Содержание
- Проверка текущего состояния изоляции ядра
- Способ 1: Служба «Безопасность Windows»
- Способ 2: «Редактор реестра»
- Способ 3: «Редактор локальной групповой политики»
- Способ 4: Отключение Hyper-V
- Вопросы и ответы
Проверка текущего состояния изоляции ядра
Перед началом ознакомления со следующими методами мы бы хотели порекомендовать проверить, в каком состоянии сейчас находится функция изоляции ядра. Эта же информация пригодится вам и после изменения настроек, чтобы проверить, вступили ли они в силу. Просмотр требуемых сведений осуществляется через одно классическое приложение в Windows 11.
- Откройте меню «Пуск», в поиске введите
msinfo32
, дождитесь отображения соответствий и запустите приложение «Сведения о системе». - После отображения нового окна выберите раздел «Сведения о системе».
- Прокрутите список с информацией вниз и найдите пункт «Безопасность на основе виртуализации». Если рядом с этой строчкой вы видите значение «Выполняется», значит, изоляция ядра сейчас находится в активном состоянии. В противном случае значение будет «Не включено».
Теперь у вас информация о том, как оперативно проверить активность функции изоляции ядра, которая входит в состав компонента безопасности на основе виртуализации. Возвращайтесь к этому меню по необходимости, для проверки выполненных методов, о которых более детально — далее.
Первый метод отключения изоляции ядра в Windows 11 подразумевает взаимодействие с графическим меню и подходит абсолютно всем пользователям. Понадобится открыть один из разделов безопасности, найти там переключатель и переместить его в позицию для деактивации функции. На все про все уйдет не больше минуты.
- Откройте меню «Пуск» и перейдите в «Параметры».
- На панели слева выберите раздел «Конфиденциальность и защита», после чего перейдите к категории «Безопасность Windows».
- Вы увидите список всех компонентов защиты, среди которых сейчас вас интересует «Безопасность устройства».
- В новом окне щелкните по ссылке «Сведения об изоляции ядра», чтобы перейти к просмотру конкретной настройки.
- Вы получите информацию о том, за что отвечает рассматриваемая функция, а также сможете ее деактивировать, переместив переключатель в состояние «Откл.».
После выполнения описанных действий лучше отправить компьютер на перезагрузку, чтобы изменения вступили в силу. Теперь вы можете переходить к проверке производительности ПК или другим задачам, ради которых и отключали изоляцию ядра.
Способ 2: «Редактор реестра»
Все настройки операционной системы хранятся в виде отдельных файлов и целых ключей в реестре. Это позволяет Windows 11 всегда работать корректно и знать, какие параметры были выбраны по умолчанию или выставлены вручную пользователем. Изоляцию ядра тоже можно отключить через реестр, создав отдельный параметр и задав для него соответствующее значение.
- Через поиск в «Пуске» отыщите «Редактор реестра» и запустите это классическое приложение.
- В нем перейдите по пути
КомпьютерHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuard
или просто вставьте данное расположение в адресную строку и нажмите Enter для подтверждения. - В конечной папке вы увидите всего несколько параметров. Если среди них нет «EnableVirtualizationBasedSecurity», понадобится создать его самостоятельно. Для этого щелкните по пустому месту правой кнопкой мыши, наведите курсор на «Создать» и из появившегося меню выберите пункт «Параметр DWORD (32 бита)».
- Задайте для него название «EnableVirtualizationBasedSecurity» и дважды кликните по параметру для открытия свойств.
- Установите значение «0» и подтвердите внесение изменений. После этого обязательно перезагрузите ПК, поскольку только в новом сеансе ОС новые настройки вступят в силу.
Способ 3: «Редактор локальной групповой политики»
Предыдущий метод является универсальным, а внести те же самые изменения, но только через «Редактор локальной групповой политики» могут исключительно обладатели Windows 11 Pro и Enterprise. Если у вас установлена редакция Home, следующая инструкция вам не подойдет, поскольку нужная оснастка просто отсутствует. В таком случае предлагаем использовать метод с самостоятельным редактированием реестра.
- Если же версия ОС совместима с «Редактором локальной групповой политики», откройте утилиту «Выполнить», используя сочетание клавиш Win + R, в поле введите
gpedit.msc
и нажмите Enter для подтверждения команды. - В окне с политиками разверните «Конфигурация компьютера», выберите каталог «Административные шаблоны», в нем — «Система», а затем щелкните левой кнопкой мыши по «Device Guard».
- Справа появится список из двух политик. Вам понадобится дважды щелкнуть левой кнопкой мыши по «Включить средство обеспечения безопасности на основе виртуализации».
- Установите значение для данной политики как «Отключено» и примените изменения, после чего отправьте ПК на перезагрузку.
Способ 4: Отключение Hyper-V
Мы оставили данный метод напоследок, поскольку выполнять его следует только в том случае, если ни один из предыдущих не принес должного результата и изоляция ядра все равно находится в активном состоянии или спустя время активируется. Это может быть связано с включенным стандартным компонентом Hyper-V, который и требует доступ к VBS. Отключение компонента осуществляется так:
- Откройте меню «Пуск», через поиск отыщите приложение «Панель управления» и запустите его.
- Среди значков отыщите «Программы и компоненты» и дважды щелкните по названию ЛКМ.
- На панели слева вас интересует ссылка «Включение или отключение компонентов Windows».
- В окне «Компоненты Windows» снимите галочку с пункта «Hyper-V» и нажмите «ОК». По завершении обязательно перезагрузите операционную систему.
Еще статьи по данной теме:
Помогла ли Вам статья?
Download PC Repair Tool to quickly find & fix Windows errors automatically
Cyber-attacks have changed over the past few years. Rogue hackers can now take over your PC and lock down files unless you are ready to pay them money. These types of attacks are called Ransomware, and they use kernel-level exploits that attempt to run malware with the highest privileges, e.g., WannaCry and Petya ransomware. In order to mitigate these types of attacks, Microsoft has rolled out a feature that allows you to enable Core Isolation and Memory Integrity to prevent such attacks.
Windows Defender Security Center offers this feature. Called Device Security, it offers status reporting and management of security features built into your devices – including toggling features on to provide enhanced protection. However, It doesn’t work on a software level; the hardware needs to support it as well. Your firmware should support Virtualization, which enables the Windows 11/10 PC to run applications in a container, so they don’t get access to other parts of the system.
Your device must meet the requirements for standard hardware security This means your device should support memory integrity and core isolation and also have:
- TPM 2.0 (also referred to as your security processor)
- Secure boot enabled
- DEP
- UEFI MAT
It is probably the easiest way to enable or disable Virtualization-based Security in Windows 11. In other words, you need to enable Core isolation to get it done. For that, do the following:
- Search for windows security in the Taskbar search box.
- Click on the individual search result.
- Switch to the Device security tab.
- Click on the Core isolation details option.
- Toggle the Memory integrity button to turn it on.
- Restart your computer.
Enable Core Isolation & Memory Integrity in Windows 11/10
- Sign in as an administrator and open Windows Defender Security Center
- Look for Device Security option.
- Here you should check if Core Isolation under Virtualization is enabled on your PC.
- Core isolation provides virtualization-based security features to protect core parts of your device.
- Click on Core isolation details, and you will be offered to enable Memory Integrity.
Memory integrity (hypervisor-protected code integrity) is a security feature of Core isolation that prevents attacks from inserting malicious code into high-security processes. Toggle to turn it On.
Once enabled, it will ask you to restart the PC to completely enable Memory Integrity.
If later on, you face application compatibility issues, you may need to turn this off.
Related: Memory Integrity greyed out or won’t Turn On/Off.
Enable or Disable Core Isolation and Memory Integrity using Registry
You can also use the Registry, to enable or disable Core isolation Memory integrity using Registry Editor, follow these steps:
- Press Win+R to open the Run dialog.
- Type regedit and hit the Enter button.
- Click on the Yes option.
- Navigate to Scenarios in HKEY_LOCAL_MACHINE.
- Right-click on Scenarios > New > Key.
- Name it as HypervisorEnforcedCodeIntegrity.
- Right-click on it > New > DWORD (32-bit) Value.
- Name it as Enabled.
- Double-click on it to set the Value data as 1 to enable and 0 to disable.
- Click the OK button.
- Restart your computer.
To learn more about these steps, keep reading.
Precaution: Before heading to the REGEDIT steps, don’t forget to create a System Restore point.
To get started, press Win+R to open the Run dialog, type regedit, and hit the Enter button. If the UAC prompt appears on your screen, click on the Yes option to open the Registry Editor.
Next, navigate to the following path:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenarios
Right-click on the Scenarios key > New > Key, and name it as HypervisorEnforcedCodeIntegrity.
Then, you have to create a REG_DWORD value. For that, right-click on HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value, and name it as Enabled.
By default, it comes with a Value data of 0, meaning it is disabled. However, if you want to enable this functionality, double-click on it to set the Value data as 1.
Click the OK button and restart your computer.
That said, there are two more options that might be available depending on the hardware of your PC.
- Security Processor only shows up if you have TPM available with your PC hardware. They are discrete chips soldered to a computer’s motherboard by the OEM. To get the most out of TPM, OEM must carefully integrate system hardware and firmware with the TPM to send it commands and react to its responses. The newer TPMs can also provide security and privacy benefits to the system hardware itself. So make sure to check for all of these if you are buying a new PC.
- Secure Boot prevents malicious code to load up before your OS. They are hard to crack but with secure boot it’s taken care of.
Windows 11/10 also offers Hypervisor Protected Code Integrity (HVCI) when you start with clean installs. Those who are on old hardware, will have the ability to opt-in post the upgrade using the UI in Windows Defender Security Center (WDSC). This enhancement will ensure that the kernel process that verifies code integrity runs in a secure runtime environment.
Read:
- Incompatible driver turns off Memory Integrity in Windows 11
- Virtualization-based Security not enabled in Windows 11.
Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.
Download PC Repair Tool to quickly find & fix Windows errors automatically
Cyber-attacks have changed over the past few years. Rogue hackers can now take over your PC and lock down files unless you are ready to pay them money. These types of attacks are called Ransomware, and they use kernel-level exploits that attempt to run malware with the highest privileges, e.g., WannaCry and Petya ransomware. In order to mitigate these types of attacks, Microsoft has rolled out a feature that allows you to enable Core Isolation and Memory Integrity to prevent such attacks.
Windows Defender Security Center offers this feature. Called Device Security, it offers status reporting and management of security features built into your devices – including toggling features on to provide enhanced protection. However, It doesn’t work on a software level; the hardware needs to support it as well. Your firmware should support Virtualization, which enables the Windows 11/10 PC to run applications in a container, so they don’t get access to other parts of the system.
Your device must meet the requirements for standard hardware security This means your device should support memory integrity and core isolation and also have:
- TPM 2.0 (also referred to as your security processor)
- Secure boot enabled
- DEP
- UEFI MAT
It is probably the easiest way to enable or disable Virtualization-based Security in Windows 11. In other words, you need to enable Core isolation to get it done. For that, do the following:
- Search for windows security in the Taskbar search box.
- Click on the individual search result.
- Switch to the Device security tab.
- Click on the Core isolation details option.
- Toggle the Memory integrity button to turn it on.
- Restart your computer.
Enable Core Isolation & Memory Integrity in Windows 11/10
- Sign in as an administrator and open Windows Defender Security Center
- Look for Device Security option.
- Here you should check if Core Isolation under Virtualization is enabled on your PC.
- Core isolation provides virtualization-based security features to protect core parts of your device.
- Click on Core isolation details, and you will be offered to enable Memory Integrity.
Memory integrity (hypervisor-protected code integrity) is a security feature of Core isolation that prevents attacks from inserting malicious code into high-security processes. Toggle to turn it On.
Once enabled, it will ask you to restart the PC to completely enable Memory Integrity.
If later on, you face application compatibility issues, you may need to turn this off.
Related: Memory Integrity greyed out or won’t Turn On/Off.
Enable or Disable Core Isolation and Memory Integrity using Registry
You can also use the Registry, to enable or disable Core isolation Memory integrity using Registry Editor, follow these steps:
- Press Win+R to open the Run dialog.
- Type regedit and hit the Enter button.
- Click on the Yes option.
- Navigate to Scenarios in HKEY_LOCAL_MACHINE.
- Right-click on Scenarios > New > Key.
- Name it as HypervisorEnforcedCodeIntegrity.
- Right-click on it > New > DWORD (32-bit) Value.
- Name it as Enabled.
- Double-click on it to set the Value data as 1 to enable and 0 to disable.
- Click the OK button.
- Restart your computer.
To learn more about these steps, keep reading.
Precaution: Before heading to the REGEDIT steps, don’t forget to create a System Restore point.
To get started, press Win+R to open the Run dialog, type regedit, and hit the Enter button. If the UAC prompt appears on your screen, click on the Yes option to open the Registry Editor.
Next, navigate to the following path:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenarios
Right-click on the Scenarios key > New > Key, and name it as HypervisorEnforcedCodeIntegrity.
Then, you have to create a REG_DWORD value. For that, right-click on HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value, and name it as Enabled.
By default, it comes with a Value data of 0, meaning it is disabled. However, if you want to enable this functionality, double-click on it to set the Value data as 1.
Click the OK button and restart your computer.
That said, there are two more options that might be available depending on the hardware of your PC.
- Security Processor only shows up if you have TPM available with your PC hardware. They are discrete chips soldered to a computer’s motherboard by the OEM. To get the most out of TPM, OEM must carefully integrate system hardware and firmware with the TPM to send it commands and react to its responses. The newer TPMs can also provide security and privacy benefits to the system hardware itself. So make sure to check for all of these if you are buying a new PC.
- Secure Boot prevents malicious code to load up before your OS. They are hard to crack but with secure boot it’s taken care of.
Windows 11/10 also offers Hypervisor Protected Code Integrity (HVCI) when you start with clean installs. Those who are on old hardware, will have the ability to opt-in post the upgrade using the UI in Windows Defender Security Center (WDSC). This enhancement will ensure that the kernel process that verifies code integrity runs in a secure runtime environment.
Read:
- Incompatible driver turns off Memory Integrity in Windows 11
- Virtualization-based Security not enabled in Windows 11.
Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.
После перехода на операционную систему Windows 11 многие пользователи заметили снижение производительности в играх. Согласно некоторым тестам, эти потери составляют до 25%.
Одна из причин такого снижения производительности – технология VBS, обеспечивающая дополнительную защиту системы от вредоносных программ. В данной статье мы расскажем о том, как отключить VBS на Windows 11 и для чего нужна эта технология.
Что такое VBS/HVCI на Windows 11
VBS или Virtualization-based Security (Безопасность на основе виртуализации) – это функция аппаратной виртуализации, которая создает и изолирует от остальной операционной системы безопасную область в оперативной памяти. Windows может использовать эту изолированную безопасную область памяти для хранения важных для безопасности данных и кода.
Использование изолированной части памяти позволяет защититься от эксплойтов, направленных на преодоление средств защиты. Вредоносное ПО часто атакует на встроенные механизмы безопасности Windows, чтобы вывести их из строя или получить доступ к важным системным ресурсам. Например, вредоносный код может получить доступ к ресурсам уровня ядра, обойдя методы проверки подлинности кода Windows.
VBS решает эту проблему, отделяя средства защиты системы от остальной части ОС. Это делает Windows более безопасной, поскольку вредоносные программы не могут обойти встроенную защиту ОС. Одной из таких средств защиты является Hypervisor-Enforced Code Integrity (HVCI).
HVCI использует VBS для выполнения проверки целостности кода. В частности, HVCI проверяет подлинность драйверов и программ режима ядра, чтобы убедиться, что они получены из надежных источников. Таким образом, HVCI гарантирует, что в память загружается только доверенный код.
Как проверить включен ли VBS
Вы можете проверить включен ли VBS на вашем компьютере с Windows 11. Для этого нужно открыть окно «Выполнить» (Win-R) или меню «Пуск» и ввести команду «msinfo32».
В результате откроется окно «Сведения о системе».
Здесь в самом низу окна будет пункт «Безопасность на основе виртуализации». Если в нем указано «Выполнение», значит VBS включен.
Как отключить VBS через настройки
Самый простой способ отключить VBS на Windows 11 – это воспользоваться стандартными настройками Windows 11. Для этого откройте меню «Пуск», введите в поиск фразу «Изоляция ядра» или «Core isolation» и откройте найденную программу.
В результате откроется окно «Безопасность Windows». Здесь нужно отключить функцию «Изоляция ядра — Целостность памяти».
После этого нужно перезагрузить компьютер, чтобы настройки применились.
Как отключить VBS через реестр
Также вы можете отключить VBS через реестр Windows 11. Для этого нужно открыть окно «Выполнить» (Win-R) или меню «Пуск», ввести команду «regedit» и открыть редактор реестра.
В редакторе реестра нужно перейти в следующий раздел настроек:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuard
И создать там DWORD параметр с названием «EnableVirtualizationBasedSecurity».
Дальше нужно открыть параметр «EnableVirtualizationBasedSecurity» и присвоить ему значение «0».
После этого нужно перезагрузить компьютер, чтобы настройки применились.
Как отключить VBS через политики
Если у вас Pro-версия Windows 11, то вы можете отключить VBS через локальные групповые политики. Для этого нужно открыть окно «Выполнить» (Win-R) или меню «Пуск», ввести команду «gpedit.msc» и открыть «Редактор локальных групповых политик».
В окне редактора нужно найти следующий раздел: Политика «Локальный компьютер» — Конфигурация компьютера – Административные шаблоны – Система – Device Guard.
Здесь нужно открыть параметр «Включить средство обеспечения безопасности на основе виртуализации».
И перевести его в положение «Отключено».
После этого нужно перезагрузить компьютер, чтобы настройки применились.
Посмотрите также:
- Как установить Windows 7 или 10 на виртуальную машину
- Как установить Linux на Windows 10 с помощью WSL
- Как включить и пользоваться Песочницей в Windows 11 или Windows 10
Автор
Александр Степушин
Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.
Остались вопросы?
Задайте вопрос в комментариях под статьей или на странице
«Задать вопрос»
и вы обязательно получите ответ.
Безопасность на основе виртуализации, также известная как VBS, позволяет операционной системе Windows 11 создавать защищенный канал памяти полностью изолированный от небезопасного кода и влияет на игровую производительность компьютера.
Другая встроенная функция, называемая целостностью памяти с применением гипервизора (HVCI), использует возможности VBS для предотвращения попадания неподписанных или сомнительных драйверов и программного обеспечения в оперативную память.
Вместе VBS и HVCI создают дополнительный уровень защиты, который ограничивает ущерб, от вредоносного программного обеспечения. К сожалению, данный функционал требуют значительных затрат системных ресурсов и влияет на производительность, особенно когда дело касается компьютерных игр.
В тестах с процессором Intel 11-го поколения обнаружилось, что игры работали на 5 процентов медленнее с включенным параметром, чем с неактивным. Так же отмечено падение производительности на 25 процентов, при тестировании c процессорами Intel 10-го поколения.
Простое обновление до Windows 11 не включит безопасность на основе виртуализации, если вы не включили её в Windows 10, где она использовалась по умолчанию в течение нескольких лет. Так что на данный момент это проблема, с которой сталкиваются немногие.
Однако, если вы выполняете чистую установку операционной системы Windows 11, покупаете новый ноутбук или настольный компьютер с Windows 11, по умолчанию у вас может быть включен VBS / HVCI.
Если вы используете Windows 11, и производительность, особенно в играх, имеет для вас наибольшее значение, мы покажем вам, как проверить, включен ли VBS / HVCI и как его отключить.
Как проверить, включен ли VBS в Windows 11
1. Самый простой способ сделать это — открыть меню Пуск, ввести в поиске «Сведения о системе» и открыть результат.
2. Прокрутите вниз страницу и найдите строку «Безопасность на основе виртуализации». Если написано «работает», значит VBS включен. Но если написано «не включено», значит, все в порядке.
Как отключить VBS и улучшить игровую производительность Windows 11
1. Найдите через поиск «Изоляция ядра» и откройте параметры безопасности.
2. Выключите целостность памяти.
3. После чего, перезагрузите компьютер.
4. Еще раз проверьте сведения о системе, чтобы убедиться, что безопасность на основе виртуализации отключена. Если да, то все готово. Если нет, перейдите к шагу 5, где вы отключите VBS в реестре.
5. Откройте реестр и перейдите к ветке «HKEY_LOCAL_MACHINESystemCurrentControlSetControlDeviceGuard«. Дважды кликните параметр «EnableVirtualizationBasedSecurity» и установите для него значение «0«.
7. Закройте реестр и выполните перезагрузку компьютера.
Источник: Tom’s Hardware
Описание технологии
Система безопасности Windows 11 давно не ограничивается штатной программой Microsoft Defender Antivirus. «Изоляция ядра» – еще одна защитная технология, которая обеспечивает безопасность устройства и операционной системы путем запуска важных процессов в специальной виртуализированной области.
Ее главная функция — «Целостность памяти», которая затрудняет получение злоумышленниками доступа к компьютеру через вредоносное программное обеспечение. Перед запуском приложения часть его кода отправляется в изолированную среду, созданную с помощью аппаратной виртуализации, а после проверки, если ничего подозрительного найдено не было, передается обратно операционной системе для выполнения.
В зависимости от устройства и версии ОС «Изоляция ядра» может поддерживать дополнительные функции. К таким относится «Защита ядра DMA», которая блокирует атаки с прямым доступом к памяти через периферийные устройства, подключенные к внешним и внутренним PCI-портам, например Thunderbolt или M.2.
Кроме того, может поддерживаться «System Guard» Защитника Windows – набор инструментов, способных отслеживать и блокировать попытки взлома устройства через прошивку еще до загрузки системы. А также функция защиты учетных данных, которая особенно полезна для офисных и школьных компьютеров, так как позволяет скрывать от мошенников маркеры доступа к различным ресурсам в одной организации.
Управление функцией
«Изоляции ядра» работает в пассивном режиме и каких-то специальных настроек не имеет. Главное, чтобы была включена «Целостность памяти». В Windows 11, по крайней мере в последних ее сборках, технология безопасности обычно активна по умолчанию, но мы на всякий случай покажем, где она находится, а заодно и как ее запустить.
- Сочетанием клавиш «Windows+I» открываем системные «Параметры», во вкладке «Конфиденциальность и защита» кликаем плитку «Безопасность Windows»,
затем «Безопасность устройства»,
находим блок «Изоляция ядра», жмем на ссылку «Сведения»,
и включаем «Целостность памяти».
- Альтернативный путь начинается с системного трея. Нажимаем стрелочку вверх на панели задач, кликаем иконку в виде щита,
переходим к инструментам защиты оборудования, а далее таким же образом активируем функцию.
Если все так замечательно, как описывают Microsoft, то, конечно, лучше, чтобы технология работала, но бывают случаи, в которых отключение «Целостности памяти» может пригодиться. И на это есть сразу несколько способов, которые подробно описаны в отдельной статье на нашем сайте.
Подробнее: Отключение изоляции ядра в Windows 11
Возможные проблемы
Учитывая принцип работы «Изоляции ядра», компьютер должен обязательно поддерживать технологию виртуализации и важно, чтобы она была включена везде, где это возможно, начиная с BIOS/UEFI.
Подробнее: Как включить виртуализацию в Windows 11
Кроме того, на компьютере могут быть установлены драйверы, которые несовместимы с этой технологией. И так как их запуск считается более приоритетным, блокируется защитная функция. Обычно это какие-нибудь устаревшие драйверы и тогда оптимальный вариант – обновить их.
Проблема в том, что определить, какие именно драйверы конфликтуют, иногда бывает сложно. Если у вас это получится, попробуйте получить обновления с помощью «Диспетчера устройств». Кроме того, наличие апдейтов можно посмотреть в «Центре обновления Виндовс» или воспользоваться специальными программами, которые подскажут, каких драйверов не хватает на компьютере.
Подробнее:
Как обновить драйвера на компьютере
Программы для установки драйверов
В нашем случае обновить драйверы не получилось, поэтому будем их удалять, но помним, что Microsoft такого делать не рекомендует, ведь есть вероятность, что какое-нибудь оборудование после этого перестанет отвечать. С другой стороны, может быть так, что раньше вы подключали какое-то устройство, а теперь перестали им пользоваться, а значит, и драйверы для него не нужны.
- Итак, если функция заблокирована из-за несовместимости драйверов, как это показано на скриншоте ниже, открываем их список.
- Теперь жмем на любой из них
и выясняем имя.
- Кликаем правой кнопкой мышки «Пуск» и вызываем «Диспетчер устройств».
- Открываем вкладку «Вид» и выбираем тип сортировки – «Устройства по драйверу».
- Находим нужную запись, правой кнопкой мышки открываем контекстное меню, жмем «Удалить»,
подключаем опцию принудительного удаления и подтверждаем операцию.
- Один из драйверов, как видно на скриншоте ниже, не имеет конкретного названия, поэтому мы не смогли его найти в «Диспетчере устройств».
- В этом случае его можно поискать и удалить в системной папке. Переходим в директорию:
C:WindowsSystem32drivers
ищем и удаляем запись.
- После этого запускаем повторное сканирование
и, если все нормально, функция включится сразу после перезагрузки системы.
Процесс удаления драйверов не всегда завершается успешно, и если это ваш случай, ознакомьтесь с отдельной статьей на нашем сайте, где помимо системных инструментов, используется для этого стороннее программное обеспечение.
Подробнее: Полное удаление драйвера с компьютера
Download PC Repair Tool to quickly find & fix Windows errors automatically
Cyber-attacks have changed over the past few years. Rogue hackers can now take over your PC and lock down files unless you are ready to pay them money. These types of attacks are called Ransomware, and they use kernel-level exploits that attempt to run malware with the highest privileges, e.g., WannaCry and Petya ransomware. In order to mitigate these types of attacks, Microsoft has rolled out a feature that allows you to enable Core Isolation and Memory Integrity to prevent such attacks.
Windows Defender Security Center offers this feature. Called Device Security, it offers status reporting and management of security features built into your devices – including toggling features on to provide enhanced protection. However, It doesn’t work on a software level; the hardware needs to support it as well. Your firmware should support Virtualization, which enables the Windows 11/10 PC to run applications in a container, so they don’t get access to other parts of the system.
Your device must meet the requirements for standard hardware security This means your device should support memory integrity and core isolation and also have:
- TPM 2.0 (also referred to as your security processor)
- Secure boot enabled
- DEP
- UEFI MAT
It is probably the easiest way to enable or disable Virtualization-based Security in Windows 11. In other words, you need to enable Core isolation to get it done. For that, do the following:
- Search for windows security in the Taskbar search box.
- Click on the individual search result.
- Switch to the Device security tab.
- Click on the Core isolation details option.
- Toggle the Memory integrity button to turn it on.
- Restart your computer.
Enable Core Isolation & Memory Integrity in Windows 11/10
- Sign in as an administrator and open Windows Defender Security Center
- Look for Device Security option.
- Here you should check if Core Isolation under Virtualization is enabled on your PC.
- Core isolation provides virtualization-based security features to protect core parts of your device.
- Click on Core isolation details, and you will be offered to enable Memory Integrity.
Memory integrity (hypervisor-protected code integrity) is a security feature of Core isolation that prevents attacks from inserting malicious code into high-security processes. Toggle to turn it On.
Once enabled, it will ask you to restart the PC to completely enable Memory Integrity.
If later on, you face application compatibility issues, you may need to turn this off.
Related: Memory Integrity greyed out or won’t Turn On/Off.
Enable or Disable Core Isolation and Memory Integrity using Registry
You can also use the Registry, to enable or disable Core isolation Memory integrity using Registry Editor, follow these steps:
- Press Win+R to open the Run dialog.
- Type regedit and hit the Enter button.
- Click on the Yes option.
- Navigate to Scenarios in HKEY_LOCAL_MACHINE.
- Right-click on Scenarios > New > Key.
- Name it as HypervisorEnforcedCodeIntegrity.
- Right-click on it > New > DWORD (32-bit) Value.
- Name it as Enabled.
- Double-click on it to set the Value data as 1 to enable and 0 to disable.
- Click the OK button.
- Restart your computer.
To learn more about these steps, keep reading.
Precaution: Before heading to the REGEDIT steps, don’t forget to create a System Restore point.
To get started, press Win+R to open the Run dialog, type regedit, and hit the Enter button. If the UAC prompt appears on your screen, click on the Yes option to open the Registry Editor.
Next, navigate to the following path:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenarios
Right-click on the Scenarios key > New > Key, and name it as HypervisorEnforcedCodeIntegrity.
Then, you have to create a REG_DWORD value. For that, right-click on HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value, and name it as Enabled.
By default, it comes with a Value data of 0, meaning it is disabled. However, if you want to enable this functionality, double-click on it to set the Value data as 1.
Click the OK button and restart your computer.
That said, there are two more options that might be available depending on the hardware of your PC.
- Security Processor only shows up if you have TPM available with your PC hardware. They are discrete chips soldered to a computer’s motherboard by the OEM. To get the most out of TPM, OEM must carefully integrate system hardware and firmware with the TPM to send it commands and react to its responses. The newer TPMs can also provide security and privacy benefits to the system hardware itself. So make sure to check for all of these if you are buying a new PC.
- Secure Boot prevents malicious code to load up before your OS. They are hard to crack but with secure boot it’s taken care of.
Windows 11/10 also offers Hypervisor Protected Code Integrity (HVCI) when you start with clean installs. Those who are on old hardware, will have the ability to opt-in post the upgrade using the UI in Windows Defender Security Center (WDSC). This enhancement will ensure that the kernel process that verifies code integrity runs in a secure runtime environment.
Read:
- Incompatible driver turns off Memory Integrity in Windows 11
- Virtualization-based Security not enabled in Windows 11.
Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.
Download PC Repair Tool to quickly find & fix Windows errors automatically
Cyber-attacks have changed over the past few years. Rogue hackers can now take over your PC and lock down files unless you are ready to pay them money. These types of attacks are called Ransomware, and they use kernel-level exploits that attempt to run malware with the highest privileges, e.g., WannaCry and Petya ransomware. In order to mitigate these types of attacks, Microsoft has rolled out a feature that allows you to enable Core Isolation and Memory Integrity to prevent such attacks.
Windows Defender Security Center offers this feature. Called Device Security, it offers status reporting and management of security features built into your devices – including toggling features on to provide enhanced protection. However, It doesn’t work on a software level; the hardware needs to support it as well. Your firmware should support Virtualization, which enables the Windows 11/10 PC to run applications in a container, so they don’t get access to other parts of the system.
Your device must meet the requirements for standard hardware security This means your device should support memory integrity and core isolation and also have:
- TPM 2.0 (also referred to as your security processor)
- Secure boot enabled
- DEP
- UEFI MAT
It is probably the easiest way to enable or disable Virtualization-based Security in Windows 11. In other words, you need to enable Core isolation to get it done. For that, do the following:
- Search for windows security in the Taskbar search box.
- Click on the individual search result.
- Switch to the Device security tab.
- Click on the Core isolation details option.
- Toggle the Memory integrity button to turn it on.
- Restart your computer.
Enable Core Isolation & Memory Integrity in Windows 11/10
- Sign in as an administrator and open Windows Defender Security Center
- Look for Device Security option.
- Here you should check if Core Isolation under Virtualization is enabled on your PC.
- Core isolation provides virtualization-based security features to protect core parts of your device.
- Click on Core isolation details, and you will be offered to enable Memory Integrity.
Memory integrity (hypervisor-protected code integrity) is a security feature of Core isolation that prevents attacks from inserting malicious code into high-security processes. Toggle to turn it On.
Once enabled, it will ask you to restart the PC to completely enable Memory Integrity.
If later on, you face application compatibility issues, you may need to turn this off.
Related: Memory Integrity greyed out or won’t Turn On/Off.
Enable or Disable Core Isolation and Memory Integrity using Registry
You can also use the Registry, to enable or disable Core isolation Memory integrity using Registry Editor, follow these steps:
- Press Win+R to open the Run dialog.
- Type regedit and hit the Enter button.
- Click on the Yes option.
- Navigate to Scenarios in HKEY_LOCAL_MACHINE.
- Right-click on Scenarios > New > Key.
- Name it as HypervisorEnforcedCodeIntegrity.
- Right-click on it > New > DWORD (32-bit) Value.
- Name it as Enabled.
- Double-click on it to set the Value data as 1 to enable and 0 to disable.
- Click the OK button.
- Restart your computer.
To learn more about these steps, keep reading.
Precaution: Before heading to the REGEDIT steps, don’t forget to create a System Restore point.
To get started, press Win+R to open the Run dialog, type regedit, and hit the Enter button. If the UAC prompt appears on your screen, click on the Yes option to open the Registry Editor.
Next, navigate to the following path:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenarios
Right-click on the Scenarios key > New > Key, and name it as HypervisorEnforcedCodeIntegrity.
Then, you have to create a REG_DWORD value. For that, right-click on HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value, and name it as Enabled.
By default, it comes with a Value data of 0, meaning it is disabled. However, if you want to enable this functionality, double-click on it to set the Value data as 1.
Click the OK button and restart your computer.
That said, there are two more options that might be available depending on the hardware of your PC.
- Security Processor only shows up if you have TPM available with your PC hardware. They are discrete chips soldered to a computer’s motherboard by the OEM. To get the most out of TPM, OEM must carefully integrate system hardware and firmware with the TPM to send it commands and react to its responses. The newer TPMs can also provide security and privacy benefits to the system hardware itself. So make sure to check for all of these if you are buying a new PC.
- Secure Boot prevents malicious code to load up before your OS. They are hard to crack but with secure boot it’s taken care of.
Windows 11/10 also offers Hypervisor Protected Code Integrity (HVCI) when you start with clean installs. Those who are on old hardware, will have the ability to opt-in post the upgrade using the UI in Windows Defender Security Center (WDSC). This enhancement will ensure that the kernel process that verifies code integrity runs in a secure runtime environment.
Read:
- Incompatible driver turns off Memory Integrity in Windows 11
- Virtualization-based Security not enabled in Windows 11.
Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.
В Windows 11 изоляция ядра — это набор функций безопасности на основе виртуализации, которые обеспечивают дополнительный уровень защиты от хакеров и вредоносного кода. Одной из основных функций является «целостность памяти», которая не позволяет вредоносным программам и другому вредоносному коду захватывать процессы с высоким уровнем безопасности.
Защита работает, делая страницы памяти ядра исполняемыми только в том случае, если они проходят проверку целостности. Функции изоляции ядра, включая целостность памяти, должны быть включены по умолчанию в обновлении Windows 11 2022. Однако, если вы все еще используете версию 21H2 или эта функция не работает, вы можете включить ее вручную.
В этом руководстве вы узнаете, как управлять функцией изоляции ядра в Windows 11.
Чтобы включить изоляцию ядра в Windows 11, выполните следующие действия:
- Откройте Безопасность Windows.
- Щелкните Безопасность устройства.
- В разделе «Изоляция ядра» выберите параметр «Сведения об изоляции ядра».
- Включите тумблер Целостность памяти, чтобы отключить эту функцию.
После выполнения этих шагов перезагрузите компьютер, чтобы применить параметр для защиты компьютера от внедрения вредоносного кода в процессы с высоким уровнем безопасности.
Если функция конфликтует с другими компонентами, вы всегда можете отключить ее. Кроме того, если вы используете свой компьютер для игр, Microsoft рекомендует отключить изоляцию ядра (в дополнение к «Платформе виртуальной машины» в настройках компонентов Windows) для повышения производительности.
Чтобы отключить изоляцию ядра, выполните следующие действия:
- Откройте Безопасность Windows.
- Щелкните Безопасность устройства.
- В разделе «Изоляция ядра» выберите параметр «Сведения об изоляции ядра».
- Выключите тумблер Целостность памяти, чтобы отключить эту функцию.
После выполнения шагов перезагрузите устройство, чтобы изменения вступили в силу.
Если вы отключите изоляцию ядра для игр в Windows 11, рекомендуется снова включить эту функцию после игры.
Отключить изоляцию ядра от реестра
Предупреждение. Это дружеское напоминание о том, что редактирование реестра сопряжено с риском и может привести к необратимому повреждению вашей установки, если вы сделаете это неправильно. Прежде чем продолжить, рекомендуется сделать полную резервную копию вашего компьютера (откроется в новой вкладке).
Если опция отключения изоляции ядра неактивна, вы можете отключить эту функцию в реестре:
- Откройте Пуск.
- Найдите regedit и щелкните верхний результат, чтобы открыть редактор реестра.
- Просмотрите следующий путь: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity
- Дважды щелкните ключ Enabled и измените его значение с 1 на 0.
- Нажмите кнопку ОК.
Выполнив шаги, перезагрузите компьютер, чтобы завершить настройку.
Дополнительные ресурсы
Дополнительные полезные статьи, охват и ответы на распространенные вопросы о Windows 10 и Windows 11 см. на следующих ресурсах:
Когда пulьзователи Windows 11 пытаются включить или отключить изulяцию ядра, они сталкиваются с сообщением «Целостность памяти изulяции ядра не может включаться/выключаться из-за ошибки несовместимого драйвера», «Невозможно включить изulяцию ядра в Windows 11 из-за несовместимых драйверов/strong>» или «Не удается открыть изulяцию ядра, ошибка несовместимых драйверов», и доступ ограничен. Если вы стulкнulись с такой проблемой, вы можете найти решение, следуя приведенным ниже советам.
Почему невозможно включить/отключить изulяцию ядра Windows 11?
Эта проблема возникает из-за блокировки сторонних драйверов. По этой причине ваш доступ может быть ограничен при возникновении такой проблемы. Мы удалим сторонний драйвер, который блокирует доступ, сообщив вам два предложения по устранению проблемы, и мы достигнем решения проблемы.
Как включить или отключить изulяцию ядра Windows 11?
Чтобы решить эту проблему, мы можем найти решение проблемы, следуя приведенным ниже советам.
1-) Давайте удалим сторонний драйвер с помощью командной строки
Мы можем устранить проблему, удалив неудаленный сторонний драйвер с помощью командной строки.
- Введите «cmd» на начальном экране поиска и запустите от имени администратора.
- Выведите список имен сторонних драйверов, вставив приведенный ниже код в открывшийся экран командной строки.
- dism /online /get-drivers /format:table
- После этой операции найдите проблемное имя стороннего драйвера и скопируйте его.
- После копирования имени стороннего драйвера скопируйте и вставьте следующую командную строку в командную строку, чтобы выпulнить удаление, и нажмите клавишу ввода. (Там, где указано «Опубликованное имя», вставьте или введите имя стороннего драйвера, которое вы скопировали.)
- pnputil /delete-driver Опубликованное имя /uninstall /force
После этого процесса вы увидите сообщение о том, что сторонний драйвер с проблемой был удален. Затем вы можете перезагрузить компьютер и проверить, сохраняется ли проблема.
2-) Давайте удалим сторонний драйвер с помощью приложения автозапуска
С помощью приложения Autoruns, разработанного Windows, вы можете легко удалить сторонний драйвер.
- Сначала загрузите приложение Autoruns.
Нажмите, чтобы загрузить Autoruns.
После завершения загрузки давайте продulжим наш процесс, запустив приложение.
- Выберите параметр «Драйверы» в приложении, щелкните правой кнопкой мыши проблемный сторонний драйвер и выберите «Удалить«.
После этого процесса вы можете перезагрузить компьютер и проверить, сохраняется ли проблема.
Да, друзья, мы решили нашу проблему под этим загulовком. Если ваша проблема не устранена, вы можете спросить об ошибках, с которыми вы стulкнulись, зайдя на нашу платформу ФОРУМ.
Программа-вымогатель — это распространенная атака, которую хакеры используют, чтобы получить контроль над вашей системой, заблокировать файлы и попросить у вас денег, чтобы отключить ее. В эпоху технологий хакеры используют это, чтобы заблокировать вашу систему, угрожая вам публикацией ваших личных данных. Что ж, сама Microsoft пришла и предложила решение для своих пользователей Windows 11. Первое, что они предлагают против этих атак, — это возможность изолировать основную память и данные вашей системы в Windows 11. Эта опция предлагается через параметр «Целостность памяти», который также называется целостностью гиперзащищенного кода. Если этот параметр включен, любой вредоносной программе будет сложно зафиксироваться в основных процессах системы.
Есть несколько шагов, чтобы включить этот параметр, но прежде чем мы доберемся до этого, мы сначала нужно проверить, совместима ли ваша система с этим параметром или нет.
Системные требования
Любая система, которая хочет создать изолирующий тип защиты, должна соответствовать некоторым требованиям. Поскольку системе будет предложено запускать приложения в контейнере без доступа к другим частям системы, система должна поддерживать виртуализацию. Затем необходимо подтвердить, соответствует ли система стандартам аппаратной безопасности, как показано ниже:
- Безопасная загрузка должна быть включена.
- Должен поддерживаться UET MAT.< /li>
- Должен поддерживаться DEP.
- Должен быть включен TPM 2.0.
- Должна быть включена виртуализация ЦП.
После того, как эти требования будут перепроверены и включены соответствующим образом, будет настроена надлежащая безопасность для защиты от вредоносных программ.
В этом руководстве мы подробно рассмотрим некоторые из них, дав вы найдете пошаговое руководство по включению или отключению целостности памяти Core Isolation в Windows 11.
Шаг 1 – Включить виртуализацию ЦП
Виртуализация ЦП — это способность системы моделировать несколько ЦП. Это хорошо не только по соображениям безопасности, к которым мы стремимся, но и позволяет системе работать быстрее и эффективнее, чем как единое целое. Многие, кто сталкивался с виртуальными машинами, испытали и использовали эту функцию для создания виртуальных систем с различными операционными системами, работающими под управлением Windows 7 в Windows 10 или 11. Выполните следующие действия, чтобы включить виртуализацию ЦП:
< ul>
< ли>Перейдите на вкладку «Дополнительно» после входа в BIOS.
Шаг 2 – Включить безопасную загрузку
Как упоминалось ранее, включение безопасной загрузки также необходимо для обеспечения дополнительной безопасности для защиты вашего ПК от вредоносных программ. Его цель — обнаружить любое вмешательство в файлы операционной системы и загрузчики и действовать соответствующим образом. Выполните следующие действия, чтобы включить этот параметр в BIOS:
- Войдите в настройки BIOS.
- Найдите параметр «Безопасная загрузка» и включите его.
- >После этого сохраните настройки BIOS и дайте ПК загрузиться. После завершения загрузки перейдите к следующему шагу, указанному ниже.
Шаг 3 – Включить TPM 2.0
Как упоминалось ранее, это также является необходимым требованием для полной защиты от программ-вымогателей. Чтобы включить его, выполните следующие действия:
- Нажмите клавиши Win + R, чтобы открыть программу запуска.
- Введите ‘tpm.msc’ и нажмите Enter.
- Выберите статус, когда откроется модуль TPM.
- Если “TPM готов к использованию” отображается, то больше ничего делать не нужно, так как ваш TPM уже включен.
- Однако, если “TPM не поддерживается” отображается, это означает, что существует проблема совместимости TPM с вашей системой.
- Если “Не удается найти совместимый TPM” отображается, вам необходимо включить TPM.
Чтобы активировать TPM:
- Войдите в настройки BIOS.
- Перейдите к вкладку “Безопасность”.
- Найдите доверенный платформенный модуль и включите его.
- После процедуры продолжите процесс загрузки и перейдите к следующему шагу ниже.
Шаг 4 – Включить изоляцию ядра и целостность памяти
Если вы правильно выполнили шаги 1, 2 и 3 до этого, то следующее будет выполнено быстро и легко.
- Нажмите клавиши Win + R.
- Введите ‘windowsdefender:’
- Нажмите Ctrl + Shift + Enter, чтобы открыть Защитник Windows.
- >Нажмите «Да».
- Перейдите к разделу «Безопасность Windows».
- В разделе «Безопасность устройства» нажмите «Перейти к настройке».
- Нажмите «Изоляция ядра». Подробности.
- Также включите целостность памяти.
- Нажмите «Да», чтобы предоставить доступ.
После завершения всей процедуры перезагрузите компьютер. и посмотрите, беспокоит ли вас проблема или нет.
Это все, что касается нашего руководства по Windows 11 с советами по включению или отключению Core Isolation Memory Integrity. Кроме того, посетите наш центр часто встречающихся ошибок ПК и их исправлений, если вы сталкиваетесь с другими ошибками на ПК или в видеоиграх.
Сегодня Microsoft приступила к распространению Windows 11 (22H2), первого крупного обновления для своей актуальной операционной системы. Оно принесёт немало любопытных нововведений, одним из которых станет активированная по умолчанию функция изоляции ядра и защита целостности памяти, предназначенная для противодействия вредоносному ПО и атакам разного типа путём изоляции процессов ОС и самого устройства.
Источник изображения: Microsoft
Согласно имеющимся данным, эта функция приводит к снижению общей производительности устройства. На момент запуска Windows 11 в октябре прошлого года функция изоляции ядра была отключена по умолчанию. Очевидно, что теперь Microsoft решила повысить безопасность пользователей, несмотря на то, что активация упомянутой функции приводит к снижению производительности устройства, особенно в играх. В компании также отметили, что разработчикам удалось частично снизить воздействие, которое оказывает изоляция ядра на производительность.
Согласно имеющимся данным, изоляция ядра будет включена по умолчанию на новых ПК с Windows 11. На действующих устройствах, пользователи которых установят обновление Windows 11 (22H2), функция автоматически активирована не будет. Напомним, для корректной работы изоляции ядра необходимо наличие модуля TPM 2.0, а также активация некоторых дополнительных функций обеспечения безопасности. Функция изоляции ядра также присутствует в Windows 10, но там она отключена по умолчанию.
Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Апрельское обновление Windows 10 1803 принесло с собой ряд нововведений и усовершенствований, в том числе в плане безопасности. Обновленная версия Windows 10 помимо стандартной защиты от вирусов, обеспечиваемой Windows Defender, теперь может блокировать внешние атаки, направленные на подмену процессов. Данная функция защиты получила название «Изоляция ядра». Используемый ею метод основан на технологии виртуализации, также в составе защиты используется «целостность памяти», предотвращающая внедрение в важные процессы вредоносного кода.
Чтобы включить дополнительную защиту, откройте Центр безопасности Защитника Windows,
переключитесь в раздел «Безопасность устройства»,
в блоке «Изоляция ядра» нажмите ссылку «Сведения об изоляции ядра»
и установите переключатель «Целостность памяти» в положение «Вкл». Дабы новые настройки вступили в силу, перезагрузите компьютер.
Примечание: если функция недоступна на компьютере, убедитесь, что в BIOSе у вас включена виртуализация.
Работа функции «Изоляция ядра» практически незаметна в операционной системе, тем не менее, есть небольшая вероятность, что при ее использовании вам придется столкнуться с ошибками совместимости приложений. В этом случае дополнительную защиту следует отключить. Если вдруг переключатель окажется неактивным и при этом будет указано, что данная настройка управляется администратором, изоляцию ядра отключаем через реестр.
Для этого открываем редактор реестра командой regedit в окошке «Выполнить», в правой части окна разворачиваем ветку:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/DeviceGuard/Scenarios/HypervisorEnforcedCodeIntegrity, в правой колонке дважды кликаем по параметру Enabled и изменяем его значение с 1 на 0. После этого перезагружаем компьютер и проверяем состояние настройки защиты. Она должна быть отключена.
В Windows 11 изоляция ядра — это набор функций безопасности на основе виртуализации, которые обеспечивают дополнительный уровень защиты от хакеров и вредоносного кода. Одной из основных функций является «целостность памяти», которая не позволяет вредоносным программам и другому вредоносному коду захватывать процессы с высоким уровнем безопасности.
Защита работает, делая страницы памяти ядра исполняемыми только в том случае, если они проходят проверку целостности. Функции изоляции ядра, включая целостность памяти, должны быть включены по умолчанию в обновлении Windows 11 2022. Однако, если вы все еще используете версию 21H2 или эта функция не работает, вы можете включить ее вручную.
В этом руководстве вы узнаете, как управлять функцией изоляции ядра в Windows 11.
Чтобы включить изоляцию ядра в Windows 11, выполните следующие действия:
- Откройте Безопасность Windows.
- Щелкните Безопасность устройства.
- В разделе «Изоляция ядра» выберите параметр «Сведения об изоляции ядра».
- Включите тумблер Целостность памяти, чтобы отключить эту функцию.
После выполнения этих шагов перезагрузите компьютер, чтобы применить параметр для защиты компьютера от внедрения вредоносного кода в процессы с высоким уровнем безопасности.
Как отключить целостность памяти изоляции ядра в Windows 11
Если функция конфликтует с другими компонентами, вы всегда можете отключить ее. Кроме того, если вы используете свой компьютер для игр, Microsoft рекомендует отключить изоляцию ядра (в дополнение к «Платформе виртуальной машины» в настройках компонентов Windows) для повышения производительности.
Чтобы отключить изоляцию ядра, выполните следующие действия:
- Откройте Безопасность Windows.
- Щелкните Безопасность устройства.
- В разделе «Изоляция ядра» выберите параметр «Сведения об изоляции ядра».
- Выключите тумблер Целостность памяти, чтобы отключить эту функцию.
После выполнения шагов перезагрузите устройство, чтобы изменения вступили в силу.
Если вы отключите изоляцию ядра для игр в Windows 11, рекомендуется снова включить эту функцию после игры.
Отключить изоляцию ядра от реестра
Предупреждение. Это дружеское напоминание о том, что редактирование реестра сопряжено с риском и может привести к необратимому повреждению вашей установки, если вы сделаете это неправильно. Прежде чем продолжить, рекомендуется сделать полную резервную копию вашего компьютера (откроется в новой вкладке).
Если опция отключения изоляции ядра неактивна, вы можете отключить эту функцию в реестре:
- Откройте Пуск.
- Найдите regedit и щелкните верхний результат, чтобы открыть редактор реестра.
- Просмотрите следующий путь: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity
- Дважды щелкните ключ Enabled и измените его значение с 1 на 0.
- Нажмите кнопку ОК.
Выполнив шаги, перезагрузите компьютер, чтобы завершить настройку.
Дополнительные ресурсы
Дополнительные полезные статьи, охват и ответы на распространенные вопросы о Windows 10 и Windows 11 см. на следующих ресурсах:
Download PC Repair Tool to quickly find & fix Windows errors automatically
Cyber-attacks have changed over the past few years. Rogue hackers can now take over your PC and lock down files unless you are ready to pay them money. These types of attacks are called Ransomware, and they use kernel-level exploits that attempt to run malware with the highest privileges, e.g., WannaCry and Petya ransomware. In order to mitigate these types of attacks, Microsoft has rolled out a feature that allows you to enable Core Isolation and Memory Integrity to prevent such attacks.
Windows Defender Security Center offers this feature. Called Device Security, it offers status reporting and management of security features built into your devices – including toggling features on to provide enhanced protection. However, It doesn’t work on a software level; the hardware needs to support it as well. Your firmware should support Virtualization, which enables the Windows 11/10 PC to run applications in a container, so they don’t get access to other parts of the system.
Your device must meet the requirements for standard hardware security This means your device should support memory integrity and core isolation and also have:
- TPM 2.0 (also referred to as your security processor)
- Secure boot enabled
- DEP
- UEFI MAT
It is probably the easiest way to enable or disable Virtualization-based Security in Windows 11. In other words, you need to enable Core isolation to get it done. For that, do the following:
- Search for windows security in the Taskbar search box.
- Click on the individual search result.
- Switch to the Device security tab.
- Click on the Core isolation details option.
- Toggle the Memory integrity button to turn it on.
- Restart your computer.
Enable Core Isolation & Memory Integrity in Windows 11/10
- Sign in as an administrator and open Windows Defender Security Center
- Look for Device Security option.
- Here you should check if Core Isolation under Virtualization is enabled on your PC.
- Core isolation provides virtualization-based security features to protect core parts of your device.
- Click on Core isolation details, and you will be offered to enable Memory Integrity.
Memory integrity (hypervisor-protected code integrity) is a security feature of Core isolation that prevents attacks from inserting malicious code into high-security processes. Toggle to turn it On.
Once enabled, it will ask you to restart the PC to completely enable Memory Integrity.
If later on, you face application compatibility issues, you may need to turn this off.
Related: Memory Integrity greyed out or won’t Turn On/Off.
Enable or Disable Core Isolation and Memory Integrity using Registry
You can also use the Registry, to enable or disable Core isolation Memory integrity using Registry Editor, follow these steps:
- Press Win+R to open the Run dialog.
- Type regedit and hit the Enter button.
- Click on the Yes option.
- Navigate to Scenarios in HKEY_LOCAL_MACHINE.
- Right-click on Scenarios > New > Key.
- Name it as HypervisorEnforcedCodeIntegrity.
- Right-click on it > New > DWORD (32-bit) Value.
- Name it as Enabled.
- Double-click on it to set the Value data as 1 to enable and 0 to disable.
- Click the OK button.
- Restart your computer.
To learn more about these steps, keep reading.
Precaution: Before heading to the REGEDIT steps, don’t forget to create a System Restore point.
To get started, press Win+R to open the Run dialog, type regedit, and hit the Enter button. If the UAC prompt appears on your screen, click on the Yes option to open the Registry Editor.
Next, navigate to the following path:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenarios
Right-click on the Scenarios key > New > Key, and name it as HypervisorEnforcedCodeIntegrity.
Then, you have to create a REG_DWORD value. For that, right-click on HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value, and name it as Enabled.
By default, it comes with a Value data of 0, meaning it is disabled. However, if you want to enable this functionality, double-click on it to set the Value data as 1.
Click the OK button and restart your computer.
That said, there are two more options that might be available depending on the hardware of your PC.
- Security Processor only shows up if you have TPM available with your PC hardware. They are discrete chips soldered to a computer’s motherboard by the OEM. To get the most out of TPM, OEM must carefully integrate system hardware and firmware with the TPM to send it commands and react to its responses. The newer TPMs can also provide security and privacy benefits to the system hardware itself. So make sure to check for all of these if you are buying a new PC.
- Secure Boot prevents malicious code to load up before your OS. They are hard to crack but with secure boot it’s taken care of.
Windows 11/10 also offers Hypervisor Protected Code Integrity (HVCI) when you start with clean installs. Those who are on old hardware, will have the ability to opt-in post the upgrade using the UI in Windows Defender Security Center (WDSC). This enhancement will ensure that the kernel process that verifies code integrity runs in a secure runtime environment.
Read:
- Incompatible driver turns off Memory Integrity in Windows 11
- Virtualization-based Security not enabled in Windows 11.
Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.
Download PC Repair Tool to quickly find & fix Windows errors automatically
Cyber-attacks have changed over the past few years. Rogue hackers can now take over your PC and lock down files unless you are ready to pay them money. These types of attacks are called Ransomware, and they use kernel-level exploits that attempt to run malware with the highest privileges, e.g., WannaCry and Petya ransomware. In order to mitigate these types of attacks, Microsoft has rolled out a feature that allows you to enable Core Isolation and Memory Integrity to prevent such attacks.
Windows Defender Security Center offers this feature. Called Device Security, it offers status reporting and management of security features built into your devices – including toggling features on to provide enhanced protection. However, It doesn’t work on a software level; the hardware needs to support it as well. Your firmware should support Virtualization, which enables the Windows 11/10 PC to run applications in a container, so they don’t get access to other parts of the system.
Your device must meet the requirements for standard hardware security This means your device should support memory integrity and core isolation and also have:
- TPM 2.0 (also referred to as your security processor)
- Secure boot enabled
- DEP
- UEFI MAT
It is probably the easiest way to enable or disable Virtualization-based Security in Windows 11. In other words, you need to enable Core isolation to get it done. For that, do the following:
- Search for windows security in the Taskbar search box.
- Click on the individual search result.
- Switch to the Device security tab.
- Click on the Core isolation details option.
- Toggle the Memory integrity button to turn it on.
- Restart your computer.
Enable Core Isolation & Memory Integrity in Windows 11/10
- Sign in as an administrator and open Windows Defender Security Center
- Look for Device Security option.
- Here you should check if Core Isolation under Virtualization is enabled on your PC.
- Core isolation provides virtualization-based security features to protect core parts of your device.
- Click on Core isolation details, and you will be offered to enable Memory Integrity.
Memory integrity (hypervisor-protected code integrity) is a security feature of Core isolation that prevents attacks from inserting malicious code into high-security processes. Toggle to turn it On.
Once enabled, it will ask you to restart the PC to completely enable Memory Integrity.
If later on, you face application compatibility issues, you may need to turn this off.
Related: Memory Integrity greyed out or won’t Turn On/Off.
Enable or Disable Core Isolation and Memory Integrity using Registry
You can also use the Registry, to enable or disable Core isolation Memory integrity using Registry Editor, follow these steps:
- Press Win+R to open the Run dialog.
- Type regedit and hit the Enter button.
- Click on the Yes option.
- Navigate to Scenarios in HKEY_LOCAL_MACHINE.
- Right-click on Scenarios > New > Key.
- Name it as HypervisorEnforcedCodeIntegrity.
- Right-click on it > New > DWORD (32-bit) Value.
- Name it as Enabled.
- Double-click on it to set the Value data as 1 to enable and 0 to disable.
- Click the OK button.
- Restart your computer.
To learn more about these steps, keep reading.
Precaution: Before heading to the REGEDIT steps, don’t forget to create a System Restore point.
To get started, press Win+R to open the Run dialog, type regedit, and hit the Enter button. If the UAC prompt appears on your screen, click on the Yes option to open the Registry Editor.
Next, navigate to the following path:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenarios
Right-click on the Scenarios key > New > Key, and name it as HypervisorEnforcedCodeIntegrity.
Then, you have to create a REG_DWORD value. For that, right-click on HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value, and name it as Enabled.
By default, it comes with a Value data of 0, meaning it is disabled. However, if you want to enable this functionality, double-click on it to set the Value data as 1.
Click the OK button and restart your computer.
That said, there are two more options that might be available depending on the hardware of your PC.
- Security Processor only shows up if you have TPM available with your PC hardware. They are discrete chips soldered to a computer’s motherboard by the OEM. To get the most out of TPM, OEM must carefully integrate system hardware and firmware with the TPM to send it commands and react to its responses. The newer TPMs can also provide security and privacy benefits to the system hardware itself. So make sure to check for all of these if you are buying a new PC.
- Secure Boot prevents malicious code to load up before your OS. They are hard to crack but with secure boot it’s taken care of.
Windows 11/10 also offers Hypervisor Protected Code Integrity (HVCI) when you start with clean installs. Those who are on old hardware, will have the ability to opt-in post the upgrade using the UI in Windows Defender Security Center (WDSC). This enhancement will ensure that the kernel process that verifies code integrity runs in a secure runtime environment.
Read:
- Incompatible driver turns off Memory Integrity in Windows 11
- Virtualization-based Security not enabled in Windows 11.
Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.
Содержание
- Проверка текущего состояния изоляции ядра
- Способ 1: Служба «Безопасность Windows»
- Способ 2: «Редактор реестра»
- Способ 3: «Редактор локальной групповой политики»
- Способ 4: Отключение Hyper-V
- Вопросы и ответы
Проверка текущего состояния изоляции ядра
Перед началом ознакомления со следующими методами мы бы хотели порекомендовать проверить, в каком состоянии сейчас находится функция изоляции ядра. Эта же информация пригодится вам и после изменения настроек, чтобы проверить, вступили ли они в силу. Просмотр требуемых сведений осуществляется через одно классическое приложение в Windows 11.
- Откройте меню «Пуск», в поиске введите
msinfo32
, дождитесь отображения соответствий и запустите приложение «Сведения о системе». - После отображения нового окна выберите раздел «Сведения о системе».
- Прокрутите список с информацией вниз и найдите пункт «Безопасность на основе виртуализации». Если рядом с этой строчкой вы видите значение «Выполняется», значит, изоляция ядра сейчас находится в активном состоянии. В противном случае значение будет «Не включено».
Теперь у вас информация о том, как оперативно проверить активность функции изоляции ядра, которая входит в состав компонента безопасности на основе виртуализации. Возвращайтесь к этому меню по необходимости, для проверки выполненных методов, о которых более детально — далее.
Первый метод отключения изоляции ядра в Windows 11 подразумевает взаимодействие с графическим меню и подходит абсолютно всем пользователям. Понадобится открыть один из разделов безопасности, найти там переключатель и переместить его в позицию для деактивации функции. На все про все уйдет не больше минуты.
- Откройте меню «Пуск» и перейдите в «Параметры».
- На панели слева выберите раздел «Конфиденциальность и защита», после чего перейдите к категории «Безопасность Windows».
- Вы увидите список всех компонентов защиты, среди которых сейчас вас интересует «Безопасность устройства».
- В новом окне щелкните по ссылке «Сведения об изоляции ядра», чтобы перейти к просмотру конкретной настройки.
- Вы получите информацию о том, за что отвечает рассматриваемая функция, а также сможете ее деактивировать, переместив переключатель в состояние «Откл.».
После выполнения описанных действий лучше отправить компьютер на перезагрузку, чтобы изменения вступили в силу. Теперь вы можете переходить к проверке производительности ПК или другим задачам, ради которых и отключали изоляцию ядра.
Способ 2: «Редактор реестра»
Все настройки операционной системы хранятся в виде отдельных файлов и целых ключей в реестре. Это позволяет Windows 11 всегда работать корректно и знать, какие параметры были выбраны по умолчанию или выставлены вручную пользователем. Изоляцию ядра тоже можно отключить через реестр, создав отдельный параметр и задав для него соответствующее значение.
- Через поиск в «Пуске» отыщите «Редактор реестра» и запустите это классическое приложение.
- В нем перейдите по пути
КомпьютерHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuard
или просто вставьте данное расположение в адресную строку и нажмите Enter для подтверждения. - В конечной папке вы увидите всего несколько параметров. Если среди них нет «EnableVirtualizationBasedSecurity», понадобится создать его самостоятельно. Для этого щелкните по пустому месту правой кнопкой мыши, наведите курсор на «Создать» и из появившегося меню выберите пункт «Параметр DWORD (32 бита)».
- Задайте для него название «EnableVirtualizationBasedSecurity» и дважды кликните по параметру для открытия свойств.
- Установите значение «0» и подтвердите внесение изменений. После этого обязательно перезагрузите ПК, поскольку только в новом сеансе ОС новые настройки вступят в силу.
Способ 3: «Редактор локальной групповой политики»
Предыдущий метод является универсальным, а внести те же самые изменения, но только через «Редактор локальной групповой политики» могут исключительно обладатели Windows 11 Pro и Enterprise. Если у вас установлена редакция Home, следующая инструкция вам не подойдет, поскольку нужная оснастка просто отсутствует. В таком случае предлагаем использовать метод с самостоятельным редактированием реестра.
- Если же версия ОС совместима с «Редактором локальной групповой политики», откройте утилиту «Выполнить», используя сочетание клавиш Win + R, в поле введите
gpedit.msc
и нажмите Enter для подтверждения команды. - В окне с политиками разверните «Конфигурация компьютера», выберите каталог «Административные шаблоны», в нем — «Система», а затем щелкните левой кнопкой мыши по «Device Guard».
- Справа появится список из двух политик. Вам понадобится дважды щелкнуть левой кнопкой мыши по «Включить средство обеспечения безопасности на основе виртуализации».
- Установите значение для данной политики как «Отключено» и примените изменения, после чего отправьте ПК на перезагрузку.
Способ 4: Отключение Hyper-V
Мы оставили данный метод напоследок, поскольку выполнять его следует только в том случае, если ни один из предыдущих не принес должного результата и изоляция ядра все равно находится в активном состоянии или спустя время активируется. Это может быть связано с включенным стандартным компонентом Hyper-V, который и требует доступ к VBS. Отключение компонента осуществляется так:
- Откройте меню «Пуск», через поиск отыщите приложение «Панель управления» и запустите его.
- Среди значков отыщите «Программы и компоненты» и дважды щелкните по названию ЛКМ.
- На панели слева вас интересует ссылка «Включение или отключение компонентов Windows».
- В окне «Компоненты Windows» снимите галочку с пункта «Hyper-V» и нажмите «ОК». По завершении обязательно перезагрузите операционную систему.
Еще статьи по данной теме:
Помогла ли Вам статья?
Изоляция ядра — одна из функций защиты устройства Windows на основе виртуализации (Hypervisor-protected Code Integrity или HVCI), изолирующая сторонние процессы от процессов Windows, призванная повысить защиту от угроз, направленных на ядро Windows. Несмотря на пользу, в некоторых случаях её отключение может повысить производительность системы в играх и сторонних приложениях.
В этой пошаговой инструкции подробно о способах отключить изоляцию ядра в Windows 11 и Windows 10, а также дополнительная информация на тему, которая может оказаться полезной.
Отключение изоляции ядра в «Безопасность Windows»
Базовый способ — использование соответствующей настройки в окне «Безопасность Windows». Шаги для отключения изоляции ядра будут следующими:
- Откройте окно «Безопасность Windows», используя значок в области уведомлений или поиск в панели задач.
- В открывшемся окне «Безопасность Windows» перейдите в раздел «Безопасность устройства».
- В пункте «Изоляция ядра» нажмите «Сведения об изоляции ядра».
- Отключите пункты «Целостность памяти». При появлении запроса контроля учетных записей подтвердите действие.
- В случае, если отключение производится из-за невозможности работы какого-либо драйвера, также отключите пункт «Список заблокированных уязвимых драйверов».
- Появится уведомление о необходимости перезагрузки. Перезагрузите компьютер для применения сделанных настроек.
В результате изоляция ядра и основная её составляющая — «Целостность памяти» будут отключены.
Примечание: открыть «Безопасность Windows» вы можете через «Параметры»:
- В Windows 11 — Параметры — Конфиденциальность и защита — Безопасность Windows
- В Windows 10 — Параметры — Обновление и безопасность — Безопасность Windows
Отключение в редакторе реестра
Вы можете полностью отключить функции изоляции ядра HVCI, используя редактор реестра. Для этого:
- Нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите regedit и нажмите Enter.
- Перейдите к разделу реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
При отсутствии такого раздела, создайте его.
- В правой панели редактора реестра дважды нажмите по параметру DWORD с именем «Enabled» и измените его значение на 0.
- Примените настройки и перезагрузите компьютер.
В результате изоляция ядра и сопутствующие функции HVCI будут отключены на компьютере.
Вместо ручного редактирования реестра вы можете создать reg-файл со следующим содержимым:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity] "Enabled"=dword:00000000
Либо использовать команду в командной строке, запущенной от имени Администратора:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
Настройка HVCI в редакторе локальной групповой политики
Если на вашем компьютере установлена Windows 11/10 Pro или Enterprise, вы можете использовать редактор локальной групповой политики для отключения изоляции ядра и других функций HVCI:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
- Перейдите в раздел Конфигурация компьютера — Административные шаблоны — Система — Device Guard.
- Дважды нажмите по политике «Включить средство обеспечения безопасности на основе виртуализации».
- Установите значение «Отключено».
- Примените настройки и перезагрузите компьютер.
В результате функции изоляции ядра Windows будут полностью отключены.
Проверка статуса изоляции ядра
Проверить текущий статус функций безопасности на основе виртуализации можно с помощью команды PowerShell (Терминала Windows):
Get-CimInstance -ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard
На скриншоте видно, что все функции HVCI отключены (SecurityServicesRunning и VirtualisationBasedSecurityStatus равны 0).
Еще один способ проверить, включена ли изоляция ядра — в редакторе реестра открыть раздел
HKLM\System\CurrentControlSet\Control\CI\State
Если раздел отсутствует или параметр HVCIEnabled в нём равен 0, изоляция ядра отключена. При значении HVCIEnabled равном 1 — включена.
После отключения изоляции ядра безопасность Windows будет сигнализировать о проблемах в части «Безопасность устройства», а на значке в области уведомлений будет отображаться восклицательный знак. Чтобы этого не происходило, зайдите в раздел «Безопасность устройства» и нажмите «Закрыть» или «Закрыть все».
Насколько безопасно отключать изоляцию ядра Windows? Точного ответа о степени риска дать не получится. В общем случае, при отсутствии каких-либо проблем с производительностью и работой необходимых драйверов лучше оставлять встроенные функции безопасности Windows 11/10 включенными. Но, как отмечалось, иногда отключение изоляции ядра и целостности памяти позволяет повысить производительность в играх, что отмечала и Майкрософт.
Учитывайте, что не на всех устройствах изоляция ядра включена по умолчанию. Если она отключена, чаще всего причина — в неподдерживаемых драйверах устройств, список которых будет отображаться в «Безопасность Windows». Вторая возможная причина — отсутствие необходимых для работы HVCI функций виртуализации.
В некоторых случаях пользователям необходимо знать, как отключить изоляцию ядра в операционной системе Windows 11. Хотя эта функция важна с точки зрения безопасности, у пользователей есть веские причины не использовать это защитное средство.
Изоляция ядра — функция безопасности Windows, которая защищает важные процессы в операционной системе от вредоносных программ, изолируя их в памяти. Это достигается за счет запуска этих основных процессов в среде виртуализации.
Содержание:
- Как отключить изоляцию ядра в Windows 11
- Отключение изоляции ядра в групповых политиках
- Как выключить изоляцию ядра Windows 11 в редакторе реестра
- Отключение изоляции ядра с помощью REG-файла
- Как отключить изоляцию ядра через командную строку
- Выводы статьи
- Как отключить изоляцию ядра в Windows 11 (видео)
Целостность памяти, также известная как целостность кода, защищенная гипервизором (HVCI), — функция безопасности, которая затрудняет использование вредоносными программами низкоуровневых драйверов для захвата вашего компьютера. Она предназначена для предотвращения атак путем внедрения вредоносного кода в процессы с высоким уровнем безопасности.
Целостность памяти работает путем создания изолированной среды с использованием аппаратной виртуализации платформы виртуальных машин (VMP). Эти функции делают систему более безопасной от воздействия вредоносного программного обеспечения.
В большинстве случаев целостность памяти включена по умолчанию в Windows 11. Это полезная функция для безопасности компьютера, но на некоторых устройствах иногда возникают проблемы.
Изоляция ядра Windows 11 может повлиять на производительность во время игр или при работе в ресурсоемких приложениях на некоторых конфигурациях компьютеров. В этом случае, чтобы повысить производительность, игроки могут отключать эти функции во время игры, а затем снова включать целостность памяти после завершения игрового процесса.
Вы можете совсем не включать эту функцию, если она заметно влияет на производительность вашего ПК. Кроме того, на некоторых компьютерах целостность памяти вообще не работает из-за несовместимых драйверов или из-за проблем виртуализации.
В этом руководства мы расскажем о нескольких способах отключения изоляции ядра в Windows 11. Вы можете это сделать из настроек операционной системы, в групповых политиках, в системном реестре, с помощью REG-файла или в командной строке.
Как отключить изоляцию ядра в Windows 11
Сначала мы попробуем отключить изоляцию ядра в настройках операционной системы Windows 11 с помощью приложения «Параметры».
Отключение изоляции ядра Windows 11 выполняйте по следующей инструкции:
- Щелкните правой кнопкой мыши по меню «Пуск».
- В открывшемся меню нажмите на «Параметры».
- В окне приложения «Параметры» откройте вкладку «Конфиденциальность и защита».
- В разделе «Безопасность» выберите «Безопасность Windows».
- В окне «Безопасность Windows» нажмите на кнопку «Открыть службу “Безопасность Windows”».
- Войдите слева во вкладку «Безопасность устройства».
- В разделе «Изоляция ядра» в опции «Целостность памяти» нажмите на «Сведения об изоляции ядра».
- Передвиньте ползунок переключателя в положение «Отключено».
- Перезапустите устройство выполнив перезагрузку ПК, чтобы эти изменения вступили в силу.
Отключение изоляции ядра в групповых политиках
Существует другой способ для выключения целостности ядра с помощью редактора локальной групповой политики. Этот метод доступен в версиях: Windows 11 Профессиональной, Windows 11 Корпоративной и Windows 11 для образовательных учреждений. Пользователям Windows 11 Домашней групповые политики недоступны, так как они отключены в этой версии операционной системы.
Редактор локальной групповой политики можно использовать для включения или отключения всей системы безопасности на основе виртуализации, от которой зависит целостность памяти.
Выполните следующие действия:
- В строке поиска Windows введите «gpedit.msc».
- Откройте системное средство на компьютере.
- В окне «Редактор локальной групповой политики» пройдите по пути:
Конфигурация компьютера ➜ Административные шаблоны ➜ Система ➜ Device Guard
- Щелкните правой кнопкой мыши по параметру политики «Включить средство обеспечения безопасности на основе виртуализации», а в контекстном меню выберите «Изменить».
- В окне «Включить средство обеспечения безопасности на основе виртуализации» установите значение «Отключено».
- Нажмите «ОК».
- Закройте окно редактора локальной групповой политики, а затем перезагрузите компьютер.
Как выключить изоляцию ядра Windows 11 в редакторе реестра
Все пользователи Windows 11, в том числе в Домашней версии, могут использовать другой способ отключить целостность памяти с помощью редактора реестра, внеся туда изменения.
Пройдите шаги:
- В окне поиска Windows введите «regedit», а затем нажмите «Enter».
- В окне «Редактор реестра» перейдите по следующему пути:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity
Можете скопировать отсюда этот путь и вставить его в адресную строку редактора реестра, а затем нажать на клавишу «Enter».
- Щелкните правой кнопкой мыши по параметру «Enabled».
- В контекстном меню выберите «Изменить…».
- В окне «Изменение параметра DWORD (32 бита)» установите значение «0» и нажмите «ОК».
- Закройте редактор реестра, выполните перезагрузку компьютера.
Отключение изоляции ядра с помощью REG-файла
Если вы не желаете вручную разбираться с параметрами реестра, можно использовать готовый REG-файл. Вам нужно будет его запустить, чтобы сразу внести соответствующие изменения в реестр.
Проделайте следующее:
- Скачайте REG-файл из облачного хранилища.
- Щелкните правой кнопкой мыши по файлу реестра с именем «Turn_OFF_Core_isolation_Memory_integrity.reg».
- В контекстном меню сначала выберите «Показать дополнительные параметры», а затем «Слияние».
- Подтвердите выполнение своих действий.
- Перезагрузите систему для применения изменений.
Содержимое этого файла REG-файла для справки:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity] "Enabled"=dword:00000000
Как отключить изоляцию ядра через командную строку
Подобную операцию можно проделать с помощью командной строки. В этом инструменте необходимо выполнить одну команду, чтобы решить нашу задачу.
Сделайте следующее:
- Введите «CMD» поисковой строке, а затем запустите приложение от имени администратора.
- В окне интерпретатора командной строки введите предложенную команду, а потом нажмите «Enter»:
reg add "HKLMSYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
Можно скопировать команду отсюда, чтобы вставить ее в командную строку на вашем компьютере.
- Закройте командную строку.
- Перезапустите компьютер, чтобы применить эти изменения.
Выводы статьи
Целостность памяти или изоляция ядра — важная функция безопасности Windows, создающая еще один уровень безопасности для основных компонентов, работающих в виртуальной среде. В последних версиях Windows 11 эта функция включена по умолчанию.
Целостность памяти может влиять на производительность системы при запуске ресурсоемких приложений, например, игр. Если вы хотите повысить производительность в играх, вы можете заранее отключить изоляцию ядра в Windows 11 на своем компьютере, используя несколько разных способов.
Как отключить изоляцию ядра в Windows 11 (видео)
Похожие публикации:
- Как удалить или переустановить Microsoft Store в Windows 11
- Как изменить дату и время на компьютере в Windows
- Обмен с устройствами поблизости в Windows 11 и Windows 10
- Как отключить автоматическое обновление Windows 11 — 5 способов
- Как полностью или частично отключить уведомления в Windows 11
Изоляция ядра — одна из функций защиты устройства Windows на основе виртуализации (Hypervisor-protected Code Integrity или HVCI), изолирующая сторонние процессы от процессов Windows, призванная повысить защиту от угроз, направленных на ядро Windows. Несмотря на пользу, в некоторых случаях её отключение может повысить производительность системы в играх и сторонних приложениях.
В этой пошаговой инструкции подробно о способах отключить изоляцию ядра в Windows 11 и Windows 10, а также дополнительная информация на тему, которая может оказаться полезной.
Отключение изоляции ядра в «Безопасность Windows»
Базовый способ — использование соответствующей настройки в окне «Безопасность Windows». Шаги для отключения изоляции ядра будут следующими:
- Откройте окно «Безопасность Windows», используя значок в области уведомлений или поиск в панели задач.
- В открывшемся окне «Безопасность Windows» перейдите в раздел «Безопасность устройства».
- В пункте «Изоляция ядра» нажмите «Сведения об изоляции ядра».
- Отключите пункты «Целостность памяти». При появлении запроса контроля учетных записей подтвердите действие.
- В случае, если отключение производится из-за невозможности работы какого-либо драйвера, также отключите пункт «Список заблокированных уязвимых драйверов».
- Появится уведомление о необходимости перезагрузки. Перезагрузите компьютер для применения сделанных настроек.
В результате изоляция ядра и основная её составляющая — «Целостность памяти» будут отключены.
Примечание: открыть «Безопасность Windows» вы можете через «Параметры»:
- В Windows 11 — Параметры — Конфиденциальность и защита — Безопасность Windows
- В Windows 10 — Параметры — Обновление и безопасность — Безопасность Windows
Отключение в редакторе реестра
Вы можете полностью отключить функции изоляции ядра HVCI, используя редактор реестра. Для этого:
- Нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите regedit и нажмите Enter.
- Перейдите к разделу реестра
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity
При отсутствии такого раздела, создайте его.
- В правой панели редактора реестра дважды нажмите по параметру DWORD с именем «Enabled» и измените его значение на 0.
- Примените настройки и перезагрузите компьютер.
В результате изоляция ядра и сопутствующие функции HVCI будут отключены на компьютере.
Вместо ручного редактирования реестра вы можете создать reg-файл со следующим содержимым:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity] "Enabled"=dword:00000000
Либо использовать команду в командной строке, запущенной от имени Администратора:
reg add "HKLMSYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
Настройка HVCI в редакторе локальной групповой политики
Если на вашем компьютере установлена Windows 11/10 Pro или Enterprise, вы можете использовать редактор локальной групповой политики для отключения изоляции ядра и других функций HVCI:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
- Перейдите в раздел Конфигурация компьютера — Административные шаблоны — Система — Device Guard.
- Дважды нажмите по политике «Включить средство обеспечения безопасности на основе виртуализации».
- Установите значение «Отключено».
- Примените настройки и перезагрузите компьютер.
В результате функции изоляции ядра Windows будут полностью отключены.
Проверка статуса изоляции ядра
Проверить текущий статус функций безопасности на основе виртуализации можно с помощью команды PowerShell (Терминала Windows):
Get-CimInstance -ClassName Win32_DeviceGuard –Namespace rootMicrosoftWindowsDeviceGuard
На скриншоте видно, что все функции HVCI отключены (SecurityServicesRunning и VirtualisationBasedSecurityStatus равны 0).
Еще один способ проверить, включена ли изоляция ядра — в редакторе реестра открыть раздел
HKLMSystemCurrentControlSetControlCIState
Если раздел отсутствует или параметр HVCIEnabled в нём равен 0, изоляция ядра отключена. При значении HVCIEnabled равном 1 — включена.
После отключения изоляции ядра безопасность Windows будет сигнализировать о проблемах в части «Безопасность устройства», а на значке в области уведомлений будет отображаться восклицательный знак. Чтобы этого не происходило, зайдите в раздел «Безопасность устройства» и нажмите «Закрыть» или «Закрыть все».
Насколько безопасно отключать изоляцию ядра Windows? Точного ответа о степени риска дать не получится. В общем случае, при отсутствии каких-либо проблем с производительностью и работой необходимых драйверов лучше оставлять встроенные функции безопасности Windows 11/10 включенными. Но, как отмечалось, иногда отключение изоляции ядра и целостности памяти позволяет повысить производительность в играх, что отмечала и Майкрософт.
Учитывайте, что не на всех устройствах изоляция ядра включена по умолчанию. Если она отключена, чаще всего причина — в неподдерживаемых драйверах устройств, список которых будет отображаться в «Безопасность Windows». Вторая возможная причина — отсутствие необходимых для работы HVCI функций виртуализации.
Вопрос: При долгой работе компьютера или выходе из спящего режима сбивается шрифт в меню пуск
При долгой работе компьютера или выходе из спящего режима меню Пуск становится вот таким.
Как исправить это? Помогите, пожалуйста..
Ответ:
переустановленная ОС уже и обновленная(
Вопрос: Как перевести компьютер в спящий режим типа S1 («Stand by») ?
Ни на стационарном компьютере, ни на ноутбуке не могу понять, как перевести компьютер в спящий режим типа S1.
Результат выполнения «powercfg /a»
В данной системе доступны следующие состояния спящего режима:
Ждущий режим (S3)
Следующие состояния спящего режима недоступны в данной системе:
Ждущий режим (S1)
Ждущий режим (S2)
Системное встроенное ПО не поддерживает ждущий режим.
Гибернация
Режим гибернации не включен.
Ждущий режим (подключенный)
Системное встроенное ПО не поддерживает ждущий режим.
Гибридный спящий режим
Быстрый запуск
Режим гибернации недоступен.
Ответ:
Дайте компу постоять в бездействии пару минут, потом отправьте его в сон и разбудите.
В журнале событий:
Действие => создать настраиваемое представление
В пункте дата задайте, например, двухминутный интервал и смотрите, что происходило.
Больше у меня нет идей.
Ну и проверить драйверы и подключенные к компу устройства
Вопрос: Выходит из спящего режима в 4 утра
Почти каждую ночь компьютер выходит из спящего режима и будит меня.
в диспетчере устройств, сетевые адаптеры, снял галку «пробуждение с помощью магических пакетов».
в настройках электропитания запретил таймеры пробуждения.
в командной строке команда powercfg /waketimers вот что показывает.
c:>powercfg /waketimers
Таймер, установленный Устаревшая вызывающая сторона ядра, действителен до 4:14:46 09.01.2016.
Причина:
Помогите. Кто виноват и что делать?
Ответ:
в конце концов вылечил сей недуг:
Панель управления -> Безопасность и обслуживание -> Обслуживание -> Автоматическое обслуживание -> Изменить параметры обслуживания -> снимаем галку «Разрешить задаче обслуживания пробуждать мой компьютер…»
Вопрос: Самопроизвольное включение компьютера по ночам
Последнее время (около 1…2 месяцев) примерно через 30…60 минут после перевода компьютера в спящий режим (дабы можно было с утра продолжить работу с момента ее прерывания) он самопроизвольно включается. Завершаю работу около 12 ночи, т.е. включение происходит в 0:30…1:00 ночи. При этом монитор остается темным. Встаю с постели, подвигаю мышкой — монитор включается, вхожу в профиль в штатном режиме, снова ввожу в спящий режим — этой ночью больше не включается.
На компьютере система Win7, стоит резидентный антивирус MS Cecurity Esentials. Прогнал по нескольку раз актуальные (свежескачанные) лечащие утилиты mbar и DrWeb Cureit — понаходили несколько бяк, но все равно самопроизвольное включение осталось. По проявлениям похоже на вирус, подключающий мой компьютер к DDOS-атакам. Тем более, что время от времени Google блокирует доступ по причине подозрительного траффика, исходящего с моего IP. Такое происходит уже довольно давно (больше года), но самопроизвольное включение компьютера я заметил вот только недавно.
Собственно, вопрос: если беда известная и лечится относительно просто, то скачаю рекомендуемое ПО, просканирую им и выложу. Если же проблема более сложная — то не буду морочить голову ни себе, ни местным гуру и тупо переставлю систему.
Ответ:
Falconist
, что-то я не совсем понял…
Сообщение от Falconist
после перевода компьютера в спящий режим… он самопроизвольно включается
Спящий режим и режим гибернация в 7 — это совершенно разные вещи. Для перевода в спящий режим достаточно на клаве нажать кнопку Sleep. Если нажмёте Пуск и наведёте указатель мыши на стрелочку рядом с Завершение работы — появится меню в котором есть и Спящий режим. и Гибернация. При гибернации комп отключается от электропитания так же, как и при завершении работы, но при включении компа вы сможете начать работу так же, как и после режима сна.
Но спрашивали вы о другом. Планировщик заданий проверяли?
Вопрос: Компьютер ночью выходит из спящего режима
Всем день добрый. Уже достала меня эта проблема. Сам по себе ПК выходит из спящего режима ночью, стоит Windows 10, до этого была 7, такой проблемы не было, поэтому выбрал именно этот раздел.
Что уже было сделано 2 дня назад:
1. В просмотре событий нашел причину: Таймер — Будет выполнено назначенное задание «NT TASKMicrosoftWindowsUpdateOrchestratorReboot», запросившее вывод компьютера из спящего режима.
Зашел в Планировщик заданий, нашел это задание и убрал галку с пункта: Условия — Пробуждать компьютер для выполнения задачи.
2. Зашел в powercfg.cpl — Настройка схемы электропитания — Изменить дополнительные параметры питания — Сон — Разрешить таймеры пробуждения — ОТКЛЮЧИТЬ.
Сегодня ночью ситуация повторилась, но в просмотре событий нашел лишь:
Система вышла из состояния пониженного энергопотребления.
Время перехода в спящий режим: 2016-10-29T21:38:38.657073700Z
Время выхода из спящего режима: 2016-10-29T21:58:34.625754700Z
Источник выхода: Нет данных
3. В диспетчере устройств снял галку «разрешить этому устройству выводить компьютер из ждущего режима» с мышки, клавы, сетевух, и везде, где нашел…
Помогите решить данную проблему, уже не знаю где копать…
Ответ:
Сообщение от GoLeMjkeee
Стоит ежедневно в 2-00
Поменяй на дневное.
Сообщение от GoLeMjkeee
но галочка…. не стоит.
10-ка она такая,с характером.
Вопрос: Как убрать экран с кнопкой «Вход» при выходе из спящего режима?
Windows 10 Pro 1607.
При выходе из спящего режима винда просит нажать «Вход». Пр пробуждении появляется синий экран с надписью имени пользователя и под ним кнопка «Вход». Пароль не установлен, пользователь единственный в системе с правами админа. При загрузке все нормально, никаких экранов и нажатий на кнопки, сразу рабочий стол.
В Параметры-Учетные записи- Параметры входа нет пункта «Требуется вход».
В окне Учетные записи пользователей, на вкладке Пользователи галка «Требовать ввод имени пользователя и пароля» снята.
В настройках схемы электропитания нет пункта «Требовать введения пароля при пробуждении».
Как убрать кнопку «Вход» при выходе из спящего режима, чтобы компьютер автоматически запускал рабочий стол минуя это окно?
Ответ:
убрать спящий режим
Вопрос: Windows 8.1 выключается в спящем режиме
Здравствуйте.
У меня проблема со спящим режимом. Компьютер полностью выключается в спящем. Т.е. полностью питание пропадает. Раньше в спящем моргала лампочка на системнике, сейчас полностью «оптухает» и с usb тоже мышка, клава потухают и влючить можно только кнопкой включения и естественно вся инфа не сохраняется.
Перечитал много тем в интернете, но ни одна проблема не похожа на мою.
Сразу напишу характеристики ПК: материнка ASUS p8h67, видео Radeon HD7850 (asus), intel i5 2550k, 8gb ОЗУ, SSD Silicon Power s55 120gb, HDD WD 500gb.
Установил Windows 8.1, стоит уже очень давно и спящий режим работал как надо. Однажды он перестал работать, я даже не знаю точно из-за чего и после чего (каких-нибудь действий) он перестал работать. ВРоде ничего такого не ставил, драйвера вроде не обновлял.
Я частенько по привычке вместо выключения нажимаю спящий и однажды он заработал и работал несколько дней, но со временем перестал работать.
Пробовал обновлять драйвера или удалять. Пробовал отключать от компа лишние устройства (ну мало ли). Отключал различные программы перед спящим. Ничего не помогло.
В интернете нашёл единственную инфу которая точь в точь как у меня (пункт 8):
Поставить драйвера я конечно не смог, разные платформы. Найти такие же для себя не смог.
Переустанавливать ОС не хочу т.к. все (кроме спящего) работает хорошо.
Может есть идеи что может быть не так?
Добавлено через 17 минут
Забыл написать, что BIOS сбрасывал и обновлял.
Ответ:
проверяй тогда либо БП либо Мать. Программно мы настроили спящий и гибернацию powercfg /h on.
Ещё Вариант — проверить (заменить). hiberfil.sys — он отвечает за спящий режим.
Вопрос: Спящий режим в windows 8
после выхода из спящего режима windows 8 начинает перезагружаться и после загрузки windows вылетает следующее сообщение
подскажите как с этим бороться?
Ответ:
Сообщение от azat145
после выхода из спящего режима windows 8 начинает перезагружаться
С начала.
Потом.
Вопрос: Гибридный спящий режим или Гибернация? Что предпочтительней на десктопе?
В общем, вопрос в заголовке. Как я понял из поисковика, вернее, из скопипащенной на все сайты одной и той же статьи — преимущество Гибридного спящего режима только в скорости включения, просыпания, можно сказать. А если я хочу использовать на своей десктопной Виндовс 7 х64 режим Гибернации, есть подводные камни? Просто мне нужно выключать питание, а при Гибридном спящем режиме этого лучше не делать. Спасибо всем, кто откликнется
Ответ:
Читал, сегодня. Ладно, по-моему на мой вопрос другого ответа и нету, чем короткий брифинг от Майкрософта. Тогда поделюсь своими выводами (для тех, кто попадет в эту тему по похожему вопросу).
Итак:
Плюсы
Гибридного спящего режима: 1. Быстрота включения, нет необходимости полностью вырубать компьютер;
Минусы
: 1. Нагружает жесткий диск (по утверждению одного модератора из раздела Windows 7 на нашем форуме); 2. Не выключается полностью, продолжает кушать ток, хоть и мало (хотя для некоторых этот пункт является плюсом)
Короче, Гибернация нужна, если хочешь постоянно вырубать из сети, но не хочешь подолгу загружать/выключать ОС.
Гибридный спящий режим — для тех, кого устраивает постоянно находящийся в сети ПК.
Вопрос: Раньше ноутбук отключался на старте, теперь в спящем режиме
Мой ноутбук DELL INSPIRON 3521 с Windows 8.1 раньше отключался на старте (появлялся логотип DELL – отключение – повторное включение и нормальная работа). Обновляла систему на 10ку, не помогло. Носила в горе-сервисный центр, известный в городе и хваленый – там ноутбук благополучно 2 недели отдохнул от человеческого внимания. Забрав его, исправила проблему отключением быстрой загрузки и на радостях вернулась на 8.1.
Прошел уже месяц, и теперь, когда я закрываю крышку ноутбука, он переходит в спящий режим (так в настройках), но через минут 20 или чуть больше отключается вовсе (такого раньше не было и настройки электропитания не изменились). При включении ситуация, что я описала выше: включение – логотип – отключение. После повторного включения нормальная работа. Все драйверы обновлены. В чем может быть проблема и как исправить? Жалко бедолагу – полтора года всего, а у меня диплом и госы – не могу сейчас таскать по мастерам…
Ответ:
Как вы хоите чтобы он работал? Лично я использую гибернацию, а не спящий режим, так же включен переход в гибернацию при бездействи, настройки во вложении
Перенос настроек электропитания
Компания Microsoft в операционной системе Windows 10 уделяет большое внимание безопасности. Одним из важных элементов системы является “Защитник Windows”, но способен он справиться не со всеми угрозами. В частности, в последнее время набирают особую распространенность вирусы Ransomware, самыми известными реинкарнациями которых являются вредоносные программы Petya и . Компания Microsoft внедрила в Windows 10 функции изоляции ядра и целостность памяти, которые направлены на борьбу с вирусами Ransomware. По умолчанию они отключены.
Оглавление:
Что такое изоляция ядра и целостность памяти
Изоляция ядра
— это процесс дополнительный защиты, который обеспечивается методом ограждения процессов компьютера от операционной системы и устройства. За счет данных действий удается избежать подрыва работы операционной системы при попадании на компьютер вирусов.
Целостность памяти
— это сопутствующая изоляции ядра защитная функция, которая направлена на ограничение доступа со стороны неизвестных потенциально опасных программ к процессам с высоким уровнем безопасности.
Важно: Функция изоляции ядра может работать только в том случае, если имеются достаточные для этого условия со стороны аппаратных данных компьютера. В настройках BIOS должна быть активна технология виртуализации, за счет которой компьютер под управлением Windows 10 может запускать различные приложения в виртуальном контейнере, ограничивая для них доступ от ключевых компонентов системы.
Как включить изоляцию ядра и целостность памяти
Параметры операционной системы Windows 10 позволяют управлять функциями безопасности на компьютере в полной мере. Через настройки Windows 10 можно включить изоляцию ядра и целостность памяти следующим образом:
Как отмечалось выше, если аппаратная составляющая компьютера не поддерживает возможность виртуализации, данная функция не будет работать. При включении пользователь увидит в нижнем правом углу сообщение “Не удается обеспечить целостность памяти. Возможна несовместимость”. Если это сообщение появилось, рекомендуется перейти в BIOS и посмотреть включена ли функция Secure Boot (Boot Mode).
Как отключить изоляцию ядра и целостность памяти
Новые функции в операционной системе, которые серьезно влияют на ее работу, всегда рискуют стать причиной возникновения проблем при работе компьютера. Не исключение и функция изоляции ядра. Пользователи, которые уже ее опробовали, отмечают на форумах Microsoft, что сталкиваются с проблемами при запуске ряда игр и программ. Единственный способ, как решить данную проблему, это отключить функцию изоляции ядра и целостность памяти. Возможно, в будущих обновлениях разработчики приложения или Microsoft поправит данную несовместимость.
Есть 3 способа, как отключить изоляцию ядра и целостность памяти:
Центр безопасности Защитника Windows , в том числе новый раздел “Безопасность устройства”, которые предлагает управление расширенными инструментами безопасности, такими как «Изоляция ядра».
Изоляция ядра — технология безопасности на основе виртуализации, которая обеспечивает дополнительный уровень защиты против интеллектуальных атак. Целостность памяти является одной из составных частей технологии изоляции ядра — функция предназначена для предотвращения вставки вредоносного кода в процессы с высокой безопасностью. Защита обеспечивается за счет того, что страница виртуальной памяти ядра начинает выполнятся только после успешного прохождения проверки целостности.
Рассмотрим, как включить функцию “Целостность памяти” в Windows 10 April 2018 Update, чтобы усилить безопасность компьютера.
Включение целостности памяти
- Откройте Центр безопасности Защитника Windows.
- Выберите раздел “Безопасность устройства”.
- В секции “Изоляции ядра” нажмите ссылку “Сведения об изоляции ядра”.
- Переведите переключатель “Целостность памяти” в активное положение.
После выполнения этих действий нужно перезагрузить компьютер, чтобы изменения вступили в силу.
Примечание
: для работы данной функции ваш процессор должен поддерживать технологии виртуализации. Кроме того, виртуализация должна быть включена в BIOS или UEFI. В противном случае, функция будет недоступна.
Исправление проблем с изоляцией ядра
В некоторых случаях можно столкнуться с проблемами совместимости в некоторых приложениях, если изоляция ядра включена. Чтобы исправить неполадки придется отключить функцию.
Если вы пытаетесь отключить целостность памяти в Центре безопасности Защитника Windows, но опция стала неактивной и показывается сообщение “Этим параметром управляет ваш администратор”, то все еще можно деактивировать функцию с помощью системного реестра.
Примечание
: Некорректное изменение реестра может привести к серьезным проблемам. Рекомендуется создать резервную копию реестра Windows перед тем, как выполнить данные шаги. В меню редактора реестра выберите Файл > Экспорт для сохранения резервной копии.
- Нажмите сочетание клавиш Windows + R , чтобы вызвать окно “Выполнить”.
- Введите regedit и нажмите ОК, чтобы запустить редактор реестра.
- Перейдите по следующему пути:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity
- Дважды щелкните по записи Enabled
. - Поменяйте значение с 1 на 0.
- Нажмите ОК.
Для отключения вы также можете воспользоваться готовым
Диспетчер электропитания (power manager) глаз не спускает с показателей использования электроэнергии по всей системе. Исторически управление потреблением энергии состояло из отключения монитора и остановки вращения дисководов. Но эта проблема быстро становится все более сложной — из-за требований к увеличению продолжительности работы ноутбуков от батарей, а также соображений экономии энергии на настольных компьютерах (которые оставляют постоянно включенными) и высокой стоимости потребляемой серверными фермами электроэнергии.
Новые средства управления электропитанием включают уменьшение потребления энергии компонентами, когда система не используется, для этого отдельные устройства переключаются в состояние резервирования или даже полностью отключаются (при помощи выключателя питания). Мультипроцессорные системы отключают отдельные процессоры, когда они не нужны, и даже могут уменьшать тактовую частоту процессоров (для уменьшения энергопотребления). Когда процессор бездействует, потребление им энергии также уменьшается, поскольку ему не нужно делать ничего, кроме ожидания возникновения прерывания.
Windows поддерживает специальный режим выключения под названием гибернация (hybernation), при котором выполняется копирование всей физической памяти на диск, а затем потребление энергии снижается до минимального (в состоянии гибернации ноутбуки могут работать неделями), при этом батарея разряжается минимально. Поскольку все состояние памяти записано на диск, то вы можете даже заменить батарею ноутбука (пока он находится в гибернации). Когда система возобновляет свою работу, выходя из гибернации, она восстанавливает сохраненное состояние памяти (и повторно инициализирует устройства). Это приводит компьютер в то же самое состояние, в котором он был перед гибернацией (без необходимости выполнять повторно регистрацию и запускать все приложения и службы, которые выполнялись. Windows старается оптимизировать этот процесс, игнорируя немодифицированные страницы (имеющие резервирование на диске), и сжимает остальные страницы памяти для снижения требуемого объема ввода-вывода. Алгоритм гибернации предусматривает автоматическую балансировку пропускной способности системы ввода-вывода и процессора. Чтобы при более высокой пропускной способности процессора снизить потребность в пропускной способности системы ввода-вывода, используется более ресурсоемкое, но при этом более эффективное сжатие данных. Достаточная пропускная способность системы ввода-вывода позволяет избежать сжатия при переходе в режим гибернации. При использовании мультипроцессоров последнего поколения вход в состояние гибернации и выход из него могут составлять всего несколько секунд, даже если оперативная память системы имеет большой объем.
Альтернатива гибернации — состояние ожидания (standby mode), при котором диспетчер электропитания переводит всю систему на низшее состояние потребления энергии (используется ровно столько энергии, сколько нужно для регенерации состояния динамической памяти). Поскольку память не нужно копировать на диск, то переход в это состояние на некоторых системах осуществляется быстрее, чем гибернация.
Несмотря на доступность гибернации и состояния ожидания, многие пользователи не избавились от привычки выключать свой персональный компьютер по окончании работы.
Гибернация используется в Windows для осуществления псевдовыключения запуска, называемого HiberBoot, которое осуществляется намного быстрее обычного выключения и запуска. Когда пользователь дает системе команду на выключение, HiberBoot выводит пользователя из системы, а затем переводит ее в состояние гибернации в той точке, с которой можно будет опять нормально войти в систему. Позже, когда пользователь снова включит систему, HiberBoot возобновит работу системы с точки входа в нее пользователя. Для пользователя все это похоже на очень быстрое выключение, поскольку большинство шагов инициализации системы пропускается. Разумеется, иногда систему нужно выключать по-настоящему, чтобы устранить проблемы или установить обновление ядра. Если система получает команду на перезапуск, а не на выключение, она переносит настоящее выключение и выполняет обычную загрузку.
Ожидается, что вычислительные устройства на телефонах и планшетных компьютерах, а также на новых поколениях ноутбуков всегда будут потреблять небольшое количество электроэнергии. Чтобы обеспечить такой режим, в современной Windows реализована специальная версия управления электропитанием, которая называется CS (connected standby — ожидание в режиме подключения). CS возможна на системах со специальным оборудованием подключения к сети, способным отслеживать трафик в небольшом наборе подключений, используя намного меньше энергии, чем при работе центрального процессора. Получается, что CS-система всегда включена, выход из CS осуществляется сразу же, как только пользователь включил экран. Ожидание в режиме подключения отличается от обычного режима ожидания, потому что CS-система будет также выходить из ожидания, когда получит пакет из отслеживаемого подключения. После того как батарея начинает садиться, CS-система переходит в состояние гибернации, чтобы избежать полного разряда батареи и возможной потери пользовательских данных.
Достижение продожительной работы батареи требует не только как можно более частого выключения процессора. Важно также как можно дольше удерживать процессор в выключенном состоянии. Сетевое оборудование CS-системы позволяет процесорам оставаться выключенными до поступления данных, но повторное включение процессора может быть вызвано и другими событиями. Основанные на NT драйверы устройств Windows, системные службы и сами приложения зачастую запускаются без особой причины, только для того, чтобы проверить состояние дел. Подобная активность опроса обычно основана на установках таймеров на периодический запуск кода в системе или приложении. Опрос, основанный на сигналах таймера, может внести сумятицу в события, включающие процессор. Во избежание этого в современной Windows от таких таймеров требуется указать параметр погрешности, позволяющий операционной системе объединять события таймера и сокращать количество отдельных оснований для включения процессора. В Windows также оформляются условия, при которых приложение, не находящееся в стадии активного выполнения, может выполнять код в фоновом режиме. Операции, подобные проверке обновлений или освежению содержимого, не могут выполняться только по запросу запуска по истечении времени таймера. Приложение должно подчиняться операционной системе в вопросах подобной фоновой активности. Например, проверка на наличие обновлений должна происходить только один раз в день или в следующий раз, когда на устройстве будет происходить заряд батареи. Набор системных посредников предоставляет различные условия, которые могут использоваться для ограничений на выполнение фоновой активности. Если фоновой задаче требуются доступ к дешевой сети или пользовательские полномочия, посредники не станут выполнять задачу, пока не возникнут необходимые условия.
Сегодня многие приложения реализуются как с локальным кодом, так и со службами, находящимися в облаке. Windows предоставляет службу уведомлений Windows (Windows Notification Service (WNS)), позволяющую сторонним службам проталкивать уведомления в устройство Windows в CS, не требуя от сетевого оборудования CS специально прислушиваться к пакетам от сторонних серверов. WNS-уведомления могут оповещать о критичных по времени событиях, таких как поступление текстового сообщения или вызова по VoIP. При поступлении WNS-пакета процессор должен будет включиться для его обработки, но сетевое оборудование CS имеет возможность различать трафик разных подключений, что означает, что процессор не должен включаться в ответ на каждый произвольный пакет, поступающий из сетевого интерфейса.
В некоторых случаях пользователям необходимо знать, как отключить изоляцию ядра в операционной системе Windows 11. Хотя эта функция важна с точки зрения безопасности, у пользователей есть веские причины не использовать это защитное средство.
Изоляция ядра — функция безопасности Windows, которая защищает важные процессы в операционной системе от вредоносных программ, изолируя их в памяти. Это достигается за счет запуска этих основных процессов в среде виртуализации.
Содержание:
- Как отключить изоляцию ядра в Windows 11
- Отключение изоляции ядра в групповых политиках
- Как выключить изоляцию ядра Windows 11 в редакторе реестра
- Отключение изоляции ядра с помощью REG-файла
- Как отключить изоляцию ядра через командную строку
- Выводы статьи
- Как отключить изоляцию ядра в Windows 11 (видео)
Целостность памяти, также известная как целостность кода, защищенная гипервизором (HVCI), — функция безопасности, которая затрудняет использование вредоносными программами низкоуровневых драйверов для захвата вашего компьютера. Она предназначена для предотвращения атак путем внедрения вредоносного кода в процессы с высоким уровнем безопасности.
Целостность памяти работает путем создания изолированной среды с использованием аппаратной виртуализации платформы виртуальных машин (VMP). Эти функции делают систему более безопасной от воздействия вредоносного программного обеспечения.
В большинстве случаев целостность памяти включена по умолчанию в Windows 11. Это полезная функция для безопасности компьютера, но на некоторых устройствах иногда возникают проблемы.
Изоляция ядра Windows 11 может повлиять на производительность во время игр или при работе в ресурсоемких приложениях на некоторых конфигурациях компьютеров. В этом случае, чтобы повысить производительность, игроки могут отключать эти функции во время игры, а затем снова включать целостность памяти после завершения игрового процесса.
Вы можете совсем не включать эту функцию, если она заметно влияет на производительность вашего ПК. Кроме того, на некоторых компьютерах целостность памяти вообще не работает из-за несовместимых драйверов или из-за проблем виртуализации.
В этом руководства мы расскажем о нескольких способах отключения изоляции ядра в Windows 11. Вы можете это сделать из настроек операционной системы, в групповых политиках, в системном реестре, с помощью REG-файла или в командной строке.
Как отключить изоляцию ядра в Windows 11
Сначала мы попробуем отключить изоляцию ядра в настройках операционной системы Windows 11 с помощью приложения «Параметры».
Отключение изоляции ядра Windows 11 выполняйте по следующей инструкции:
- Щелкните правой кнопкой мыши по меню «Пуск».
- В открывшемся меню нажмите на «Параметры».
- В окне приложения «Параметры» откройте вкладку «Конфиденциальность и защита».
- В разделе «Безопасность» выберите «Безопасность Windows».
- В окне «Безопасность Windows» нажмите на кнопку «Открыть службу “Безопасность Windows”».
- Войдите слева во вкладку «Безопасность устройства».
- В разделе «Изоляция ядра» в опции «Целостность памяти» нажмите на «Сведения об изоляции ядра».
- Передвиньте ползунок переключателя в положение «Отключено».
- Перезапустите устройство выполнив перезагрузку ПК, чтобы эти изменения вступили в силу.
Отключение изоляции ядра в групповых политиках
Существует другой способ для выключения целостности ядра с помощью редактора локальной групповой политики. Этот метод доступен в версиях: Windows 11 Профессиональной, Windows 11 Корпоративной и Windows 11 для образовательных учреждений. Пользователям Windows 11 Домашней групповые политики недоступны, так как они отключены в этой версии операционной системы.
Редактор локальной групповой политики можно использовать для включения или отключения всей системы безопасности на основе виртуализации, от которой зависит целостность памяти.
Выполните следующие действия:
- В строке поиска Windows введите «gpedit.msc».
- Откройте системное средство на компьютере.
- В окне «Редактор локальной групповой политики» пройдите по пути:
Конфигурация компьютера ➜ Административные шаблоны ➜ Система ➜ Device Guard
- Щелкните правой кнопкой мыши по параметру политики «Включить средство обеспечения безопасности на основе виртуализации», а в контекстном меню выберите «Изменить».
- В окне «Включить средство обеспечения безопасности на основе виртуализации» установите значение «Отключено».
- Нажмите «ОК».
- Закройте окно редактора локальной групповой политики, а затем перезагрузите компьютер.
Как выключить изоляцию ядра Windows 11 в редакторе реестра
Все пользователи Windows 11, в том числе в Домашней версии, могут использовать другой способ отключить целостность памяти с помощью редактора реестра, внеся туда изменения.
Пройдите шаги:
- В окне поиска Windows введите «regedit», а затем нажмите «Enter».
- В окне «Редактор реестра» перейдите по следующему пути:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
Можете скопировать отсюда этот путь и вставить его в адресную строку редактора реестра, а затем нажать на клавишу «Enter».
- Щелкните правой кнопкой мыши по параметру «Enabled».
- В контекстном меню выберите «Изменить…».
- В окне «Изменение параметра DWORD (32 бита)» установите значение «0» и нажмите «ОК».
- Закройте редактор реестра, выполните перезагрузку компьютера.
Отключение изоляции ядра с помощью REG-файла
Если вы не желаете вручную разбираться с параметрами реестра, можно использовать готовый REG-файл. Вам нужно будет его запустить, чтобы сразу внести соответствующие изменения в реестр.
Проделайте следующее:
- Скачайте REG-файл из облачного хранилища.
- Щелкните правой кнопкой мыши по файлу реестра с именем «Turn_OFF_Core_isolation_Memory_integrity.reg».
- В контекстном меню сначала выберите «Показать дополнительные параметры», а затем «Слияние».
- Подтвердите выполнение своих действий.
- Перезагрузите систему для применения изменений.
Содержимое этого файла REG-файла для справки:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity] "Enabled"=dword:00000000
Как отключить изоляцию ядра через командную строку
Подобную операцию можно проделать с помощью командной строки. В этом инструменте необходимо выполнить одну команду, чтобы решить нашу задачу.
Сделайте следующее:
- Введите «CMD» поисковой строке, а затем запустите приложение от имени администратора.
- В окне интерпретатора командной строки введите предложенную команду, а потом нажмите «Enter»:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
Можно скопировать команду отсюда, чтобы вставить ее в командную строку на вашем компьютере.
- Закройте командную строку.
- Перезапустите компьютер, чтобы применить эти изменения.
Выводы статьи
Целостность памяти или изоляция ядра — важная функция безопасности Windows, создающая еще один уровень безопасности для основных компонентов, работающих в виртуальной среде. В последних версиях Windows 11 эта функция включена по умолчанию.
Целостность памяти может влиять на производительность системы при запуске ресурсоемких приложений, например, игр. Если вы хотите повысить производительность в играх, вы можете заранее отключить изоляцию ядра в Windows 11 на своем компьютере, используя несколько разных способов.
Как отключить изоляцию ядра в Windows 11 (видео)
Похожие публикации:
- Как удалить или переустановить Microsoft Store в Windows 11
- Как изменить дату и время на компьютере в Windows
- Обмен с устройствами поблизости в Windows 11 и Windows 10
- Как отключить автоматическое обновление Windows 11 — 5 способов
- Как полностью или частично отключить уведомления в Windows 11
Как отключить защиту целостности памяти в #Windows10 1803
Я уже дважды писал о том, как включить HVCI:
• файлом политики https://vk.com/wall-81672804_5511
• в графическом интерфейсе версии 1803 https://vk.com/wall-81672804_5520
Для отключения в первом случае достаточно удалить файл политики. Во втором случае, как выяснилось, в GUI можно только включить, но не отключить
Во втором случае, как выяснилось, в GUI можно только включить, но не отключить Для этого придется в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
установить для параметра Enabled значение 0 и перезагрузитьс