Страница безопасности устройства приложения Безопасность Windows предназначена для управления функциями безопасности, встроенными в устройство Windows. Страница разделена на следующие разделы:
-
Компьютер с защищенными ядрами. Если ваше устройство является компьютером с защищенными ядрами, на нем отображаются сведения о функциях защищенного компьютера.
-
Изоляция ядра. Здесь можно настроить функции безопасности, защищающие ядро Windows.
-
Обработчик безопасности. Предоставляет сведения о обработчике безопасности, который называется доверенным платформенным модулем (TPM).
-
Безопасная загрузка: если включена безопасная загрузка, вы можете найти дополнительные сведения о ней.
-
Шифрование данных. Здесь можно найти ссылку на параметры Windows, где можно настроить шифрование устройства и другие параметры BitLocker.
-
Возможности аппаратной безопасности. Оценка функций аппаратной безопасности устройства
В приложении «Безопасность Windows» на компьютере, выберите Безопасность устройства или используйте следующий ярлык:
Безопасность устройства
Защищенный основной компьютер
Компьютер с защищенными ядрами предназначен для предоставления дополнительных функций безопасности прямо из коробки. Эти компьютеры интегрируют оборудование, встроенное ПО и программное обеспечение, чтобы обеспечить надежную защиту от сложных угроз.
В приложении «Безопасность Windows» на компьютере, выберите Безопасность устройства > Сведения о безопасности.
Дополнительные сведения см. в разделе Windows 11 компьютеры с защищенными ядрами.
Изоляция ядра
Изоляция ядра предоставляет функции безопасности, предназначенные для защиты основных процессов Windows от вредоносных программ путем их изоляции в памяти. Это делается путем запуска этих основных процессов в виртуализированной среде.
В приложении «Безопасность Windows» на компьютере, выберите Безопасность устройства > сведения об изоляции ядра или используйте следующее сочетание клавиш:
Изоляция ядра
Примечание: Функции, предоставляемые на странице изоляции ядра, зависят от используемой версии Windows и установленных компонентов оборудования.
Целостность памяти, также известная как целостность кода, защищенная гипервизором (HVCI), — это функция безопасности Windows, которая затрудняет использование вредоносными программами низкоуровневых драйверов для захвата компьютера.
Драйвер — это программное обеспечение, которое позволяет операционной системе (в данном случае Windows) и устройству (например, клавиатуре или веб-камере) общаться друг с другом. Когда устройство хочет, чтобы Windows что-то делало, оно использует драйвер для отправки этого запроса.
Целостность памяти работает путем создания изолированной среды с помощью аппаратной виртуализации.
Подумайте об этом как о охраннике внутри запертой кабины. Эта изолированная среда (заблокированная кабина в нашем аналогии) предотвращает незаконное изменение функции целостности памяти злоумышленником. Программа, которая хочет запустить фрагмент кода, который может быть опасным, должна передать код в целостность памяти внутри этой виртуальной кабины, чтобы его можно было проверить. Когда целостность памяти удобна, что код в безопасности, он передает код обратно в Windows для выполнения. Как правило, это происходит очень быстро.
Без выполнения целостности памяти охранник выделяется прямо в открытом месте, где злоумышленнику гораздо легче вмешиваться или саботировать охранника, что упрощает вредоносный код пробираться в прошлое и вызывать проблемы.
Вы можете включить илиотключить целостность памяти с помощью переключателя.
Примечание: Чтобы использовать целостность памяти, необходимо включить аппаратную виртуализацию в системе UEFI или BIOS.
Что делать, если написано, что у меня несовместимый драйвер?
Если целостность памяти не удается включить, это может сказать вам, что у вас уже установлен несовместимый драйвер устройства. Обратитесь к производителю устройства, чтобы узнать, доступен ли обновленный драйвер. Если у них нет совместимого драйвера, вы можете удалить устройство или приложение, использующее этот несовместимый драйвер.
Примечание: При попытке установить устройство с несовместимым драйвером после включения целостности памяти может появиться то же сообщение. В этом случае применяется тот же совет: проверка с производителем устройства, чтобы узнать, есть ли у него обновленный драйвер, который можно скачать, или не установить это конкретное устройство, пока не будет доступен совместимый драйвер.
Аппаратная защита стека — это аппаратная функция безопасности, которая затрудняет использование вредоносными программами низкоуровневых драйверов для захвата компьютера.
Драйвер — это программное обеспечение, которое позволяет операционной системе (в данном случае Windows) и устройству (например, клавиатуре или веб-камере) общаться друг с другом. Когда устройство хочет, чтобы Windows что-то делало, оно использует драйвер для отправки этого запроса.
Защита аппаратного стека предотвращает атаки, которые изменяют возвращаемые адреса в памяти в режиме ядра для запуска вредоносного кода. Для этой функции безопасности требуется ЦП, который содержит возможность проверки возвращаемых адресов выполняемого кода.
При выполнении кода в режиме ядра возвращаемые адреса в стеке режима ядра могут быть повреждены вредоносными программами или драйверами, чтобы перенаправить нормальное выполнение кода в вредоносный код. На поддерживаемых ЦП хранит вторую копию допустимых возвращаемых адресов в теневой стеке только для чтения, который драйверы не могут изменить. Если обратный адрес в обычном стеке был изменен, ЦП может обнаружить это несоответствие, проверив копию возвращаемого адреса в теневом стеке. При возникновении такого несоответствия компьютер запрашивает stop-ошибку, иногда называемую синим экраном, чтобы предотвратить выполнение вредоносного кода.
Не все драйверы совместимы с этой функцией безопасности, так как небольшое количество законных водителей участвуют в изменении адреса возврата в не вредоносных целях. Корпорация Майкрософт взаимодействует с многочисленными издателями драйверов, чтобы убедиться, что их последние драйверы совместимы с аппаратной принудительной защитой стека.
Вы можете включить илиотключить аппаратную защиту стека с помощью переключателя.
Чтобы использовать аппаратную защиту стека, необходимо включить целостность памяти и использовать ЦП, поддерживающий технологию intel Control-Flow принудительного применения или AMD Shadow Stack.
Что делать, если написано, что у меня несовместимый драйвер или служба?
Если не удается включить защиту аппаратного принудительного стека, это может сказать, что у вас уже установлен несовместимый драйвер устройства или служба. Обратитесь к производителю устройства или издателю приложения, чтобы узнать, доступен ли обновленный драйвер. Если у них нет совместимого драйвера, вы можете удалить устройство или приложение, использующее этот несовместимый драйвер.
Некоторые приложения могут устанавливать службу вместо драйвера во время установки приложения и устанавливать драйвер только при запуске приложения. Для более точного обнаружения несовместимых драйверов также перечисляются службы, которые, как известно, связаны с несовместимыми драйверами.
Примечание: При попытке установить устройство или приложение с несовместимым драйвером после включения аппаратной принудительной защиты стека может появиться то же сообщение. В этом случае применяется тот же совет: проверка с производителем устройства или издателем приложения, чтобы узнать, есть ли у них обновленный драйвер, который можно скачать, или не установить это конкретное устройство или приложение, пока не будет доступен совместимый драйвер.
Также известная как защита DMA ядра, эта функция безопасности защищает устройство от атак, которые могут произойти, когда вредоносное устройство подключено к порту PCI, например к порту Thunderbolt.
Простым примером одной из таких атак может быть то, что кто-то покидает свой компьютер для быстрого перерыва на кофе, и пока он был в отъезде, злоумышленник войдет в систему, подключит USB-устройство и уйдет с конфиденциальными данными с компьютера или введет вредоносную программу, которая позволяет им управлять компьютером удаленно.
Защита доступа к памяти предотвращает такие атаки, запрещая прямой доступ к памяти для этих устройств, за исключением особых обстоятельств, особенно когда компьютер заблокирован или пользователь выходит из системы.
Каждое устройство имеет некоторое программное обеспечение, записанное в память устройства только для чтения ( в основном записанное на микросхему на системной плате), которое используется для основных функций устройства, таких как загрузка операционной системы, которая запускает все приложения, которые мы привыкли использовать. Так как это программное обеспечение трудно (но не невозможно) изменить, мы называем его встроенным ПО.
Поскольку встроенное ПО загружается сначала и выполняется в операционной системе, средства безопасности и функции, работающие в операционной системе, трудно обнаружить его или защититься от него. Как и в доме, который зависит от хорошей основы для обеспечения безопасности, компьютер нуждается в безопасности встроенного ПО, чтобы обеспечить безопасность операционной системы, приложений и данных на этом компьютере.
System Guard — это набор функций, которые помогают гарантировать, что злоумышленники не смогут запустить ваше устройство с недоверенным или вредоносным встроенным ПО.
Платформы, которые обеспечивают защиту встроенного ПО, обычно также защищают режим управления системой (СММ), режим работы с высоким уровнем привилегий, в той или иной степени. Вы можете ожидать одно из трех значений, с более высоким числом, указывающим на большую степень защиты СММ:
-
Ваше устройство соответствует защите встроенного ПО версии 1: это обеспечивает базовые меры по устранению рисков безопасности, которые помогают SMM противостоять эксплуатации вредоносными программами и предотвращает кражу секретов из ОС (включая VBS)
-
Ваше устройство соответствует защите встроенного ПО версии 2: в дополнение к защите встроенного ПО версии 1, версия 2 гарантирует, что КОМАНДА СММ не может отключить защиту на основе виртуализации (VBS) и защиту DMA ядра.
-
Ваше устройство соответствует защите встроенного ПО версии 3: в дополнение к защите встроенного ПО версии 2, это еще больше усиливает защиту SMM, предотвращая доступ к определенным регистрам, которые могут скомпрометировать ОС (включая VBS).
Защита локального центра безопасности (LSA) — это функция безопасности Windows, которая помогает предотвратить кражу учетных данных, используемых для входа в Windows.
Локальный центр безопасности (LSA) — это важнейший процесс в Windows, участвующий в проверке подлинности пользователей. Он отвечает за проверку учетных данных во время входа и управление маркерами проверки подлинности и билетами, используемыми для включения единого входа в службы. Защита LSA помогает предотвратить запуск ненадежного программного обеспечения в LSA или доступ к памяти LSA.
Разделы справки управлять защитой локального центра безопасности?
Вы можете включить илиотключить защиту LSA с помощью переключателя.
После изменения параметра необходимо перезагрузить его, чтобы он вступил в силу.
Примечание: Чтобы обеспечить безопасность учетных данных, защита LSA включена по умолчанию на всех устройствах. Для новых установок он включается немедленно. Для обновлений он включается после перезагрузки после ознакомительного периода в пять дней.
Что делать, если у меня есть несовместимое программное обеспечение?
Если включена защита LSA и она блокирует загрузку программного обеспечения в службу LSA, уведомление указывает на заблокированный файл. Вы можете удалить программное обеспечение, загружающее файл, или отключить будущие предупреждения для этого файла, если он заблокирован для загрузки в LSA.
Примечание: Credential Guard доступен на устройствах с корпоративной или образовательной версиями Windows.
Когда вы используете рабочее или учебное устройство, оно будет спокойно входить в систему и получать доступ к различным вещам, таким как файлы, принтеры, приложения и другие ресурсы в вашей организации. Обеспечение безопасности и простоты этого процесса для пользователя означает, что на вашем компьютере есть ряд маркеров проверки подлинности в любой момент времени.
Если злоумышленник может получить доступ к одному или нескольким из этих маркеров, он может использовать их для получения доступа к ресурсу организации (конфиденциальным файлам и т. д.), для которых предназначен маркер. Credential Guard помогает защитить эти маркеры, помещая их в защищенную виртуализированную среду, где только определенные службы могут получить к ним доступ при необходимости.
Драйвер — это программное обеспечение, которое позволяет операционной системе (в данном случае Windows) и устройству (например, клавиатуре или веб-камере) общаться друг с другом. Когда устройство хочет, чтобы Windows что-то делало, оно использует драйвер для отправки этого запроса. Из-за этого драйверы имеют большой конфиденциальный доступ в вашей системе.
Windows 11 включает список блокировок драйверов, которые имеют известные уязвимости системы безопасности, подписаны сертификатами, используемыми для подписывания вредоносных программ, или которые обходят модель Безопасность Windows.
Если вы включили целостность памяти, управление интеллектуальными приложениями или режим Windows S, список блокировки уязвимых драйверов также будет включен.
Примечание: Если вы видите баннер под названием «Помощник по совместимости программ» с сообщением о том, что драйвер не может загрузиться или что параметр безопасности запрещает загрузку драйвера, проверка для обновленных драйверов через клиентский компонент Центра обновления Windows или через диспетчер устройств. Если обновления недоступны, обратитесь к производителю оборудования для получения обновленного драйвера.
Обработчик безопасности
Параметры обработчика безопасности на странице Безопасность устройства в приложении Безопасность Windows содержат сведения о доверенном платформенного модуля (TPM) на вашем устройстве. TPM — это аппаратный компонент, предназначенный для повышения безопасности путем выполнения криптографических операций.
Примечание: Если на этом экране не отображается запись «Обработчик безопасности», скорее всего, у вашего устройства нет необходимого оборудования TPM (доверенный платформенный модуль) для этой функции или оно не включено в UEFI (единый интерфейс EFI). Обратитесь к производителю устройства, чтобы узнать, поддерживает ли ваше устройство TPM (доверенный платформенный модуль), и, если да, то как включить его.
Здесь вы найдете сведения о производителе и номерах версий обработчика безопасности, а также информацию о состоянии обработчика безопасности.
В приложении «Безопасность Windows» на компьютере, выберите Безопасность устройства> Сведения о обработчике безопасности или используйте следующий ярлык:
Сведения о обработчике безопасности
Если ваш обработчик безопасности работает неправильно, можно щелкнуть ссылку Устранение неполадок с обработчиком безопасности, чтобы просмотреть сообщения об ошибках и дополнительные параметры, или использовать следующее сочетание клавиш:
Устранение неполадок обработчика безопасности
На странице устранения неполадок обработчика безопасности содержатся все соответствующие сообщения об ошибках доверенного платформенного модуля. Ниже приведен список сообщений об ошибках и подробные сведения:
|
Сообщение |
Подробности |
|---|---|
|
Для обработчика безопасности (доверенного платформенного модуля) требуется обновление встроенного ПО. |
Системная плата вашего устройства в настоящее время не поддерживает TPM, но обновление встроенного ПО может устранить эту проблему. Обратитесь к производителю устройства, чтобы узнать, доступно ли обновление встроенного ПО и как его установить. Обновления встроенного ПО обычно бесплатны. |
|
Доверенный платформенный модуль отключен и требует внимания. |
Модуль доверенной платформы, вероятно, отключен в системном BIOS (базовая система ввода-вывода) или UEFI (единый расширяемый интерфейс встроенного ПО). Инструкции по ее включению см. в документации по поддержке изготовителя устройства или в службу технической поддержки. |
|
Хранилище доверенного платформенного модуля недоступно. Очистите доверенный платформенный модуль. |
Кнопка очистки доверенного платформенного модуля находится на этой странице. Прежде чем продолжить, необходимо убедиться, что у вас есть хорошая резервная копия данных. |
|
Подтверждение работоспособности устройства недоступно. Очистите доверенный платформенный модуль. |
Кнопка очистки доверенного платформенного модуля находится на этой странице. Прежде чем продолжить, необходимо убедиться, что у вас есть хорошая резервная копия данных. |
|
Подтверждение работоспособности устройства не поддерживается на этом устройстве. |
Это означает, что устройство не предоставляет нам достаточно информации, чтобы определить, почему доверенный платформенный модуль может неправильно работать на вашем устройстве. |
|
TPM несовместим с встроенным ПО и может работать неправильно. |
Обратитесь к производителю устройства, чтобы узнать, доступно ли обновление встроенного ПО и как его получить и установить. Обновления встроенного ПО обычно бесплатны. |
|
Отсутствует журнал измеряемой загрузки доверенного платформенного модуля. Попробуйте перезапустить устройство. |
|
|
Возникла проблема с доверенным платформенным модулем. Попробуйте перезапустить устройство. |
Если после устранения сообщения об ошибке по-прежнему возникают проблемы, обратитесь к производителю устройства для получения помощи.
Выберите Очистить доверенный платформенный модуль, чтобы восстановить параметры по умолчанию обработчика безопасности.
Внимание: Перед очисткой доверенного платформенного модуля не забудьте создать резервную копию данных.
Безопасная загрузка
Безопасная загрузка предотвращает загрузку сложного и опасного типа вредоносных программ ( rootkit) при запуске устройства. Пакеты программ rootkit используют такие же разрешения, как и операционная система, и запускаются раньше нее, что позволяет им полностью скрыть себя. Зачастую программы rootkit входят в набор вредоносных программ, которые могут обходить процедуры входа, записывать пароли и нажатые клавиши, перемещать конфиденциальные файлы и получать криптографические данные.
Для запуска некоторых графических карт, оборудования или операционных систем, таких как Linux или более ранние версии Windows, может потребоваться отключить безопасную загрузку.
Дополнительные сведения см. в статье Безопасная загрузка.
Аппаратные возможности обеспечения безопасности
В последнем разделе страницы безопасности устройства отображаются сведения, указывающие на возможности безопасности устройства. Ниже приведен список сообщений и подробных сведений:
|
Сообщение |
Подробности |
|---|---|
|
Ваше устройство соответствует требованиям к стандартной аппаратной безопасности. |
Это означает, что устройство поддерживает целостности памяти и изоляцию ядра, а также:
|
|
Ваше устройство соответствует требованиям к усиленной аппаратной безопасности. |
Это означает, что в дополнение к стандартным требованиям к безопасности оборудования, на устройстве также включена функция целостности памяти. |
|
На устройстве включены все функции защищенного компьютера. |
Это означает, что в дополнение к обеспечению соответствия требованиям к усиленной безопасности оборудования, на устройстве также включена функция защиты режима управления системой (SMM). |
|
Standard аппаратной безопасности не поддерживается. |
Это означает, что устройство не соответствует по крайней мере одному из стандартных требований к безопасности оборудования. |
Улучшенная аппаратная безопасность
Если уровень системы безопасности устройства вас не устраивает, может потребоваться включить определенные аппаратные функции (такие как безопасная загрузка, если она поддерживается) или изменить параметры в BIOS вашей системы. Обратитесь к изготовителю оборудования, чтобы узнать, какие функции поддерживаются вашим оборудованием и как их активировать.
Диспетчер ПК
|
В этом случае также может оказаться полезным приложение «Диспетчер ПК». Для получения дополнительных сведений см. Диспетчер ПК (Майкрософт). Примечание: Диспетчер ПК (Майкрософт) доступен не во всех регионах. |
Enable or Disable Core Isolation and Memory Integrity in Windows 11
Windows 11 is designed with a focus on enhanced security and performance. One of the standout features introduced in recent iterations of the operating system is Core Isolation, a virtualization-based security feature that helps protect critical parts of the Windows operating system. Among its sub-features is Memory Integrity, also known as Hypervisor Protected Code Integrity (HVCI), which fortifies the integrity of device memory. In this article, we will explore what Core Isolation and Memory Integrity are, why they are essential, and how to enable or disable these features in Windows 11.
Understanding Core Isolation and Memory Integrity
Core Isolation
Core Isolation leverages hardware virtualization to create a secure environment or ‘container’ that is isolated from the primary operating system. This means that specific sensitive operations, such as Windows Defender or other security mechanisms, can run independently from the rest of the system, offering enhanced protection against various threats. Core Isolation protects against malware trying to manipulate or exploit system memory, preventing it from affecting core system components.
Memory Integrity
Memory Integrity is a feature under the umbrella of Core Isolation. It ensures that only trusted software can access system memory, providing an additional protective layer against various types of attacks, including kernel exploits. In simple terms, Memory Integrity helps ensure that your system runs only legitimate code, preventing malware from injecting malicious code into high-level processes.
Importance of Core Isolation and Memory Integrity
-
Enhanced Security: The primary benefit of enabling Core Isolation and Memory Integrity is the significant boost in protection from malware and malicious actors. These features help protect against advanced threats that target the kernel and system memory.
-
Isolation from Attacks: Core Isolation creates a separate secure environment for sensitive processes, meaning that even if a malicious actor gains access to the system, they’d have a much harder time accessing critical components.
-
Protection for Device Integrity: Memory Integrity checks the code before it’s executed in memory, ensuring that any code that could potentially harm the system is blocked, reducing the risk of corruption caused by unauthorized access.
System Requirements
Before diving into enabling or disabling Core Isolation and Memory Integrity in Windows 11, it’s essential to ensure that your system meets certain requirements:
- 64-bit CPU: Memory Integrity and Core Isolation require a 64-bit version of Windows 11.
- Virtualization Support: The processor must support Virtualization Extensions (Intel VT-x or AMD-V).
- TPM 2.0: Trusted Platform Module (TPM) version 2.0 is mandatory for enabling many security features.
How to Enable Core Isolation and Memory Integrity
Enabling Core Isolation and Memory Integrity in Windows 11 involves a few straightforward steps. Here’s a step-by-step guide on how to activate these features.
Step 1: Check Your System Specifications
Before making any changes, you should verify if your system meets the necessary requirements for Core Isolation. You can check your system specifications by doing the following:
- Right-click the Start button and select Settings.
- Navigate to System > About.
- Here, you can view your system details, including processor information and whether virtualization is enabled.
Step 2: Enable Virtualization in BIOS
If your computer supports virtualization but it’s not enabled by default, you will need to enable it in your BIOS settings:
- Restart your computer and enter the BIOS/UEFI setup by pressing the key designated for entering setup (usually F2, Del, or Esc) during the boot-up process.
- Look for a section related to CPU Configuration or something similar.
- Enable Virtualization Technology (Intel VT-x or AMD-V).
- Save the changes and exit the BIOS setup.
Step 3: Enable Core Isolation
Now, to enable Core Isolation in Windows 11:
- Go to Settings again by right-clicking the Start button and selecting it.
- Click on Privacy & security on the left panel.
- Click on Windows Security.
- Select Device security.
- Under the “Core isolation” section, click on Core isolation details.
- You will see the Memory integrity toggle. Switch it to On.
Step 4: Restart Your Computer
After switching on Memory Integrity, it is essential to restart your computer for the changes to take effect. This will initialize Core Isolation and Memory Integrity, enhancing your system’s security features.
Troubleshooting Common Issues
After you have enabled Core Isolation and Memory Integrity, you may encounter some common issues. Here are potential problems and fixes:
Compatibility Issues
Certain drivers or applications may not be compatible with Memory Integrity. If you experience system instability or crashes:
- Use the Windows Event Viewer to check for specific error messages related to kernel dumps or driver failures.
- You may need to update the applications or drivers causing conflicts. Visit the manufacturer’s website for the latest versions.
Performance Concerns
Although Core Isolation and Memory Integrity enhance security, some users may notice decreased performance in specific scenarios, particularly when running applications requiring high resources.
- Review Task Manager: Check Process Tree in Task Manager to pinpoint apps consuming high CPU/Mem usage.
- Disable Certain Features: If performance is severely affected, you can consider temporarily disabling Memory Integrity.
How to Disable Core Isolation and Memory Integrity
If you wish to disable these features for troubleshooting, compatibility, or performance reasons, you can reverse the enabling process:
Step 1: Open Windows Security
- Open Settings via the Start Menu.
- Select Privacy & security followed by Windows Security.
- Click on Device security.
Step 2: Access Core Isolation Settings
- In the Device Security menu, locate the Core isolation section.
- Click on Core isolation details.
Step 3: Disable Memory Integrity
- Toggle Memory integrity to Off.
- Confirm your choice when prompted to proceed with disabling.
Step 4: Restart Your Computer
To complete the change, restart your computer. This will deactivate Core Isolation and Memory Integrity.
Conclusion
Core Isolation and Memory Integrity are valuable security features built into Windows 11 to assist in preserving system integrity and protecting against cybersecurity threats. While enabling them is straightforward, users must ensure their systems meet compatibility requirements and remain mindful of potential performance issues.
For users looking to leverage Windows 11’s robust security measures, enabling Core Isolation and Memory Integrity is a decisive step. Conversely, if you require compatibility or experience performance issues, disabling them is a viable option; however, consider the trade-off in security. Ultimately, always stay informed about potential vulnerabilities and keep your system updated to ensure you enjoy the best security posture while using Windows 11.
(Image credit: Mauro Huculak)
Core isolation is a set of virtualization-based security features on Windows 11 that provides additional protection from hackers and malicious code. One of the main features is «Memory Integrity,» which prevents malware and other malicious code from hijacking high-security processes.
The protection makes the kernel memory pages executable only if they pass the integrity check. Also, the «Microsoft Vulnerable Driver Blocklist» feature is part of the scope, and it allows the system to prevent the installation of drivers that may contain vulnerabilities. The «Core isolation» features, including memory integrity, should be enabled by default. However, if they’re not enabled or are causing performance problems, you can control these features from the Windows Security app.
In this how-to guide, I will walk you through the steps to manage the Core isolation features on Windows 11.
Warning: This guide includes steps to modify the Registry. As such, this is a friendly reminder that editing the Registry is risky and can cause irreversible damage to your installation if you don’t do it correctly. It’s recommended to make a full backup of your computer before proceeding.
How to enable Core isolation’s Memory integrity on Windows 11
On Windows 11, you can enable the Core isolation features from the Settings app or through the Registry, and here’s how.
Enable Core isolation from Settings
To enable Core isolation on Windows 11, use these steps:
- Open Start.
- Search for Windows Security and click the top result to open the app.
- Click on Device security.
- Under the «Core isolation» section, click the «Core isolation details» option.
- Turn on the Memory integrity toggle switch to disable the feature.
Once you complete the steps, restart the computer to apply the settings to protect your computer from malicious code injecting into high-security processes.
All the latest news, reviews, and guides for Windows and Xbox diehards.
Enable Core isolation from Registry
If the Core isolation options are greyed out, you may be able to enable the features from the Registry:
- Open Start.
- Search regedit and click the top result to open the Registry Editor.
- Browse the following path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
- Double-click the Enabled key and change its value from 0 to 1.
- Click the OK button.
After you complete the steps, restart the computer to apply the changes.
Using this method will disable the option to control the settings from the «Core isolation» settings page, and you will see a «This setting is managed by your administrator» message. If you want to control the settings again from the Windows Security app, you’ll have to disable the option from the Registry (see instructions below).
How to disable Core isolation’s Memory integrity on Windows 11
If the feature conflicts with other components, you can always disable it. Also, if you use your computer for gaming, Microsoft recommends disabling Core isolation (in addition to the «Virtual Machine Platform» from the Windows Feature settings) to boost performance.
Disable Core isolation from Settings
To disable Core isolation, use these steps:
- Open Start.
- Search for Windows Security and click the top result to open the app.
- Click on Device security.
- Under the «Core isolation» section, click the «Core isolation details» option.
- Turn off the Memory integrity toggle switch to disable the feature.
- (Optional) Turn off the «Microsoft Vulnerable Driver Blocklist» toggle switch if you’re trying a good-known driver that’s being blocked by this feature.
After you complete the steps, restart the computer to apply the changes.
If you turn off Core isolation to play games on Windows 11, it’s a good idea to re-enable the feature after you’re playing as per Microsoft’s recommendations.
Disable Core isolation from Registry
If the option to turn off Core isolation is greyed out, you may be able to disable the feature from the Registry:
- Open Start.
- Search regedit and click the top result to open the Registry Editor.
- Browse the following path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
- Double-click the Enabled key and change its value from 1 to 0.
- Click the OK button.
Once you complete the steps, restart the computer to complete the setup.
More resources
For more helpful articles, coverage, and answers to common questions about Windows 10 and Windows 11, visit the following resources:
- Windows 11 on Windows Central — All you need to know
- Windows 10 on Windows Central — All you need to know
Mauro Huculak has been a Windows How-To Expert contributor for WindowsCentral.com for nearly a decade and has over 15 years of experience writing comprehensive guides. He also has an IT background and has achieved different professional certifications from Microsoft, Cisco, VMware, and CompTIA. He has been recognized as a Microsoft MVP for many years.
Изоляция ядра — одна из функций защиты устройства Windows на основе виртуализации (Hypervisor-protected Code Integrity или HVCI), изолирующая сторонние процессы от процессов Windows, призванная повысить защиту от угроз, направленных на ядро Windows. Несмотря на пользу, в некоторых случаях её отключение может повысить производительность системы в играх и сторонних приложениях.
В этой пошаговой инструкции подробно о способах отключить изоляцию ядра в Windows 11 и Windows 10, а также дополнительная информация на тему, которая может оказаться полезной.
Отключение изоляции ядра в «Безопасность Windows»
Базовый способ — использование соответствующей настройки в окне «Безопасность Windows». Шаги для отключения изоляции ядра будут следующими:
- Откройте окно «Безопасность Windows», используя значок в области уведомлений или поиск в панели задач.
- В открывшемся окне «Безопасность Windows» перейдите в раздел «Безопасность устройства».
- В пункте «Изоляция ядра» нажмите «Сведения об изоляции ядра».
- Отключите пункты «Целостность памяти». При появлении запроса контроля учетных записей подтвердите действие.
- В случае, если отключение производится из-за невозможности работы какого-либо драйвера, также отключите пункт «Список заблокированных уязвимых драйверов».
- Появится уведомление о необходимости перезагрузки. Перезагрузите компьютер для применения сделанных настроек.
В результате изоляция ядра и основная её составляющая — «Целостность памяти» будут отключены.
Примечание: открыть «Безопасность Windows» вы можете через «Параметры»:
- В Windows 11 — Параметры — Конфиденциальность и защита — Безопасность Windows
- В Windows 10 — Параметры — Обновление и безопасность — Безопасность Windows
Отключение в редакторе реестра
Вы можете полностью отключить функции изоляции ядра HVCI, используя редактор реестра. Для этого:
- Нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите regedit и нажмите Enter.
- Перейдите к разделу реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
При отсутствии такого раздела, создайте его.
- В правой панели редактора реестра дважды нажмите по параметру DWORD с именем «Enabled» и измените его значение на 0.
- Примените настройки и перезагрузите компьютер.
В результате изоляция ядра и сопутствующие функции HVCI будут отключены на компьютере.
Вместо ручного редактирования реестра вы можете создать reg-файл со следующим содержимым:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity] "Enabled"=dword:00000000
Либо использовать команду в командной строке, запущенной от имени Администратора:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
Настройка HVCI в редакторе локальной групповой политики
Если на вашем компьютере установлена Windows 11/10 Pro или Enterprise, вы можете использовать редактор локальной групповой политики для отключения изоляции ядра и других функций HVCI:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
- Перейдите в раздел Конфигурация компьютера — Административные шаблоны — Система — Device Guard.
- Дважды нажмите по политике «Включить средство обеспечения безопасности на основе виртуализации».
- Установите значение «Отключено».
- Примените настройки и перезагрузите компьютер.
В результате функции изоляции ядра Windows будут полностью отключены.
Проверка статуса изоляции ядра
Проверить текущий статус функций безопасности на основе виртуализации можно с помощью команды PowerShell (Терминала Windows):
Get-CimInstance -ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard
На скриншоте видно, что все функции HVCI отключены (SecurityServicesRunning и VirtualisationBasedSecurityStatus равны 0).
Еще один способ проверить, включена ли изоляция ядра — в редакторе реестра открыть раздел
HKLM\System\CurrentControlSet\Control\CI\State
Если раздел отсутствует или параметр HVCIEnabled в нём равен 0, изоляция ядра отключена. При значении HVCIEnabled равном 1 — включена.
После отключения изоляции ядра безопасность Windows будет сигнализировать о проблемах в части «Безопасность устройства», а на значке в области уведомлений будет отображаться восклицательный знак. Чтобы этого не происходило, зайдите в раздел «Безопасность устройства» и нажмите «Закрыть» или «Закрыть все».
Насколько безопасно отключать изоляцию ядра Windows? Точного ответа о степени риска дать не получится. В общем случае, при отсутствии каких-либо проблем с производительностью и работой необходимых драйверов лучше оставлять встроенные функции безопасности Windows 11/10 включенными. Но, как отмечалось, иногда отключение изоляции ядра и целостности памяти позволяет повысить производительность в играх, что отмечала и Майкрософт.
Учитывайте, что не на всех устройствах изоляция ядра включена по умолчанию. Если она отключена, чаще всего причина — в неподдерживаемых драйверах устройств, список которых будет отображаться в «Безопасность Windows». Вторая возможная причина — отсутствие необходимых для работы HVCI функций виртуализации.
Enabling or disabling core isolation takes minutes following the step-by-step methods mentioned in our guidelines.
Windows Security options provide a built-in malware protection system for your computer to protect it from malicious software attacks. In Windows 11, we get the Core Isolation feature for an added layer of protection against malware or any malicious attack by isolating various processes from the operating system and device.
Core Isolation comes with a Hypervisor-protected Code Integrity security feature called Memory Integrity. Memory Integrity blocks the malicious code from accessing high-security tasks by creating an isolated environment for hardware virtualization in case of a malicious attack.
Hence Core Isolation’s Memory Integrity assures the security of your device. But will it affect performance, and is it worth enabling? In this article, we will guide you on how to enable or disable Core Isolation in Windows 11 by following two step-by-step methods. We will also discuss if Memory Integrity affects the overall performance of your device.
Enabling or Disabling Core Isolation in Windows 11
If you don’t know how to enable or disable Core Isolation in Windows 11, our two practical methods will help you to achieve this task by following a step-by-step approach.
Method #1: From Windows Security
This method follows a rather simpler approach to enable or disable Core Isolation by following these methods.
- Go to ‘Start Menu’ and type ‘Windows Security.’
- Click ‘Device Security’ from the panel on the left side.
- Click the ‘Core Isolation Details’ in the Device Security tab.
- Click the toggle switch below Memory Integrity to turn Core Isolation ‘on’ or ‘off.’
- Restart your computer system to apply the changes, and you’re all done.
Method #2: From Windows Registry
Enabling or disabling Core Isolation in Windows 11 from the Windows Registry only takes a minute by following these methods.
- Press ‘Windows Key’ + ‘R’ to open the ‘Run’ dialogue.
- Type ‘regedit’ and press Enter key.
- Click ‘Yes’ to proceed and open the ‘Registry Editor.’
- Enter the following path in the search panel entry starting with ‘Computer’ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
- Double-click the ‘Enabled’ registry file and set the ‘Base’ for Value Data to ‘Hexadecimal.’
- Enter ‘0’ to disable and ‘1’ to enable Core Isolation, and click ‘OK.’
- Restart your computer system to apply the changes.
Does Core Isolation Affect Gaming Performance?
Core Isolation is enabled on Windows by default and isolates the processes from Windows and the device, which means that it is actually consuming hardware resources and adding latency. Hence enabling Core Isolation can affect the performance while playing CPU Intensive games or performing any processor-consuming task. Based on CPU benchmarks with Core Isolation enabled, you may face less than a 5% drop in performance.
Final Words
Core Isolation & Memory Integrity protect your computer system from malicious attacks and viruses. Therefore, enabling the Core Isolation on your device is vital to enhance the security for a small compromise on performance is vital. However, if you’re more into gaming on an old CPU dated back to the 6th generation, you may want to disable it for a better experience.
FAQ
How to Resolve ‘Incompatible Drivers’ for Core Isolation on Windows 11?
To use the particular incompatible app or device with Core Isolation enabled, you must update it for the latest drivers. You can check the manufacturer’s website for the driver update of your PC’s model and generation. If no compatible drivers are available, you may have to remove the app that uses incompatible drivers.
Is it Safe to Turn off Core Isolation on Windows 11?
It is always better to have an extra layer of security to save your files and operating system from malicious attacks. Therefore, Core Isolation should be enabled on Windows 11.
Is Core Isolation Enabled on Windows 11 by Default?
In Windows 11 2022 Update (22H2), Core Isolation Memory Integrity is enabled by default, so you don’t have to do it manually. You can check Windows version to see if an update is required to enable the option.
Hi there! I’m a passionate content creator and gamer. Being devoted to making a difference through my publications, I chose to blog for a career to share my knowledge and expertise in gaming technology. Compiling my tech knowledge and gaming experience, I am here to bring you the latest updates and news from the gaming world. Follow me on Twitter .