Se utilizzi Windows 10 o Windows 11, probabilmente hai visto questo avviso più di una volta. isolamento del core e integrità della memoria In Sicurezza di Windows, vedrai un'icona gialla o verde. Dietro quel messaggio si nasconde un insieme di potenti tecnologie che possono fare la differenza tra un sistema ben protetto e uno vulnerabile ai malware che attaccano il kernel. Scopri come. Migliorare la sicurezza in Windows 11 per integrare queste protezioni.
In questa guida spiegheremo con calma e in uno spagnolo semplice cosa sono esattamente. Isolamento del core e integrità della memoria, come si relazionano alla sicurezza basata sulla virtualizzazione (VBS), cosa implicano in termini di prestazioni, come abilitarli o disabilitarli dall'interfaccia grafica, dalla riga di comando, dal Registro di sistema, da Intune o dai criteri e come diagnosticare i problemi tipici con driver incompatibili, schermate blu o avvisi che non scompaiono.
Che cos'è l'isolamento del core in Windows
Quando Windows parla di isolamento del nucleo (Core Isolation) si riferisce a un insieme di meccanismi che creano un ambiente protetto e virtualizzato attorno ai processi di sistema più critici, in particolare quelli eseguiti in modalità kernel. L'idea è quella di mantenere il core del sistema operativo separato dal resto dei processi e dai driver caricati in memoria.
Per ottenere questo isolamento, Windows si basa su sicurezza basata sulla virtualizzazione (VBS)VBS utilizza l'hypervisor di Windows per creare un ambiente separato dalla normale sessione di sistema, che si presume sia vulnerabile. Questo ambiente isolato diventa quindi una sorta di radice della fiducia da cui viene convalidato quale codice può essere eseguito nel kernel.
In pratica, l'isolamento del core fa sì che il kernel e alcuni processi ad alta sicurezza vengano eseguiti in un spazio di memoria protettoal di fuori della portata diretta del software in esecuzione sul sistema operativo "normale". Se un malware tenta di iniettare codice in quest'area sensibile, l'architettura stessa lo blocca prima che possa causare danni eccessivi.
Un esempio tipico: si apre un allegato e-mail Contiene malware che tenta di sfruttare una vulnerabilità del driver per infiltrarsi nel kernel. Con Core Isolation disabilitato, il percorso è molto più chiaro; con Core Isolation e le sue protezioni attive, il codice dannoso rimane nella parte "non attendibile" del sistema, riducendo drasticamente il suo impatto.
Che cos'è l'integrità della memoria (HVCI)?
All'interno dell'isolamento del nucleo, la funzione stellare è la cosiddetta integrità della memoria, Conosciuto anche come HVCI (integrità del codice applicata dall'hypervisor)Questa funzionalità garantisce l'integrità del codice del kernel nell'ambiente virtualizzato creato da VBS, in modo che l'hypervisor monitori ciò che è effettivamente in esecuzione in modalità kernel.
In altre parole, l'integrità della memoria fa sì che Nel kernel dovrebbe essere caricato solo codice firmato e attendibile.Se un driver o un modulo tenta di modificarsi, iniettare istruzioni o manipolare le strutture di memoria del kernel interno, la protezione lo blocca e in molti casi provoca un errore grave (schermata blu) per impedire al sistema di continuare a funzionare in uno stato potenzialmente compromesso.
Questo livello di sicurezza aggiunge anche delle restrizioni al modo in cui la memoria viene allocata e gestita in modalità kernel. Alcuni incarichi che sono noti per essere vettori di attacco comuni Sono limitati o monitorati dall'ambiente VBS sicuro, riducendo la superficie di attacco contro exploit avanzati.
Funzionalità di sicurezza fornite dall'integrità della memoria
Oltre alla convalida generale del codice, l'integrità della memoria protegge alcuni elementi molto specifici all'interno del kernel che di solito sono bersaglio degli aggressoriTra gli aspetti più importanti, ne spiccano due:
- Protezione bitmap Control Flow Guard (CFG) nei controller in modalità kernel, per impedire la manipolazione del flusso di esecuzione legittimo.
- Proteggere il processo di integrità del codice del kernelin modo che solo altri processi attendibili con certificati validi possano interagire con esso o caricare nuovi moduli.
Tutto ciò rende molto più difficile per il malware alterare percorsi di esecuzione del kernel o infiltrare driver dannosi camuffati da legittimi. Se la protezione rileva qualcosa di insolito nella memoria in modalità kernel, il sistema preferisce bloccarlo piuttosto che consentire al codice dannoso di continuare a funzionare.
Differenza tra isolamento del core, VBS e integrità della memoria
È facile confondersi con così tanti nomi, quindi è una buona idea separare i concetti per rendere tutto più chiaro e aiutarti a capire. scegli la configurazione che più ti interessa sul tuo computer o sul tuo parco PC:
- VBS (sicurezza basata sulla virtualizzazione)Questa è la base. Utilizza l'hypervisor per creare un ambiente in-memory isolato in cui vengono eseguiti i servizi di sicurezza.
- Isolamento del nucleo: nome commerciale che raggruppa diversi meccanismi che si basano su VBS per proteggere il kernel e determinati processi critici.
- Integrità della memoria (HVCI): un componente specifico all'interno di Core Isolation che impone una rigorosa integrità del codice in modalità kernel, convalidato dall'ambiente VBS.
Puoi avere VBS abilitato senza abilitare l'integrità della memoriaTuttavia, questa soluzione non è comune sui sistemi moderni con Windows 10/11 e hardware compatibile. Infatti, per gli ambienti aziendali, si consiglia di abilitare sia VBS che HVCI, ove possibile.
Vantaggi in termini di sicurezza e rapporto costo-prestazioni
Gli aspetti positivi dell'abilitazione dell'isolamento del core e dell'integrità della memoria sono chiari: livelli aggiuntivi di sicurezza nel punto più sensibile del sistemaIl kernel, i driver e i percorsi di esecuzione critici sono molto più protetti da rootkit, exploit zero-day e malware che tentano di ottenere privilegi di sistema.
Lo svantaggio è che tutto questo controllo extra ha un costo in termini di prestazioni e compatibilitàOgni volta che viene caricato un driver o viene eseguita un'operazione delicata del kernel, l'hypervisor e la logica VBS devono convalidare ciò che sta accadendo. Ciò si traduce in un maggiore utilizzo della CPU e in una certa latenza, particolarmente evidente in determinati scenari.
Molti utenti hanno notato che, quando queste funzioni sono attivate, il Gli FPS nei giochi diminuiscono Oppure compaiono piccoli rallentamenti laddove prima tutto funzionava più fluidamente. Altri affermano che il loro PC risulta "lento" nelle attività quotidiane, soprattutto su macchine che non dispongono di molte risorse o hanno hardware limitato.
Un altro possibile effetto collaterale è che, quando viene attivato l'isolamento del nucleo, potrebbe verificarsi quanto segue: schermate blu o blocchi all'avvio o durante il normale utilizzo. Nella maggior parte dei casi, la colpa è dei driver che non soddisfano i requisiti delle nuove protezioni e che tentano di fare cose che ora sono proibite.
In breve: si ottiene un livello di sicurezza molto più elevato, ma in cambio si accetta un certo impatto sulle prestazioni e la necessità di mantenerlo molto aggiornato. driver e firmware (lista di controllo hardware essenzialeSui PC dedicati al gaming o ad attività molto impegnative, alcuni preferiscono disattivare queste funzioni per massimizzare le risorse, a patto di compensare con buone pratiche di sicurezza.
Abilita o disabilita l'isolamento del core e l'integrità della memoria da Sicurezza di Windows
Il modo più diretto per la maggior parte degli utenti di gestire queste opzioni è tramite l'applicazione Protezione di WindowsÈ integrato sia in Windows 10 che in Windows 11. Il flusso è praticamente lo stesso in entrambe le versioni del sistema, con lievi modifiche nei nomi di alcuni menu.
In Windows 11 puoi aprire le impostazioni rapide con Windows + I, vai a Privacy e sicurezza e poi a Protezione di Windows. Da lì, fai clic su Apri Sicurezza di Windows E, nel menu a sinistra, inserisci Sicurezza del dispositivoVedrai una sezione chiamata isolamento del nucleo con un collegamento di Informazioni.
Una volta all'interno dei dettagli di isolamento del nucleo, troverai l'interruttore Integrità della memoriaSe è disabilitato, probabilmente vedrai anche un avviso del tipo "L'integrità della memoria è disabilitata; il tuo dispositivo potrebbe essere vulnerabile". Abilitando il cursore verrà forzata la convalida del codice in modalità kernel.
Oltre all'integrità della memoria, di solito vedrai un'opzione per Elenco dei driver vulnerabili di MicrosoftQuesta funzionalità blocca proattivamente i driver problematici noti per le loro vulnerabilità di sicurezza. Idealmente, entrambe le funzioni dovrebbero essere mantenute attive, ma anche in questo caso, se si riscontrano problemi di compatibilità, potrebbe essere necessario perfezionare la configurazione.
Quando abiliti l'integrità della memoria, Windows ti chiederà Riavvia il sistemaFino al completamento del riavvio, la protezione non verrà effettivamente applicata e l'avviso di sicurezza di Windows continuerà a essere visualizzato. Dopo il riavvio, se tutto è andato a buon fine, dovresti vedere un'icona verde accanto a Kernel Isolation.
Configurazione avanzata tramite Registro per VBS e integrità della memoria
Negli ambienti aziendali o quando si desidera forzare la configurazione di Core Isolation su larga scala, è comune ricorrere a Chiavi di registro e scriptWindows consente di abilitare VBS, bloccarlo tramite UEFI, richiedere determinate protezioni della piattaforma o imporre l'integrità della memoria con vari valori specifici.
I tasti rilevanti si trovano sotto HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard e le sue sottochiavi. Da una console con privilegi di amministratore, è possibile utilizzare i comandi reg aggiungi per definire i valori desiderati in ogni scenario (e non dimenticare di farlo Backup del registro prima di toccare qualsiasi cosa).
Ad esempio, per attivare la configurazione VBS consigliata con l'integrità della memoria abilitata e nessun blocco UEFI, vengono utilizzati comandi che impostano AbilitaVirtualizationBasedSecurity a 1, definire Richiedi funzionalità di sicurezza della piattaforma (ad esempio, 1 solo per l'avvio sicuro o 3 per l'avvio sicuro e la protezione DMA) e configurare le chiavi di HypervisorEnforcedCodeIntegrity con Abilitato=1 e Bloccato=0.
È anche possibile abilitare VBS in modalità obbligatoria utilizzando il valore Obbligatorio=1In questo caso, se l'hypervisor, il kernel sicuro o qualche modulo dipendente non riesce a caricarsi durante l'avvio, il sistema semplicemente non continuerà a partireSi tratta di un'opzione molto più restrittiva che dovrebbe essere testata attentamente prima di essere implementata su larga scala.
Un'altra impostazione interessante è la chiave WasEnabledBy sotto la sottochiave HypervisorEnforcedCodeIntegrity. Se questo valore viene rimosso, l'interfaccia grafica di integrità della memoria si oscura e viene visualizzato il messaggio "Questa impostazione è gestita dall'amministratore", consentendo Blocca la modifica dall'interfaccia utente e impedire all'utente di attivarlo o disattivarlo manualmente.
Abilita l'isolamento del core e l'integrità della memoria dalla riga di comando
Se preferisci gli script o hai bisogno di automatizzare le installazioni, è molto comodo abilitare l'integrità della memoria con un singolo comando da un Simbolo del sistema elevato o da PowerShell. La chiave primaria è il valore Enabled del percorso HVCI nel Registro di sistema.
Basta eseguire, come amministratore, un comando che aggiunge il valore Abilitato=1 en HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrityQuesta modifica indica a Windows di abilitare l'integrità della memoria al successivo avvio.
Una volta applicata la modifica, è consigliabile verificare che sicurezza basata sulla virtualizzazione È supportato e operativo. Per questo, puoi usare SystemInfo.exe e controlla la sezione Requisiti Hyper-V: se i campi appaiono come "Sì", l'hardware e la configurazione BIOS/UEFI soddisfano le condizioni per funzionare con VBS e Core Isolation; puoi anche Visualizza le specifiche complete del tuo PC dalle impostazioni per una maggiore sicurezza.
Infine, per completare il processo, è necessario Riavvia il sistemaQuesta operazione può essere eseguita direttamente dal prompt dei comandi con il comando shutdown /r. Dopo il riavvio, controllare lo stato in Sicurezza di Windows, in Sicurezza dispositivi, per confermare che l'integrità della memoria sia visualizzata come attiva nell'isolamento del kernel.
Integrità della memoria e controllo delle app per le aziende
Nelle organizzazioni che utilizzano policy centralizzate, l'integrità della memoria può anche essere abilitata come parte di Controllo delle app per le aziende (ex Windows Defender Application Control). Questo approccio consente di gestire HVCI semplicemente come un'altra opzione all'interno delle regole applicative consentite.
Dalla procedura guidata Controllo applicazioni, è possibile creare o modificare un criterio e selezionare la casella per “Integrità del codice protetta dall’hypervisor” nella sezione delle regole della policy. Tale selezione impone l'abilitazione di HVCI sui dispositivi a cui si applica la policy (Regole personalizzate in AppLocker Si tratta di un approccio simile per controllare ciò che viene eseguito.
In alternativa, è possibile utilizzare il cmdlet PowerShell Set-HVCIOptions per regolare le opzioni di integrità della memoria in modo più granulare. E per coloro che modificano le policy raw, è anche possibile modificare direttamente l'elemento dall'App Control XML, impostando i valori desiderati per il comportamento HVCI.
Come verificare se VBS e l'integrità della memoria sono attivi
Oltre all'indicatore visivo in Sicurezza di Windows, esistono metodi più tecnici per verificare quali funzionalità VBS sono disponibili sul computer e quali sono effettivamente utilizzate. Windows fornisce una classe WMI denominata Win32_DeviceGuard che espone proprietà molto utili per verificare lo stato di queste funzioni.
Da una sessione di PowerShell con privilegi di amministratore, è possibile avviare un Get-CimInstance su quella classe nello spazio dei nomi appropriato. L'output include campi come Proprietà di sicurezza disponibili, dove sono indicate le capacità compatibili (hypervisor, avvio sicuro, protezione DMA, NX, mitigazioni SMM, MBEC/GMET, virtualizzazione APIC…), e Proprietà di sicurezza richiesteche elenca i requisiti necessari per abilitare VBS.
Altri campi importanti sono Servizi di sicurezza configurati y Servizi di sicurezza in esecuzioneche specificano se sono configurati o in esecuzione Credential Guard, integrità della memoria, protezione dell'avvio sicuro, misure del firmware SMM o protezione dello stack applicata tramite hardwaretra gli altri servizi basati sulla virtualizzazione.
La proprietà Stato di sicurezza basato sulla virtualizzazione Indica chiaramente se VBS è disabilitato, abilitato ma non attivo o abilitato e in esecuzione. E sui sistemi con isolamento rafforzato della macchina virtuale, i campi Isolamento della macchina virtuale y VirtualMachineIsolationProperties Mostrano se sono disponibili funzionalità come AMD SEV-SNP o Intel TDX.
Se preferisci qualcosa di più visivo, puoi anche usare msinfo32.exeEseguendolo come amministratore, nella sezione di Panoramica del sistema In basso troverete una sezione che elenca le funzionalità di sicurezza basate sulla virtualizzazione disponibili e quelle attualmente attive.
Protezione dello stack imposta dall'hardware e la sua relazione con l'integrità della memoria
Oltre a HCCI, le versioni recenti di Windows hanno introdotto protezione dello stack applicata tramite hardware, una funzionalità che sfrutta le moderne capacità delle CPU come la tecnologia Intel Control-Flow Enforcement o AMD Shadow Stack per proteggere ulteriormente la modalità kernel.
Questa caratteristica mantiene un seconda copia degli indirizzi di ritorno del codice kernel su uno stack shadow di sola lettura. Se un driver o un exploit dannoso tenta di modificare l'indirizzo di ritorno sullo stack normale per reindirizzare l'esecuzione al codice dannoso, la CPU lo confronta con la copia protetta sullo stack shadow e, rilevando la discrepanza, attiva una schermata blu di errore (BSOD) anziché consentire il dirottamento del flusso di esecuzione.
Non tutti i driver sono compatibili con questa funzionalità, poiché un numero limitato di driver legittimi modifica gli indirizzi di ritorno per motivi non dannosi. Pertanto, Microsoft collabora da tempo con i produttori per aggiornare i driver e ampliare l'elenco di quelli che possono coesistere senza problemi. protezione della batteria applicata tramite hardware.
Nell'interfaccia di Sicurezza di Windows, questa protezione di solito appare come un'altra opzione con un pulsante di attivazione/disattivazione. Per attivarla, è obbligatorio che l'integrità della memoria è abilitata e che la CPU sia compatibile con le corrispondenti tecnologie di controllo del flusso.
Se il sistema rileva un driver o un servizio incompatibile, visualizzerà un avviso che indica quale elemento sta bloccando l'attivazione. In tal caso, la procedura consigliata è cercare una versione aggiornata del driverdisinstallare l'applicazione associata o, in ultima analisi, valutare se vale la pena fare a meno di quel software per abilitare un ulteriore livello di sicurezza.
Disattiva gli avvisi di integrità della memoria e i problemi con l'icona gialla
Ciò che spesso frustra più di un amministratore è vedere che, nonostante abbiano deciso Disabilita l'integrità della memoria tramite policyUn'icona di avviso gialla continua ad apparire in Sicurezza di Windows, costringendoti ad accedere alle impostazioni locali e a ignorare il messaggio con privilegi di amministratore.
Questo comportamento non è sempre controllato direttamente dalle stesse chiavi di registro che attivano o disattivano HVCI. Infatti, ci sono casi in cui, anche con il valore Enabled impostato su 0, l'applicazione continua a insistere dove la funzione è disabilitata e visualizza l'avviso come se si aspettasse che venga attivata.
Per ambienti gestiti con Intune, GPO o altri strumenti di gestione (direttive di sicurezzaL'approccio consigliato è solitamente quello di stabilire policy che definiscano esplicitamente lo stato desiderato di Core Isolation e di nascondere o attenuare l'interfaccia utente ove possibile. Come accennato in precedenza, la rimozione o la modifica del valore WasEnabledBy può causare la visualizzazione del messaggio "Questa impostazione è gestita dall'amministratore", riducendo l'interazione dell'utente.
Tuttavia, non tutti gli avvisi vengono ignorati facilmente e, in alcune configurazioni, l'icona gialla è essenzialmente il modo in cui Sicurezza di Windows ti ricorda che stai disabilitando volontariamente un livello di protezione. In questo contesto, la vera soluzione consiste nel... accettare l'avviso o riconfigurare la politica di sicurezza in modo che il sistema smetta di considerare consigliabile l'attivazione.
Risoluzione dei problemi comuni con Core Isolation e integrità della memoria
Se il mal di testa inizia quando si attivano queste funzioni, di solito è perché c'è qualcosa che non va. driver obsoleto o incompatibile provare a fare cose che non sono più consentite. Iniziare con Gestione dispositivi e aggiornare i driver dal produttore di solito risolve una buona parte dei problemi; inoltre, l'applicazione pratiche di sicurezza per Windows Riduce le possibilità di incontrare conducenti problematici.
Quando il problema è più grave e il sistema subisce errori critici durante l'avvio o diventa molto instabile dopo aver abilitato l'integrità della memoria, un'opzione è ricorrere a Ambiente di ripristino di Windows (Windows RE)Innanzitutto, è consigliabile disattivare i criteri che forzano VBS/HVCI (ad esempio tramite criteri di gruppo) in modo che non vengano riapplicati automaticamente.
Da Windows RE è possibile caricare il Registro di sistema del sistema interessato e modificare direttamente la chiave di HypervisorEnforcedCodeIntegrity per impostare Enabled=0. Questo disabilita l'integrità della memoria e, dopo aver riavviato il dispositivo, dovrebbe normalmente avviarsi senza quel livello di protezione (se hai bisogno di vedere come Riparare il registro di Windows Ecco alcune istruzioni utili).
È importante notare che anche se si disabilita HCVI, potrebbe comunque essere possibile VBS rimane abilitato Verificare se le chiavi di DeviceGuard sono ancora configurate o se altre funzionalità come Credential Guard sono attive. Esaminare tutte le voci di DeviceGuard, nonché le policy di sicurezza applicate, aiuta a capire cosa è ancora attivo e cosa no.
Utilizzo dell'integrità della memoria nelle macchine virtuali Hyper-V
L'integrità della memoria non è una funzione esclusiva delle macchine fisiche. Può anche Protezione delle macchine virtuali Hyper-V allo stesso modo in cui si farebbe con un computer tradizionale, a patto che siano soddisfatti determinati requisiti sia sull'host che sull'ospite.
Per iniziare, l'host Hyper-V deve essere in esecuzione almeno Windows Server 2016 o Windows 10 versione 1607Inoltre, la macchina virtuale deve essere di generazione 2 e hanno una versione moderna di Windows (Server 2016 o Windows 10/11) come sistema operativo guest.
Dall'interno della macchina virtuale stessa, i passaggi per attivare l'isolamento del core e l'integrità della memoria sono praticamente gli stessi di un PC fisico: utilizzare Sicurezza di Windows, accedere a Sicurezza dispositivo e regolare le impostazioni di isolamento del core.
Va notato, tuttavia, che l'integrità della memoria protegge solo dal malware che viene eseguito in macchina virtuale ospiteL'amministratore host mantiene il controllo assoluto e può, ad esempio, disattivare la sicurezza basata sulla virtualizzazione per una specifica VM con un comando. Imposta-VMSecurity, costringendo la macchina guest a non utilizzare VBS.
Esistono anche limitazioni di compatibilità: adattatori di canale in fibra virtuale Questi adattatori non sono supportati quando si utilizza l'integrità della memoria. Prima di connettere uno di questi adattatori a una macchina virtuale, è necessario escluderlo da VBS. Analogamente, l'opzione AllowFullSCSICommandSet sui dischi pass-through non è compatibile con HVCI, quindi se tale funzionalità è richiesta, è necessario rinunciare alla sicurezza basata sulla virtualizzazione in quella VM.
Quando dovresti abilitare o disabilitare Core Isolation?
Con tutte queste informazioni a disposizione, è il momento di porsi la domanda pratica: Dovrei lasciare Core Isolation abilitato o disabilitarlo?La risposta, come quasi sempre accade con la sicurezza, dipende dall'equilibrio desiderato tra protezione e prestazioni e dal tipo di utilizzo che si fa dell'apparecchiatura.
Se il computer viene utilizzato frequentemente per navigare su siti web di dubbia provenienza, scaricare molti file, installare software sconosciuti o è condiviso in ambienti come uffici, scuole o bibliotecheSi consiglia vivamente di mantenere attivi l'integrità della memoria e l'isolamento del kernel, e di integrare il tutto con un buon antivirus come Microsoft Defender.
D'altra parte, se il tuo PC viene utilizzato principalmente per il gaming e hai notato che l'attivazione di queste funzionalità causa cali di FPS, stuttering o persino schermate blu relative ai driver, potresti prendere in considerazione la possibilità di disattivarle per ottenere qualche guadagno in termini di prestazioni. Tuttavia, è consigliabile compensare applicando... buone pratiche di sicurezza di base: Non aprire allegati sospetti, evita siti Web inaffidabili e mantieni sempre aggiornato il tuo sistema.
Per i team che svolgono attività altamente critiche, archiviano informazioni sensibili o fanno parte di infrastrutture più complesse, l'approccio usuale nelle aziende è esattamente l'opposto: Abilitare VBS, HCCI e, se possibile, la protezione dello stack hardwareVerificare la compatibilità dei driver e accettare il leggero costo in risorse come prezzo da pagare per una difesa rafforzata.
Una conoscenza approfondita del funzionamento dell'isolamento del core e dell'integrità della memoria, delle loro implicazioni per l'hardware e delle opzioni di configurazione che offrono tramite l'interfaccia grafica, il registro, i criteri e gli strumenti di amministrazione remota consente di adattare Windows al proprio flusso di lavoro senza procedere alla cieca. decidere saggiamente in che misura desideri proteggere il kernel del tuo sistema?
