يضيف تحديث Windows 11 في سبتمبر الحماية ضد التطبيقات وبرامج التشغيل الضارة والتصيد الاحتيالي وإساءة استخدام بيانات الاعتماد .
تم إيقاف تشغيل Windows 11 2022 (إصدار 22H2) ، وركزت Microsoft مرة أخرى بشكل كبير على الأمان. والخبر السار لهذا الإصدار هو أنه حتى إصدارات Windows Home يمكنها تلقي بعض ميزات الأمان الرئيسية بدون ترخيص Windows أو Microsoft 365 إضافي. قم بمراجعة المستندات الأساسية لأمان Windows 11 22H2 وابدأ في اختبار هذه الميزات.
إيقاع إصدار Windows 11
أولاً ، تذكير: مع إصدارات ميزات Windows 11 لا يتم إصدارها الآن إلا مرة واحدة في السنة. حدثت تغييرات أمان كبيرة في الإصدار الأول من Windows 11 (21H2 ) بالإضافة إلى هذا الإصدار من 22H2. بين كل إصدار من الميزات الرئيسية ستكون هناك تغييرات تدريجية صغيرة تسمى الإصدارات “اللحظية”. على سبيل المثال ، ستكون التحديثات المستقبلية المتوقعة هي ميزات مثل علامات التبويب وشريط جانبي جديد إلى File Explorer.
بالإضافة إلى ذلك ، في بعض تطبيقات Microsoft ، ستطالب “الإجراءات المقترحة” المستخدمين بالخطوات التالية التي يجب اتخاذها في تطبيقات مثل Microsoft Teams. سيتم إيقاف تشغيل هذه الإصدارات اللحظية أو “إطلاق الميزات الخاضعة للرقابة” افتراضيًا في إصدارات الأعمال ولكن سيتم تضمينها في إصدارات المعاينة. ستتوفر سياسات المجموعة للتحكم بشكل أفضل في هذه التغييرات المتزايدة حتى تتمكن من نشر هذه التغييرات في شبكتك على النحو الذي تراه مناسبًا.
Windows 11 Smart App Control
أولاً ، ميزة جديدة تسمى التحكم في التطبيقات الذكية. إذا كنت تتذكر ، فإن وضع Windows 10 S يسمح لك بتثبيت التطبيقات فقط من متجر Microsoft حيث تم فحصها. Smart App Control مشابه في الهدف ولكنه مختلف تمامًا في التنفيذ.
هذه المرة لدى Microsoft دليل قائم على السحابة للتطبيقات الموثوقة التي قامت بفحصها وتخزينها لقيم التجزئة. إذا تم تمكين Smart App Control على Windows 11 22H2 الذي تم نشره حديثًا ، فسيتم فحص أي برنامج ثنائي تم تثبيته. إذا لم يكن التطبيق مدرجًا في القائمة ، فسيتم فحص التوقيع الرقمي للتطبيق. إذا كان يحتوي على توقيع رقمي صالح ، فسيتم السماح بتثبيت التطبيق. إذا كان لديك تطبيق خاص بخط الأعمال لا يوقع على الكود الخاص به ، فتواصل مع البائع للتأكد من أنه موقّع برمز. يجب أن تكون هذه عملية قياسية لأي ممارسات بائع جيد.
لا يمكن تمكين التحكم في التطبيقات الذكية بعد تثبيت نظام التشغيل. إذا قمت بالفعل بنشر Windows 11 22H1 ، فيجب إعادة تثبيت 22H2 من البداية لاستخدام هذه الميزة. علاوة على ذلك ، إذا قمت بتعطيل الإعداد لاحقًا للتغلب على تطبيق مطلوب غير موجود في القائمة المعتمدة ، فلن تتمكن من التراجع عن هذا الاختيار ؛ إنها عملية نشر في اتجاه واحد. لهذه الأسباب ، قد ترغب الشركات في معالجة مشكلة التطبيق غير الموثوق به باستخدام أداة مختلفة. يمكنك استخدام Microsoft Intune مع عنصر تحكم تطبيق Windows Defender لتطبيق السياسات للتحكم في ما تم تثبيته.
تم بناء Smart App Control على نفس القدرات الأساسية لنظام التشغيل المستخدمة في التحكم في تطبيق Windows Defender. يتوفر Smart App Control على جميع إصدارات عميل Windows مع عمليات تثبيت نظيفة لتحديث Windows 11 2022.
بدلاً من ذلك ، يمكن لفرق تكنولوجيا المعلومات الخاصة بالمؤسسات استخدام Microsoft Intune مع Windows Defender Application Control (WDAC) لتطبيق السياسات عن بُعد للتحكم في التطبيقات التي يتم تشغيلها على أجهزة مكان العمل. تعتبر متطلبات الترخيص الخاصة بذلك مثيرة للاهتمام: “يمكن للشركات فرض سياسات WDAC على أي إصدار من Windows 10 و Windows Server 2016 دون ترخيص إضافي ؛ يتطلب إنشاء السياسات نظام التشغيل Windows 10 Enterprise “. لاستخدام Windows 11 في المقام الأول ، ستحتاج إلى الأجهزة اللازمة لنظام التشغيل Windows 11 بما في ذلك وحدة النظام الأساسي الموثوق بها (TPM) بالإضافة إلى أجهزة المحاكاة الافتراضية المناسبة.
قائمة حظر برنامج التشغيل الضعيف لـ Microsoft
تعد برامج التشغيل الضارة مشكلة كبيرة ويقوم Windows 11 22H2 بزيادة الحماية لنظام التشغيل. تكامل التعليمات البرمجية المحمية بواسطة Hypervisor (HVCI) وحظر برامج التشغيل الضعيفة المعروفة عبر قائمة حظر برامج التشغيل الضعيفة من Microsoft هما عمليتان تحميان الآن Windows 11. نظرًا لأن Windows لديه متطلبات صارمة للتعليمات البرمجية التي يتم تشغيلها في kernel ، يستغل مجرمو الإنترنت عادةً نقاط الضعف في برامج تشغيل kernel للحصول على التمكن من.
تعتبر حماية مكدس الأجهزة التي تفرضها Kernel Mode خاصة بالأجهزة ولها تبعية تتطلب معالجات Intel Tiger Lake وما بعدها أو AMD Zen3 وما بعده. يعتمد هذا الإعداد على HVCI (الحماية القائمة على المحاكاة الافتراضية لسلامة التعليمات البرمجية). إذا لم يكن لديك ميزات الأجهزة هذه ، فلن ترى هذا معروضًا لك.
حماية محسّنة من التصيد الاحتيالي
يتم تضمين الحماية المحسّنة من التصيد الاحتيالي في 22H2 افتراضيًا في كافة إصدارات Windows 11 22H2. بينما لا تحتاج إلى Microsoft 365 Defender لتمكين هذه الميزة ، يمنحك هذا الترخيص تسجيلًا إضافيًا وإعداد تقارير. يعتمد على البنية التحتية لـ Microsoft Defender SmartScreen لتنبيه المستخدمين النهائيين بأن مواقع الويب أو التطبيقات تحاول سرقة بيانات الاعتماد. باستخدام ترخيص Microsoft 365 مناسب ، يمكنه أيضًا تحذير المستخدمين إذا أعادوا استخدام بيانات اعتماد الشركة في تطبيق أو موقع ويب آخر. إذا قام مستخدم بحفظ كلمة مرور في Notepad أو Wordpad أو تطبيق Office آخر ، إذا كان لديك ترخيص Microsoft Defender for Endpoint (E5 أو Microsoft Business Premium أو ترخيص مستقل) ، فسيتم وضع علامة عليها وتسجيلها.
حماية الطابعة
كل شهر تقريبًا ، يجب تطبيق نوع من تصحيح التخزين المؤقت للطباعة على أجهزة الكمبيوتر الموجودة على الشبكة. يقدم Windows 11 22H2 إعدادات إضافية بالإضافة إلى أنه يعتمد على الإصلاحات التي تم تقديمها لتقوية ميزات الطباعة. على سبيل المثال ، تم تقديم القدرة على إدارة معالجة الملفات الخاصة بقائمة الانتظار (CopyFilesPolicy) لأول مرة كمفتاح تسجيل استجابة لثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد لـ Windows Print Spooler ( CVE-2021-36958 ) في سبتمبر 2021. يسمح هذا الإعداد بالألوان القياسية معالجة الملف الشخصي باستخدام صندوق الوارد القابل للتنفيذ mscms.dll ولا شيء غير ذلك. يتمثل الأساس الأمني الآن في تكوين هذا الإعداد على “ممكّن” مع خيار “قصر الملفات الخاصة بقائمة الانتظار على ملفات تعريف الألوان” . .
كما قالت مايكروسوفت إن إعدادين في ويندوز 11 قد يؤثران على أداء الألعاب، حيث يتم تمكين هذه الإعدادات بشكل افتراضي. وأتاحت لك مايكروسوفت تعطيل هذه الخيارات لكن هناك أيضًا أسباب قد تجعلك ترغب في الاحتفاظ بها.
ومع ذلك إذا كان أداء جهاز الكمبيوتر الخاص بك في الألعاب أقل من ممتاز ، فقد يكون من المفيد التحقق منه.
قامت مايكروسوفت بنشر مستند دعم جديد يوضح بالتفصيل الميزتين وتأثيرهما المحتمل، وجدت الشركة أن Memory Integrity و Virtual Machine Platform (VMP) قد أثرتا على أداء الألعاب لبعض المستخدمين.
يقوم VMP بعمل ما يقوله على العلبة إلى حد كبير – فهو يوفر خدمات الآلة الأساسية الافتراضية لنظام التشغيل Windows 11.
كيفية تعطيل Memory Integrity و VMP
لإيقاف تشغيل Memory Integrity ، انتقل إلى قائمة ابدأ بالضغط على مفتاح ويندوز ثم اكتب “Core Isolation” في شريط المهام.
حدده عندما ينبثق وعندما تكون في تلك الصفحة، قم بإيقاف تشغيل Memory Integrity.
توصي مايكروسوفت بإعادة تشغيل جهازك بعد ذلك.
إيقاف تشغيل VMP بسيط بنفس القدر. مرة أخرى ، انتقل إلى قائمة ابدأ ، واكتب في البحث “تشغيل ميزات ويندوز أو إيقاف تشغيلها”.
عندما تكون في قسم ميزات ويندوز، ابحث عن Virtual Machine Platform وقم بإلغاء تحديدها.
اضغط على “موافق” لإنهاء هذه التغييرات وإعادة تشغيل الكمبيوتر.
إذا كنت لا ترى أي فائدة من إيقاف تشغيل هذين الإعدادين، فمن الأفضل الاستمرار في تشغيلهما.