Как включить изоляцию ядра и целостность памяти в Windows 11 — способы и решение проблем

Функция «Изоляция ядра» или «Целостность памяти» в Windows 11 — дополнительный уровень защиты, обеспечивающий проверку драйвера в изолированной среде до того, как он получит доступ к памяти ядра ОС. В некоторых случаях включение функции может быть необходимо для работы определённых античитов, в корпоративной среде или для того, чтобы просто убрать «желтый треугольник» на значке «Безопасность Windows».

В этой инструкции подробно о том, как включить изоляцию ядра и целостность памяти в Windows 11, почему она может не включаться и как это исправить.

Включение изоляции ядра

Базовый способ включения изоляции ядра (целостности памяти) в Windows 11 — использование интерфейса «Безопасность Windows». Шаги будут следующими:

1. Откройте окно «Безопасность Windows», например, с помощью двойного клика по значку в области уведомлений.
2. Перейдите в раздел «Безопасность устройства».
3. Нажмите по ссылке «Сведения об изоляции ядра» в разделе «Изоляция ядра».
4. Включите параметр «Целостность памяти».
5. Согласитесь с предложением перезагрузить компьютер или перезагрузите компьютер вручную.

Если всё прошло успешно, несовместимых драйверов не найдено и требования к работе функции выполняются, после перезагрузки функция будет включена. Если же нет — возможные причины и варианты решения описаны в следующем разделе инструкции.

Второй способ проделать то же самое — редактор реестра. Предварительно рекомендую создать точку восстановления системы. Шаги будут следующими:

1. Запустите редактор реестра: нажмите клавиши Win+R на клавиатуре, либо нажмите правой кнопкой мыши по кнопке «Пуск» и выберите пункт «Выполнить», введите regedit и нажмите Enter
2. Перейдите к разделу

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity

3. Дважды нажмите по параметру с именем Enabled в правой панели редактора реестра и установите значение 1 для него. Если параметр отсутствует, нажмите правой кнопкой мыши в пустом месте правой панели редактора реестра, создайте новый параметр DWORD, задайте имя Enabled для него и установите значение 1.
4. Перезагрузите компьютер.

Вместо первых 3-х шагов вы можете также запустить командную строку от имени администратора и выполнить команду:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v Enabled /t REG_DWORD /d 1 /f

После перезагрузки проверьте, была ли включена изоляция ядра и целостность памяти.

И несколько примечаний:

• Если ваша задача — убрать восклицательный знак в желтом треугольники, а работа функции не важна, вы можете просто нажать по ссылке «Закрыть» в «Безопасность Windows» — «Безопасность устройства» — «Изоляция ядра»:
• На процессорах Intel до 7-го поколения и AMD ранее Zen 2 включение функции может приводить к существенному снижению производительности по причине отсутствия аппаратной поддержки MBEC (Mode Based Execution Control).

Почему функция может не включаться и как это исправить

При попытке включить Изоляцию ядра и Целостность памяти многие пользователи сталкиваются с тем, что она не включается: иногда при этом сообщается об ошибке, например, о несовместимости драйверов, иногда — никаких сообщений, а лишь отсутствие результата.

По порядку о возможных причинах происходящего и подходах к решению:

1. Наличие несовместимых драйверов. В этом случае вы увидите сообщение «Не удается включить функцию целостности памяти. Попробуйте устранить все несовместимости с драйверами». Решение подробно описано в отдельной инструкции на сайте: Не удается включить Целостность памяти — устраните несовместимость драйверов.
2. Один из самых важных факторов для работы функции: на компьютере или ноутбуке обязательно должна быть включена аппаратная виртуализация Intel VT-x или AMD-V, если не уверены, включена ли она в вашем случае, проверьте в БИОС/UEFI, инструкция: Как включить виртуализацию в БИОС/UEFI. Если включение изоляции ядра требуется выполнить в виртуальной машине, необходимо включить Nested Virtualization, изучите инструкции к вашей платформе ВМ.
3. Если вы ранее отключали функции гипервизора с помощью bcdedit, включите их снова. Запустите командную строку от имени администратора и выполните команду

   bcdedit /set hypervisorlaunchtype auto

   после чего перезагрузите компьютер. Некоторые инструкции в Интернете говорят о необходимости включить Hyper-V или Платформу виртуальной машины в дополнительных компонентах, однако, в части изоляции ядра это не вполне достоверная информация — функция работает и без этих компонентов.
4. Проверьте, не отключена ли политика «Включить средство обеспечения безопасности на основе виртуализации» в Win+R — gpedit.msc — Компьютер — Административные шаблоны — Система — Device Guard. Если включена, переключите на «Не задано», примените настройки и перезагрузите компьютер. При недоступности редактора локальной групповой политики используйте команду в командной строке, запущенной от имени администратора:

   reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard" /f

   после чего перезагрузите компьютер.
5. Если вы выполняли различного рода оптимизации и отключали «ненужные» службы вручную или с помощью сторонних программ, зайдите в «Службы» (Win+R — services.msc), проверьте и при необходимости исправьте тип запуска следующих служб, в списке дано название в русскоязычной и англоязычной версиях Windows 11, в скобках — тип запуска службы по умолчанию. Часть служб не имеют прямого отношения к самой функции, но могут помочь при проблемах с управлением ей в окне Безопасность Windows:

   Служба узла HV, HV Host Service (Вручную)
   Центр обеспечения безопасности, Security Center (Автоматически)
   Служба Безопасность Windows, Windows Security Service (Вручную)
   При наличии: Брокер мониторинга среды выполнения System Guard, System Guard Runtime Monitor Broker (Вручную)

   
6. Старые версии эмуляторов, ПО для виртуальных машин, античитов, редко — сторонние антивирусы могут мешать работе функции Целостность памяти или же сами перестать работать полностью или частично после её включения. Если вы каким-то образом отключали Microsoft Defender, это в большинстве случаев не должно напрямую влиять на работу функции, но может затруднить управление ею, лучше включить теми же средствами, которыми проводилось отключение.
7. Маловероятно, что сработает, но в редких случаях может помочь: проверьте и восстановите целостность системных файлов, попробуйте обновить БИОС (Важно: операция потенциально небезопасная, выполняйте только если знаете, что делаете и строго следуя инструкциям производителя).

Учитывайте, что все предлагаемые подходы относятся к оригинальным версиям Windows 11. Если же речь идёт о каких-либо «облегчённых сборках», причины невозможности включить функцию могут быть в том, что необходимые компоненты удалены или не работают полноценно.

Надеюсь, информация была полезной и помогла разобраться. Если же остались вопросы — оставьте их в комментариях, я постараюсь подсказать решение.