Kybernetické útoky sa za posledných pár rokov zmenili. Nečestní hackeri teraz môžu prevziať kontrolu nad vaším počítačom a uzamknúť súbory, pokiaľ nie ste pripravení im zaplatiť peniaze. Tieto typy útokov sa nazývajú Ransomware a využívajú exploity na úrovni jadra, ktoré sa pokúšajú spustiť malvér s najvyššími oprávneniami, napr. WannaCry a Petya ransomware. S cieľom zmierniť tieto typy útokov spoločnosť Microsoft^(Microsoft) zaviedla funkciu, ktorá vám umožňuje povoliť izoláciu jadra a integritu pamäte^{(Core Isolation and Memory Integrity)} , aby ste takýmto útokom zabránili.

Túto funkciu ponúka Centrum zabezpečenia programu Windows Defender . ^{(Defender Security Center)}Nazýva sa Device Security a^{(Device Security, )} ponúka hlásenie stavu a správu bezpečnostných funkcií zabudovaných do vašich zariadení – vrátane zapínania funkcií na poskytovanie vylepšenej ochrany. Nefunguje však na softvérovej úrovni; musí to podporovať aj hardvér. Váš firmvér by mal podporovať  virtualizáciu,^{(Virtualization,)} ktorá umožňuje počítaču so Windows 11/10 spúšťať aplikácie v kontajneri, takže nezískajú prístup k iným častiam systému.

Vaše zariadenie musí spĺňať požiadavky na štandardné hardvérové ​​zabezpečenie To znamená, že vaše zariadenie by malo podporovať integritu pamäte a izoláciu jadra a tiež by malo mať:

• TPM 2.0 (označovaný aj ako váš bezpečnostný procesor)
• Zabezpečené spustenie je povolené
• DEP
• UEFI MAT

Povoľte izoláciu jadra^{(Core Isolation)} a integritu pamäte^{(Memory Integrity)} v systéme Windows 11^{(Windows 11)}

Je to pravdepodobne najjednoduchší spôsob, ako povoliť alebo zakázať zabezpečenie^(Security) založené na virtualizácii v systéme Windows 11^{(Windows 11)} . Inými slovami, musíte povoliť izoláciu jadra^{(enable Core isolation)} , aby ste to dosiahli. Za týmto účelom postupujte takto:

• Vyhľadajte  zabezpečenie systému Windows ^{(windows security )} vo vyhľadávacom poli na paneli úloh.
• Kliknite^(Click) na jednotlivý výsledok vyhľadávania.
• Prejdite na   kartu Zabezpečenie zariadenia .^{(Device security)}
• Kliknite na  možnosť Podrobnosti izolácie jadra^{(Core isolation details )} .
• Zapnite ho  prepnutím tlačidla integrity pamäte ^{(Memory integrity )} .
• Reštartujte počítač.

Povoľte izoláciu jadra^{(Core Isolation)} a integritu pamäte^{(Memory Integrity)} v Windows 11/10

1. Prihláste sa ako správca a otvorte Centrum zabezpečenia programu Windows Defender^{(Windows Defender Security Center)}
2. Vyhľadajte možnosť Zabezpečenie zariadenia^{(Device Security)} .
3. Tu by ste mali skontrolovať, či je na vašom počítači povolená izolácia jadra^{(Core Isolation)} v časti Virtualizácia .^{(Virtualization)}
4. Izolácia jadra ^{(Core isolation)}poskytuje^(y) bezpečnostné funkcie založené na virtualizácii na ochranu základných častí vášho zariadenia.
5. Kliknite^(Click) na Podrobnosti o izolácii jadra^(Core) a ponúkne sa vám aktivácia integrity pamäte^{(Memory Integrity)} .

Integrita pamäte^{(Memory integrity)} (integrita kódu chránená hypervízorom) je bezpečnostná funkcia Core isolation, ktorá zabraňuje útokom vo vložení škodlivého kódu do vysoko zabezpečených procesov. Prepínačom^(Toggle) ho zapnite.

Po povolení sa zobrazí výzva na reštartovanie počítača, aby sa úplne povolila integrita pamäte^{(Memory Integrity)} .

Ak budete neskôr čeliť problémom s kompatibilitou aplikácií, možno budete musieť túto funkciu vypnúť.

Súvisiace^(Related) : Integrita pamäte je sivá alebo sa nedá zapnúť/vypnúť .

Povoliť alebo zakázať izoláciu jadra^{(Core Isolation)} a integritu pamäte^{(Memory Integrity)} pomocou databázy Registry

Registry môžete použiť aj na povolenie alebo zakázanie integrity pamäte^(Memory) izolácie jadra pomocou ^(Core)Editora databázy Registry^{(Registry Editor)} , postupujte podľa týchto krokov:

1. Stlačením Win+R otvorte dialógové okno Spustiť.
2. Napíšte regedit a stlačte tlačidlo Enter .
3. Kliknite na možnosť Áno^(Yes) .
4. Prejdite na Scenáre^(Scenarios) v HKEY_LOCAL_MACHINE .
5. Kliknite pravým tlačidlom myši na Scenarios > New > Key .
6. Pomenujte ho ako HypervisorEnforcedCodeIntegrity .
7. Kliknite naň pravým tlačidlom myši > New > DWORD (32-bit) Value .
8. Pomenujte ho ako Povolené^(Enabled) .
9. Dvakrát naň kliknite, aby ste nastavili Údaj hodnoty^(Value) ako 1 na aktiváciu a 0 na zakázanie.
10. Kliknite na tlačidlo OK^(OK) .
11. Reštartujte počítač.

Ak sa chcete dozvedieť viac o týchto krokoch, pokračujte v čítaní.

Upozornenie:^{(Precaution: )} Skôr ako prejdete na kroky REGEDIT , nezabudnite vytvoriť bod obnovenia systému .

Ak chcete začať, stlačením klávesov Win+R otvorte dialógové okno Spustiť^(Run) , zadajte príkaz regedit a stlačte tlačidlo Enter . Ak sa na obrazovke zobrazí výzva UAC , kliknutím na možnosť Áno ^{(Yes )}otvorte Editor databázy Registry .

Ďalej prejdite na nasledujúcu cestu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios

Kliknite pravým tlačidlom myši na kláves Scenarios > New > Key a pomenujte ho ako HypervisorEnforcedCodeIntegrity .

Potom musíte vytvoriť hodnotu REG_DWORD . Kliknite pravým tlačidlom myši na HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value a pomenujte ju ako Enabled .

V predvolenom nastavení sa dodáva s údajmi o hodnote 0 ^(Value),⁽⁰⁾ čo znamená, že je vypnutý. Ak však chcete túto funkciu povoliť, dvakrát na ňu kliknite a nastavte Údaj hodnoty^(Value) na 1 .

Kliknite na tlačidlo OK^{(OK )} a reštartujte počítač.

To znamená, že existujú dve ďalšie možnosti, ktoré môžu byť k dispozícii v závislosti od hardvéru vášho počítača.

1. Security Processor sa zobrazí iba vtedy, ak máte k hardvéru počítača TPM . Sú to diskrétne čipy prispájkované k základnej doske počítača výrobcom OEM . Ak chcete z TPM vyťažiť maximum , OEM musí starostlivo integrovať systémový hardvér a firmvér s modulom TPM^(TPM) , aby mu mohol odosielať príkazy a reagovať na jeho odpovede. Novšie moduly TPM^(TPMs) môžu poskytnúť výhody zabezpečenia a ochrany osobných údajov aj samotnému systémovému hardvéru. Ak si teda kupujete nový počítač, skontrolujte všetky tieto možnosti.
2. Secure Boot zabraňuje načítaniu škodlivého kódu skôr, ako váš OS. Je ťažké ich rozbiť, ale s bezpečným bootovaním je o to postarané.

Windows 11/10 tiež ponúka integritu kódu chráneného Hypervisorom^{(Hypervisor Protected Code Integrity)} ( HVCI ), keď začnete s čistou inštaláciou. Tí, ktorí používajú starý hardvér, budú mať možnosť prihlásiť sa k odoslaniu aktualizácie pomocou používateľského rozhrania v Centre zabezpečenia programu Windows Defender^{(Windows Defender Security Center)} ( WDSC ). Toto vylepšenie zabezpečí, že proces jadra, ktorý overuje integritu kódu, beží v zabezpečenom prostredí runtime.

Prečítajte si^(Read) : Zabezpečenie založené na virtualizácii nie je povolené v systéme Windows 11^{(Virtualization-based Security not enabled in Windows 11)} .

Enable or Disable Core Isolation and Memory Integrity in Windows 11/10

Cyber-attacks have changed over the past few years. Rogue hackers can now take over your PC and lock down files unless you are ready to pay them money. These typеs of attacks are called Ransomware, and they use kernel-level exploits that attempt to run malware with the highest privileges, e.g., WannaCry and Petya ransomware. In order to mitigate these types of attacks, Microsoft has rolled out a feature that allows you to enable Core Isolation and Memory Integrity to prevent such attacks.

Windows Defender Security Center offers this feature. Called Device Security, it offers status reporting and management of security features built into your devices – including toggling features on to provide enhanced protection. However, It doesn’t work on a software level; the hardware needs to support it as well. Your firmware should support Virtualization, which enables the Windows 11/10 PC to run applications in a container, so they don’t get access to other parts of the system.

Your device must meet the requirements for standard hardware security This means your device should support memory integrity and core isolation and also have:

• TPM 2.0 (also referred to as your security processor)
• Secure boot enabled
• DEP
• UEFI MAT

Enable Core Isolation & Memory Integrity in Windows 11

It is probably the easiest way to enable or disable Virtualization-based Security in Windows 11. In other words, you need to enable Core isolation to get it done. For that, do the following:

• Search for windows security in the Taskbar search box.
• Click on the individual search result.
• Switch to the Device security tab.
• Click on the Core isolation details option.
• Toggle the Memory integrity button to turn it on.
• Restart your computer.

Enable Core Isolation & Memory Integrity in Windows 11/10

1. Sign in as an administrator and open Windows Defender Security Center
2. Look for Device Security option.
3. Here you should check if Core Isolation under Virtualization is enabled on your PC.
4. Core isolation provides virtualization-based security features to protect core parts of your device.
5. Click on Core isolation details, and you will be offered to enable Memory Integrity.

Memory integrity (hypervisor-protected code integrity) is a security feature of Core isolation that prevents attacks from inserting malicious code into high-security processes. Toggle to turn it On.

Once enabled, it will ask you to restart the PC to completely enable Memory Integrity.

If later on, you face application compatibility issues, you may need to turn this off.

Related: Memory Integrity greyed out or won’t Turn On/Off.

Enable or Disable Core Isolation and Memory Integrity using Registry

You can also use the Registry, to enable or disable Core isolation Memory integrity using Registry Editor, follow these steps:

1. Press Win+R to open the Run dialog.
2. Type regedit and hit the Enter button.
3. Click on the Yes option.
4. Navigate to Scenarios in HKEY_LOCAL_MACHINE.
5. Right-click on Scenarios > New > Key.
6. Name it as HypervisorEnforcedCodeIntegrity.
7. Right-click on it > New > DWORD (32-bit) Value.
8. Name it as Enabled.
9. Double-click on it to set the Value data as 1 to enable and 0 to disable.
10. Click the OK button.
11. Restart your computer.

To learn more about these steps, keep reading.

Precaution: Before heading to the REGEDIT steps, don’t forget to create a System Restore point.

To get started, press Win+R to open the Run dialog, type regedit, and hit the Enter button. If the UAC prompt appears on your screen, click on the Yes option to open the Registry Editor.

Next, navigate to the following path:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios

Right-click on the Scenarios key > New > Key, and name it as HypervisorEnforcedCodeIntegrity.

Then, you have to create a REG_DWORD value. For that, right-click on HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value, and name it as Enabled.

By default, it comes with a Value data of 0, meaning it is disabled. However, if you want to enable this functionality, double-click on it to set the Value data as 1.

Click the OK button and restart your computer.

That said, there are two more options that might be available depending on the hardware of your PC.

1. Security Processor only shows up if you have TPM available with your PC hardware. They are discrete chips soldered to a computer’s motherboard by the OEM. To get the most out of TPM, OEM must carefully integrate system hardware and firmware with the TPM to send it commands and react to its responses. The newer TPMs can also provide security and privacy benefits to the system hardware itself. So make sure to check for all of these if you are buying a new PC.
2. Secure Boot prevents malicious code to load up before your OS. They are hard to crack but with secure boot it’s taken care of.

Windows 11/10 also offers Hypervisor Protected Code Integrity (HVCI)  when you start with clean installs. Those who are on old hardware, will have the ability to opt-in post the upgrade using the UI in Windows Defender Security Center (WDSC). This enhancement will ensure that the kernel process that verifies code integrity runs in a secure runtime environment.

Read: Virtualization-based Security not enabled in Windows 11.

Related posts

• Povoľte ochranu potenciálne nechcených aplikácií v systéme Windows 11/10

• Ako vylúčiť priečinok z kontroly programu Windows Defender v systéme Windows 11/10

• Nie je možné zapnúť program Windows Defender v systéme Windows 11/10

• Ako otvoriť Centrum zabezpečenia systému Windows v systéme Windows 11/10

• Vykonajte offline skenovanie programu Windows Defender pri spustení systému Windows 11/10

• Čo je to ochrana účtu v systéme Windows 11/10 a ako túto časť skryť

• Ako pridať Editor zásad skupiny do Windows 11/10 Home Edition

• Povoľte sieťové pripojenia v modernom pohotovostnom režime v systéme Windows 11/10

• Opravte v prehliadači Chrome vysoké využitie procesora, pamäte alebo disku v systéme Windows 11/10

• Ako povoliť pravidelné skenovanie programu Windows Defender v systéme Windows 11/10

• Ako manuálne vytvoriť súbor Crash Dump v systéme Windows 11/10

• Ako otvárať a čítať súbory Small Memory Dump (dmp) v systéme Windows 11/10

• Ako opraviť 100% využitie disku, vysokého CPU, vysokého využitia pamäte v systéme Windows 11/10

• Zariadenie na prehrávanie HDMI sa nezobrazuje v systéme Windows 11/10

• Čo je súbor PLS? Ako vytvoriť súbor PLS v systéme Windows 11/10?

• Windows Defender sa v systéme Windows 11/10 neaktualizuje automaticky

• Ako zvýšiť vyhradenú video RAM v systéme Windows 11/10

• Ako skontrolovať veľkosť vyrovnávacej pamäte procesora v systéme Windows 11/10

• Upozornenia na paneli úloh sa nezobrazujú v systéme Windows 11/10

• Nakonfigurujte program Microsoft Defender na skenovanie súborov .zip .rar .cab v systéme Windows 11/10