Microsoft uses virtualization in Windows 11 for scenarios including Hypervisor-protected code integrity (HVCI), also called Memory Integrity, and the Virtual Machine Platform (VMP).
VMP provides core virtual machine services for Windows. Memory Integrity helps prevent attackers from injecting their own malicious code and helps ensure that all drivers loaded onto the OS are signed and trustworthy. It will be enabled by default on all new Windows 11 devices. Enabling security features on by default is based on the evolving threat landscape and the responsibility Microsoft has to protect its over a billion Windows users.
As part of continued testing and feedback from users, Microsoft has seen that in some scenarios and some configurations of gaming devices there may be a performance impact with Memory Integrity and VMP on.
Windows provides choice and control for users to configure their PCs to meet their specific needs, including the ability to turn Windows features like Memory Integrity and VMP on and off. Gamers who want to prioritize performance have the option to turn off these features while gaming and turn them back on when finished playing. However, if turned off, the device may be vulnerable to threats.
Below are instructions to turn off these features.
Turning off Memory Integrity
-
Select Start , enter ‘Core Isolation’ in the taskbar, and select Core Isolation from the list of results to open the Windows security app.
-
On the Core isolation page, turn off the toggle for Memory Integrity. You might need to restart your device.
Turning off Virtual Machine Platform (VMP)
-
Select Start , enter ‘Windows features’ in the search box, and select Turn Windows features on or off from the list of results.
-
In the Windows Features window that just opened, find and unselect Virtual Machine Platform.
-
Select OK. You might need to restart your device.
Need more help?
Want more options?
Explore subscription benefits, browse training courses, learn how to secure your device, and more.
Communities help you ask and answer questions, give feedback, and hear from experts with rich knowledge.
Сегодня Microsoft приступила к распространению Windows 11 (22H2), первого крупного обновления для своей актуальной операционной системы. Оно принесёт немало любопытных нововведений, одним из которых станет активированная по умолчанию функция изоляции ядра и защита целостности памяти, предназначенная для противодействия вредоносному ПО и атакам разного типа путём изоляции процессов ОС и самого устройства.
Источник изображения: Microsoft
Согласно имеющимся данным, эта функция приводит к снижению общей производительности устройства. На момент запуска Windows 11 в октябре прошлого года функция изоляции ядра была отключена по умолчанию. Очевидно, что теперь Microsoft решила повысить безопасность пользователей, несмотря на то, что активация упомянутой функции приводит к снижению производительности устройства, особенно в играх. В компании также отметили, что разработчикам удалось частично снизить воздействие, которое оказывает изоляция ядра на производительность.
Согласно имеющимся данным, изоляция ядра будет включена по умолчанию на новых ПК с Windows 11. На действующих устройствах, пользователи которых установят обновление Windows 11 (22H2), функция автоматически активирована не будет. Напомним, для корректной работы изоляции ядра необходимо наличие модуля TPM 2.0, а также активация некоторых дополнительных функций обеспечения безопасности. Функция изоляции ядра также присутствует в Windows 10, но там она отключена по умолчанию.
Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Выключение Core Isolation может помочь в некоторых случаях, например, если вы используете устаревшее приложение, которое несовместимо с этой функцией. Однако перед тем как отключить изоляцию ядра в Windows 11, необходимо убедиться, что это не повлияет на стабильность и безопасность ОС.
Содержание
- Что это такое
- Когда следует отключать
- Проверка статуса изоляции
- Отключение или включение функции
- Безопасность Windows
- Отключение в редакторе реестра
- Редактор локальной групповой политики
- Hyper V
- Возможные проблемы
Что это такое
Изоляция ядра в Windows 11 — это функция безопасности, разделяющая привилегии между компонентами ОС, чтобы снизить риск повреждения системы вирусами и шпионскими программами. Она ограничивает доступ вредоносного ПО к критическим системным ресурсам, таким как память и процессор, что затрудняет их работу и предотвращает повреждение системы.
Когда следует отключать
Отключать изоляцию нужно в случае, если вы уверены, что это необходимо для работы определенного приложения или драйвера. Если вы решили отключить изоляцию ядра, то обязательно делайте это временно и только для необходимых приложений или драйверов. После использования таких программ не забудьте снова включить изоляцию для обеспечения безопасности системы.
Проверка статуса изоляции
Проверить статус изоляции можно несколькими способами. Первый — с помощью терминала.
- Нажмите ПКМ на значок Пуска и выберите «Терминал (Администратор)».
- Впишите следующий запрос: Get-CimInstance -ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard
- Если указано значение «0», значит изоляция отключена.
Второй метод будет с помощью реестра.
- Нажмите Win + R и впишите regedit.
- Перейдите к этому каталогу:
Если в параметре HVCIEnabled указано «0», изоляция отключена. Если стоит «1» — включена.
Отключение или включение функции
Теперь рассмотрим способы отключения и включения изоляции ядра в Windows 11. Все методы описаны с использованием стандартных приложений без дополнительного ПО.
Безопасность Windows
Один из самых простых и стандартных отключения изоляции ядра – через Безопасность Windows.
Безопасность Windows — это компонент, отвечающий за защиту ПК от различных угроз, таких как вирусы, трояны, шпионы и другие виды вредоносного ПО. Он также обеспечивает защиту личных данных пользователя и предотвращает несанкционированный доступ к ПК.
- Нажмите кнопки Win+I и выберите Конфиденциальность и защита. Запустите Безопасность Windows.
- Зайдите в «Безопасность устройства».
- Вы увидите раздел «Изоляция ядра». Вы должны кликнуть на надпись «Сведения об изоляции ядра».
- Теперь нужно убрать ползунок возле пункта «Целостность памяти» (memory integrity).
Отключение целостности памяти в Windows 11 снимет контроль с драйверов в системе.
Если этот ползунок недоступен, то можете сразу переходить к другим методам.
- Появится оповещение, в котором будет предложено перезагрузить компьютер. Подтверждаем операцию.
Чтобы вернуть ПК в прежнее состояние, зайдите в приложение Безопасность и включите целостность памяти Windows 11. Не забудьте перезагрузить ПК.
Нужно ли включать целостность памяти? В 80% сборок Windows целостность отключена. Когда целостность работает, она проверяет, что все работающие процессы, авторизованы и не пытаются выполнить несанкционированные операции. Это сильно нагружает систему и снижает производительность (особенно в играх). В первую очередь это касается слабых ПК и ноутбуков.
Отключение в редакторе реестра
Второй способ отключения — с помощью редактора реестра.
- Зажмите Win + R и впишите запрос regedit.
- Теперь нужно перейти по таком пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
В файле «EnableVirtualizationBasedSecurity» нужно поменять данные на «0». Дважды кликните ЛКМ по параметру, впишите цифру 0 и щёлкните на ОК. Если такого параметра нет, его нужно создать вручную.
- На свободном месте кликните ПКМ и нажмите Создать>Параметр DWORD 32 бита. Впишите название и укажите значение «0».
- Перезагрузите ПК.
Редактор локальной групповой политики
Отключить изоляцию ядра в Windows 11 можно с помощью групповых политик. Важно знать, что метод будет работать только на Windows версии Pro или Enterprise.
- Зажмите Win + R и впишите gpedit.msc и нажмите Enter.
- Перейдите в каталог по пути Конфигурация компьютера>Административные шаблоны>Система>Device Guard. Кликните дважды по файлу, который выделен на скриншоте ниже:
- Появится новое окно. Отметьте пункт «Отключено». Затем нажмите на «ОК».
- Перезагрузите устройство.
Чтобы включить защиту DMA ядра обратно, сделайте то же самое, только в окне, где вы указывали значение «Отключить» нужно выбрать «Включить».
Hyper V
Hyper-V (Hyper-V Virtualization) — это встроенная платформа виртуализации, разработанная корпорацией Microsoft и предназначенная для запуска виртуальных машин (ВМ) на серверах и компьютерах под управлением Windows. Эта технология позволяет создавать и управлять различными виртуальными средами на одном физическом хосте, что делает ее полезной для разработчиков, системных администраторов и технических специалистов.
Если отключить Hyper-V, то это отключит изоляцию ядра. Важно помнить, что пользоваться этим методом стоит только в том случае, когда выше перечисленные способы не принесли результата.
Чтобы отключить Hyper-V нужно сделать следующее:
- Откройте панель управления через меню Пуск.
- Вместо категорий выберите «Крупные значки», чтобы появился список значков.
- Откройте «Программы и компоненты».
- Щёлкните на пункте «Включение или отключение компонентов Windows».
- Отключаем Hyper-V снятием галочки возле соответствующего каталога.
Нажмите ОК, и перезапустите ПК. Устройство запустится с обновлённым набором настроек.
Сделать это можно также через редактор реестра.
- Запустите редактор через Пуск, или как мы делали это ранее.
- Затем перейдите по такому пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity.
- Щёлкните дважды ЛКМ на параметр «Enabled» и поставьте значение «0».
Возможные проблемы
При отключении изоляции могут возникнуть следующие неприятности:
- Уязвимость системы к вредоносному ПО. Отключение изоляции ядра создаёт уязвимость для атак вирусами, так как они получают больше доступа к службам операционки.
- Проблемы с совместимостью. Устаревшие приложения и драйверы могут работать некорректно. Это может поспособствовать сбоям в работе или потере данных.
Владислав Макаров
Увлекается компьютерами, умеет их чинить, собирать, настраивать. Работает продавцом-консультантом в компьютерном салоне. Опыт работы — 5 лет.
Microsoft’s latest Windows 11 feature update, the Windows 11 2022 Update (22H2), turns on the operating system’s core isolation memory integrity protection by default. This change in Windows 11’s security policy trades increased security for a small (though significant) loss of performance in earlier tests.
Microsoft shipped the Windows 11 2022 Update on Tuesday, with additional security features like Smart App Control. Our review of the Windows 11 2022 Update notes that Microsoft has focused more on behind-the-scenes features like accessibility and security, rather than more popular features like the Taskbar.
At Windows 11’s launch, Microsoft left core isolation off by default. Now, the company is concerned that users are secure “out of the box,” with other scenarios — including gaming, where turning on these functions has hurt performance — taking a back seat. Microsoft also believes that its engineering teams have been able to overcome or partially overcome the performance hit that turning on those memory integrity features entails.
“Core Isolation will be on by default for fresh installations and new PCs, so devices are secure as possible,” Microsoft said in an emailed statement after this story had initially published.
The new security feature will be on by default for new PCs, but not for those who are upgrading to the Windows 11 2022 Update. Representatives also said that the core isolation feature can be turned off. (One of our test PCs, a Microsoft Surface Laptop Studio, does not allow this feature to be turned off, however.)
What is core isolation?
In Windows 10 and 11, supported hardware uses a form of virtualization to protect the operating system and your PC from malicious code, isolating certain processes in the PC’s memory. Certain hardware features are required to enable the feature, including a TPM 2.0, secure boot, and Data Execution Prevention. In part, the increased priority on security pushed Microsoft to require PCs with processors that supported these features as a requirement for Windows 11. But core isolation has been supported for several processor generations (and across AMD and Qualcomm) even if PCs haven’t necessarily used it.
Mark Hachman / IDG
You can typically check whether these features are on or off inside the Windows Security app, specifically the Device Security section (Settings > Privacy & security > Windows Security > Device Security > Core Isolation). Certain PCs — for example, Microsoft’s Surface Laptop Studio — shipped with memory integrity on by default, with no option to turn it off. Other laptops may have different settings.
The change that Microsoft says that it is making, though, is to make this memory integrity setting more like the Surface Laptop Studio’s: on by default, protecting your PC. Again, though, if you’ve switched this feature off, Microsoft says it will not be switched on again.
“For users who are upgrading their OS and Core Isolation is turned off, it will remain off,” Microsoft said in a statement. “The user will see a warning in the Windows Security app informing them that this feature is currently turned off so that action can be taken by the user to turn it on so that their device is as secure as possible against malicious attacks.”
What effect does this have on your PC?
The significance of Microsoft’s decision depends on your perspective. To be fair, Microsoft’s decision trades off providing increased confidence in your PC’s security versus a slight dip in your PC’s performance, which you may or may not notice.
Both PCWorld and Tom’s Hardware tested the effects of the core isolation / memory integrity feature earlier this year. PCWorld’s tests focused on the impact on general productivity — and turning it on has less than 5 percent performance penalty for processors dating back to Intel’s 6th-generation Core chips. PCMark tests, which measure general productivity, were similar. Going back to Intel’s relatively ancient 6th-generation Core chip generates a performance drop of more than 10 percent.
In gaming, however, Tom’s Hardware found that even recent processors like the Core i7-11700K showed 7 percent drops in popular games like Red Dead Redemption 2 — about a processor generation’s worth of performance. That’s fairly significant, especially for those systems already hovering around the margins of playable frame rates.
Both tests were performed in October 2021, about a year ago, however. Microsoft believes that at least some of those performance drops have been overcome by engineering work since then. By how much? We don’t know yet.
If you’re an average PC user, Microsoft’s decision probably benefits you. Gamers, though, should probably consider switching this feature off when they begin gaming. Or use Windows 10 instead.
This story was updated at 12:35 PM with additional details.
Изоляция ядра — это функция безопасности Windows 11, которая защищает ядро операционной системы от вредоносных атак с помощью виртуализации. Однако многим пользователям не нравится эта функция, так как доказано, что она снижает производительность компьютера и иногда мешает установке, работе некоторых драйверов и программ. В этой статье мы расскажем, как отключить изоляцию ядра в Windows 11 тремя разными способами: с помощью приложения «Безопасность Windows», через Редактор реестра и Редактор локальной групповой политики.
Способ 1: с помощью приложения «Безопасность Windows»
Это самый простой и удобный способ отключить изоляцию ядра в Windows 11. Для этого нужно выполнить следующие шаги:
- Откройте приложение «Безопасность Windows».
Как открыть Безопасность Windows в Windows 11?
Эта инструкция поможет вам перейти в параметры приложения «Безопасность Windows».
- В левой части открывшегося окна нажмите на раздел на «Безопасность устройства».
- Затем в правой части окна нажмите на «Сведения об изоляции ядра».
- Переведите переключатели в положение «Откл.» у параметров «Целостность памяти» и «Защита локальной системы безопасности».
- Перезагрузите компьютер, чтобы изменения вступили в силу.
Способ 2: с помощью Редактора реестра
Если вы хотите отключить изоляцию ядра в Windows 11 более радикальным способом, то вы можете использовать редактор реестра. Однако будьте осторожны: неправильное редактирование реестра может повредить систему. Перед использованием этого способа убедитесь, что у вас есть резервная копия Windows или создана точка восстановления системы.
- Откройте Редактор реестра.
Как открыть Редактор реестра в Windows 11?
С помощью этой инструкции вы сможете открывать Редактор реестра четырьмя разными способами.
- Перейдите к разделу реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
- В правой панели Редактора реестра дважды нажмите по параметру REG_DWORD с именем «Enabled».
- В открывшемся небольшом окне измените его значение на 0, а затем нажмите на кнопку OK.
- Перезагрузите компьютер, чтобы изменения вступили в силу.
Способ 3: с помощью Редактора локальной групповой политики
Еще один способ отключить изоляцию ядра в Windows 11 — это использовать редактор локальной групповой политики, с помощью которого вы можете управлять различными настройками Windows 11. Однако этот способ доступен только для пользователей Windows 11 Pro, Enterprise или Education.
- Откройте Редактор локальной групповой политики.
Как открыть Редактор групповой политики в Windows 11?
С помощью этой инструкции вы узнаете о 4 простых способах перейти в Редактор локальной групповой политики.
- Перейдите к разделу Конфигурация компьютера > Административные шаблоны > Система > Device Guard.
- Найдите параметр «Включить средство обеспечения безопасности на основе виртуализации» и дважды щелкните по нему.
- В открывшемся окне выберите активируйте у параметра настройку «Отключено» и нажмите кнопку «OK».
- Для применения настроек перезагрузите компьютер.
Как проверить статус изоляции ядра?
Если вы хотите узнать, включена ли изоляция ядра в Windows 11 или нет, то вы можете проверить ее статус через приложение «Сведения о системе».
- Нажмите на кнопку или строку поиска на панели задач и введите msinfo32 или начните набирать текст «Сведения о системе«.
- Затем нажмите на приложение «Сведения о системе».
- После открытия окна нажмите на раздел «Сведения о системе».
- Прокрутите список с информацией вниз и найдите пункт «Безопасность на основе виртуализации».
- Если в этой строчке вы видите значение «Выполнение», значит, изоляция ядра включена и сейчас находится в активном состоянии. В противном случае в этой строчке будет указано «Не включено».
Получилось у вас отключить изоляцию ядра в Windows 11 или наоборот столкнулись с трудностями?
Напишите об этом в комментариях 😉