Перейти к содержимому

Как отключить защиту ядра dma windows 10

  • автор:

Как отключить изоляцию ядра в Windows 11 и Windows 10

Как отключить изоляцию ядра

Изоляция ядра — одна из функций защиты устройства Windows на основе виртуализации (Hypervisor-protected Code Integrity или HVCI), изолирующая сторонние процессы от процессов Windows, призванная повысить защиту от угроз, направленных на ядро Windows. Несмотря на пользу, в некоторых случаях её отключение может повысить производительность системы в играх и сторонних приложениях.

В этой пошаговой инструкции подробно о способах отключить изоляцию ядра в Windows 11 и Windows 10, а также дополнительная информация на тему, которая может оказаться полезной.

Отключение изоляции ядра в «Безопасность Windows»

Базовый способ — использование соответствующей настройки в окне «Безопасность Windows». Шаги для отключения изоляции ядра будут следующими:

  1. Откройте окно «Безопасность Windows», используя значок в области уведомлений или поиск в панели задач.
  2. В открывшемся окне «Безопасность Windows» перейдите в раздел «Безопасность устройства». Открыть Безопасность устройства в Windows
  3. В пункте «Изоляция ядра» нажмите «Сведения об изоляции ядра». Открыть настройки изоляции ядра
  4. Отключите пункты «Целостность памяти». При появлении запроса контроля учетных записей подтвердите действие. Отключить изоляцию ядра в Безопасность Windows
  5. В случае, если отключение производится из-за невозможности работы какого-либо драйвера, также отключите пункт «Список заблокированных уязвимых драйверов».
  6. Появится уведомление о необходимости перезагрузки. Перезагрузите компьютер для применения сделанных настроек. Перезагрузить компьютер для применения настроек

В результате изоляция ядра и основная её составляющая — «Целостность памяти» будут отключены.

Примечание: открыть «Безопасность Windows» вы можете через «Параметры»:

  • В Windows 11 — Параметры — Конфиденциальность и защита — Безопасность Windows
  • В Windows 10 — Параметры — Обновление и безопасность — Безопасность Windows

Отключение в редакторе реестра

Вы можете полностью отключить функции изоляции ядра HVCI, используя редактор реестра. Для этого:

  1. Нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите regedit и нажмите Enter.
  2. Перейдите к разделу реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity

Отключить изоляцию ядра в реестре

При отсутствии такого раздела, создайте его.

  • В правой панели редактора реестра дважды нажмите по параметру DWORD с именем «Enabled» и измените его значение на 0.
  • Примените настройки и перезагрузите компьютер.

    • В результате изоляция ядра и сопутствующие функции HVCI будут отключены на компьютере.

    Вместо ручного редактирования реестра вы можете создать reg-файл со следующим содержимым:

    Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity] "Enabled"=dword:00000000

    Либо использовать команду в командной строке, запущенной от имени Администратора:

    reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f

    Настройка HVCI в редакторе локальной групповой политики

    Если на вашем компьютере установлена Windows 11/10 Pro или Enterprise, вы можете использовать редактор локальной групповой политики для отключения изоляции ядра и других функций HVCI:

    1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
    2. Перейдите в раздел Конфигурация компьютера — Административные шаблоны — Система — Device Guard.
    3. Дважды нажмите по политике «Включить средство обеспечения безопасности на основе виртуализации». Политики HVCI в редакторе локальной групповой политики
    4. Установите значение «Отключено». Отключить HVCI в редакторе локальной групповой политики
    5. Примените настройки и перезагрузите компьютер.

    В результате функции изоляции ядра Windows будут полностью отключены.

    Проверка статуса изоляции ядра

    Проверить текущий статус функций безопасности на основе виртуализации можно с помощью команды PowerShell (Терминала Windows):

    Get-CimInstance -ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard

    Проверка статуса изоляции ядра в PowerShell

    На скриншоте видно, что все функции HVCI отключены (SecurityServicesRunning и VirtualisationBasedSecurityStatus равны 0).

    Еще один способ проверить, включена ли изоляция ядра — в редакторе реестра открыть раздел

    HKLM\System\CurrentControlSet\Control\CI\State

    Статус HVCI в редакторе реестра

    Если раздел отсутствует или параметр HVCIEnabled в нём равен 0, изоляция ядра отключена. При значении HVCIEnabled равном 1 — включена.

    Дополнительная информация

    После отключения изоляции ядра безопасность Windows будет сигнализировать о проблемах в части «Безопасность устройства», а на значке в области уведомлений будет отображаться восклицательный знак. Чтобы этого не происходило, зайдите в раздел «Безопасность устройства» и нажмите «Закрыть» или «Закрыть все».

    Закрыть предупреждения об отключенной изоляции ядра

    Учитывайте, что не на всех устройствах изоляция ядра включена по умолчанию. Если она отключена, чаще всего причина — в неподдерживаемых драйверах устройств, список которых будет отображаться в «Безопасность Windows». Вторая возможная причина — отсутствие необходимых для работы HVCI функций виртуализации.

    А вдруг и это будет интересно:

    • Лучшие бесплатные программы для Windows
    • Как отключить или удалить Связь с телефоном в Windows 11 и 10
    • Ошибка 0xc000001d при запуске игры или программы — как исправить?
    • Ключ восстановления BitLocker в Windows — способы посмотреть
    • User OOBE Broker — что это за процесс в Windows 11 и 10
    • Ошибка 0x803F8001 в Microsoft Store, играх и приложениях — как исправить?
    • Windows 11
    • Windows 10
    • Android
    • Загрузочная флешка
    • Лечение вирусов
    • Восстановление данных
    • Установка с флешки
    • Настройка роутера
    • Всё про Windows
    • В контакте
    • Одноклассники

      Yehejo 25.02.2023 в 10:23

    • Dmitry 25.02.2023 в 12:01

    Защита ядра DMA (защита доступа к памяти) для изготовителей оборудования

    Защита DMA ядра (также известная как защита доступа к памяти) — это функция компьютера с Windows 10 защищенными ядрами, которая поддерживается на платформах Intel и AMD, начиная с Windows 10 версии 1803 и Windows 10, версия 1809.

    С помощью этой функции ОС и встроенное ПО системы защищают систему от вредоносных и непреднамеренных атак с прямым доступом к памяти (DMA) для всех устройств с поддержкой DMA:

    • Во время процесса загрузки.
    • Защита от вредоносных DMA устройствами, подключенными к легкодоступным внешним/портам с поддержкой DMA, таким как слоты PCIe M.2 и Thunderbolt™3, во время выполнения ОС.
    • Встроенное ПО системы должно защищаться от атак DMA перед загрузкой, реализовав изоляцию DMA всех буферов ввода-вывода устройств с поддержкой DMA до ExitBootServices().
    • Встроенное ПО системы должно отключить бит включения шины (BME) для всех корневых портов PCI, которые не имеют дочерних устройств, необходимых для выполнения DMA между ExitBootServices() и драйвером устройства, запускаемым ОС.
    • В ExitBootServices() IOMMU должен быть восстановлен с помощью встроенного ПО системы в состояние включено.
    • Никакие устройства не могут выполнять DMA за пределами регионов RMRR (Intel) или блоков IVMD (AMD) после ExitBootServices() до тех пор, пока соответствующие драйверы ОС устройств не будут загружены и запущены PnP.
      • Выполнение DMA за пределами регионов RMRR или блоков IVMD после ExitBootServices() и до запуска драйвера устройства операционной системой приведет к сбою IOMMU и потенциально системной ошибке проверка (0xE6).
      • Встроенное ПО системы должно установить соответствующие флаги в таблицах ACPI, чтобы включить защиту DMA ядра в ОС:
        • Для платформ Intel встроенное ПО системы должно задать значение «DMA_CTRL_PLATFORM_OPT_IN_FLAG» в поле флагов таблицы DMAR (технология Виртуализации Intel для спецификации прямого ввода-вывода, ред. 2.5, раздел 8.1).
        • Для платформ AMD встроенное ПО системы должно задать бит «Поддержка повторного сопоставления DMA» в поле IVRS IVinfo (спецификация AMD IOMMU ред. 3.05, раздел 5.2.1).
        • Идентификация внешних корневых портов PCIe.
        • Определение внутренних портов PCIe, доступных пользователям и требующих защиты DMA.
        • При каждой загрузке, когда IOMMU (VT-D или AMD-Vi) или защита DMA ядра отключены, будут отключены или настроены на более низкое состояние безопасности, платформа ДОЛЖНА расширить событие EV_EFI_ACTION в PCR[7] перед включением DMA.
        • Строка события должна иметь значение «Защита DMA Disabled». Встроенное ПО платформы ДОЛЖНО записывать это измерение в журнал событий, используя строку «Защита DMA Disabled» для данных события.

        Проверка состояния защиты DMA ядра в системе Windows 10

        Состояние защиты DMA ядра можно проверить в заданной системе с помощью любого из следующих методов.

        1. Использование приложения Сведений о системе:
          • Запустите MSINFO32.exe.
          • Проверьте поле «Защита DMA ядра» на странице «Сводка системы».
        2. Использование Безопасность Windows приложения:
          • Запустите Безопасность Windows приложение из меню «Пуск» Windows.
          • Щелкните значок «Безопасность устройства».
          • Щелкните «Сведения об изоляции ядра».
          • «Защита доступа к памяти» будет указана в качестве доступной функции безопасности, если она включена.
            • Если параметр «Защита доступа к памяти» отсутствует в списке, эта функция не включена в системе.

        Как исправить проблему блокировки драйверов в Windows 10 из-за «изоляции ядра»

        Если ваш компьютер имеет 64-битную архитектуру и поддерживает технологии виртуализации Intel VT-X или AMD-v (поддерживаются большинством современных процессоров), то в Windows 10 вам доступны дополнительные функции безопасности на базе виртуализации.

        Одна из таких функций называется “Изоляция ядра” (Core Isolation). Она использует аппаратную виртуализацию для изоляции критически важных частей ядра операционной системы от пользовательских драйверов и программного обеспечения, запущенного на компьютере. Изоляция ядра позволяет предотвратить доступ вредоносных программ и эксплойтов к защищенным зонам ядра и заблокировать попытки обхода контроля безопасности, инъекции вредоносных программ и другое потенциально опасное поведение.

        Функция под названием “Целостность памяти” (Memory integrity) является подмножеством изоляции ядра. Она защищает от внедрения вредоносного кода в память при вредоносной атаке.

        Целостность памяти — это функция Windows, которая гарантирует надежность кода, работающего в ядре Windows. Она использует аппаратную виртуализацию и Hyper-V для защиты процессов режима ядра Windows от инъекции и выполнения вредоносного или непроверенного кода. Целостность кода, который работает в Windows, проверяется с помощью целостности памяти, что позволяет Windows эффективно противостоять атакам вредоносных программ.

        “Целостность памяти” могла блокировать драйверы

        При включении Memory Integrity, функция блокирует компьютер и может вызывать проблемы с загрузкой или работой драйверов.

        В новом документе поддержки Microsoft пояснила, что ошибки или обычно неопасные уязвимости драйверов могут приводить к тому, что “Целостность памяти” блокирует их загрузку.

        Когда драйвер загрузился некорректно, Windows обычно выдает сообщение об ошибке с описанием: “Windows не может загрузить драйвер устройства”. В зависимости от драйвера, такая ошибка может вызвать самые разные последствия — от безобидных, до потери работоспособности ОС.

        В таких ситуациях Microsoft рекомендует проверить доступность обновленного драйвера, в котором уязвимость уже может быть исправлена.

        Если данный вариант не сработал, то рекомендуется отключить функцию Memory Integrity, чтобы драйвер мог корректно загрузиться.

        Для отключения “Целостности памяти”, выполните следующие шаги:

        • Перейдите в Параметры > Обновление и безопасность > Безопасность Windows > Безопасность устройства и в секции Изоляция ядра кликните ссылку Сведения об изоляции ядра

        Изоляция ядра

        В качестве альтернативы можно кликнуть по ссылке windowsdefender://coreisolation/ в Windows 10, чтобы открыть необходимую страницу.

        • Когда откроется страница Изоляция ядра, установите переключатель Целостность памяти в неактивное положение. Windows 10 запросит перезагрузку компьютера.
        • Выполните перезагрузку, и Целостность памяти будет отключена.

        Целостность памяти

        После этого, проверьте, остались ли проблемы с загрузкой драйверов. Если проблема сохранилась, то вам лучше получить помощь у производителя устройства и уточнить, когда станет доступен обновленный драйвер.

        Как включить защиту DMA ядра,безопасность на основе виртуализации?

        в сведениях о системе указано,что отключена защита ядра,безопасность на основе виртуализации,включен Hyper-V.

        в биос включил виртуализацию по совету из интерета для того,чтобы якобы включить защиту ядра. сведения о системе по прежнему показывают,что защита отключена.

        Hyper-V в биос отключен, а в системе мной отключены все службы,которые с ним связаны (но в сведениях о системе всё равно указано,что они включены)
        Изоляцию ядра включить через *обновления и безопасность — безопасность устройства — изоляция ядра — включить — перезагрузить систему* НЕ ПОЛУЧАЕТСЯ. При перезагрузке выскакивает ошибка на голубом экране,система перезагружается и изоляция ядра остаётся выключенной

        62216acbb618f818171145.jpeg
        622170842c9f7248719675.jpeg

        • Вопрос задан более года назад
        • 1613 просмотров
        Похожие публикации:
        1. Как изменить ширину столбца в excel
        2. Как сгруппировать строки в excel
        3. Как узнать sata или ide
        4. Ключ от шаблона сайта bitrix где взять

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *