איפוס סיסמה וקוד PIN במערכת Windows 10

לעיתים מתרחשת סיטואציה שבה נשכחת הסיסמה של חשבון משתמש מקומי (או שאי אפשר להיכנס דרך ה-PIN). מערכת Windows 10 מאפשרת עבודה עם סיסמאות, קוד PIN ואף חשבון Microsoft Live. כאשר אין אפשרות להתחבר, ניתן להשתמש בכלי חיצוני כמו Active@ Boot Disk כדי לבצע איפוס סיסמה. במדריך הבא נציג את כל השלבים הנדרשים, כולל מחיקת קוד ה-PIN (Windows Hello), ומתן המלצות אבטחה קריטיות.

אך לפני שנתחיל, חשוב שנסביר תחילה על ההשלכות שבגישה לדיסק מוצפן באמצעות Bitlocker

חשיבות הזהירות בגישה לדיסק מוצפן באמצעות BitLocker

BitLocker הוא מנגנון הצפנה מבית Microsoft שמטרתו להגן על תוכן הדיסק הקשיח מפני גישה לא מורשית, גם אם הדיסק נשלף פיזית ממחשב. הוא מהווה שכבת אבטחה קריטית במערכות הפעלה מודרניות – במיוחד בסביבות ארגוניות או במחשבים ניידים שמכילים מידע רגיש.

למה חשוב להיזהר כאשר ניגשים לדיסק שמוגן על ידי BitLocker?

גישה לא נכונה עלולה לגרום לאובדן מידע

אם תנסה לגשת לדיסק מוצפן מבלי לשחרר את ההצפנה באמצעות המפתח הנכון (Recovery Key או TPM), לא תוכל לגשת לתוכן, ולעיתים ניסיונות שגויים עשויים להוביל להשבתת גישה לחלוטין.

שחזור שגוי עלול לפגוע בשלמות הנתונים

ניסיון לפרוץ או לעקוף את BitLocker באמצעות כלים חיצוניים עלול לגרום לבעיות גישה לקבצים, לפגוע ב-MBR/EFI, או למחוק אזורים קריטיים בדיסק – דבר שעלול להפוך את השחזור לבלתי אפשרי.

גישה דרך מערכת חיצונית (כמו WinPE או Boot Disk) דורשת משנה זהירות

• ייתכן שהדיסק יופיע כלא נגיש או "Raw".
• כדי לגשת לתוכן, יש לשחרר את ההצפנה קודם – פעולה זו דורשת את מפתח השחזור (BitLocker Recovery Key).
• אין לנסות לפרמט את הדיסק או לשנות מחיצות מבלי לשחרר את ההצפנה – פעולה זו תגרום לאובדן קבוע של הנתונים.

מה לעשות לפני כל גישה לדיסק מוצפן

1. וודא שיש ברשותך את מפתח השחזור (Recovery Key).
2. פתח את הדיסק בצורה מאובטחת – למשל מתוך Windows עם חשבון מורשה, או דרך WinPE תוך שימוש בפקודה:

manage-bde -unlock D: -RecoveryPassword <מפתח-הביטול>

השלכות של גישה לא מבוקרת:

לסיכום, BitLocker מספק אבטחה מצוינת, אך דורש אחריות. גישה לא נכונה לדיסק מוצפן עלולה לגרום לאובדן נתונים בלתי הפיך. לפני כל פעולה:

• וודא שיש לך גיבוי לקבצים ולמערכת הפעלה (ניתן ליישום באמצעות שימוש בVeeam או Acronis).
• וודא שגיבית את מפתח השחזור ושהוא בנמצא.
• עבוד מתוך סביבת עבודה מאובטחת ומוסמכת.
• אם אינך בטוח – פנה למומחה אבטחת מידע.

לפני החלק האומנותי, ננסה לעבוד בשיטה הבא:

וידאו: איפוס סיסמה בשיטה הפשוטה

דרישות מקדימות

לפני שמתחילים בתהליך חשוב להצטייד באמצעים הבאים:

• דיסק USB עם Active@ Boot Disk (או ISO שהועלה על USB)
• מחשב עם מערכת הפעלה Windows 10
• גישה למצב BIOS/UEFI כדי לבצע אתחול מה-USB
• אופציונלי: חיבור לאינטרנט לצורך התחברות עם חשבון Microsoft Live

אתחול למצב Windows PE עם Active@ Boot Disk

1. חבר את ה-USB עם Active@ Boot Disk למחשב.
2. הפעל מחדש את המחשב וגש ל-BIOS/UEFI (לרוב באמצעות F2, F12, ESC או DEL).
3. שנה את סדר האתחול כך שהמחשב יאתחל מה-USB.
4. העלא מה-USB את Active@ Boot Disk או לחלופין העלא את Windows PE ושם גש אל Active@ Boot Disk
5. בממשק של Active@ Boot Disk – בחר ב-"Password Changer" או "Launch Utilities > Password Changer".

איפוס סיסמה עם Active@ Password Changer

שיטה זו משמשת לאיפוס סיסמה מקומית:

• במסך הראשי של Password Changer, לחץ על "Next".
• בחרו באפשרות הראשונה של Search all volumes for SAM

• לאחר מכן בחר את הדיסק שבו מותקנת מערכת Windows שלך (לרוב C: או D: אם אתה ב-PE).

• לחץ על "Next" עד שתראה את רשימת המשתמשים.
• בחר את המשתמש שברצונך לאפס ואז לחץ על Next

• סמן את האפשרות: "Clear this User’s Password" (שלאחריה תוכל להזין סיסמה חדשה)

• לחץ "Apply Changes" ולאחר מכן "Finish".

מה שהמערכת בעצם עושה, זה מאפסת את הסיסמה ובעצם "מעלימה" אותה, כך שבהפעלת המחשב הראשונה, תוכלו להיכנס ללא סיסמה, או שתופנו לעמוד שינוי סיסמה (בו הסיסמה הראשונה תהיה ריקה).

כעת תוכלו לשנות סיסמה לסיסמה הרצויה לכם.

איפוס קוד PIN (Windows Hello)

איפוס הסיסמה לא משפיע על קוד ה-PIN. ה-PIN מוצפן ונשמר בתיקייה נפרדת, ולכן יש למחוק אותו ידנית.

שלבים:

1. לחץ על כפתור Start ב-Windows PE ובחר ב-"Command Prompt" או "File Explorer".
2. נווט לתיקייה: C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc
3. אם אתה ב-File Explorer, מחק את התיקייה Ngc (ייתכן שתצטרך הרשאות).

לחלופין, הרץ את הפקודה הבאה ב-CMD:

takeown /F C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /R /D Y && icacls C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /grant administrators:F /T && rmdir /S /Q C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc

הפעלה מחדש והתחברות

1. הוצא את כונן ה-USB.
2. אתחל את המחשב מחדש ל-Windows.
3. במסך ההתחברות:
   • עבור משתמש מקומי – תוכל להתחבר עם סיסמה ריקה או חדשה (כפי שקבעת).
   • במידה והחשבון היה חשבון Microsoft Live, תתבקש להתחבר עם הסיסמה של חשבון Microsoft (דרך האינטרנט).
4. במידה שתתבקש להגדיר PIN חדש – תוכל לבחור דלג או להגדיר PIN חדש מאובטח.

בשורות הבאות נפרט מדוע ככלל לא מומלץ להתחבר בשיטה שהיא לא סיסמה לחשבון מקומי

מדוע לא מומלץ להתחבר באמצעות קוד PIN וחשבון Microsoft

1. תלות בגורמים חיצוניים (חשבון Microsoft)

כאשר אתה מתחבר למערכת ההפעלה באמצעות חשבון Microsoft, אתה למעשה מעביר את ניהול הזהות למערכת ענן של מיקרוסופט. המשמעות:

• אם אין חיבור לאינטרנט – ייתכן שלא תוכל להתחבר או לשחזר גישה.
• במקרה של חסימת חשבון, סיסמה שנשכחה, או בעיית אימות – אין גישה למחשב מבלי לעבור דרך Microsoft.
• נתוני משתמש מסונכרנים עם הענן, מה שעלול להוות חשיפה פוטנציאלית למידע רגיש.

2. PIN אינו תחליף בטוח לסיסמה מורכבת

למרות ש-Windows Hello טוען שה-PIN נשמר רק במחשב עצמו, בפועל:

• קוד PIN לרוב קצר (4-6 ספרות) וקל לניחוש או התקפה אוטומטית (Brute-force).
• משתמשים רבים נוטים לבחור PIN פשוט או חוזר (למשל 1234).
• PIN לא מחליף מדיניות סיסמאות, ולא תומך באימות דו-שלבי כברירת מחדל.

3. יכולת איפוס מוגבלת ובזבוז זמן

• איפוס PIN עלול להיכשל אם אין גישה לאינטרנט.
• משתמשים עלולים להיתקע במסך כניסה כאשר ה-PIN כבר לא פעיל – אפילו אם הסיסמה שונתה.
• פעולות שחזור דורשות מחיקת תיקיות מערכת או שימוש בכלים חיצוניים, מה שיכול לסכן את יציבות המערכת.

4. חשיפה פוטנציאלית לפרצות אבטחה

• שימוש בחשבון Microsoft פירושו שכל המידע – הגדרות, מיילים, OneDrive ועוד – מקושר ישירות למערכת ההפעלה.
• כל גישה למחשב פותחת פתח לפגיעה רחבה יותר, במיוחד אם המחשב לא מוצפן או מאובטח באמצעים נוספים.

5. פחות שליטה בארגונים וסביבות מאובטחות

• ארגונים מעדיפים התחברות מקומית או דרך Active Directory כדי לשמור שליטה מלאה.
• חשבונות Microsoft אינם נתונים לניהול קבוצתי מלא ב-GPO.
• התחברות דרך חשבון חיצוני מנוגדת למדיניות אבטחה בארגונים רבים (רגולציה, פרטיות, רשתות פנימיות מבודדות).

מסקנה והמלצה

במקום שימוש ב-PIN וחשבון Microsoft:

• העדף התחברות עם חשבון מקומי עם סיסמה חזקה.
• בסביבה ארגונית – השתמש באימות מבוסס Active Directory או Azure AD עם מדיניות ניהול קפדנית.
• אם נדרש אימות דו-שלבי – הפעל אותו ברמת שירותים נבחרים ולא כחלק מהכניסה למחשב עצמו.

וידאו: שיטה נוספת לאיפוס סיסמה ב-Windows 11

https://www.youtube.com/watch?v=q5T-vQqo4_w&ab_channel=NETVN82

המלצות לשמירה על אבטחת מידע

1. שימוש בכלים אמינים בלבד: לאיפוס סיסמה אל תשתמש בכלים בלתי ידועים או לא חוקיים – Active@ Boot Disk הוא כלי מקצועי ומאובטח.
2. שמור גיבוי לפני כל פעולה קריטית (מומלץ לגבות את המחיצה לפני מחיקות).
3. הגן על המחשב באמצעות BIOS Password או TPM כדי למנוע אתחול מכלים חיצוניים ע"י גורמים זרים.
4. אבטח את החשבון לאחר איפוס – שנה סיסמה והפעל אימות דו-שלבי בחשבון Microsoft.
5. אל תשתמש בסיסמאות חלשות – גם למשתמש מקומי, קבע סיסמה חזקה אחרי האיפוס.

סיכום

ביצענו איפוס סיסמה למשתמש מקומי ב-Windows 10 באמצעות Active@ Boot Disk, וניקינו את הגדרות ה-PIN כדי להבטיח התחברות תקינה. חשוב לזכור שאם החשבון שייך ל-Microsoft Live, תידרש התחברות עם הסיסמה המקורית דרך האינטרנט. בתום התהליך, מומלץ לשחזר את הגדרות האבטחה, להפעיל אימות נוסף, ולוודא שהגישה למחשב מוגנת גם ברמת BIOS.