Изоляция ядра — одна из функций защиты устройства Windows на основе виртуализации (Hypervisor-protected Code Integrity или HVCI), изолирующая сторонние процессы от процессов Windows, призванная повысить защиту от угроз, направленных на ядро Windows. Несмотря на пользу, в некоторых случаях её отключение может повысить производительность системы в играх и сторонних приложениях.
В этой пошаговой инструкции подробно о способах отключить изоляцию ядра в Windows 11 и Windows 10, а также дополнительная информация на тему, которая может оказаться полезной.
Отключение изоляции ядра в «Безопасность Windows»
Базовый способ — использование соответствующей настройки в окне «Безопасность Windows». Шаги для отключения изоляции ядра будут следующими:
- Откройте окно «Безопасность Windows», используя значок в области уведомлений или поиск в панели задач.
- В открывшемся окне «Безопасность Windows» перейдите в раздел «Безопасность устройства».
- В пункте «Изоляция ядра» нажмите «Сведения об изоляции ядра».
- Отключите пункты «Целостность памяти». При появлении запроса контроля учетных записей подтвердите действие.
- В случае, если отключение производится из-за невозможности работы какого-либо драйвера, также отключите пункт «Список заблокированных уязвимых драйверов».
- Появится уведомление о необходимости перезагрузки. Перезагрузите компьютер для применения сделанных настроек.
В результате изоляция ядра и основная её составляющая — «Целостность памяти» будут отключены.
Примечание: открыть «Безопасность Windows» вы можете через «Параметры»:
- В Windows 11 — Параметры — Конфиденциальность и защита — Безопасность Windows
- В Windows 10 — Параметры — Обновление и безопасность — Безопасность Windows
Отключение в редакторе реестра
Вы можете полностью отключить функции изоляции ядра HVCI, используя редактор реестра. Для этого:
- Нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите regedit и нажмите Enter.
- Перейдите к разделу реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
При отсутствии такого раздела, создайте его.
- В правой панели редактора реестра дважды нажмите по параметру DWORD с именем «Enabled» и измените его значение на 0.
- Примените настройки и перезагрузите компьютер.
В результате изоляция ядра и сопутствующие функции HVCI будут отключены на компьютере.
Вместо ручного редактирования реестра вы можете создать reg-файл со следующим содержимым:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity] "Enabled"=dword:00000000
Либо использовать команду в командной строке, запущенной от имени Администратора:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
Настройка HVCI в редакторе локальной групповой политики
Если на вашем компьютере установлена Windows 11/10 Pro или Enterprise, вы можете использовать редактор локальной групповой политики для отключения изоляции ядра и других функций HVCI:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
- Перейдите в раздел Конфигурация компьютера — Административные шаблоны — Система — Device Guard.
- Дважды нажмите по политике «Включить средство обеспечения безопасности на основе виртуализации».
- Установите значение «Отключено».
- Примените настройки и перезагрузите компьютер.
В результате функции изоляции ядра Windows будут полностью отключены.
Проверка статуса изоляции ядра
Проверить текущий статус функций безопасности на основе виртуализации можно с помощью команды PowerShell (Терминала Windows):
Get-CimInstance -ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard
На скриншоте видно, что все функции HVCI отключены (SecurityServicesRunning и VirtualisationBasedSecurityStatus равны 0).
Еще один способ проверить, включена ли изоляция ядра — в редакторе реестра открыть раздел
HKLM\System\CurrentControlSet\Control\CI\State
Если раздел отсутствует или параметр HVCIEnabled в нём равен 0, изоляция ядра отключена. При значении HVCIEnabled равном 1 — включена.
После отключения изоляции ядра безопасность Windows будет сигнализировать о проблемах в части «Безопасность устройства», а на значке в области уведомлений будет отображаться восклицательный знак. Чтобы этого не происходило, зайдите в раздел «Безопасность устройства» и нажмите «Закрыть» или «Закрыть все».
Насколько безопасно отключать изоляцию ядра Windows? Точного ответа о степени риска дать не получится. В общем случае, при отсутствии каких-либо проблем с производительностью и работой необходимых драйверов лучше оставлять встроенные функции безопасности Windows 11/10 включенными. Но, как отмечалось, иногда отключение изоляции ядра и целостности памяти позволяет повысить производительность в играх, что отмечала и Майкрософт.
Учитывайте, что не на всех устройствах изоляция ядра включена по умолчанию. Если она отключена, чаще всего причина — в неподдерживаемых драйверах устройств, список которых будет отображаться в «Безопасность Windows». Вторая возможная причина — отсутствие необходимых для работы HVCI функций виртуализации.
После перехода на операционную систему Windows 11 многие пользователи заметили снижение производительности в играх. Согласно некоторым тестам, эти потери составляют до 25%.
Одна из причин такого снижения производительности – технология VBS, обеспечивающая дополнительную защиту системы от вредоносных программ. В данной статье мы расскажем о том, как отключить VBS на Windows 11 и для чего нужна эта технология.
Что такое VBS/HVCI на Windows 11
VBS или Virtualization-based Security (Безопасность на основе виртуализации) – это функция аппаратной виртуализации, которая создает и изолирует от остальной операционной системы безопасную область в оперативной памяти. Windows может использовать эту изолированную безопасную область памяти для хранения важных для безопасности данных и кода.
Использование изолированной части памяти позволяет защититься от эксплойтов, направленных на преодоление средств защиты. Вредоносное ПО часто атакует на встроенные механизмы безопасности Windows, чтобы вывести их из строя или получить доступ к важным системным ресурсам. Например, вредоносный код может получить доступ к ресурсам уровня ядра, обойдя методы проверки подлинности кода Windows.
VBS решает эту проблему, отделяя средства защиты системы от остальной части ОС. Это делает Windows более безопасной, поскольку вредоносные программы не могут обойти встроенную защиту ОС. Одной из таких средств защиты является Hypervisor-Enforced Code Integrity (HVCI).
HVCI использует VBS для выполнения проверки целостности кода. В частности, HVCI проверяет подлинность драйверов и программ режима ядра, чтобы убедиться, что они получены из надежных источников. Таким образом, HVCI гарантирует, что в память загружается только доверенный код.
Как проверить включен ли VBS
Вы можете проверить включен ли VBS на вашем компьютере с Windows 11. Для этого нужно открыть окно «Выполнить» (Win-R) или меню «Пуск» и ввести команду «msinfo32».
В результате откроется окно «Сведения о системе».
Здесь в самом низу окна будет пункт «Безопасность на основе виртуализации». Если в нем указано «Выполнение», значит VBS включен.
Как отключить VBS через настройки
Самый простой способ отключить VBS на Windows 11 – это воспользоваться стандартными настройками Windows 11. Для этого откройте меню «Пуск», введите в поиск фразу «Изоляция ядра» или «Core isolation» и откройте найденную программу.
В результате откроется окно «Безопасность Windows». Здесь нужно отключить функцию «Изоляция ядра — Целостность памяти».
После этого нужно перезагрузить компьютер, чтобы настройки применились.
Как отключить VBS через реестр
Также вы можете отключить VBS через реестр Windows 11. Для этого нужно открыть окно «Выполнить» (Win-R) или меню «Пуск», ввести команду «regedit» и открыть редактор реестра.
В редакторе реестра нужно перейти в следующий раздел настроек:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
И создать там DWORD параметр с названием «EnableVirtualizationBasedSecurity».
Дальше нужно открыть параметр «EnableVirtualizationBasedSecurity» и присвоить ему значение «0».
После этого нужно перезагрузить компьютер, чтобы настройки применились.
Как отключить VBS через политики
Если у вас Pro-версия Windows 11, то вы можете отключить VBS через локальные групповые политики. Для этого нужно открыть окно «Выполнить» (Win-R) или меню «Пуск», ввести команду «gpedit.msc» и открыть «Редактор локальных групповых политик».
В окне редактора нужно найти следующий раздел: Политика «Локальный компьютер» — Конфигурация компьютера – Административные шаблоны – Система – Device Guard.
Здесь нужно открыть параметр «Включить средство обеспечения безопасности на основе виртуализации».
И перевести его в положение «Отключено».
После этого нужно перезагрузить компьютер, чтобы настройки применились.
Посмотрите также:
- Как установить Windows 7 или 10 на виртуальную машину
- Как установить Linux на Windows 10 с помощью WSL
- Как включить и пользоваться Песочницей в Windows 11 или Windows 10
Автор
Александр Степушин
Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.
Остались вопросы?
Задайте вопрос в комментариях под статьей или на странице
«Задать вопрос»
и вы обязательно получите ответ.
Безопасность на основе виртуализации, также известная как VBS, позволяет Windows 11 создавать защищенный анклав памяти, изолированный от небезопасного кода. Другая встроенная функция, называемая целостностью кода с применением гипервизора (HVCI), использует возможности VBS для предотвращения попадания неподписанных или сомнительных драйверов и программного обеспечения в память. Вместе VBS и HVCI добавляют уровень защиты, который ограничивает ущерб, который вредоносное ПО может нанести, даже если оно пройдет мимо вашего антивирусного ПО.
К сожалению, VBS и HVCI требуют значительных затрат на производительность, особенно когда дело касается игр. В тестах обнаружили, что игры работали на 5 процентов медленнее с этими настройками, чем с выключенными. Другие тестировщики увидели еще большое снижение производительности; на сайте PC Gamer отметили падение производительности на 25 процентов, хотя они тестировали процессоры Intel 10-го поколения, когда Microsoft рекомендует не менее 11-го поколения.
Простое обновление до Windows 11 не включит VBS, если вы не включили его в Windows 10, где он не использовался по умолчанию в течение нескольких лет. Так что на данный момент это проблема, с которой сталкиваются немногие.
Однако, если вы выполняете чистую установку Windows 11 или покупаете новый ноутбук или настольный компьютер с Windows 11, по умолчанию у вас может быть включен VBS / HVCI. Microsoft рекомендует включить его в OEMS по умолчанию, но отмечает, что «некоторые устройства, которые особенно чувствительны к производительности (например, игровые ПК), могут поставляться с отключенным HVCI». И уже известно, по крайней мере, об одном OEM, который утверждает, что они будут поставлять свои системы с отключенным VBS.
Если вы используете Windows 11, и производительность, особенно в играх, имеет для вас наибольшее значение, ниже будет показано, как проверить, включен ли VBS / HVCI и как его отключить. Однако, если вы не играете, вы можете оставить защиту на месте.
Как проверить, включен ли VBS в Windows 11
Прежде чем вы начнете думать об отключении VBS, вам нужно выяснить, включен ли он вообще.
1. Откройте системную информацию. Самый простой способ сделать это — выполнить поиск «системной информации» в поиске Windows и щелкнуть верхний результат.
2. Прокрутите вниз и найдите строку «Безопасность на основе виртуализации». Если написано «работает», значит VBS включен. Но если написано «не включено», значит ничего больше делать не надо.
Как отключить VBS / HVCI в Windows 11
1. Найдите Core Isolation в поиске Windows и щелкните верхний результат .
2. Нажмите «Безопасность Windows» и «ОК», если вас спросят, какое приложение использовать. Откроется подменю.
3. Выключите целостность памяти, если она была включена. Если уже выключена, переходите к шагу 6.
4. Перезагрузите компьютер, как будет предложено.
5. Еще раз проверьте информацию о системе, чтобы убедиться, что безопасность на основе виртуализации выключена. Если да, то все готово. Если нет, перейдите к шагу 6, где вы отключите VBS в реестре.
6. Откройте regedit. Самый простой способ — нажать Windows + R, ввести regedit в текстовое поле и нажать ОК.
7. Перейдите к HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard.
8. Откройте EnableVirtualizationBasedSecurity и установите для него значение 0.
9. Закройте regedit и перезагрузите компьютер .
На этом этапе вы должны увидеть, что VBS отключен в приложении с системной информацией.
рекомендации
4070 MSI по старой цене дешевле Palit
13900K в Регарде дешевле чем при курсе 60
Ищем PHP-программиста для апгрейда конфы
It’s possible that a security setting that’s enabled by default in Windows 11 and at least certain installations of Windows 10 could be responsible for up to 15 percent of the speed decrease experienced by some users. Windows is able to generate a secure memory enclave that is separated from hazardous code thanks to a technology known as virtualization-based security, or VBS. Hypervisor-Enforced Code Integrity (HVCI), which is yet another built-in capability, makes use of the capabilities of VBS to prohibit unsigned or dubious drivers and applications from entering memory. Even if malware is able to circumvent your antivirus program, the combination of VBS and HVCI provides an additional layer of defense that reduces the amount of harm it may cause. This article will walk you through the steps necessary to turn off VBS and HVCI on Windows 11 or 10. So let’s get started:
Read Also: How to Remove or Uninstall McAfee on Windows 11
How to Disable VBS / HVCI in Windows 10 or 11
1. Use Windows search to look for “Core Isolation,” then select the first result that appears.
2. If Memory Integrity was active, turn it off by toggling the switch. If it is not turned on, proceed directly to step 6.
3. Restart your computer when instructed to do so.
4. Perform a second check of the system details to determine whether or not virtualization-based security is marked as “not enabled.” If so, you are done. If this is the case, continue on to step 6, where you will turn off VBS in the registry.
5. Open regedit. The quickest and easiest method is to press the Windows key and the letter R simultaneously, then type regedit into the box that appears, and then click OK.
6. Go to HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard in your browser’s address bar.
7. Navigate to the EnableVirtualizationBasedSecurity configuration file and change the value to 0.
8. Exit regedit and then restart your computer.
9. Return to the system information and examine if the Virtualization Based Security setting is still marked as “not enabled.”
FAQs
Should I disable VBS in Windows 11?
According to Microsoft, VBS lessens the damage caused by Kernel infections and other forms of malware. Disabling Virtualization-Based Security (VBS) is required in order to improve the overall efficiency of Windows 11 and to provide a fluid gaming experience.
What is Hvci Windows 11?
Memory integrity was first made available to the public as a component of Device Guard. It is also known as hypervisor-protected code integrity (HVCI) or hypervisor imposed code integrity. It is no longer necessary to use Device Guard, with the exception of locating memory integrity and VBS settings in Group Policy or the Windows registry.
Does Hvci affect performance?
Because current processors provide Mode-Based Execution Control (MBEC), the impact of VBS, and more specifically HVCI, is very minor.
What is Hvci mode Windows?
HVCI is an abbreviation that stands for “Hypervisor Code Integrity.” In Windows 10, the HVCI service examines code that is currently running in kernel mode in order to determine whether or not the code is reliable and has been developed securely. It provides defense against exploits as well as protection against vulnerabilities, including Zero-Day assaults.
A security setting that’s on by default in Windows 11 and at least some installs of Windows 10 could be slowing performance in some by as much as 15 percent. Virtualization-based security, aka VBS, allows Windows to create a secure memory enclave that’s isolated from unsafe code. Another built-in feature called Hypervisor-Enforced Code Integrity (HVCI) uses the capabilities of VBS to prevent unsigned or questionable drivers and software from getting into memory. Together VBS and HVCI add a layer of protection that limits how much damage malware can do, even if it gets past your antivirus software.
Unfortunately, VBS and HVCI have a significant performance cost, particularly when it comes to gaming. In our tests, we found that games ran as much as 15 percent slower with these settings on as with them off. This is true whether you’re using an old graphics card or even a speedy RTX 4090. It used to be the case that simply upgrading from Windows 10 to 11 would not enable VBS, but lately we’ve seen it get turned on after updates so you should not assume that it’s disabled on your system, even if you had it turned off before.
For most users and applications, the performance deltas with VBS on and off are 5 percent or less and likely not noticeable in everyday tasks such as web browsing or editing documents. However, if you want the best possible performance and are willing to sacrifice an added layer of security, here’s how you disable VBS in Windows 11 or 10.
How to Check if VBS is Enabled in Windows 11 or 10
Before you start thinking about turning off VBS, you need to find out if it’s on in the first place.
1. Open system information. The easiest way to do that is by searching for «system information» in Windows search and clicking the top result.
2. Scroll down to find the «Virtualization-based security» row. If it says «running,» VBS is enabled. But if it says «not enabled,» then you’re done.
How to Disable VBS / HVCI in Windows 11 or 10
1. Search for Core Isolation in Windows search and click the top result.
2. Toggle Memory Integrity to off, if it was on. If it is not on, skip ahead to step 6.
3. Reboot your PC as prompted.
4. Check system info again to see if virtualization-based security is listed as «not enabled.» If so, you are done. If not, go to step 6 where you’ll disable VBS in the registry.
5. Open regedit. The easiest way is by hitting Windows + R, entering regedit in the text box and click Ok.
6. Navigate to HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard.
7. Open EnableVirtualizationBasedSecurity and set it to 0.
8. Close regedit and reboot your PC.
9. Check system information again to see if Virtualization Based Security is listed as «not enabled.»
If VBS is still enabled try the method of disabling it below.
How to Disable Windows VBS By Uninstalling Virtual Machine
If you still see that VBS is running, you can get rid of it by uninstalling the «Virtual Machine» feature in Windows. Note, however, that if this is the feature that’s enabling VBS for you, losing it may cost you the ability to run Windows Subsystem for Linux. Here’s how you do it.
1. Open Turn Windows Features on or Off by searching for it.
2. Uncheck Virtual machine and click Ok.
3. Reboot your PC.
4. Check system information again to make sure virtualization based security is listed as «not enabled.»
Join the experts who read Tom’s Hardware for the inside track on enthusiast PC tech news — and have for over 25 years. We’ll send breaking news and in-depth reviews of CPUs, GPUs, AI, maker hardware and more straight to your inbox.