כיצד להפעיל את Microsoft Defender Credential Guard ו-Exploit Guard

הגנה על אישורים ב-Windows וחיזוק המערכת מפני פרצות אבטחה זה הפך כמעט לחובה בכל סביבת עסקים מודרנית. מתקפות כמו Pass-the-Hash, Pass-the-Ticket, או ניצול לרעה של פגיעויות יום-אפס (zero-day) מנצלות כל פיקוח בתצורה כדי לנוע לרוחב הרשת ולהשתלט על שרתים ותחנות עבודה תוך דקות ספורות.

בהקשר הזה, טכנולוגיות Microsoft Defender Credential Guard ו-Exploit Guard (יחד עם מנוע האנטי-וירוס של Microsoft Defender) הם מרכיבים מרכזיים באסטרטגיית האבטחה ב-Windows 10, Windows 11 ו-Windows Server. בשורות הבאות, תראו, שלב אחר שלב ובפירוט, כיצד הם פועלים, הדרישות שלהם, וכיצד להפעיל או לבטל אותם בצורה נכונה באמצעות Intune, Group Policy, הרישום, PowerShell וכלים אחרים, תוך הימנעות משיבוש תאימות שלא לצורך.

מהו Microsoft Defender Credential Guard ומדוע הוא כל כך חשוב?

Windows Defender Credential Guard הוא תכונת אבטחה תכונה זו, שהוצגה על ידי מיקרוסופט ב-Windows 10 Enterprise וב-Windows Server 2016, מסתמכת על אבטחה מבוססת וירטואליזציה (VBS) כדי לבודד סודות אימות. במקום שרשות האבטחה המקומית (LSA) תנהל ישירות אישורי גישה בזיכרון, נעשה שימוש בתהליך LSA מבודד.LSAIso.exe) בוצע בסביבה מוגנת.

בזכות הבידוד הזה, רק תוכנת מערכת עם ההרשאות המתאימות יכולה לגשת ל-hashes של NTLM ולכרטיסי Kerberos (TGT).אישורים המשמשים את Credential Manager, כניסות מקומיות ואישורים המשמשים בחיבורים כגון Remote Desktop אינם זמינים עוד. כל קוד זדוני שמנסה לקרוא ישירות את הזיכרון של תהליך LSA קונבנציונלי יגלה שסודות אלה נעלמו.

גישה זו מפחיתה באופן דרסטי את האפקטיביות של כלים קלאסיים לאחר ניצול כגון מימיקץ להתקפות Pass-the-Hash או Pass-the-Ticketהסיבה לכך היא שה-hashes והכרטיסים שהיו קלים לחילוץ בעבר נמצאים כעת במיכל מבודד בזיכרון, שתוכנה זדונית אינה יכולה לגשת אליו בקלות, גם אם יש לה הרשאות מנהל מערכת במערכת שנפגעה.

יש להבהיר כי Credential Guard אינו זהה ל-Device Guardבעוד ש-Credential Guard מגן על אישורים וסודות, Device Guard (וטכנולוגיות בקרת יישומים קשורות) מתמקדות במניעת הפעלת קוד לא מורשה במחשב. הם משלימים זה את זה, אך הם פותרים בעיות שונות.

למרות זאת, Credential Guard אינו פתרון קסם נגד מימיקץ או נגד תוקפים מבפנים.תוקף שכבר שולט בנקודת קצה יכול ללכוד אישורים כשהמשתמש מזין אותם (לדוגמה, באמצעות לוגר keylogger או על ידי הזרקת קוד לתהליך האימות). זה גם לא מונע מעובד עם גישה לגיטימית לנתונים מסוימים להעתיק או לחלץ אותם; Credential Guard מגן על אישורים בזיכרון, לא על התנהגות המשתמש.

Credential Guard מופעל כברירת מחדל ב-Windows 11 וב-Windows Server

בגרסאות מודרניות של Windows, Credential Guard מופעל אוטומטית במקרים רבים.החל מ-Windows 11 22H2 ו-Windows Server 2025, מכשירים העומדים בדרישות חומרה, קושחה ותצורה מסוימות מקבלים את VBS ו-Credential Guard מופעלים כברירת מחדל, מבלי שהמנהל יצטרך לעשות דבר.

במערכות אלו, ההפעלה המוגדרת כברירת מחדל מתבצעת ללא נעילת UEFIמשמעות הדבר היא שלמרות ש-Credential Guard מופעל כברירת מחדל, מנהל המערכת יכול מאוחר יותר להשבית אותו מרחוק באמצעות מדיניות קבוצתית, Intune או שיטות אחרות, מכיוון שאפשרות הנעילה לא הופעלה בקושחה.

כאשר Credential Guard מופעל, וגם אבטחה מבוססת וירטואליזציה (VBS) מופעלת.VBS הוא הרכיב שיוצר את הסביבה המוגנת שבה מבודדים LSAs והיכן מאוחסנים סודות, כך ששתי התכונות הולכות יד ביד בגרסאות אלה.

ניואנס חשוב הוא ש הערכים שתצורתם נקבעה במפורש על ידי המנהל תמיד גוברים. מעבר להגדרות ברירת המחדל. אם Credential Guard מופעל או מושבת דרך Intune, GPO או Registry, מצב ידני זה דורס את הגדרות ברירת המחדל לאחר הפעלת המחשב מחדש.

יתר על כן, אם במכשיר אחד היה Credential Guard מושבת במפורש לפני שדרוג לגירסת Windows שמאפשרת אותו כברירת מחדל.המכשיר יכבד את הביטול לאחר העדכון ולא יופעל אוטומטית, אלא אם כן תשתנה שוב תצורתו באמצעות אחד מכלי הניהול.

דרישות מערכת, חומרה, קושחה ורישוי

כדי ש-Credential Guard יוכל להציע הגנה אמיתיתהציוד חייב לעמוד בדרישות מסוימות של חומרה, קושחה ותוכנה. ככל שיכולות הפלטפורמה טובות יותר, כך רמת האבטחה הגבוהה יותר שניתן להשיג.

ראשון, מעבד 64 סיביות הוא חובה ותאימות עם אבטחה מבוססת וירטואליזציה. משמעות הדבר היא שהמעבד ולוח האם חייבים לתמוך בהרחבות הווירטואליזציה המתאימות, כמו גם בהפעלת תכונות אלו ב-UEFI/BIOS.

אלמנט קריטי נוסף הוא ה- אתחול מאובטח (אתחול מאובטח)אתחול מאובטח מבטיח שהמערכת תופעל על ידי טעינת קושחה ותוכנה מהימנות וחתומות בלבד. אתחול מאובטח משמש את VBS ואת Credential Guard כדי למנוע מתוקף לשנות רכיבי אתחול כדי להשבית או לתפעל את ההגנה.

למרות שזה לא חובה בהחלט, מומלץ מאוד שיהיה אחד כזה. מודול פלטפורמה מהימנה (TPM) גרסה 1.2 או 2.0בין אם מדובר ב-TPM נפרד או מבוסס קושחה, הוא מאפשר קישור סודות ומפתחות הצפנה לחומרה, ובכך מוסיף שכבה נוספת שמסבכת את העניינים באופן משמעותי עבור כל מי שמנסה לשאת או לעשות שימוש חוזר בסודות אלה במכשיר אחר.

כמו כן, מומלץ מאוד להפעיל את נעילת UEFI עבור Credential Guardזה מונע מכל אדם עם גישה למערכת להשבית את ההגנה פשוט על ידי שינוי מפתח רישום או מדיניות. כאשר הנעילה פעילה, השבתת Credential Guard דורשת הליך מבוקר ומפורש הרבה יותר.

בתחום הרישוי, Credential Guard אינו זמין בכל הגרסאות של Windowsבאופן כללי, הוא נתמך במהדורות ארגוניות וחינוך: Windows Enterprise ו-Windows Education תומכים, בעוד ש-Windows Pro או Pro Education/SE אינם כוללים אותו כברירת מחדל.

ل זכויות השימוש של Credential Guard קשורות לרישיונות מנוי מסוימים, כגון Windows Enterprise E3 ו-E5, וכן Windows Education A3 ו-A5. מבחינת רישוי, מהדורות ה-Pro אינן זכאיות לפונקציונליות מתקדמת זו, למרות שהן מפעילות את אותו קובץ בינארי של מערכת הפעלה.

תאימות יישומים ותכונות נעולות

לפני פריסת Credential Guard באופן המונימומלץ לבדוק היטב יישומים ושירותים המסתמכים על מנגנוני אימות ספציפיים. לא כל התוכנות מדור קודם פועלות היטב עם הגנות אלו, וחלק מהפרוטוקולים חסומים ישירות.

כאשר Credential Guard מופעל, תכונות הנחשבות מסוכנות מושבתות, כך ש יישומים שתלויים בהם מפסיקים לפעול כראויאלה ידועות כדרישות יישום: תנאים שיש להימנע מהם אם ברצונך להמשיך להשתמש ב-Credential Guard ללא תקריות.

בין התכונות אשר הם חסומים ישירות כולל:

• תאימות להצפנת Kerberos DES.
• האצלת Kerberos ללא הגבלות.
• הפקת TGT מ-Kerberos מ-LSA.
• פרוטוקול NTLMv1.

בנוסף, ישנם מאפיינים שאמנם אינם אסורים לחלוטין, אך כרוכים בסיכונים נוספים. אם משתמשים בו בשילוב עם Credential Guard. יישומים המסתמכים על אימות מרומז, האצלת אישורים, MS-CHAPv2 או CredSSP רגישים במיוחד, מכיוון שהם עלולים לחשוף אישורים בצורה לא מאובטחת אם לא מוגדרים בקפידה.

הם גם נצפו בעיות ביצועים ביישומים המנסים להיקשר או ליצור אינטראקציה ישירה עם התהליך המבודד LSAIso.exeמכיוון שתהליך זה מוגן ומבודד, כל ניסיון גישה חוזר עלול להוסיף תקורה או לגרום להאטה בתרחישים ספציפיים.

הדבר הטוב הוא שזה שירותים ופרוטוקולים מודרניים המשתמשים ב-Kerberos כסטנדרטפונקציות כגון גישה למשאבים משותפים של SMB או שולחן עבודה מרוחק שתצורתו נקבעה כראוי ממשיכות לתפקד כרגיל ואינן מושפעות מהפעלת Credential Guard, כל עוד הן אינן תלויות בפונקציות מדור קודם שהוזכרו לעיל.

כיצד להפעיל את Credential Guard: Intune, GPO ורישום

הדרך האידיאלית להפעיל את Credential Guard תלויה בגודל ובניהול של הסביבה שלך.עבור ארגונים עם מערכות ניהול מודרניות, Microsoft Intune (MDM) נוח מאוד, בעוד שבתחומי Active Directory מסורתיים, Group Policy עדיין נפוץ. להתאמות מדויקות יותר או אוטומציות ספציפיות, הרישום נותר אופציה.

קודם כל, חשוב להבין ש יש להפעיל את Credential Guard לפני צירוף המחשב לדומיין. או לפני שמשתמש תחום מתחבר בפעם הראשונה. אם יופעל מאוחר יותר, סודות המשתמש והמחשב כבר עלולים להיות בסכנה, מה שמפחית את התועלת בפועל של ההגנה.

באופן כללי, ניתן להפעיל את Credential Guard על ידי:

• ניהול Microsoft Intune / MDM.
• מדיניות קבוצתית (GPO) ב-Active Directory או בעורך מדיניות מקומי.
• שינוי ישיר של הרישום של Windows.

בעת החלת כל אחת מההגדרות הללו, אל תשכח שחובה להפעיל מחדש את המכשיר. כדי שהשינויים ייכנסו לתוקף, Credential Guard, VBS וכל רכיבי הבידוד מאותחלים בעת האתחול, כך ששינוי מדיניות פשוט אינו מספיק.

הפעלת Credential Guard עם Microsoft Intune

אם אתם מנהלים את המכשירים שלכם באמצעות Intune, יש לכם שתי גישות אפשרויות עיקריות: השתמש בתבניות של Endpoint Security או השתמש במדיניות מותאמת אישית שמגדירה את DeviceGuard CSP דרך OMA-URI.

בפורטל Intune, אתה יכול ללכת אל "אבטחת נקודות קצה > הגנת חשבון" וליצור מדיניות חדשה להגנה על החשבון. בחר את הפלטפורמה "Windows 10 ואילך" ואת סוג הפרופיל "הגנה על חשבון" (בגרסאות השונות שלו, בהתאם לגרסה הזמינה).

בעת קביעת התצורה של ההגדרות, הגדר את האפשרות "הפעל את Credential Guard" ל"הפעל עם נעילת UEFI" אם ברצונך למנוע את השבתת ההגנה מרחוק בקלות, Credential Guard "מעוגן" בקושחה, מה שמעלה את רמת האבטחה הפיזית והלוגית של המכשיר.

לאחר שהפרמטרים הוגדרו, הקצה את המדיניות לקבוצה המכילה את המכשירים או אובייקטי המשתמש שברצונך להגן עליהם.המדיניות תחול כאשר המכשיר יסונכרן עם Intune, ולאחר ההפעלה מחדש המתאימה, Credential Guard יופעל.

אם אתם מעדיפים לשלוט בפרטים הקטנים, ניתן להשתמש במדיניות מותאמת אישית המבוססת על CSP של DeviceGuard.לשם כך, יש צורך ליצור ערכי OMA-URI עם השמות והערכים המתאימים, לדוגמה:

תצורה
שםהפעלת אבטחה מבוססת וירטואליזציה OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity סוג נתונים: int חַיִל: 1
שםתצורת משמר האישורים OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags סוג נתונים: int חַיִל: מופעל עם נעילת UEFI: 1 מופעל ללא חסימה: 2

לאחר החלת מדיניות מותאמת אישית זו והפעלה מחדש, המכשיר יופעל כאשר VBS ו-Credential Guard פעילים., ופרטי המערכת יהיו מוגנים במכולה המבודדת.

הגדרת Credential Guard באמצעות מדיניות קבוצתית

בסביבות עם Active Directory מסורתיהדרך הטבעית ביותר להפעיל את Credential Guard בכמות גדולה היא באמצעות אובייקטי מדיניות קבוצתית (GPO). ניתן לעשות זאת מעורך המדיניות המקומי במחשב יחיד או ממנהל המדיניות הקבוצתית ברמת הדומיין.

כדי להגדיר את המדיניות, פתח את עורך ה-GPO המתאים ונווט אל הנתיב תצורת מחשב > תבניות ניהול > מערכת > הגנת התקניםבסעיף זה תמצאו את המדיניות "הפעל אבטחה מבוססת וירטואליזציה".

הנחיה זו קובעת ב בחר "מופעל" ובחר את הגדרות Credential Guard הרצויות מהרשימה הנפתחת.באפשרותך לבחור בין "מופעל עם נעילת UEFI" או "מופעל ללא נעילה", בהתאם לרמת ההגנה הפיזית שברצונך להחיל.

לאחר שתצורת ה-GPO הוגדרה, קשר אותו ליחידה הארגונית או לדומיין שבו נמצאים מחשבי היעדניתן לכוונן את היישום שלו באמצעות סינון קבוצות אבטחה או מסנני WMI, כך שהוא יחול רק על סוגים מסוימים של מכשירים (לדוגמה, רק על מחשבים ניידים ארגוניים עם חומרה תואמת).

כאשר המכונות מקבלות את ההנחיה ומפעילות מחדש, Credential Guard יופעל בהתאם לתצורת ה-GPO., מינוף תשתית הדומיין כדי לפרוס אותה בצורה סטנדרטית.

הפעל את Credential Guard על ידי שינוי הרישום של Windows

אם אתם זקוקים לשליטה מפורטת מאוד או לאוטומציה של פריסה באמצעות סקריפטיםניתן להגדיר את Credential Guard ישירות באמצעות מפתחות רישום. שיטה זו דורשת דיוק, מכיוון שערך שגוי עלול להוביל את המערכת למצב בלתי צפוי.

כדי שאבטחה מבוססת וירטואליזציה ו-Credential Guard יהפכו לפעילים, עליך ליצור או לשנות מספר ערכים תחת נתיבים ספציפייםהנקודות המרכזיות הן:

תצורה
רותה: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard שם: EnableVirtualizationBasedSecurity טיפו: REG_DWORD חַיִל: 1 (מאפשר אבטחה מבוססת וירטואליזציה)
רותה: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard שם: RequirePlatformSecurityFeatures טיפו: REG_DWORD חַיִל: 1 (באמצעות אתחול מאובטח) 3 (אתחול מאובטח + הגנת DMA)
רותה: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa שם: LsaCfgFlags טיפו: REG_DWORD חַיִל: 1 (מאפשר את Credential Guard עם נעילת UEFI) 2 (מאפשר את Credential Guard ללא נעילה)

לאחר יישום ערכים אלה, הפעל מחדש את המחשב כדי שה-hypervisor של Windows ותהליך ה-LSA המבודד ייכנסו לפעולהללא איפוס זה, שינויי הרישום לא יפעילו בפועל את הגנת הזיכרון.

כיצד לבדוק אם Credential Guard מופעל ופועל

בדוק אם התהליך LsaIso.exe זה מופיע במנהל המשימות. זה אולי מספק רמז, אבל מיקרוסופט לא רואה בזה שיטה אמינה לאימות ש-Credential Guard פעיל. קיימים נהלים חזקים יותר, המבוססים על כלי מערכת מובנים.

בין האפשרויות המומלצות עבור בדיקת סטטוס של Credential Guard אלה כוללים את 'מידע מערכת', 'PowerShell' ומציג האירועים. כל שיטה מציעה פרספקטיבה שונה, לכן כדאי להכיר את כולם.

השיטה החזותית ביותר היא זו ש מידע על המערכת (msinfo32.exe)מתפריט התחל, פשוט הפעילו כלי זה, בחרו "סיכום מערכת" וסמנו את הסעיף "הפעלת שירותי אבטחה מבוססי וירטואליזציה" כדי לאשר ש-"Credential Guard" מופיע כשירות פעיל.

אם אתה מעדיף משהו שניתן לתסריטו, PowerShell הוא בעל בריתךמקונסולה עם הרשאות מוגברות, ניתן להריץ את הפקודה הבאה:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

הפלט של פקודה זו מציין, באמצעות קודים מספריים, האם האם Credential Guard מופעל או לא מופעל במחשב זהערך 0 פירושו ש-Credential Guard מושבת.בעוד 1 מציין שהוא מופעל ופועל. כחלק משירותי אבטחה מבוססי וירטואליזציה.

לבסוף, מציג האירועים מאפשר לך לסקור את ההתנהגות ההיסטורית של Credential Guard.פְּתִיחָה eventvwr.exe על ידי ניווט אל "יומני Windows > מערכת", ניתן לסנן לפי מקור האירוע "WinInit" ולאתר הודעות הקשורות לאתחול שירותי Device Guard ו-Credential Guard, שימושיים לביקורות תקופתיות.

השבתת Credential Guard וניהול נעילת UEFI

למרות שההמלצה הכללית היא לשמור על Credential Guard פעיל בכל המערכות התומכות בו, בתרחישים ספציפיים מאוד ייתכן שיהיה צורך להשבית אותו, בין אם כדי לפתור אי תאימות עם יישומים מדור קודם או כדי לבצע משימות אבחון מסוימות.

ההליך המדויק עבור השבתת Credential Guard תלויה באופן שבו הוא הוגדר בתחילה.אם הוא הופעל ללא נעילת UEFI, פשוט בטל את מדיניות Intune, GPO או הרישום והפעל מחדש. עם זאת, אם הוא הופעל עם נעילת UEFI, נדרשים צעדים נוספים מכיוון שחלק מהתצורה מאוחסנת במשתני EFI של הקושחה.

במקרה הספציפי של Credential Guard מופעל עם נעילת UEFIראשית, עליך לבצע את תהליך ההשבתה הסטנדרטי (ביטול הנחיות או ערכי רישום) ולאחר מכן להסיר את משתני ה-EFI הרלוונטיים באמצעות bcdedit ואת השירות SecConfig.efi עם סקריפט מתקדם.

הזרימה האופיינית כוללת התקן כונן EFI זמני, העתק SecConfig.efi, צור קלט מטען חדש עם bcdeditהגדר את האפשרויות שלך כדי להשבית LSA מבודד ולקבוע רצף אתחול זמני דרך מנהל האתחול של Windows, וכן לנתק את הכונן בסוף התהליך.

לאחר הפעלה מחדש של המחשב עם תצורה זו, לפני הפעלת Windows, תופיע הודעה המזהירה מפני שינוי ב-UEFI.אישור הודעה זו הוא חובה כדי שהשינויים יהיו קבועים וכדי שנעילת ה-EFI של Credential Guard תושבת באמת בקושחה.

אם מה שאתה צריך זה השבתת Credential Guard במחשב וירטואלי ספציפי של Hyper-Vניתן לעשות זאת מהמארח, מבלי לגעת באורח, באמצעות PowerShell. פקודה אופיינית תהיה:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

עם התאמה זו, המכונה הווירטואלית זה מפסיק להשתמש ב-VBS ולכן מפסיק להפעיל את Credential Guard למרות שמערכת ההפעלה האורחת תומכת בתכונה, שיכולה להיות שימושית בסביבות מעבדה או בדיקה ספציפיות מאוד.

Credential Guard במכונות וירטואליות Hyper-V

Credential Guard אינו מוגבל לציוד פיזיזה יכול גם להגן על אישורים בתוך מכונות וירטואליות המריצות Windows בסביבות Hyper-V, ומספק רמת בידוד דומה לזו הזמינה בחומרה Bare Metal.

במצבים אלה, Credential Guard מגן על סודות מפני התקפות שמקורן בתוך המכונה הווירטואלית עצמה.במילים אחרות, אם תוקף מפריע לתהליכי מערכת בתוך המכונה הווירטואלית, הגנת VBS תמשיך לבודד רכיבי LSA ולהפחית את החשיפה של קוד גיבוב וכרטיסים.

עם זאת, חשוב להבהיר את המגבלה: Credential Guard אינו יכול להגן על ה-VM מפני התקפות שמקורן במארח עם הרשאות מוגברות. ל-hypervisor ולמערכת המארח יש למעשה שליטה מלאה על המכונות הווירטואליות, כך שמנהל מארח זדוני יכול לעקוף את המחסומים הללו.

כדי ש-Credential Guard יפעל כהלכה בפריסות מסוג זה, למארח Hyper-V חייב להיות IOMMU (יחידת ניהול זיכרון קלט/פלט) המאפשרת בידוד גישה לזיכרון ולהתקנים, ומכונות וירטואליות חייבות להיות של דור 2, עם קושחת UEFI, אשר מאפשר אתחול מאובטח ויכולות נחוצות אחרות.

עם קיומם של דרישות אלו, חוויית השימוש ב-Credential Guard על מכונות וירטואליות דומה מאוד לזו של מכונה פיזית.כולל אותן שיטות הפעלה (Intune, GPO, רישום) ושיטות אימות (msinfo32, PowerShell, מציג אירועים).

Exploit Guard ו-Microsoft Defender: הפעלה וניהול של הגנה כללית

לצד Credential Guard, מערכת האבטחה של Windows מסתמכת על Microsoft Defender Antivirus ובטכנולוגיות כמו Exploit Guard, הכוללות כללי הפחתת משטחי תקיפה, הגנה על רשת, בקרת גישה לתיקיות ותכונות אחרות שמטרתן להאט תוכנות זדוניות ולמתן ניצול לרעה.

בצוותים רבים, האנטי-וירוס של Microsoft Defender מותקן מראש ומופעל כברירת מחדל ב-Windows 8, Windows 10 ו-Windows 11, הוא זמין, אך נפוץ יחסית למצוא אותו מושבת עקב מדיניות קודמת, התקנת פתרונות של צד שלישי או שינויים ידניים ברישום.

כדי הפעלת האנטי-וירוס של Microsoft Defender באמצעות מדיניות קבוצתית מקומיתבאפשרותך לפתוח את תפריט התחל, לחפש "מדיניות קבוצתית" ולבחור "ערוך מדיניות קבוצתית". בתוך "תצורת מחשב > תבניות ניהול > רכיבי Windows > אנטי-וירוס של Windows Defender", תראה את האפשרות "בטל את אנטי-וירוס של Windows Defender".

אם מדיניות זו מוגדרת כ"מופעלת", משמעות הדבר היא שהאנטי-וירוס מושבת בכוח. כדי לשחזר את הפונקציונליות שלו, הגדר את האפשרות ל"מושבת" או "לא מוגדר".החל את השינויים וסגור את העורך. השירות יוכל לפעול שוב לאחר עדכון המדיניות הבא.

אם בזמנו ההגנה הושבתה במפורש מהרישוםתצטרכו לבדוק את המסלול HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender ולאתר את הערך DisableAntiSpywareבאמצעות עורך הרישום, ניתן לפתוח אותו ולהגדיר את "נתוני הערך" שלו ל- 0מקבל את השינוי כדי לאפשר לאנטי-וירוס לפעול שוב.

לאחר התאמות אלו, עבור אל "התחל > הגדרות > עדכון ואבטחה > Windows Defender" (בגירסאות עדכניות יותר, "אבטחת Windows") ו ודא שהמתג "הגנה בזמן אמת" מופעלאם הוא עדיין כבוי, הפעל אותו ידנית כדי לוודא שהגנת האנטי-וירוס מתחילה לפעול במערכת.

להגנה מרבית, מומלץ הפעלת הגנה בזמן אמת וגם הגנה מבוססת ענןמתוך היישום "אבטחת Windows", עבור אל "הגנה מפני וירוסים ואיומים > הגדרות הגנה מפני וירוסים ואיומים > ניהול הגדרות" והפעל את המתגים המתאימים.

אם אפשרויות אלו אינן גלויות, סביר להניח ש... מדיניות קבוצתית מסתירה את מדור הגנת האנטי-וירוס. באבטחת Windows, סמנו את "תצורת מחשב > תבניות ניהול > רכיבי Windows > אבטחת Windows > הגנה מפני וירוסים ואיומים" וודאו שהמדיניות "הסתר אזור הגנה מפני וירוסים ואיומים" מוגדרת כ"מושבת", והחילו את השינויים.

זה חשוב לא פחות שמור על הגדרות וירוסים מעודכנות זה מאפשר ל-Microsoft Defender לזהות איומים אחרונים. מאבטחת Windows, תחת "הגנה מפני וירוסים ואיומים", בתוך "עדכוני הגנה מפני איומים", לחץ על "בדוק אם קיימים עדכונים" ואפשר את הורדת החתימות האחרונות.

אם אתה מעדיף את שורת הפקודה, גם זו אפשרות. ניתן להפעיל את שירות Microsoft Defender מ-CMDלחצו על Windows + R, הקלדו cmd לאחר מכן, בשורת הפקודה (רצוי עם הרשאות מוגברות), הפעל:

sc start WinDefend

עם פקודה זו, שירות האנטי-וירוס הראשי מופעל בתנאי שאין מדיניות או חסימות נוספות המונעות זאת, מה שיאפשר לך לוודא במהירות אם המנוע מופעל ללא שגיאות.

כדי לברר אם המחשב שלך משתמש ב-Microsoft Defender, פשוט עבור אל "התחל > הגדרות > מערכת" ולאחר מכן פתח את "לוח הבקרה". בסעיף "אבטחה ותחזוקה", תמצא את הסעיף "אבטחת והגנה על המערכת", שם תראה סיכום של סטטוס ההגנה של האנטי-וירוס ואמצעים פעילים אחרים. בקבוצה.

על ידי שילוב Credential Guard להגנה על אישורים בזיכרון בעזרת Microsoft Defender, Exploit Guard וכללי הקשחה מתאימים שתצורתם נכונה, מושגת רמת אבטחה גבוהה משמעותית מפני גניבת אישורים, תוכנות זדוניות מתקדמות ותנועה רוחבית בתוך התחום. אמנם תמיד יש עלות הקשורה לתאימות עם פרוטוקולים ויישומים מדור קודם, אך שיפור האבטחה הכולל מפצה על כך ברוב הארגונים.