Защита dma ядра как включить windows 11

Технология «Изоляция ядра» разработана для защиты устройства и самой системы Windows 11, но чтобы она работала, должны быть выполнены все необходимые условия.

Изоляция ядра в Windows 11

Описание технологии

Система безопасности Windows 11 давно не ограничивается штатной программой Microsoft Defender Antivirus. «Изоляция ядра» – еще одна защитная технология, которая обеспечивает безопасность устройства и операционной системы путем запуска важных процессов в специальной виртуализированной области.

Изоляция ядра в Windows 11_001

Ее главная функция — «Целостность памяти», которая затрудняет получение злоумышленниками доступа к компьютеру через вредоносное программное обеспечение. Перед запуском приложения часть его кода отправляется в изолированную среду, созданную с помощью аппаратной виртуализации, а после проверки, если ничего подозрительного найдено не было, передается обратно операционной системе для выполнения.

Изоляция ядра в Windows 11_002

В зависимости от устройства и версии ОС «Изоляция ядра» может поддерживать дополнительные функции. К таким относится «Защита ядра DMA», которая блокирует атаки с прямым доступом к памяти через периферийные устройства, подключенные к внешним и внутренним PCI-портам, например Thunderbolt или M.2.

Изоляция ядра в Windows 11_003

Кроме того, может поддерживаться «System Guard» Защитника Windows – набор инструментов, способных отслеживать и блокировать попытки взлома устройства через прошивку еще до загрузки системы. А также функция защиты учетных данных, которая особенно полезна для офисных и школьных компьютеров, так как позволяет скрывать от мошенников маркеры доступа к различным ресурсам в одной организации.

Изоляция ядра в Windows 11_004

Управление функцией

«Изоляции ядра» работает в пассивном режиме и каких-то специальных настроек не имеет. Главное, чтобы была включена «Целостность памяти». В Windows 11, по крайней мере в последних ее сборках, технология безопасности обычно активна по умолчанию, но мы на всякий случай покажем, где она находится, а заодно и как ее запустить.

  1. Сочетанием клавиш «Windows+I» открываем системные «Параметры», во вкладке «Конфиденциальность и защита» кликаем плитку «Безопасность Windows»,
    Изоляция ядра в Windows 11_005

    затем «Безопасность устройства»,

    Изоляция ядра в Windows 11_006

    находим блок «Изоляция ядра», жмем на ссылку «Сведения»,

    Изоляция ядра в Windows 11_007

    Lumpics.ru

    и включаем «Целостность памяти».

  2. Изоляция ядра в Windows 11_008

  3. Альтернативный путь начинается с системного трея. Нажимаем стрелочку вверх на панели задач, кликаем иконку в виде щита,
    Изоляция ядра в Windows 11_009

    переходим к инструментам защиты оборудования, а далее таким же образом активируем функцию.

  4. Изоляция ядра в Windows 11_010

    Если все так замечательно, как описывают Microsoft, то, конечно, лучше, чтобы технология работала, но бывают случаи, в которых отключение «Целостности памяти» может пригодиться. И на это есть сразу несколько способов, которые подробно описаны в отдельной статье на нашем сайте.

    Подробнее: Отключение изоляции ядра в Windows 11

    Изоляция ядра в Windows 11_011

Возможные проблемы

Учитывая принцип работы «Изоляции ядра», компьютер должен обязательно поддерживать технологию виртуализации и важно, чтобы она была включена везде, где это возможно, начиная с BIOS/UEFI.

Подробнее: Как включить виртуализацию в Windows 11
Изоляция ядра в Windows 11_012

Кроме того, на компьютере могут быть установлены драйверы, которые несовместимы с этой технологией. И так как их запуск считается более приоритетным, блокируется защитная функция. Обычно это какие-нибудь устаревшие драйверы и тогда оптимальный вариант – обновить их.

Проблема в том, что определить, какие именно драйверы конфликтуют, иногда бывает сложно. Если у вас это получится, попробуйте получить обновления с помощью «Диспетчера устройств». Кроме того, наличие апдейтов можно посмотреть в «Центре обновления Виндовс» или воспользоваться специальными программами, которые подскажут, каких драйверов не хватает на компьютере.

Подробнее:
Как обновить драйвера на компьютере
Программы для установки драйверов

Изоляция ядра в Windows 11_013

В нашем случае обновить драйверы не получилось, поэтому будем их удалять, но помним, что Microsoft такого делать не рекомендует, ведь есть вероятность, что какое-нибудь оборудование после этого перестанет отвечать. С другой стороны, может быть так, что раньше вы подключали какое-то устройство, а теперь перестали им пользоваться, а значит, и драйверы для него не нужны.

  1. Итак, если функция заблокирована из-за несовместимости драйверов, как это показано на скриншоте ниже, открываем их список.
  2. Изоляция ядра в Windows 11_014

  3. Теперь жмем на любой из них
    Изоляция ядра в Windows 11_015

    и выясняем имя.

  4. Изоляция ядра в Windows 11_016

  5. Кликаем правой кнопкой мышки «Пуск» и вызываем «Диспетчер устройств».
  6. Изоляция ядра в Windows 11_017

  7. Открываем вкладку «Вид» и выбираем тип сортировки – «Устройства по драйверу».
  8. Изоляция ядра в Windows 11_018

  9. Находим нужную запись, правой кнопкой мышки открываем контекстное меню, жмем «Удалить»,
    Изоляция ядра в Windows 11_019

    подключаем опцию принудительного удаления и подтверждаем операцию.

  10. Изоляция ядра в Windows 11_020

  11. Один из драйверов, как видно на скриншоте ниже, не имеет конкретного названия, поэтому мы не смогли его найти в «Диспетчере устройств».
  12. Изоляция ядра в Windows 11_021

  13. В этом случае его можно поискать и удалить в системной папке. Переходим в директорию:

    C:WindowsSystem32drivers

    ищем и удаляем запись.

  14. Изоляция ядра в Windows 11_022

  15. После этого запускаем повторное сканирование
    Изоляция ядра в Windows 11_023

    и, если все нормально, функция включится сразу после перезагрузки системы.

  16. Изоляция ядра в Windows 11_024

    Процесс удаления драйверов не всегда завершается успешно, и если это ваш случай, ознакомьтесь с отдельной статьей на нашем сайте, где помимо системных инструментов, используется для этого стороннее программное обеспечение.

    Подробнее: Полное удаление драйвера с компьютера

Microsoft выпустила первое обновление функций для Windows 11. Это обновление Windows 11 2022 версии 22H2. Microsoft представила некоторые новые функции в обновлении Windows 11 22H2, например, полностью изменился пользовательский интерфейс диспетчера задач. Дополнительные функции будут реализованы позже. Вы можете установить это обновление Windows 11 2022 версии 22H2 через настройки Windows 11, загрузив ISO-образ обновления Windows 11 2022 с веб-сайта Microsoft или с помощью помощника по установке Windows 11. Если обновление Windows 11 2022 не устанавливается в вашей системе, следуйте рекомендациям, приведенным в этой статье, чтобы устранить проблему. Я также столкнулся с ошибками при чистой установке обновления Windows 11 2022 на моем ноутбуке HP. Я также поделюсь своим опытом и расскажу, что я делал для устранения ошибки.

Windows-11-Feature-Update-не-устанавливается

Самый простой способ установить обновление Windows 11 2022 — использовать приложение «Параметры Windows 11». Откройте настройки Windows 11 и перейдите в Центр обновления Windows. Теперь нажмите Проверить наличие обновлений. Однако, если Обновление Windows 11 2022 не устанавливается в вашей системе используйте следующие решения для устранения проблемы. Прежде чем продолжить, лучше проверить, совместим ли ваш компьютер с обновлением Windows 11 2022.

Если Windows 11 версии 22H2 не устанавливается на ваш компьютер, следуйте этим советам. Некоторые пользователи увидели сообщение об ошибке – Нам не удалось установить это обновление, но вы можете повторить попытку (0x8007001f)

  1. Перезагрузите компьютер и повторите попытку
  2. Временно отключите антивирус
  3. Очистить содержимое папки SoftwareDistribution
  4. Воспользуйтесь помощником по установке Windows 11.
  5. Запустите средство устранения неполадок Центра обновления Windows
  6. Отключите защиту ядра DMA в BIOS.
  7. Сбросить компоненты Центра обновления Windows
  8. Установите обновление с помощью Media Creation Tool.
  9. Удалить все разделы, зарезервированные системой
  10. Измените порядок загрузки.

Давайте подробно рассмотрим все эти исправления.

1]Перезагрузите компьютер и повторите попытку.

Первое, что вы должны попробовать, это перезагрузить компьютер и повторить попытку. Иногда небольшой сбой создает проблемы при установке обновления Windows. Проверьте, помогает ли это.

2]Временно отключите антивирус

Иногда антивирус не позволяет Windows устанавливать обновления. Такие типы ложных срабатываний не представляют угрозы, и их можно избежать. Ваш антивирус может мешать работе Центра обновления Windows. Мы предлагаем вам отключить антивирус, а затем попробовать установить обновление. Проверьте, работает ли это.

Некоторые пользователи нашли виновником проблемы Avast. Если в вашей системе установлен антивирус Avast, отключите его. Если это не решит проблему, удалите Avast и повторите попытку. Перед удалением Avast или любого другого стороннего антивируса убедитесь, что у вас есть его ключ активации.

3]Очистить содержимое папки SoftwareDistribution.

Очистите содержимое папки SoftwareDistribution и попробуйте. Самый простой способ сделать это — воспользоваться нашим портативным бесплатным программным обеспечением FixWin.

4]Используйте помощник по установке Windows 11

Воспользуйтесь помощником по установке Windows 11. Это обязательно поможет вам.

5]Запустите средство устранения неполадок Центра обновления Windows.

Запустите средство устранения неполадок Центра обновления Windows

Средство устранения неполадок Центра обновления Windows — это автоматизированный инструмент, который помогает пользователям устранять проблемы и ошибки, связанные с Центром обновления Windows. Средство устранения неполадок Центра обновления Windows проверит наличие ошибок и исправит их (если возможно). После завершения устранения неполадок проверьте, можете ли вы установить обновление или нет.

6]Отключите защиту ядра DMA в BIOS.

Kernel DMA Protection — это функция в Windows 11/10, которая защищает ваш компьютер от прямых атак на память (DMA). Выполняя атаки DMA, злоумышленники могут украсть конфиденциальную информацию с компьютеров пользователей и даже внедрить в их системы вредоносное ПО, позволяющее обойти блокировку экрана. Было обнаружено, что в некоторых случаях защита DMA ядра вызывает ошибки BSOD. Некоторые из затронутых пользователей также сообщили, что обновление Windows 11 2022 не работает из-за того, что в их системах была включена функция защиты DMA ядра. Проверьте, включена ли эта функция в вашей системе или нет. Если да, отключите его.

Следующие шаги помогут вам проверить, включена ли защита ядра DMA на вашем устройстве.

Проверьте состояние защиты ядра DMA.

  1. Нажмите Поиск Windows 11.
  2. Введите системную информацию.
  3. Выберите приложение «Информация о системе» в результатах поиска.
  4. Выберите «Сводка системы» с левой стороны.
  5. Прокрутите вниз и найдите Защита DMA ядра. Проверьте его статус.

Если он включен, выключите его. Чтобы отключить защиту DMA ядра, вам необходимо получить доступ к BIOS вашей системы. Посетите веб-сайт производителя вашей системы, чтобы узнать, как отключить эту функцию в BIOS. После его отключения проблема должна быть устранена.

7]Сброс компонентов Центра обновления Windows

Поврежденные компоненты Центра обновления Windows также приводят к сбою обновлений Windows. В этом случае сброс компонентов Центра обновления Windows может решить проблему.

8]Установите обновление с помощью Media Creation Tool.

Если обновление Windows 11 2022 по-прежнему не устанавливается в вашей системе, вы можете использовать для этого средство создания носителя. Это должно помочь.

9]Удалить все зарезервированные системой разделы

Если вы выполнили чистую установку обновления Windows 11 2022 с использованием файла ISO, а Windows отображает ошибку, проблема может быть связана с несколькими зарезервированными разделами системы. Я столкнулся с этой проблемой при чистой установке обновления Windows 11 2022 с использованием файла ISO.

Когда вы устанавливаете Windows, раздел System Reserved создается автоматически. Если установка Windows не удалась, и вы попытаетесь снова, Windows снова создаст новый раздел, зарезервированный системой. Несколько или ранее существовавшие разделы, зарезервированные системой, также мешают установке Windows. В моем случае было несколько зарезервированных системных разделов, из-за которых не удалось установить обновление Windows 11 2022. Когда я попытался снова, был создан еще один системный зарезервированный раздел, и установка обновления снова не удалась.

Чтобы решить эту проблему, я удалил все разделы, зарезервированные системой, со своего SSD и повторил попытку. Это исправило ошибку. Вы также должны проверить это. Отформатируйте диск C, удалите все ранее существовавшие разделы, зарезервированные системой, и повторите попытку. Это должно помочь.

10]Измените порядок загрузки

Это еще одна причина сбоя установки Windows. Если в вашей системе установлено более одного жесткого диска, у вас могут возникнуть проблемы при установке операционной системы Windows. Во время чистой установки нам нужно отформатировать диск, на который мы хотим установить Windows. Если этот диск не выбран в порядке загрузки в BIOS вашей системы, установка Windows каждый раз будет завершаться ошибкой.

После исправления вышеуказанной ошибки я столкнулся с другой ошибкой. На этот раз Windows отобразила ошибку после перезагрузки устройства. Когда я заглянул в BIOS своей системы, мой жесткий диск был выбран в качестве загрузочного диска вместо SSD. Я изменил порядок загрузки, и проблема была исправлена. После этого обновление Windows 11 2022 было успешно установлено на моем ноутбуке HP.

Ошибка, с которой я столкнулся:

Ваш ПК/устройство нуждается в ремонте

Не удалось загрузить приложение или операционную систему, так как требуемый файл отсутствует или содержит ошибки.

Файл: windowssystem32winload.efi
Код ошибки: 0xc000000e

Если вы столкнулись с этой ошибкой, проверьте порядок или последовательность загрузки в BIOS. Выберите правильный жесткий диск в BIOS. Это должно работать.

Почему Windows 11 не устанавливается?

Причин, по которым Windows 11 не устанавливается, может быть много. Если вы выполняете чистую установку Windows 11, убедитесь, что диск, на который вы ее устанавливаете, полностью отформатирован. Если его стиль раздела — MBR, измените его на GPT. Кроме того, проверьте, существует ли уже существующий системный зарезервированный раздел. Если да, удалите все разделы, зарезервированные системой.

Другая причина — неправильный порядок загрузки. Проверьте его в BIOS вашей системы и измените его (при необходимости).

Почему моя Windows 11 не обновляется?

Если Windows 11 не обновляется, возможно, компоненты Центра обновления Windows повреждены. Или ваш антивирус может мешать обновлению. В этой статье мы объяснили различные способы решения проблемы, из-за которой Windows 11 не обновляется.

Надеюсь, это поможет.

Download PC Repair Tool to quickly find & fix Windows errors automatically

Cyber-attacks have changed over the past few years. Rogue hackers can now take over your PC and lock down files unless you are ready to pay them money. These types of attacks are called Ransomware, and they use kernel-level exploits that attempt to run malware with the highest privileges, e.g., WannaCry and Petya ransomware. In order to mitigate these types of attacks, Microsoft has rolled out a feature that allows you to enable Core Isolation and Memory Integrity to prevent such attacks.

Windows Defender Security Center offers this feature. Called Device Security, it offers status reporting and management of security features built into your devices – including toggling features on to provide enhanced protection. However, It doesn’t work on a software level; the hardware needs to support it as well. Your firmware should support Virtualization, which enables the Windows 11/10 PC to run applications in a container, so they don’t get access to other parts of the system.

Your device must meet the requirements for standard hardware security This means your device should support memory integrity and core isolation and also have:

  • TPM 2.0 (also referred to as your security processor)
  • Secure boot enabled
  • DEP
  • UEFI MAT

Virtualization-based Security not enabled in Windows 11

It is probably the easiest way to enable or disable Virtualization-based Security in Windows 11. In other words, you need to enable Core isolation to get it done. For that, do the following:

  • Search for windows security in the Taskbar search box.
  • Click on the individual search result.
  • Switch to the Device security tab.
  • Click on the Core isolation details option.
  • Toggle the Memory integrity button to turn it on.
  • Restart your computer.

Enable Core Isolation & Memory Integrity in Windows 11/10

Windows Defender Security System for PC

  1. Sign in as an administrator and open Windows Defender Security Center
  2. Look for Device Security option.
  3. Here you should check if Core Isolation under Virtualization is enabled on your PC.
  4. Core isolation provides virtualization-based security features to protect core parts of your device.
  5. Click on Core isolation details, and you will be offered to enable Memory Integrity.

Memory integrity (hypervisor-protected code integrity) is a security feature of Core isolation that prevents attacks from inserting malicious code into high-security processes. Toggle to turn it On.

Core Isolation & Memory Integrity

Once enabled, it will ask you to restart the PC to completely enable Memory Integrity.

If later on, you face application compatibility issues, you may need to turn this off.

Related: Memory Integrity greyed out or won’t Turn On/Off.

Enable or Disable Core Isolation and Memory Integrity using Registry

You can also use the Registry, to enable or disable Core isolation Memory integrity using Registry Editor, follow these steps:

  1. Press Win+R to open the Run dialog.
  2. Type regedit and hit the Enter button.
  3. Click on the Yes option.
  4. Navigate to Scenarios in HKEY_LOCAL_MACHINE.
  5. Right-click on Scenarios > New > Key.
  6. Name it as HypervisorEnforcedCodeIntegrity.
  7. Right-click on it > New > DWORD (32-bit) Value.
  8. Name it as Enabled.
  9. Double-click on it to set the Value data as 1 to enable and 0 to disable.
  10. Click the OK button.
  11. Restart your computer.

To learn more about these steps, keep reading.

Precaution: Before heading to the REGEDIT steps, don’t forget to create a System Restore point.

To get started, press Win+R to open the Run dialog, type regedit, and hit the Enter button. If the UAC prompt appears on your screen, click on the Yes option to open the Registry Editor.

Next, navigate to the following path:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenarios

Right-click on the Scenarios key > New > Key, and name it as HypervisorEnforcedCodeIntegrity.

Enable to disable Core isolation Memory integrity using Registry Editor

Then, you have to create a REG_DWORD value. For that, right-click on HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value, and name it as Enabled.

Enable to disable Core isolation Memory integrity using Registry Editor

By default, it comes with a Value data of 0, meaning it is disabled. However, if you want to enable this functionality, double-click on it to set the Value data as 1.

Enable to disable Core isolation Memory integrity using Registry Editor

Click the OK button and restart your computer.

That said, there are two more options that might be available depending on the hardware of your PC.

  1. Security Processor only shows up if you have TPM available with your PC hardware. They are discrete chips soldered to a computer’s motherboard by the OEM. To get the most out of TPM, OEM must carefully integrate system hardware and firmware with the TPM to send it commands and react to its responses. The newer TPMs can also provide security and privacy benefits to the system hardware itself. So make sure to check for all of these if you are buying a new PC.
  2. Secure Boot prevents malicious code to load up before your OS. They are hard to crack but with secure boot it’s taken care of.

Windows 11/10 also offers Hypervisor Protected Code Integrity (HVCI)  when you start with clean installs. Those who are on old hardware, will have the ability to opt-in post the upgrade using the UI in Windows Defender Security Center (WDSC). This enhancement will ensure that the kernel process that verifies code integrity runs in a secure runtime environment.

Read:

  • Incompatible driver turns off Memory Integrity in Windows 11
  • Virtualization-based Security not enabled in Windows 11.

Ezoic

Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.

Download PC Repair Tool to quickly find & fix Windows errors automatically

Cyber-attacks have changed over the past few years. Rogue hackers can now take over your PC and lock down files unless you are ready to pay them money. These types of attacks are called Ransomware, and they use kernel-level exploits that attempt to run malware with the highest privileges, e.g., WannaCry and Petya ransomware. In order to mitigate these types of attacks, Microsoft has rolled out a feature that allows you to enable Core Isolation and Memory Integrity to prevent such attacks.

Windows Defender Security Center offers this feature. Called Device Security, it offers status reporting and management of security features built into your devices – including toggling features on to provide enhanced protection. However, It doesn’t work on a software level; the hardware needs to support it as well. Your firmware should support Virtualization, which enables the Windows 11/10 PC to run applications in a container, so they don’t get access to other parts of the system.

Your device must meet the requirements for standard hardware security This means your device should support memory integrity and core isolation and also have:

  • TPM 2.0 (also referred to as your security processor)
  • Secure boot enabled
  • DEP
  • UEFI MAT

Virtualization-based Security not enabled in Windows 11

It is probably the easiest way to enable or disable Virtualization-based Security in Windows 11. In other words, you need to enable Core isolation to get it done. For that, do the following:

  • Search for windows security in the Taskbar search box.
  • Click on the individual search result.
  • Switch to the Device security tab.
  • Click on the Core isolation details option.
  • Toggle the Memory integrity button to turn it on.
  • Restart your computer.

Enable Core Isolation & Memory Integrity in Windows 11/10

Windows Defender Security System for PC

  1. Sign in as an administrator and open Windows Defender Security Center
  2. Look for Device Security option.
  3. Here you should check if Core Isolation under Virtualization is enabled on your PC.
  4. Core isolation provides virtualization-based security features to protect core parts of your device.
  5. Click on Core isolation details, and you will be offered to enable Memory Integrity.

Memory integrity (hypervisor-protected code integrity) is a security feature of Core isolation that prevents attacks from inserting malicious code into high-security processes. Toggle to turn it On.

Core Isolation & Memory Integrity

Once enabled, it will ask you to restart the PC to completely enable Memory Integrity.

If later on, you face application compatibility issues, you may need to turn this off.

Related: Memory Integrity greyed out or won’t Turn On/Off.

Enable or Disable Core Isolation and Memory Integrity using Registry

You can also use the Registry, to enable or disable Core isolation Memory integrity using Registry Editor, follow these steps:

  1. Press Win+R to open the Run dialog.
  2. Type regedit and hit the Enter button.
  3. Click on the Yes option.
  4. Navigate to Scenarios in HKEY_LOCAL_MACHINE.
  5. Right-click on Scenarios > New > Key.
  6. Name it as HypervisorEnforcedCodeIntegrity.
  7. Right-click on it > New > DWORD (32-bit) Value.
  8. Name it as Enabled.
  9. Double-click on it to set the Value data as 1 to enable and 0 to disable.
  10. Click the OK button.
  11. Restart your computer.

To learn more about these steps, keep reading.

Precaution: Before heading to the REGEDIT steps, don’t forget to create a System Restore point.

To get started, press Win+R to open the Run dialog, type regedit, and hit the Enter button. If the UAC prompt appears on your screen, click on the Yes option to open the Registry Editor.

Next, navigate to the following path:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenarios

Right-click on the Scenarios key > New > Key, and name it as HypervisorEnforcedCodeIntegrity.

Enable to disable Core isolation Memory integrity using Registry Editor

Then, you have to create a REG_DWORD value. For that, right-click on HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value, and name it as Enabled.

Enable to disable Core isolation Memory integrity using Registry Editor

By default, it comes with a Value data of 0, meaning it is disabled. However, if you want to enable this functionality, double-click on it to set the Value data as 1.

Enable to disable Core isolation Memory integrity using Registry Editor

Click the OK button and restart your computer.

That said, there are two more options that might be available depending on the hardware of your PC.

  1. Security Processor only shows up if you have TPM available with your PC hardware. They are discrete chips soldered to a computer’s motherboard by the OEM. To get the most out of TPM, OEM must carefully integrate system hardware and firmware with the TPM to send it commands and react to its responses. The newer TPMs can also provide security and privacy benefits to the system hardware itself. So make sure to check for all of these if you are buying a new PC.
  2. Secure Boot prevents malicious code to load up before your OS. They are hard to crack but with secure boot it’s taken care of.

Windows 11/10 also offers Hypervisor Protected Code Integrity (HVCI)  when you start with clean installs. Those who are on old hardware, will have the ability to opt-in post the upgrade using the UI in Windows Defender Security Center (WDSC). This enhancement will ensure that the kernel process that verifies code integrity runs in a secure runtime environment.

Read:

  • Incompatible driver turns off Memory Integrity in Windows 11
  • Virtualization-based Security not enabled in Windows 11.

Ezoic

Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.

В этой статье мы попытаемся устранить ошибку целостности памяти изоляции ядра, которая не может быть включена/выключена из-за ошибки несовместимого драйвера, с которой столкнулись пользователи Windows 11.

Когда пulьзователи Windows 11 пытаются включить или отключить изulяцию ядра, они сталкиваются с сообщением «Целостность памяти изulяции ядра не может включаться/выключаться из-за ошибки несовместимого драйвера», «Невозможно включить изulяцию ядра в Windows 11 из-за несовместимых драйверов/strong>» или «Не удается открыть изulяцию ядра, ошибка несовместимых драйверов», и доступ ограничен. Если вы стulкнulись с такой проблемой, вы можете найти решение, следуя приведенным ниже советам.

Почему невозможно включить/отключить изulяцию ядра Windows 11?

Не удается включить или отключить изulяцию ядра Windows 11?

Эта проблема возникает из-за блокировки сторонних драйверов. По этой причине ваш доступ может быть ограничен при возникновении такой проблемы. Мы удалим сторонний драйвер, который блокирует доступ, сообщив вам два предложения по устранению проблемы, и мы достигнем решения проблемы.

Как включить или отключить изulяцию ядра Windows 11?

Чтобы решить эту проблему, мы можем найти решение проблемы, следуя приведенным ниже советам.

1-) Давайте удалим сторонний драйвер с помощью командной строки

Мы можем устранить проблему, удалив неудаленный сторонний драйвер с помощью командной строки.

  • Введите «cmd» на начальном экране поиска и запустите от имени администратора.
  • Выведите список имен сторонних драйверов, вставив приведенный ниже код в открывшийся экран командной строки.
    • dism /online /get-drivers /format:table
  • После этой операции найдите проблемное имя стороннего драйвера и скопируйте его.
  • После копирования имени стороннего драйвера скопируйте и вставьте следующую командную строку в командную строку, чтобы выпulнить удаление, и нажмите клавишу ввода. (Там, где указано «Опубликованное имя», вставьте или введите имя стороннего драйвера, которое вы скопировали.)
    • pnputil /delete-driver Опубликованное имя /uninstall /force

Невозможно включить или отключить изulяцию ядра Windows 11

После этого процесса вы увидите сообщение о том, что сторонний драйвер с проблемой был удален. Затем вы можете перезагрузить компьютер и проверить, сохраняется ли проблема.

2-) Давайте удалим сторонний драйвер с помощью приложения автозапуска

С помощью приложения Autoruns, разработанного Windows, вы можете легко удалить сторонний драйвер.

  • Сначала загрузите приложение Autoruns.

Нажмите, чтобы загрузить Autoruns.

После завершения загрузки давайте продulжим наш процесс, запустив приложение.

  • Выберите параметр «Драйверы» в приложении, щелкните правой кнопкой мыши проблемный сторонний драйвер и выберите «Удалить«.

Невозможно включить или отключить изulяцию ядра Windows 11

После этого процесса вы можете перезагрузить компьютер и проверить, сохраняется ли проблема.

Да, друзья, мы решили нашу проблему под этим загulовком. Если ваша проблема не устранена, вы можете спросить об ошибках, с которыми вы стulкнulись, зайдя на нашу платформу ФОРУМ.

Device Guard — это сочетание корпоративных программных и аппаратных функций безопасности, которые при совместной настройке блокируют устройство для запуска только доверенных приложений, указанных в политике целостности кода. . Если приложение не является доверенным, оно не сможет работать. Если оборудование соответствует основным требованиям, это означает, что даже если злоумышленник может получить контроль над ядром Windows, он не сможет запустить вредоносный исполняемый код. При наличии подходящего оборудования Device Guard может использовать новую систему безопасности на основе виртуализации в Windows 10, чтобы изолировать службу целостности кода от Microsoft Windows. В этом случае служба целостности кода запускается в той же папке, что и виртуализированный защищенный контейнер Windows.

Из этого руководства вы узнаете, как включить или отключить безопасность на основе виртуализации Device Guard на компьютерах с Windows 10 Enterprise и Windows 10 Education.

Вы должны войти в систему как администратор, чтобы включить или отключить Device Guard.

  1. Как открыть Безопасность Windows в Windows 10
  2. Как включить защиту от изменений для безопасности Windows в Windows 10
  3. Повышение безопасности Windows 10 с помощью защиты от эксплойтов

Шаг 1 . Откройте возможности Windows.

В Windows 10 Enterprise / Education версии 1607 или более поздней выберите Hyper-V Hypervisor в Hyper-V и нажмите OK.

Изображение 1: Как включить или отключить Device Guard в Windows 10

В версиях Windows 10 Enterprise / Education до версии 1607 выберите Hyper-V Hypervisor в Hyper-V, выберите изолированный пользовательский режим и нажмите OK.

Изображение 2: как включить или отключить Device Guard в Windows 10

Шаг 2 . Откройте редактор локальной групповой политики.

Шаг 3 . Перейдите к следующему ключу на левой панели редактора локальной групповой политики.

Конфигурация компьютераАдминистративные шаблоныSystemDevice Guard

Изображение 3: как включить или отключить Device Guard в Windows 10

Шаг 4. На правой панели Device Guard в редакторе локальной групповой политики дважды щелкните политику «Включить безопасность на основе виртуализации», чтобы изменить ее.

Шаг 5. Следуйте шагу 6 (включить) или шагу 7 (выключить).

Шаг 6. Чтобы активировать Device Guard

  1. Выберите Включено.
  2. В разделе «Параметры» выберите «Безопасная загрузка» или «Безопасная загрузка и защита DMA» в раскрывающемся меню «Выбрать уровень безопасности платформы».

Примечание. Параметр «Безопасная загрузка» (рекомендуется) обеспечивает безопасную загрузку с несколькими средствами защиты, поддерживаемыми определенным аппаратным обеспечением компьютера. Компьютер с диспетчером памяти ввода / вывода (IOMMU) будет иметь безопасную загрузку с защитой DMA. Компьютер без модулей IOMMU активирует только безопасную загрузку.

Безопасная загрузка с DMA обеспечивает безопасную загрузку и VBS только на компьютерах, поддерживающих DMA, т. Е. Компьютерах с модулями IOMMU. С этим параметром любой компьютер без IOMMU не будет иметь защиты VBS (аппаратной), хотя он может включить политики целостности кода.

  1. В разделе «Параметры» выберите «Включено с блокировкой UEFI» или «Включено без блокировки» в раскрывающемся меню «Защита на основе виртуализации» целостности кода.

Примечание. При включении параметра блокировки UEFI обеспечивается удаленное отключение защиты целостности кода на основе виртуализации. Чтобы отключить эту функцию, вам необходимо настроить групповую политику, а также удалить параметры безопасности для каждого компьютера с текущим пользователем, чтобы удалить конфигурацию в UEFI.

Параметр Включено без блокировки для виртуализации Защита целостности кода удаленно отключена с помощью групповой политики.

  1. При желании вы также можете активировать Credential Guard, выбрав Включено с блокировкой UEFI или Включено без блокировки в раскрывающемся меню Конфигурация Credential Guard.

Примечание. Если опция включена с блокировкой UEFI, Credential Guard не отключается удаленно. Чтобы отключить эту функцию, необходимо установить для групповой политики значение Отключено, а также удалить функцию безопасности на каждом компьютере с текущим пользователем, чтобы удалить конфигурацию в UEFI.

Параметр «Включено без блокировки» позволяет удаленно отключить Credential Guard с помощью групповой политики. Устройства, использующие эту установку, должны работать под управлением операционной системы Windows 10 (версия 1511) или более поздней версии.

  1. Перейти к шагу 8.

Шаг 7. Чтобы отключить Device Guard

Выберите «Не настроено» или «Отключено», нажмите «ОК» и перейдите к шагу 8.

Примечание. Значение по умолчанию «Не настроено».

Изображение 4: Как включить или отключить Device Guard в Windows 10

Шаг 8. Закройте редактор локальной групповой политики.

Шаг 9. Перезагрузите компьютер, чтобы изменения вступили в силу.

Желаю всем успехов!

Владимир Безмалый

Через несколько недель появится Windows 11. Стоит ли вам перейти на него? Позвольте задать вопрос: «А смысл? Зачем?».

В июне 2021 года была представлена Windows 11, многие были в восторге от ее обновленного пользовательского интерфейса, и бесчисленные энтузиасты ПК поспешили загрузить сборки новой ОС Windows Insider Developer Channel.

Но, как оказывается, не все так просто. Новая ОС предъявляет повышенные требования к ПК для поддержки нового оборудования и функций безопасности на основе виртуализации. Эти функции критически важны для защиты как потребительских, так и бизнес-задач от более сложных вредоносных программ и реализации новых угроз, которые в настоящее время постоянно появляются.

Но ведь все эти функции уже встроены в Windows 10, если вы используете версию 20H2 (Windows 10 October 2020 Update). Как потребитель, малый бизнес или предприятие, вы можете воспользоваться этими преимуществами, развернув групповую политику или просто щелкнув меню безопасности устройства Windows 10, чтобы включить их. Вам не нужно ждать выхода Windows 11 или покупать новый компьютер.

Функция 1: TPM 2.0 и безопасная загрузка

Trusted Platform Module (TPM) — это технология, предназначенная для обеспечения аппаратных криптографических функций, связанных с безопасностью. Если у вас есть ПК, выпущенный в течение последних пяти лет, скорее всего, на вашей материнской плате есть микросхема TPM, поддерживающая версию 2.0. Вы можете определить это, открыв Диспетчер устройств и развернув «Устройства безопасности». Если написано «Trusted Platform Module 2.0», все в порядке.

Так что же на самом деле делает TPM? Он используется для создания и хранения криптографических ключей, уникальных для вашей системы, включая ключ шифрования RSA, уникальный для самого TPM вашей системы. Помимо того, что они традиционно используются со смарт-картами и VPN , TPM могут применяться для поддержки процесса безопасной загрузки. Он позволяет реализовать контроль целостности загрузочного кода ОС, включая микропрограммное обеспечение и отдельные компоненты операционной системы, чтобы убедиться, что они не были скомпрометированы.

Вам ничего не нужно делать, чтобы это работало; он просто работает, если он не отключен в вашем UEFI. Ваша организация может выбрать развертывание безопасной загрузки в Windows 10 с помощью групповой политики или корпоративного решения на основе MDM, такого как Microsoft Endpoint Manager.

Хотя большинство производителей поставляют свои ПК с включенным TPM, у некоторых он может быть отключен, поэтому, если он не отображается в диспетчере устройств или отображается как отключенный, загрузитесь в настройках прошивки UEFI и посмотрите.

Если TPM никогда не был подготовлен для использования в вашей системе, просто активируйте его, запустив tpm.msc из командной строки.

Функция 2: безопасность на основе виртуализации (VBS) и HVCI

В то время как TPM 2.0 был распространен на многих ПК уже шесть лет, функция, которая действительно заставляет правильно обеспечить режим безопасности в Windows 10 и Windows 11, — это HVCI или целостность кода, защищенная гипервизором , также называемая целостностью памяти или изоляцией ядра. Изоляция, как она отображается в меню безопасности устройства Windows.

Хотя это требуется для Windows 11, вам необходимо включить его вручную в Windows 10. Просто нажмите «Core Isolation Details», а затем включите целостность памяти с помощью тумблера. Для включения вашей системы может потребоваться около минуты, так как ей необходимо проверить каждую страницу памяти в Windows, прежде чем включать ее.

Включение или отключение изоляции ядра и целостности памяти с помощью реестра

Вы можете для включения использовать реестр с помощью следующих шагов:

1. Нажмите Win+R для открытия диалога «Run».

2. В строке наберитеregedit и нажмите клавишу Enter.

3. Нажмите Да.

4. Выберите путь HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenarios.

5. Нажмите правую клавишу Scenarios key > New > Key, и назовите его HypervisorEnforcedCodeIntegrity.

6. Нажмите правую клавишу мыши > New > DWORD (32-bit) Value.

7. Выберите Enabled.

8. Выберите значение 1 для Включить and 0 для Выключить.

9. Нажмите OK.

10. Перезагрузите компьютер.

Эта функция доступна только на 64-разрядных процессорах с аппаратными расширениями виртуализации , такими как Intel VT-X и AMD-V . Первоначально реализованные в микросхемах серверного класса еще в 2005 году, они присутствуют почти во всех настольных системах, по крайней мере, с 2015 года или Intel поколения 6 (Skylake). Однако для этого также требуется преобразование адресов второго уровня (SLAT), которое присутствует в Intel VT-X2 с расширенными таблицами страниц (EPT) и AMD Rapid Virtualization Indexing (RVI).

Существует дополнительное требование HVCI, согласно которому любые устройства ввода-вывода, поддерживающие прямой доступ к памяти (DMA), располагаются за IOMMU (блок управления памятью ввода-вывода). Они реализованы в процессорах, поддерживающих инструкции Intel VT-D или AMD-Vi.

Это звучит как длинный список требований, но суть в том, что все в порядке, если Device Security сообщает, что эти функции присутствуют в вашей системе.

Разве виртуализация не используется в основном для повышения плотности рабочей нагрузки на серверах центров обработки данных или разработчиками программного обеспечения для изоляции своих тестовых настроек на своих настольных компьютерах или для запуска чужих операционных систем, таких как Linux? Да, но виртуализация и контейнеризация/песочница все чаще используются для обеспечения дополнительных уровней безопасности в современных операционных системах, включая Windows.

В Windows 10 и Windows 11 VBS или система безопасности на основе виртуализации использует Microsoft Hyper-V для создания и изоляции защищенной области памяти от ОС. Эта защищенная область используется для запуска нескольких решений безопасности, которые могут блокировать устаревшие уязвимости в операционной системе (например, от немодернизированного кода приложения) и остановить эксплойты, которые пытаются обойти эту защиту.  

HVCI использует VBS для усиления соблюдения политики целостности кода, проверяя все драйверы режима ядра и двоичные файлы перед запуском и предотвращая загрузку неподписанных драйверов и системных файлов в системную память. Эти ограничения защищают жизненно важные ресурсы ОС и активы безопасности, такие как учетные данные пользователя — поэтому, даже если вредоносное ПО получает доступ к ядру, степень опасности эксплойта может быть ограничена и сдерживаться, поскольку гипервизор может предотвратить выполнение вредоносным ПО кода или доступ к секретам.

VBS выполняет аналогичные функции и для кода приложения — он проверяет приложения перед их загрузкой и запускает их только в том случае, если они исходят от утвержденных лиц, подписывающих код, делая это путем назначения разрешений для каждой страницы системной памяти. Все это выполняется в защищенной области памяти, которая обеспечивает более надежную защиту от вирусов ядра и вредоносных программ.

Думайте о VBS как о новом сотруднике по защите кода Windows, о вашем ядре и приложении Robocop, которые находятся в защищенном блоке памяти, который активируется вашим процессором с поддержкой виртуализации.

Функция 3: Microsoft Defender Application Guard (MDAG)

Одна особенность, с которой не знакомы многие пользователи Windows, — это Microsoft Defender Application Guard или (MDAG).

Это еще одна технология, основанная на виртуализации (также известная как контейнеры Hyper-V «Криптон»), которая в сочетании с последней версией Microsoft Edge (и текущими версиями Chrome и Firefox с использованием расширения) создает изолированный экземпляр памяти вашего браузера, обеспечивая тем самым предотвращение взлома вашей системы и корпоративных данных ненадежными веб-сайтами.

В случае заражения браузера в результате атак сценариев или вредоносных программ контейнер Hyper-V, который работает отдельно от операционной системы хоста, остается изолированным от критических системных процессов и корпоративных данных.

MDAG сочетается с настройками сетевой изоляции, настроенными для вашей среды, для определения границ вашей частной сети, как это определено групповой политикой вашего предприятия.

Помимо защиты сеансов браузера, MDAG также можно использовать с Microsoft 365 и Office для предотвращения доступа файлов Word, PowerPoint и Excel к значимым ресурсам, таким как корпоративные учетные записи и важные данные. Эта функция была выпущена в рамках общедоступной предварительной версии в августе 2020 года для клиентов Microsoft 365 E5.

MDAG, который является частью Windows 10 Professional, Enterprise и Education, активируется с помощью меню «Функции Windows» или простой команды PowerShell; для этого не требуется включение Hyper-V.

20 сентября, 2021

Источник https://ib-bank.ru/bisjournal/news/16292

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!

Like this post? Please share to your friends:
  • Зашифровать системный диск windows 10 veracrypt
  • Зашить драйвера в дистрибутив windows 7
  • Зачищаем windows или как значительно ускорить работу компьютера
  • Зачем чистить реестр в windows 10
  • Зачем форматировать жесткий диск при установке windows