Cyber-napadi su se promijenili u posljednjih nekoliko godina. Lažni hakeri sada mogu preuzeti vaše računalo i zaključati datoteke osim ako im niste spremni platiti novac. Ove vrste napada nazivaju se Ransomware i koriste eksploatacije na razini kernela koji pokušavaju pokrenuti zlonamjerni softver s najvišim privilegijama, npr. WannaCry i Petya ransomware. Kako bi ublažio ove vrste napada, Microsoft je uveo značajku koja vam omogućuje da omogućite izolaciju jezgre i integritet memorije^{(Core Isolation and Memory Integrity)} kako biste spriječili takve napade.

Sigurnosni centar^{(Defender Security Center)} Windows Defender nudi ovu značajku. Pod nazivom Sigurnost uređaja ,^{(Device Security, )} nudi izvješćivanje o statusu i upravljanje sigurnosnim značajkama ugrađenim u vaše uređaje – uključujući uključivanje značajki za pružanje poboljšane zaštite. Međutim, ne radi na softverskoj razini; hardver ga također treba podržavati. Vaš bi firmver trebao podržavati  virtualizaciju,^{(Virtualization,)} koja računalu sa Windows 11/10 omogućuje pokretanje aplikacija u spremniku, tako da ne dobivaju pristup drugim dijelovima sustava.

Vaš uređaj mora ispunjavati zahtjeve za standardnu ​​hardversku sigurnost To znači da vaš uređaj treba podržavati integritet memorije i izolaciju jezgre te također imati:

• TPM 2.0 (također se naziva vaš sigurnosni procesor)
• Omogućeno sigurno pokretanje
• DEP
• UEFI MAT

Omogućite izolaciju jezgre^{(Core Isolation)} i integritet memorije^{(Memory Integrity)} u sustavu Windows 11^{(Windows 11)}

Vjerojatno je najlakši način da omogućite ili onemogućite sigurnost^(Security) temeljenu na virtualizaciji u sustavu Windows 11^{(Windows 11)} . Drugim riječima, morate omogućiti izolaciju jezgre^{(enable Core isolation)} da biste to učinili. Za to učinite sljedeće:

• Potražite  sigurnost sustava Windows ^{(windows security )} u okviru za pretraživanje na traci zadataka.
• Kliknite^(Click) na pojedinačni rezultat pretraživanja.
• Prijeđite na  karticu Sigurnost uređaja^{(Device security)}  .
• Kliknite na  opciju Pojedinosti o izolaciji jezgre^{(Core isolation details )} .
• Uključite  gumb za integritet memorije ^{(Memory integrity )} da biste ga uključili.
• Ponovno pokrenite računalo.

Omogućite izolaciju jezgre^{(Core Isolation)} i integritet memorije^{(Memory Integrity)} u Windows 11/10

1. Prijavite se kao administrator i otvorite sigurnosni centar Windows Defendera^{(Windows Defender Security Center)}
2. Potražite opciju Sigurnost uređaja .^{(Device Security)}
3. Ovdje biste trebali provjeriti je li izolacija jezgre^{(Core Isolation)} pod Virtualizacija^{(Virtualization)} omogućena na vašem računalu.
4. Izolacija jezgre ^{(Core isolation)}pruža^(y) sigurnosne značajke temeljene na virtualizaciji za zaštitu ključnih dijelova vašeg uređaja.
5. Kliknite^(Click) pojedinosti o izolaciji jezgre^(Core) i bit će vam ponuđeno da omogućite integritet memorije^{(Memory Integrity)} .

Integritet memorije^{(Memory integrity)} (integritet koda zaštićenog hipervizorom) sigurnosna je značajka izolacije jezgre^(Core) koja sprječava napade od umetanja zlonamjernog koda u procese visoke sigurnosti. Prebacite^(Toggle) da biste ga uključili.

Nakon što je omogućen, tražit će od vas da ponovno pokrenete računalo kako biste u potpunosti omogućili integritet memorije^{(Memory Integrity)} .

Ako se kasnije suočite s problemima s kompatibilnošću aplikacija, možda ćete to morati isključiti.

Povezano^(Related) : Integritet memorije je zasivljen ili se ne uključuje/isključuje .

Omogućite ili onemogućite izolaciju jezgre^{(Core Isolation)} i integritet memorije^{(Memory Integrity)} pomoću Registra

Također možete koristiti Registar^(Registry) da biste omogućili ili onemogućili integritet memorije^(Memory) izolacije jezgre pomoću ^(Core)uređivača registra^{(Registry Editor)} , slijedite ove korake:

1. Pritisnite Win+R da otvorite dijaloški okvir Pokreni.
2. Upišite regedit i pritisnite tipku Enter .
3. Kliknite na opciju Da^(Yes) .
4. Idite na Scenarije^(Scenarios) u HKEY_LOCAL_MACHINE .
5. Desnom tipkom miša kliknite Scenarios > New > Key .
6. Imenujte ga kao HypervisorEnforcedCodeIntegrity .
7. Desnom tipkom miša kliknite na nju > New > DWORD (32-bit) Value .
8. Imenujte ga kao Omogućeno^(Enabled) .
9. Dvaput kliknite na njega da biste postavili podatke o vrijednosti^(Value) kao 1 da biste omogućili i 0 da biste onemogućili.
10. Kliknite gumb U redu^(OK) .
11. Ponovno pokrenite računalo.

Da biste saznali više o ovim koracima, nastavite čitati.

Mjera opreza:^{(Precaution: )} Prije nego krenete na korake REGEDIT , ne zaboravite stvoriti točku za vraćanje sustava .

Za početak pritisnite Win+R da otvorite dijaloški okvir Pokreni^(Run) , upišite regedit i pritisnite tipku Enter . Ako se UAC prompt pojavi na vašem zaslonu, kliknite opciju Da da biste ^{(Yes )}otvorili uređivač registra .

Zatim idite na sljedeći put:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios

Desnom tipkom miša kliknite ključ Scenarios > New > Key i nazovite ga kao HypervisorEnforcedCodeIntegrity .

Zatim morate kreirati vrijednost REG_DWORD . Za to desnom tipkom miša kliknite HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value i nazovite ga kao Omogućeno^(Enabled) .

Prema zadanim postavkama, dolazi s podacima o vrijednosti 0 ^(Value),⁽⁰⁾ što znači da je onemogućeno. Međutim, ako želite omogućiti ovu funkciju, dvaput kliknite na nju da biste postavili podatke o vrijednosti^(Value) kao 1 .

Kliknite gumb OK i ponovno pokrenite računalo.

Uz to, postoje još dvije opcije koje mogu biti dostupne ovisno o hardveru vašeg računala.

1. Sigurnosni procesor^{(Security Processor)} se pojavljuje samo ako imate TPM dostupan uz hardver vašeg računala. To su diskretni čipovi zalemljeni na matičnu ploču računala od strane OEM -a . Kako bi izvukao maksimum iz TPM -a , OEM mora pažljivo integrirati hardver sustava i firmver s TPM -om kako bi mu slao naredbe i reagirao na njegove odgovore. Noviji TPM^(TPMs) -ovi također mogu pružiti prednosti sigurnosti i privatnosti samom hardveru sustava. Stoga svakako provjerite sve ovo ako kupujete novo računalo.
2. Secure Boot sprječava učitavanje zlonamjernog koda prije vašeg OS-a. Teško ih je razbiti, ali sigurnom dizanjem to je riješeno.

Windows 11/10 također nudi Hypervisor Protected Code Integrity ( HVCI ) kada počnete s čistim instalacijama. Oni koji koriste stari hardver, imat će mogućnost uključiti se u objavu nadogradnje pomoću korisničkog sučelja u Windows Defender Security Center ( WDSC ). Ovo poboljšanje će osigurati da se proces kernela koji provjerava integritet koda izvodi u sigurnom okruženju izvođenja.

Pročitajte^(Read) : Sigurnost temeljena na virtualizaciji nije omogućena u sustavu Windows 11^{(Virtualization-based Security not enabled in Windows 11)} .

Enable or Disable Core Isolation and Memory Integrity in Windows 11/10

Cyber-attacks have changed over the past few years. Rogue hackers can now take over your PC and lock down files unless you are ready to pay them money. These types of attacks are called Ransomware, and they use kernel-level exploits that attempt to run malware with the highest privileges, e.g., WannaCry and Petya ransomware. In order to mitigate these types of attacks, Microsoft has rolled out a feature that allows you to enable Core Isolation and Memory Integrity to prevent such attacks.

Windows Defender Security Center offers this feature. Called Device Security, it offers status reporting and management of security features built into your devices – including toggling features on to provide enhanced protection. However, It doesn’t work on a software level; the hardware needs to support it as well. Your firmware should support Virtualization, which enables the Windows 11/10 PC to run applications in a container, so they don’t get access to other parts of the system.

Your device must meet the requirements for standard hardware security This means your device should support memory integrity and core isolation and also have:

• TPM 2.0 (also referred to as your security processor)
• Secure boot enabled
• DEP
• UEFI MAT

Enable Core Isolation & Memory Integrity in Windows 11

It is probably the easiest way to enable or disable Virtualization-based Security in Windows 11. In other words, you need to enable Core isolation to get it done. For that, do the following:

• Search for windows security in the Taskbar search box.
• Click on the individual search result.
• Switch to the Device security tab.
• Click on the Core isolation details option.
• Toggle the Memory integrity button to turn it on.
• Restart your computer.

Enable Core Isolation & Memory Integrity in Windows 11/10

1. Sign in as an administrator and open Windows Defender Security Center
2. Look for Device Security option.
3. Here you should check if Core Isolation under Virtualization is enabled on your PC.
4. Core isolation provides virtualization-based security features to protect core parts of your device.
5. Click on Core isolation details, and you will be offered to enable Memory Integrity.

Memory integrity (hypervisor-protected code integrity) is a security feature of Core isolation that prevents attacks from inserting malicious code into high-security processes. Toggle to turn it On.

Once enabled, it will ask you to restart the PC to completely enable Memory Integrity.

If later on, you face application compatibility issues, you may need to turn this off.

Related: Memory Integrity greyed out or won’t Turn On/Off.

Enable or Disable Core Isolation and Memory Integrity using Registry

You can also use the Registry, to enable or disable Core isolation Memory integrity using Registry Editor, follow these steps:

1. Press Win+R to open the Run dialog.
2. Type regedit and hit the Enter button.
3. Click on the Yes option.
4. Navigate to Scenarios in HKEY_LOCAL_MACHINE.
5. Right-click on Scenarios > New > Key.
6. Name it as HypervisorEnforcedCodeIntegrity.
7. Right-click on it > New > DWORD (32-bit) Value.
8. Name it as Enabled.
9. Double-click on it to set the Value data as 1 to enable and 0 to disable.
10. Click the OK button.
11. Restart your computer.

To learn more about these steps, keep reading.

Precaution: Before heading to the REGEDIT steps, don’t forget to create a System Restore point.

To get started, press Win+R to open the Run dialog, type regedit, and hit the Enter button. If the UAC prompt appears on your screen, click on the Yes option to open the Registry Editor.

Next, navigate to the following path:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios

Right-click on the Scenarios key > New > Key, and name it as HypervisorEnforcedCodeIntegrity.

Then, you have to create a REG_DWORD value. For that, right-click on HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value, and name it as Enabled.

By default, it comes with a Value data of 0, meaning it is disabled. However, if you want to enable this functionality, double-click on it to set the Value data as 1.

Click the OK button and restart your computer.

That said, there are two more options that might be available depending on the hardware of your PC.

1. Security Processor only shows up if you have TPM available with your PC hardware. They are discrete chips soldered to a computer’s motherboard by the OEM. To get the most out of TPM, OEM must carefully integrate system hardware and firmware with the TPM to send it commands and react to its responses. The newer TPMs can also provide security and privacy benefits to the system hardware itself. So make sure to check for all of these if you are buying a new PC.
2. Secure Boot prevents malicious code to load up before your OS. They are hard to crack but with secure boot it’s taken care of.

Windows 11/10 also offers Hypervisor Protected Code Integrity (HVCI)  when you start with clean installs. Those who are on old hardware, will have the ability to opt-in post the upgrade using the UI in Windows Defender Security Center (WDSC). This enhancement will ensure that the kernel process that verifies code integrity runs in a secure runtime environment.

Read: Virtualization-based Security not enabled in Windows 11.

Related posts

• Omogućite zaštitu potencijalno neželjenih aplikacija u sustavu Windows 11/10

• Kako isključiti mapu iz skeniranja Windows Defendera u sustavu Windows 11/10

• Ne može se uključiti Windows Defender u sustavu Windows 11/10

• Kako otvoriti Windows sigurnosni centar u sustavu Windows 11/10

• Izvršite izvanmrežno skeniranje Windows Defendera prilikom pokretanja sustava Windows 11/10

• Što je WDAGUtilityAccount u sustavu Windows 11/10? Trebam li ga izbrisati?

• Postavke sinkronizacije ne rade ili su zasivljene u sustavu Windows 11/10

• Pronađite i popravite curenje memorije u sustavu Windows 11/10

• Kako zamijeniti pogone tvrdog diska u sustavu Windows 11/10 s Hot Swap

• Popravite pogrešku aplikacije WerMgr.exe ili WerFault.exe u sustavu Windows 11/10

• Izradite sigurnosnu kopiju, premjestite ili izbrišite PageFile.sys pri gašenju u sustavu Windows 11/10

• Omogućite mrežne veze u modernom stanju čekanja u sustavu Windows 11/10

• Kako prikazati okno s detaljima u File Exploreru u sustavu Windows 11/10

• Što je PLS datoteka? Kako stvoriti PLS datoteku u sustavu Windows 11/10?

• Kako izmjeriti vrijeme reakcije u sustavu Windows 11/10

• Kako dodati uređivač grupnih pravila u Windows 11/10 Home Edition

• Kako provjeriti zapisnik o isključivanju i pokretanju u sustavu Windows 11/10

• Obavijesti na programskoj traci se ne prikazuju u sustavu Windows 11/10

• Popravite korištenje velike memorije Microsoft Edge u sustavu Windows 11/10

• Kako otvoriti svojstva sustava na upravljačkoj ploči u sustavu Windows 11/10