Quick ways to enable core isolation on Windows 11
by Claire Moraa
Claire likes to think she’s got a knack for solving problems and improving the quality of life for those around her. Driven by the forces of rationality, curiosity,… read more
Updated on
- Core isolation is a security feature that protects against certain types of ransomware. When enabled, it prevents processes from tampering with other processes’ data.
- This makes it more difficult for hackers to install or run programs on your computer without your knowledge.
- The feature is not available in every version of Windows so ensure your PC meets the minimum system requirements.
XINSTALL BY CLICKING THE DOWNLOAD
FILE
Core isolation is an additional security feature in Windows 11 that adds an extra layer of protection. Although Windows Defender has its own set of features that make the OS secure, Core isolation offers more. However, you may find that the core isolation page is not available in Windows 11.
With core isolation enabled, if a malicious program tries to take over your system by exploiting a vulnerability in Windows, it won’t have access to other parts of the operating system, such as your files or network connections. Given its importance, let’s look at how to enable it.
Why is Core isolation page not available?
To use Core isolation, you need to upgrade your device to a newer version of Windows. You already know the stringent system requirements for Windows 11, so if your device doesn’t meet them, this feature will be unavailable.
Although you may be able to bypass some of the system requirements and install Windows 11 on unsupported devices, some of the consequences are missing out on critical features, such as the Core isolation page not being available.
Some of the must-have features include:
How we test, review and rate?
We have worked for the past 6 months on building a new review system on how we produce content. Using it, we have subsequently redone most of our articles to provide actual hands-on expertise on the guides we made.
For more details you can read how we test, review, and rate at WindowsReport.
- TPM – TPM stands for Trusted Platform Module. It’s a hardware chip that acts as a computer’s central security system and uses encryption to protect data stored on your hard drive and other devices connected to your computer. It also has its unique keys embedded in the hardware that allows you to access your PC without relying on passwords or other authentication methods.
- UEFI – UEFI can be seen as a replacement for legacy BIOS functionality. It offers a more secure way to boot your Windows computer than booting in legacy mode. Legacy mode is the old style of BIOS.
- Secure boot – Secure Boot is a security feature that helps prevent malicious software from modifying the boot process. The secure boot mechanism can be used to verify that an operating system is authentic, and it can refuse to load an operating system if it isn’t signed by a trusted certificate authority, such as Microsoft.
- DEP – DEP is an important security feature in Windows. It helps protect your PC by preventing the execution of code that runs in the memory reserved for the kernel, the core of the operating system.
How do I enable Core isolation in Windows 11?
Before you enable Core isolation, ensure you do the following first:
- Verify that your PC meets the minimum system requirements for running Windows 11.
- Check that you have enabled both TPM and Secure Boot. Sometimes, your TPM cannot be detected.
- Ensure your drivers are up-to-date.
- Enable virtualization on your PC if it is disabled on your motherboard BIOS.
- Update your OS to the latest version available.
1. Use Windows Security
- Hit the Windows key, type Windows Security in the search bar, and click Open.
- Navigate to Device security on the left pane.
- Next, select Core isolation details on the right.
- Go to Memory integrity and toggle it On.
If you want to disable the feature, go through the same steps, but this time, toggle Off Memory integrity. In case memory integrity is greyed out, check out our article on how to fix it.
2. Use Windows Registry
- Hit the Windows + R keys to open the Run command.
- Type regedit in the dialog box and hit Enter.
- Navigate to the following location:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
- In case HypervisorEnforcedCodeIntegrity is not available, right-click on Scenarios, select New Key, and rename it as HypervisorEnforcedCodeIntegrity.
- Also, proceed to do so on the right pane by right-clicking on a space and select New DWORD (32-bit) Value and name it as Enabled.
- Double-click on Enabled, and under Value data enter 1, then click OK to save changes.
- Restart your PC. To turn off Core isolation, simply change the Value data to 0 and save the changes.
- How to Type Accents on Windows 11
- Fix: EXCEPTION_ILLEGAL_INSTRUCTION Error on Windows 11
- Delayed Write Failed Error on Windows 11: How to Fix it
- How to Remove Windows Copilot on Windows 11
- How to Pin a Batch File to Taskbar on Windows 11
The registry is a vital part of Windows, and editing it can cause serious problems if you don’t know what you’re doing. If you make a mistake, you could end up with a corrupted registry and lose data.
This is why it’s strongly recommended that you back up your computer before making any changes to the registry.
Should I turn on Core isolation in Windows 11?
Core isolation and Memory integrity protection are two security features that have been available on recent versions of Windows.
While these features can provide added protection for your system, they are not enabled by default because enabling them may degrade system performance. In addition, there are some cases where the features do not work properly or cause problems.
Still, there are convincing reasons why you should enable Core isolation in Windows 11:
- An extra layer of protection – Memory Integrity helps reduce the risk of a memory corruption attack. It ensures that all changes to memory are validated before they are committed.
- Block unwanted connections between processes or applications – This prevents unwanted connections between processes or applications. In turn, it reduces the risk of data theft or corruption if one process becomes corrupted or damaged by a virus or malware infection.
- Prevent malicious software from accessing/modifying protected files – Core isolation also isolates the app’s memory space so that it doesn’t share memory with other processes on your device. This helps prevent any malware from accessing sensitive data stored elsewhere.
Hopefully, your Core isolation page is now back up if it was unavailable. If your PC didn’t cut, we have an awesome recommendation for Windows 11 PCs that you should consider.
Also, check out some of the best Windows 11 security settings you need to enable on your PC to keep your system protected. For an additional layer of protection, we recommend installing third-party antivirus.
That’s all we had for this article, but keep us engaged by sharing any thoughts you may have in the comment section below.
Описание технологии
Система безопасности Windows 11 давно не ограничивается штатной программой Microsoft Defender Antivirus. «Изоляция ядра» – еще одна защитная технология, которая обеспечивает безопасность устройства и операционной системы путем запуска важных процессов в специальной виртуализированной области.
Ее главная функция — «Целостность памяти», которая затрудняет получение злоумышленниками доступа к компьютеру через вредоносное программное обеспечение. Перед запуском приложения часть его кода отправляется в изолированную среду, созданную с помощью аппаратной виртуализации, а после проверки, если ничего подозрительного найдено не было, передается обратно операционной системе для выполнения.
В зависимости от устройства и версии ОС «Изоляция ядра» может поддерживать дополнительные функции. К таким относится «Защита ядра DMA», которая блокирует атаки с прямым доступом к памяти через периферийные устройства, подключенные к внешним и внутренним PCI-портам, например Thunderbolt или M.2.
Кроме того, может поддерживаться «System Guard» Защитника Windows – набор инструментов, способных отслеживать и блокировать попытки взлома устройства через прошивку еще до загрузки системы. А также функция защиты учетных данных, которая особенно полезна для офисных и школьных компьютеров, так как позволяет скрывать от мошенников маркеры доступа к различным ресурсам в одной организации.
Управление функцией
«Изоляции ядра» работает в пассивном режиме и каких-то специальных настроек не имеет. Главное, чтобы была включена «Целостность памяти». В Windows 11, по крайней мере в последних ее сборках, технология безопасности обычно активна по умолчанию, но мы на всякий случай покажем, где она находится, а заодно и как ее запустить.
- Сочетанием клавиш «Windows+I» открываем системные «Параметры», во вкладке «Конфиденциальность и защита» кликаем плитку «Безопасность Windows»,
затем «Безопасность устройства»,
находим блок «Изоляция ядра», жмем на ссылку «Сведения»,
и включаем «Целостность памяти».
- Альтернативный путь начинается с системного трея. Нажимаем стрелочку вверх на панели задач, кликаем иконку в виде щита,
переходим к инструментам защиты оборудования, а далее таким же образом активируем функцию.
Если все так замечательно, как описывают Microsoft, то, конечно, лучше, чтобы технология работала, но бывают случаи, в которых отключение «Целостности памяти» может пригодиться. И на это есть сразу несколько способов, которые подробно описаны в отдельной статье на нашем сайте.
Подробнее: Отключение изоляции ядра в Windows 11
Возможные проблемы
Учитывая принцип работы «Изоляции ядра», компьютер должен обязательно поддерживать технологию виртуализации и важно, чтобы она была включена везде, где это возможно, начиная с BIOS/UEFI.
Подробнее: Как включить виртуализацию в Windows 11
Кроме того, на компьютере могут быть установлены драйверы, которые несовместимы с этой технологией. И так как их запуск считается более приоритетным, блокируется защитная функция. Обычно это какие-нибудь устаревшие драйверы и тогда оптимальный вариант – обновить их.
Проблема в том, что определить, какие именно драйверы конфликтуют, иногда бывает сложно. Если у вас это получится, попробуйте получить обновления с помощью «Диспетчера устройств». Кроме того, наличие апдейтов можно посмотреть в «Центре обновления Виндовс» или воспользоваться специальными программами, которые подскажут, каких драйверов не хватает на компьютере.
Подробнее:
Как обновить драйвера на компьютере
Программы для установки драйверов
В нашем случае обновить драйверы не получилось, поэтому будем их удалять, но помним, что Microsoft такого делать не рекомендует, ведь есть вероятность, что какое-нибудь оборудование после этого перестанет отвечать. С другой стороны, может быть так, что раньше вы подключали какое-то устройство, а теперь перестали им пользоваться, а значит, и драйверы для него не нужны.
- Итак, если функция заблокирована из-за несовместимости драйверов, как это показано на скриншоте ниже, открываем их список.
- Теперь жмем на любой из них
и выясняем имя.
- Кликаем правой кнопкой мышки «Пуск» и вызываем «Диспетчер устройств».
- Открываем вкладку «Вид» и выбираем тип сортировки – «Устройства по драйверу».
- Находим нужную запись, правой кнопкой мышки открываем контекстное меню, жмем «Удалить»,
подключаем опцию принудительного удаления и подтверждаем операцию.
- Один из драйверов, как видно на скриншоте ниже, не имеет конкретного названия, поэтому мы не смогли его найти в «Диспетчере устройств».
- В этом случае его можно поискать и удалить в системной папке. Переходим в директорию:
C:\Windows\System32\drivers
ищем и удаляем запись.
- После этого запускаем повторное сканирование
и, если все нормально, функция включится сразу после перезагрузки системы.
Процесс удаления драйверов не всегда завершается успешно, и если это ваш случай, ознакомьтесь с отдельной статьей на нашем сайте, где помимо системных инструментов, используется для этого стороннее программное обеспечение.
Подробнее: Полное удаление драйвера с компьютера
Изоляция ядра — одна из функций защиты устройства Windows на основе виртуализации (Hypervisor-protected Code Integrity или HVCI), изолирующая сторонние процессы от процессов Windows, призванная повысить защиту от угроз, направленных на ядро Windows. Несмотря на пользу, в некоторых случаях её отключение может повысить производительность системы в играх и сторонних приложениях.
В этой пошаговой инструкции подробно о способах отключить изоляцию ядра в Windows 11 и Windows 10, а также дополнительная информация на тему, которая может оказаться полезной.
Отключение изоляции ядра в «Безопасность Windows»
Базовый способ — использование соответствующей настройки в окне «Безопасность Windows». Шаги для отключения изоляции ядра будут следующими:
- Откройте окно «Безопасность Windows», используя значок в области уведомлений или поиск в панели задач.
- В открывшемся окне «Безопасность Windows» перейдите в раздел «Безопасность устройства».
- В пункте «Изоляция ядра» нажмите «Сведения об изоляции ядра».
- Отключите пункты «Целостность памяти». При появлении запроса контроля учетных записей подтвердите действие.
- В случае, если отключение производится из-за невозможности работы какого-либо драйвера, также отключите пункт «Список заблокированных уязвимых драйверов».
- Появится уведомление о необходимости перезагрузки. Перезагрузите компьютер для применения сделанных настроек.
В результате изоляция ядра и основная её составляющая — «Целостность памяти» будут отключены.
Примечание: открыть «Безопасность Windows» вы можете через «Параметры»:
- В Windows 11 — Параметры — Конфиденциальность и защита — Безопасность Windows
- В Windows 10 — Параметры — Обновление и безопасность — Безопасность Windows
Отключение в редакторе реестра
Вы можете полностью отключить функции изоляции ядра HVCI, используя редактор реестра. Для этого:
- Нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите regedit и нажмите Enter.
- Перейдите к разделу реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
При отсутствии такого раздела, создайте его.
- В правой панели редактора реестра дважды нажмите по параметру DWORD с именем «Enabled» и измените его значение на 0.
- Примените настройки и перезагрузите компьютер.
В результате изоляция ядра и сопутствующие функции HVCI будут отключены на компьютере.
Вместо ручного редактирования реестра вы можете создать reg-файл со следующим содержимым:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity] "Enabled"=dword:00000000
Либо использовать команду в командной строке, запущенной от имени Администратора:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
Настройка HVCI в редакторе локальной групповой политики
Если на вашем компьютере установлена Windows 11/10 Pro или Enterprise, вы можете использовать редактор локальной групповой политики для отключения изоляции ядра и других функций HVCI:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
- Перейдите в раздел Конфигурация компьютера — Административные шаблоны — Система — Device Guard.
- Дважды нажмите по политике «Включить средство обеспечения безопасности на основе виртуализации».
- Установите значение «Отключено».
- Примените настройки и перезагрузите компьютер.
В результате функции изоляции ядра Windows будут полностью отключены.
Проверка статуса изоляции ядра
Проверить текущий статус функций безопасности на основе виртуализации можно с помощью команды PowerShell (Терминала Windows):
Get-CimInstance -ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard
На скриншоте видно, что все функции HVCI отключены (SecurityServicesRunning и VirtualisationBasedSecurityStatus равны 0).
Еще один способ проверить, включена ли изоляция ядра — в редакторе реестра открыть раздел
HKLM\System\CurrentControlSet\Control\CI\State
Если раздел отсутствует или параметр HVCIEnabled в нём равен 0, изоляция ядра отключена. При значении HVCIEnabled равном 1 — включена.
После отключения изоляции ядра безопасность Windows будет сигнализировать о проблемах в части «Безопасность устройства», а на значке в области уведомлений будет отображаться восклицательный знак. Чтобы этого не происходило, зайдите в раздел «Безопасность устройства» и нажмите «Закрыть» или «Закрыть все».
Насколько безопасно отключать изоляцию ядра Windows? Точного ответа о степени риска дать не получится. В общем случае, при отсутствии каких-либо проблем с производительностью и работой необходимых драйверов лучше оставлять встроенные функции безопасности Windows 11/10 включенными. Но, как отмечалось, иногда отключение изоляции ядра и целостности памяти позволяет повысить производительность в играх, что отмечала и Майкрософт.
Учитывайте, что не на всех устройствах изоляция ядра включена по умолчанию. Если она отключена, чаще всего причина — в неподдерживаемых драйверах устройств, список которых будет отображаться в «Безопасность Windows». Вторая возможная причина — отсутствие необходимых для работы HVCI функций виртуализации.
Выключение Core Isolation может помочь в некоторых случаях, например, если вы используете устаревшее приложение, которое несовместимо с этой функцией. Однако перед тем как отключить изоляцию ядра в Windows 11, необходимо убедиться, что это не повлияет на стабильность и безопасность ОС.
Содержание
- Что это такое
- Когда следует отключать
- Проверка статуса изоляции
- Отключение или включение функции
- Безопасность Windows
- Отключение в редакторе реестра
- Редактор локальной групповой политики
- Hyper V
- Возможные проблемы
Что это такое
Изоляция ядра в Windows 11 — это функция безопасности, разделяющая привилегии между компонентами ОС, чтобы снизить риск повреждения системы вирусами и шпионскими программами. Она ограничивает доступ вредоносного ПО к критическим системным ресурсам, таким как память и процессор, что затрудняет их работу и предотвращает повреждение системы.
Когда следует отключать
Отключать изоляцию нужно в случае, если вы уверены, что это необходимо для работы определенного приложения или драйвера. Если вы решили отключить изоляцию ядра, то обязательно делайте это временно и только для необходимых приложений или драйверов. После использования таких программ не забудьте снова включить изоляцию для обеспечения безопасности системы.
Проверка статуса изоляции
Проверить статус изоляции можно несколькими способами. Первый — с помощью терминала.
- Нажмите ПКМ на значок Пуска и выберите «Терминал (Администратор)».
- Впишите следующий запрос: Get-CimInstance -ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard
- Если указано значение «0», значит изоляция отключена.
Второй метод будет с помощью реестра.
- Нажмите Win + R и впишите regedit.
- Перейдите к этому каталогу:
Если в параметре HVCIEnabled указано «0», изоляция отключена. Если стоит «1» — включена.
Отключение или включение функции
Теперь рассмотрим способы отключения и включения изоляции ядра в Windows 11. Все методы описаны с использованием стандартных приложений без дополнительного ПО.
Безопасность Windows
Один из самых простых и стандартных отключения изоляции ядра – через Безопасность Windows.
Безопасность Windows — это компонент, отвечающий за защиту ПК от различных угроз, таких как вирусы, трояны, шпионы и другие виды вредоносного ПО. Он также обеспечивает защиту личных данных пользователя и предотвращает несанкционированный доступ к ПК.
- Нажмите кнопки Win+I и выберите Конфиденциальность и защита. Запустите Безопасность Windows.
- Зайдите в «Безопасность устройства».
- Вы увидите раздел «Изоляция ядра». Вы должны кликнуть на надпись «Сведения об изоляции ядра».
- Теперь нужно убрать ползунок возле пункта «Целостность памяти» (memory integrity).
Отключение целостности памяти в Windows 11 снимет контроль с драйверов в системе.
Если этот ползунок недоступен, то можете сразу переходить к другим методам.
- Появится оповещение, в котором будет предложено перезагрузить компьютер. Подтверждаем операцию.
Чтобы вернуть ПК в прежнее состояние, зайдите в приложение Безопасность и включите целостность памяти Windows 11. Не забудьте перезагрузить ПК.
Нужно ли включать целостность памяти? В 80% сборок Windows целостность отключена. Когда целостность работает, она проверяет, что все работающие процессы, авторизованы и не пытаются выполнить несанкционированные операции. Это сильно нагружает систему и снижает производительность (особенно в играх). В первую очередь это касается слабых ПК и ноутбуков.
Отключение в редакторе реестра
Второй способ отключения — с помощью редактора реестра.
- Зажмите Win + R и впишите запрос regedit.
- Теперь нужно перейти по таком пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
В файле «EnableVirtualizationBasedSecurity» нужно поменять данные на «0». Дважды кликните ЛКМ по параметру, впишите цифру 0 и щёлкните на ОК. Если такого параметра нет, его нужно создать вручную.
- На свободном месте кликните ПКМ и нажмите Создать>Параметр DWORD 32 бита. Впишите название и укажите значение «0».
- Перезагрузите ПК.
Редактор локальной групповой политики
Отключить изоляцию ядра в Windows 11 можно с помощью групповых политик. Важно знать, что метод будет работать только на Windows версии Pro или Enterprise.
- Зажмите Win + R и впишите gpedit.msc и нажмите Enter.
- Перейдите в каталог по пути Конфигурация компьютера>Административные шаблоны>Система>Device Guard. Кликните дважды по файлу, который выделен на скриншоте ниже:
- Появится новое окно. Отметьте пункт «Отключено». Затем нажмите на «ОК».
- Перезагрузите устройство.
Чтобы включить защиту DMA ядра обратно, сделайте то же самое, только в окне, где вы указывали значение «Отключить» нужно выбрать «Включить».
Hyper V
Hyper-V (Hyper-V Virtualization) — это встроенная платформа виртуализации, разработанная корпорацией Microsoft и предназначенная для запуска виртуальных машин (ВМ) на серверах и компьютерах под управлением Windows. Эта технология позволяет создавать и управлять различными виртуальными средами на одном физическом хосте, что делает ее полезной для разработчиков, системных администраторов и технических специалистов.
Если отключить Hyper-V, то это отключит изоляцию ядра. Важно помнить, что пользоваться этим методом стоит только в том случае, когда выше перечисленные способы не принесли результата.
Чтобы отключить Hyper-V нужно сделать следующее:
- Откройте панель управления через меню Пуск.
- Вместо категорий выберите «Крупные значки», чтобы появился список значков.
- Откройте «Программы и компоненты».
- Щёлкните на пункте «Включение или отключение компонентов Windows».
- Отключаем Hyper-V снятием галочки возле соответствующего каталога.
Нажмите ОК, и перезапустите ПК. Устройство запустится с обновлённым набором настроек.
Сделать это можно также через редактор реестра.
- Запустите редактор через Пуск, или как мы делали это ранее.
- Затем перейдите по такому пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity.
- Щёлкните дважды ЛКМ на параметр «Enabled» и поставьте значение «0».
Возможные проблемы
При отключении изоляции могут возникнуть следующие неприятности:
- Уязвимость системы к вредоносному ПО. Отключение изоляции ядра создаёт уязвимость для атак вирусами, так как они получают больше доступа к службам операционки.
- Проблемы с совместимостью. Устаревшие приложения и драйверы могут работать некорректно. Это может поспособствовать сбоям в работе или потере данных.
Владислав Макаров
Увлекается компьютерами, умеет их чинить, собирать, настраивать. Работает продавцом-консультантом в компьютерном салоне. Опыт работы — 5 лет.
Windows 11 Core Isolation усиливает защиту системы с помощью нескольких функций, которые эффективно работают против вредоносного ПО.
Включение изоляции ядра в Windows 11
Включите изоляцию ядра в Windows 11 следующим образом:
- Возьмите меню Пуск и выберите Настройки. В настройках перейдите на вкладку Конфиденциальность и безопасность.
- Необходимо выбрать опцию Безопасность Windows. В областях защиты вы найдете пункт Защита устройств. Нажмите на него.
- В разделе Device Security найдите опцию Core Isolation Details. После этого вы будете перенаправлены в раздел Изоляция ядра.
- Теперь вы получите обзор доступных функций, специально совместимых с вашим устройством. Выберите все из них, чтобы получить наиболее полную защиту.
- Для завершения изоляции ядра перезагрузите компьютер. После этого защита активируется.
Windows 11 Core Isolation: устранение неполадок
Если вам не удается включить изоляцию ядра в Windows 11, воспользуйтесь следующим руководством по устранению неполадок:
- Перезагрузите компьютер. Особенно если он был включен в течение длительного периода времени. В большинстве случаев перезагрузка системы помогает.
- Кроме того, необходимое обновление системы может предотвратить выделение ядра. Проверьте свой компьютер на наличие обновления и установите его.
- Сбросьте приложение «Безопасность Windows». Это можно сделать через настройки приложения. Попробуйте снова выполнить изоляцию ядра после сброса.
- В редких случаях в Windows 11 существует более глубокая проблема. В этом случае полезно переустановить операционную систему.