Configuració de Core Isolation i Memory Integrity a Windows

Si utilitzes Windows 10 o 11, és molt probable que hagis vist alguna vegada l'avís de Aïllament del nucli i “Integritat de memòria desactivada” a Seguretat de Windows. A molts els sona a alguna cosa important, però no és gens clar què fa exactament, quins avantatges té, què pot trencar ni com es configura bé, sobretot quan entren en joc eines com Hyper-V, solucions de tercers o antivirus que també usen virtualització.

A les properes línies trobaràs una guia molt completa per entendre què són Core Isolation (aïllament del nucli) i Memory Integrity (integritat de memòria), com funcionen per sota (inclosa la part de virtualització basada en seguretat, VBS), com activar-los o desactivar-los des de la interfície gràfica, des del Registre o mitjançant polítiques, com validar que tot està en marxa i quins problemes habituals pots trobar-te, com a conflictes amb drivers, amb programari com BlueStacks o amb la virtualització de maquinari de Kaspersky.

Què és Core Isolation (aïllament del nucli) a Windows

L'anomenat aïllament del nucli és una funció de seguretat avançada inclosa a Windows 10 i Windows 11 que aprofita la virtualització per separar el nucli del sistema operatiu de la resta de processos que s'executen a l'equip. La idea és senzilla: si el kernel s'està executant en un entorn més aïllat i controlat, és molt més difícil que un el malware o un atacant aconsegueixi injectar codi en aquesta zona tan sensible.

Quan actives Core Isolation, Windows crea un entorn protegit i virtualitzat on s'executen parts crítiques del sistema, de manera que el codi maliciós que arribi a través d'un fitxer, un driver defectuós o una app no ​​pugui accedir directament a la memòria del nucli. Aquesta separació lògica es recolza en tecnologies de virtualització de maquinari i l'hipervisor de Microsoft.

Imagina que obris un adjunt de correu infectat amb malware. Sense aïllament del nucli, un exploit ben dissenyat podria fer servir una vulnerabilitat del sistema per escalar privilegis i escriure en zones crítiques de memòria, afectant el nucli i comprometent completament l'equip. Amb Core Isolation actiu, aquest atac es queda tancat en un entorn on no pot manipular directament el nucli, reduint molt l'impacte.

A més d'aïllar processos, el sistema aprofita la memòria de maquinari per guardar informació sensible en àrees protegides, de manera que la superfície datac s'escurça. Això no substitueix l'antivirus ni les bones pràctiques, però afegeix una capa extra molt potent davant d'amenaces sofisticades.

Què és Memory Integrity i quin paper juga en la seguretat

Dins del propi aïllament del nucli, la part més important és l'anomenada integritat de memòria o Memory Integrity. Aquesta característica es recolza en la seguretat basada en virtualització (VBS, Virtualization-Based Security) de Windows per executar el mecanisme d'integritat de codi del nucli dins d'un entorn virtual aïllat, totalment separat del sistema operatiu normal.

A la pràctica, Memory Integrity s'encarrega que només es pot carregar al nucli codi que estigui degudament signat i considerat de confiança. Per aconseguir-ho, utilitza l'hipervisor de Windows, que crea un petit “submón” segur que actua com a arrel de confiança, fins i tot sota la suposició que el nucli principal pogués ser compromès. Si necessites provar codi no signat en entorns controlats, consulta com activar el mode desenvolupador de forma segura.

Una de les capacitats clau daquesta funció és que restringeix les assignacions de memòria del nucli que podrien ser utilitzades per explotar vulnerabilitats o escalar privilegis. Si un atacant intenta modificar estructures de memòria crítiques un cop activada la integritat de memòria, el sistema el bloqueja o provoca una fallada controlada abans de permetre que l'amenaça avanci.

Una altra tasca important és protegir elements com el mapa de bits de Control Flow Guard (CFG) dels controladors de manera kernel. Aquesta estructura ajuda Windows a vigilar el flux d'execució del codi al nucli; si un programari maliciós aconsegueix alterar-la, podria redirigir l'execució cap a parts malicioses. Amb Memory Integrity, aquest tipus de manipulacions esdevé molt més difícil.

A més, la integritat de memòria salvaguarda el procés d'integritat de codi en mode kernel, encarregat de comprovar que altres processos de kernel de confiança disposen de certificats vàlids i que el codi carregat no ha estat modificat. Si alguna cosa no quadra, el carregador de controladors el bloqueja.

Relació entre VBS, Core Isolation i Memory Integrity

Per entendre-ho bé, convé diferenciar diversos conceptes que Windows fa servir de forma conjunta, encara que sovint s'esmenten com si fossin el mateix:

• VBS (Virtualization-Based Security): és la tecnologia base que utilitza l'hipervisor de Windows per crear un o diversos contenidors de memòria protegida. Dins d'aquests contenidors s'executen serveis de seguretat que el sistema tracta com a més fiables que el mateix nucli.
• Core Isolation (aïllament del nucli): és el paraigua de funcions visibles per a l'usuari a Seguretat de Windows que aprofiten VBS per protegir el nucli i altres processos crítics.
• Memory Integrity (integritat de memòria): és un d'aquests components dins de l'aïllament del nucli, responsable específicament de la integritat de codi del nucli i de limitar assignacions de memòria perilloses.

És possible habilitar només VBS sense activar Memory Integrity, o bé combinar VBS + integritat de memòria per tenir una protecció molt més forta, que és el que Microsoft recomana a la majoria d'escenaris professionals i empresarials.

Com activar o desactivar Core Isolation i Integritat de memòria des de la interfície

Per a un usuari domèstic, la manera més senzilla de controlar aquestes funcions és a través de la pròpia aplicació Seguretat de Windows, que sol estar accessible des de la icona amb forma d'escut blau situat a la safata del sistema, al costat del rellotge. Si no ho veus, pots cercar “Seguretat de Windows” usant la combinació Windows + S.

Un cop oberta l'app, entra a la secció “Seguretat del dispositiu”. Aquí veuràs un bloc anomenat “Aïllament del nucli”. En molts equips apareix un missatge del tipus “La integritat de memòria està desactivada. És possible que el dispositiu sigui vulnerable”, cosa que indica que Core Isolation està disponible, però la part de Memory Integrity no està funcionant.

Per canviar-ho, fes clic a Detalls d'aïllament del nucli. S'obrirà una pantalla amb opcions avançades, entre les quals veureu l'interruptor de “Integritat de memòria”. En activar-lo, Windows començarà a bloquejar la càrrega de controladors o codi al nucli que no compleixi els requisits de seguretat.

En aquesta mateixa pantalla sol aparèixer també l'opció de “Llista de controladors vulnerables de Microsoft”. Quan està habilitada, el sistema impedeix que s'executin drivers que Microsoft hagi marcat com a problemàtics o amb vulnerabilitats conegudes, cosa que afegeix una altra capa de protecció davant d'atacs basats en controladors maliciosos.

Després d'activar la integritat de memòria, és normal que Windows us demani reiniciar l'equip per aplicar els canvis. Veureu una notificació a la part inferior dreta amb un botó per reiniciar directament. Després del reinici, si tot va bé, a “Seguretat del dispositiu” apareixerà una icona verda de confirmació al costat de “Aïllament del nucli”, indicant que la protecció està activa.

Configuració avançada mitjançant Registre per a VBS i Memory Integrity

En entorns professionals o quan es vol automatitzar la configuració en diversos equips, és freqüent recórrer al Registre de Windows ja scripts (abans de tocar res, fes una còpia de seguretat de l'registre) per habilitar o ajustar amb precisió VBS i Memory Integrity. Les claus rellevants es troben sota la ruta:

HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard

Una configuració recomanada per habilitar VBS i la integritat de memòria sense bloqueig definitiu a UEFI implica establir els valors següents des d'una consola amb privilegis d'administrador:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f

Si vols ajustar més fi la configuració, pots utilitzar cada clau per separat segons el que necessitis activar:

• Activar només VBS (sense integritat de memòria)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
• Requerir sol arrencada assegurança (Secure Boot) per a VBS (valor 1)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f
• Requerir arrencada segura + protecció DMA per a VBS (valor 3)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
• Configurar VBS sense bloqueig UEFI (Locked = 0)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
• Configurar VBS amb bloqueig UEFI permanent (Locked = 1)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 1 /f
• Activar integritat de memòria (HVCI)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
• Configurar integritat de memòria sense bloqueig UEFI (Locked = 0)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
• Configurar integritat de memòria amb bloqueig UEFI (Locked = 1)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 1 /f
• Forçar VBS (i Memory Integrity) en mode obligatori
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Mandatory" /t REG_DWORD /d 1 /f

Quan es marca el valor Mandatory = 1, el carregador de Windows no permet que el sistema continuï arrencant si l'hipervisor, el “kernel segur” o algun dels seus mòduls dependents no aconsegueixen carregar-se. És una mesura dràstica, pensada per a entorns on la seguretat està per sobre de la disponibilitat.

Una altra qüestió interessant és el control de la interfície gràfica d'integritat de memòria. Si voleu que aparegui atenuada i es mostri el missatge “This setting is managed by your administrator”, podeu executar:

reg delete HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity /v "WasEnabledBy" /f

I si més endavant decideixes que l'usuari torni a tenir control normal sobre aquest interruptor, pots restaurar- amb:

reg add HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity /v "WasEnabledBy" /t REG_DWORD /d 2 /f

Activar integritat de memòria amb App Control for Business

En empreses que gestionen plantilles grans, sol resultar més còmode utilitzar les polítiques de App Control for Business (antic Windows Defender Application Control) per habilitar la integritat de memòria de forma centralitzada. Hi ha diverses maneres de fer-ho:

1. mitjançant el Assistent de control d'aplicacions, en crear o editar una directiva, marcant l'opció “Integritat de codi protegida per hipervisor” a la pàgina de regles de la política.
2. usant el cmdlet de PowerShell Set-HVCIOptions, que permet activar, desactivar o ajustar el comportament de HVCI (Hypervisor-Enforced Code Integrity) des de scripts d'administració.
3. Editant directament el XML de la política d'App Control i modificant el valor de l'element <HVCIOptions>, per adaptar-lo a les necessitats de cada organització.

Com comprovar si VBS i integritat de memòria estan actius

Quan creguis que ho has deixat tot ben configurat, és important verificar què està realment habilitat i executant-se. Windows ofereix diverses eines per a això, tant des de línia de ordres com des de la interfície gràfica.

Comprovació amb la classe WMI Win32_DeviceGuard

Al Windows 10, Windows 11 i Windows Server 2016 o posterior hi ha una classe WMI específica per a VBS i Device Guard: Win32_DeviceGuard. Des d'una consola de PowerShell amb privilegis elevats, podeu obtenir la informació amb:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

La sortida d'aquesta ordre inclou un bon nombre de camps. Alguns especialment útils són:

• InstanceIdentifier: cadena única per identificar el dispositiu dins de WMI.
• version: versió de la classe WMI, actualment sol ser 1.0.
• AvailableSecurityProperties: llista de propietats de seguretat suportades pel maquinari i el sistema per a VBS i integritat de memòria. Cada número indica una capacitat disponible:
  0: no hi ha propietats rellevants
  1: compatibilitat amb hipervisor
  2: arrencada segura (Secure Boot) disponible
  3: protecció DMA disponible
  4: sobreescriptura de memòria segura
  5: proteccions NX disponibles
  6: mitigacions de SMM
  7: MBEC/GMET disponible
  8: virtualització d'APIC disponible
• CodeIntegrityPolicyEnforcementStatus: indica com s'està aplicant la política d'integritat de codi al sistema:
  0: desactivat
  1: en mode auditoria
  2: en mode reforçat (enforced)
• RequiredSecurityProperties: especifica quines propietats de seguretat són necessàries per poder habilitar VBS en aquest equip, usant la mateixa numeració anterior (1 per a hipervisor, 2 per a Secure Boot, 3 per a DMA, etc.).
• SecurityServicesConfigured: indica quins serveis de seguretat basats en virtualització estan configurats:
  0: cap
  1: Credential Guard està configurat
  2: integritat de memòria configurada
  3: protecció d'inici segur del sistema configurada
  4: mesurament de microprogramari de SMM configurat
  5-7: diferents modes de protecció de pila aplicada per maquinari i traducció de paginació reforçada per hipervisor
• SecurityServicesRunning: similar a l'anterior, però mostra quins serveis estan realment en execució (0 per a cap, 1 per a Credential Guard actiu, 2 per a integritat de memòria en marxa, etc.).
• UsermodeCodeIntegrityPolicyEnforcementStatus: estat de la integritat de codi en mode usuari (0 desactivada, 1 auditoria, 2 forçada).
• VirtualizationBasedSecurityStatus: probablement el camp clau per a VBS:
  0: VBS no està habilitat
  1: VBS està habilitat però no s'està executant
  2: VBS habilitat i en execució
• VirtualMachineIsolation y VirtualMachineIsolationProperties: descriuen el nivell d'aïllament de màquina virtual suportat. Entre els valors possibles hi ha AMD SEV-SNP (1), Seguretat basada en virtualització (2) i Intel TDX (3).

Ús de msinfo32.exe per veure l'estat de VBS

Si prefereixes alguna cosa més visual, pots llançar msinfo32.exe des d'Executar o des d'una finestra de PowerShell amb permisos d'administrador. Un cop s'obri “Informació del sistema”, a la secció “Resum del sistema” veuràs, cap a la part inferior, un bloc dedicat a “Seguretat basada en virtualització” amb detalls sobre si VBS està habilitat, quines funcions fa servir i quins requisits compleix l'equip.

Problemes habituals i solució d'errors en utilitzar integritat de memòria

No tot són avantatges. En activar Core Isolation i sobretot Memory Integrity, poden aparèixer conflictes amb drivers, pèrdues de rendiment o fins i tot pantallazos blaves, especialment en equips amb maquinari més antic o amb controladors poc actualitzats.

Un dels errors més típics és que algun controlador de dispositiu deixi de carregar-se o comenci a provocar penges en temps dexecució. La solució passa gairebé sempre per intentar actualitzar el driver des del Administrador de dispositius o des de la web del fabricant a una versió signada i compatible amb HVCI.

En altres casos, després d'activar la funció, alguns usuaris han vist que els FPS en jocs baixen significativament o que certes aplicacions de virtualització (com ara BlueStacks o emuladors similars) deixen de funcionar o es tornen molt inestables. Això pot ser perquè la integritat de memòria fa un ús intensiu de les capacitats de virtualització del processador i bloqueja tècniques que aquestes aplicacions usaven anteriorment.

També hi ha informes d'ordinadors que mostren pantalles blaves en intentar activar l'aïllament del nucli o després d'un reinici amb Memory Integrity habilitada. En aquestes situacions, si no pots entrar al sistema normalment, pots recórrer al Entorn de recuperació de Windows (Windows RE).

El procediment típic en cas de fallada greu seria:

1. Deshabilitar prèviament, si és possible, les polítiques de grup, Intune o altres eines que estiguessin forçant VBS i integritat de memòria.
2. Engegar l'ordinador al Windows RE (per exemple, interrompre l'arrencada diverses vegades o fent servir un mitjà d'instal·lació) i accedir a la consola.
3. Un cop dins de Windows RE, modificar manualment el Registre per desactivar Memory Integrity, per exemple amb:
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
4. Reinicieu el dispositiu i comproveu si l'arrencada torna a la normalitat.

Implantació d'integritat de memòria a màquines virtuals Hyper-V

La integritat de memòria no està limitada a equips físics: també es pot habilitar dins màquines virtuals d'Hyper-V gairebé de la mateixa manera que en un PC normal. Des del punt de vista del sistema convidat, els passos d'activació són equivalents.

Això sí, cal tenir en compte que la protecció s'aplica al contingut de la màquina virtual convidada. És a dir, ajuda a defensar la VM davant de malware i atacs que s'executin dins d'ella, però no protegeix el host ni l'administrador de la plataforma. Un administrador del host pot desactivar la integritat de memòria d'una VM amb una senzilla ordre de PowerShell:

Un administrador del host pot desactivar la integritat de memòria d'una VM amb una senzilla comanda de PowerShell:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Per utilitzar Memory Integrity a Hyper-V hi ha una sèrie de requisits mínims:

• El host de Hyper-V ha dexecutar almenys Windows Server 2016 o Windows 10 versió 1607.
• La màquina virtual ha de ser de Generació 2 i executar, com a mínim, Windows Server 2016 o Windows 10.
• La integritat de memòria es pot combinar amb virtualització imbricada. Si voleu instal·lar el rol de Hyper-V dins de la pròpia VM, haureu d'habilitar primer l'entorn de virtualització imbricada al host.
• Els adaptadors de canal de fibra virtual no són compatibles amb Memory Integrity. Abans de connectar-ne un a la VM, cal excloure-la de la seguretat basada en virtualització mitjançant Set-VMSecurity.
• L'opció AllowFullSCSICommandSet per a discs de pas directe tampoc és compatible amb integritat de memòria. Si voleu utilitzar-la, heu de desactivar la seguretat basada en virtualització per a aquesta màquina virtual.

Core Isolation i impacte en el rendiment: val la pena?

Un dubte recurrent és si compensa tenir activat Core Isolation i Memory Integrity quan es nota que lequip perd una mica de rendiment, els ventiladors es disparen o certs programes deixen de funcionar correctament.

Alguns usuaris han reportat, per exemple, que en activar aquesta opció BlueStacks deixa de funcionar o quines eines de gestió específiques com el Centre d'ordres d'Alienware deixen de monitoritzar bé el maquinari, provocant que els ventiladors es tornin bojos. La causa sol estar en drivers o serveis que no estan preparats per conviure amb HVCI.

També és relativament comú que els jugadors notin una reducció de FPS en jocs exigents quan la integritat de memòria està activa, ja que la sobrecàrrega de virtualització i les comprovacions extra del nucli afegeixen una mica de latència i consum de recursos. No és dramàtic en tots els equips, però en alguns sí que es nota.

En aquests casos, la decisió depèn de les teves prioritats: si el teu ús és molt intensiu en jocs o programes incompatibles, pot tenir sentit desactivar temporalment l'aïllament del nucli. A canvi, convé extremar altres precaucions: evitar DESCÀRREGUES sospitoses, no visitar webs dubtoses i mantenir sempre actiu i actualitzat l'antivirus, com ara Microsoft Defender o una altra solució fiable.

Si, per contra, en activar Core Isolation no perceps errors ni problemes apreciables de rendiment, és molt recomanable mantenir-lo encès com a capa de defensa addicional, Especialment en portàtils que viatgen, equips de treball o dispositius que manegen dades sensibles.