבי כדי להפעיל או לכבות אותו. לאחר ששינית את ההגדרה, עליך לבצע אתחול מחדש כדי שהיא תוכל להיכנס לתוקף. 

שליטה עבור הגנת LSA בדף בידוד ליבה של אפליקציית האבטחה של Windows

מה קורה אם יש לי תוכנה לא תואמת? 

אם הגנת LSA זמינה והיא חוסמת את טעינת התוכנה בשירות LSA, תוצג הודעה המציינת את הקובץ שנחסם. ייתכן שתוכל להסיר את התוכנה שטוענת את הקובץ או לבטל אזהרות עתידיות עבור קובץ זה כאשר טעינה שלו תיחסם ל- LSA.  

ההתראה מופעלת כאשר הגנת LSA חוסמת טעינה של קובץ.

Microsoft Defender Credential Guard

הערה: Microsoft Defender Credential Guard מופיע רק במכשירים שבהם פועלות גירסאות Enterprise של Windows 10 או Windows 11.

כאשר אתה משתמש במחשב שלך בעבודה או בבית הספר, הוא נכנס בשקט למגוון דברים, כגון קבצים, מדפסות, אפליקציות ומשאבים אחרים בארגון שלך. הפיכת תהליך זה לאבטח, אך קל למשתמש, פירושה שהמחשב שלך כולל מספר אסימוני אימות (שנקראים לעתים קרובות "סודות") בכל זמן נתון.

אם תוקף יכול לקבל גישה לאחד או יותר מהסודות האלה, ייתכן שהוא יוכל להשתמש בהם כדי לקבל גישה למשאב הארגוני (קבצים רגישים וכו') שהסוד מיועד לו. Microsoft Defender Credential Guard עוזר להגן על סודות אלה על-ידי הצבתם בסביבה מוגנת ומוגנת, וירטואלית, שבה רק שירותים מסוימים יכולים לגשת אליהם בעת הצורך.

אנו ממליצים להפעיל אותו אם המכשיר שלך תומך בו.

עצה: אם אתה מעוניין בפרטים טכניים נוספים בנושא זה, ראה כיצד Defender Credential Guard פועל.

רשימת חסימות של מנהלי התקנים פגיעים של Microsoft

מנהל התקן הוא פריט תוכנה המאפשר למערכת ההפעלה (Windows במקרה זה) ולהתקן (כגון לוח מקשים או מצלמת אינטרנט, לקבלת שתי דוגמאות) לשוחח זה עם זה. כאשר המכשיר רוצה ש- Windows תעשה משהו, הוא משתמש במנהל ההתקן כדי לשלוח בקשה זו. לכן, למנהלי התקנים יש גישה רגישה רבה במערכת שלך.

החל מעדכון Windows 11 2022, יש לנו כעת רשימת חסימות של מנהלי התקנים עם פגיעויות אבטחה ידועות, נחתמו באמצעות אישורים ששימשו לחתימה על תוכנות זדוניות או כדי לעקוף את מודל האבטחה של Windows.

אם יש לך תקינות זיכרון, בקרת אפליקציות חכמות או מצב Windows S מופעלים, גם רשימת החסימה הפגיעה של מנהל ההתקן תהיה מופעלת.

למידע נוסף

הישאר מוגן באמצעות אבטחת Windows

עזרה ולימוד עם האבטחה של Microsoft

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365