- El aislamiento del núcleo e integridad de memoria usan VBS para proteger el kernel y procesos críticos ante ataques avanzados.
- Su activación mejora notablemente la seguridad, aunque puede impactar en rendimiento y compatibilidad de algunos controladores.
- Pueden configurarse tanto desde Seguridad de Windows como mediante Registro, App Control, PowerShell y políticas corporativas.
- Herramientas como Win32_DeviceGuard y msinfo32 permiten verificar el estado de VBS y diagnosticar problemas en entornos físicos y virtuales.
Si utilizas Windows 11, seguramente habrás visto alguna vez la opción de isolamento do núcleo e integridade da memória Dentro de Segurança do Windows y, aun así, no tener muy claro qué hace exactamente ni si deberías activarla. No es raro: estamos ante una de esas funciones de seguridad potentes que Microsoft ha ido incorporando en los últimos años, pero que se explican regular y suelen quedar un poco escondidas entre tantos menús.
Además, quizá te has topado con el típico mensaje de que no puedes encender la integridad de memoria porque hay controladores incompatíveis, o te aparece el interruptor en gris y no sabes por dónde tirar. Entre BIOS, virtualización, VBS, controladores, WMI y demás palabros, es fácil liarse. Aquí vamos a desgranarlo todo con calma, en castellano de la calle, para que sepas qué es, cómo activarlo, qué hacer cuando da errores y en qué casos compensa tenerlo encendido o apagado.
Qué es el aislamiento del núcleo en Windows 11
El aislamiento del núcleo es una capa de seguridad que aprovecha funciones de virtualización de hardware para crear una zona protegida dentro de la memoria del sistema. Esa especie de «burbuja» se usa para ejecutar procesos delicados de Windows de forma aislada del resto del sistema operativo, reduciendo drásticamente la posibilidad de que un malware pueda tocar donde no debe.
En la práctica, Windows utiliza el hipervisor (el mismo mecanismo base que usan las máquinas virtuales) para levantar un entorno virtual especializado que actúa como raiz da confiança. El sistema parte del supuesto de que, en el peor de los casos, el kernel podría llegar a ser comprometido, así que coloca determinadas comprobaciones de seguridad dentro de ese entorno blindado, no en el propio núcleo.
Conviene entender que este aislamiento se centra en mantener separados los procesos críticos del sistema operativo y los dispositivos o controladores que podrían ser un vector de ataque. Al correr esos componentes sensibles dentro de una memoria virtual separada del resto de procesos, se dificulta muchísimo que un código malicioso, aunque logre ejecutarse, pueda alterar mecanismos básicos de seguridad.
Esta tecnología forma parte del conjunto de características de segurança baseada em virtualização (VBS) que Microsoft lleva años impulsando. VBS no es algo exclusivo de Windows 11: está disponible también en Windows 10 y en ediciones de Windows Server modernas, pero en Windows 11 ha cobrado más protagonismo porque la seguridad es uno de los pilares del sistema.
Qué es la integridad de memoria y cómo encaja en todo esto
La integridad de memoria, también conocida como Hypervisor-Enforced Code Integrity (HVCI), es un componente clave dentro del aislamiento del núcleo. Su papel es asegurar que el proceso de integridad de código que se encarga de validar qué se ejecuta en modo kernel lo haga dentro de ese entorno virtual seguro creado por VBS, y no directamente en el núcleo «a pelo».
Este mecanismo protege tanto al sistema operativo como a otros componentes de seguridad frente a cualquier intento de malware de modificar las reglas de integridad de código. Al ejecutarse en una burbuja protegida por hipervisor, resulta extremadamente difícil que un atacante logre alterar estas comprobaciones o saltárselas sin ser detectado.
Una función importante de la integridad de memoria es la protección del Mapa de bits do Control Flow Guard (CFG) para los controladores en modo kernel. CFG sirve para mitigar ataques que tratan de desviar el flujo de ejecución de un programa; al custodiar ese mapa en un entorno virtual seguro, se impide que un controlador malicioso (o comprometido) lo modifique para forzar ejecuciones no deseadas.
También se encarga de salvaguardar el propio proceso de integridad de código del kernel, garantizando que los procesos de núcleo de confianza tengan certificados válidos y que dicha validación no pueda ser manipulada. En otras palabras: actúa como un guardia de seguridad que supervisa qué controladores y código pueden entrar en modo kernel y se asegura de que nadie cambie las normas a mitad de partido.
Eso sí, conviene recalcar que la integridad de memoria no sustituye al antivirus. Es un complemento: trabaja de la mano con Windows Defender (o con la solución que uses) para reforzar el núcleo del sistema. Defender sigue siendo el encargado de detectar y bloquear malware a nivel de archivos, procesos, red, etc., mientras que la integridad de memoria se centra en proteger el kernel y los procesos de alta seguridad.
Ventajas e inconvenientes: seguridad contra rendimiento
Activar el aislamiento del núcleo y la integridad de memoria aporta una mejora notable en la seguridad, pero no todo es gratis: tiene algunos efectos secundarios en rendimiento y compatibilidad que conviene valorar según el uso que le des al equipo.
Por la parte positiva, esta función ayuda a blindar el sistema frente a amenazas que intentan atacar directamente el kernel o los mecanismos de validación de código. Es especialmente útil en entornos donde se accede a sitios web variados, se descargan numerosos archivos o se instalan programas de fuentes poco fiables. También encaja muy bien en equipos compartidos o públicos, como ordenadores de oficina, aulas, bibliotecas o cibers.
El coste viene porque cada vez que el sistema tiene que validar código en modo kernel, el proceso debe pasar por esa serie de comprobaciones dentro del entorno virtual seguro. Es como si cada vez que entras a tu casa, además de abrir la puerta con la llave, tuvieras un guarda de segurança que revisa tu documentación y registra que no lleves nada peligroso. Ganas seguridad, pero tardas más en entrar y el guardia consume recursos.
En equipos potentes esto suele ser poco apreciable en el día a día, pero en máquinas con recursos limitados, portátiles modestos o consolas portátiles tipo handheld con Windows 11, el impacto en fluidez y FPS puede notarse bastante. No es casualidad que, en este tipo de dispositivos (Lenovo Legion Go, Asus ROG Ally y similares), uno de los consejos más repetidos para rascar rendimiento extra sea desactivar el aislamiento del núcleo.
Además, algunos controladores y aplicaciones antiguas o mal diseñadas no se llevan bien con estas tecnologías. Pueden dejar de cargar, dar pantallazos azules o provocar inestabilidad. Por eso, aunque Microsoft recomienda tener estas funciones activas siempre que sea posible, también permite desactivarlas y ofrece opciones avanzadas de configuración para empresas y administradores.
Cómo activar el aislamiento del núcleo e integridad de memoria desde la interfaz gráfica
Para la mayoría de usuarios domésticos la forma más sencilla de habilitar estas funciones es a través de Seguridad de Windows, sin tocar el Registro ni nada raro. Los pasos son bastante directos, tanto en Windows 11 como en Windows 10.
En Windows 11, puedes seguir esta ruta básica utilizando la configuración del sistema:
1. Pulsa las teclas Windows + I para abrir la aplicación de Configuración. También puedes hacer clic en el botón de Inicio y luego en el icono de la rueda dentada de Configuración.
2. En el menú de la izquierda entra en el apartado «Privacidad y seguridad».
3. Dentro, selecciona «Seguridad de Windows».
4. Pulsa el botón «Abrir Seguridad de Windows» para lanzar el panel clásico de seguridad.
5. En el menú lateral haz clic en «Seguridad del dispositivo».
6. Localiza el bloque «Aislamiento del núcleo» y pulsa en «Detalles».
7. En esa pantalla verás la opción «Integridad de memoria». Si el control está desactivado, desliza el interruptor para ative-o.
8. Cierra la ventana y reinicia el equipo para que los cambios se apliquen correctamente.
En Windows 10 el camino es muy parecido, aunque cambia ligeramente el nombre de algún menú. Partirías igualmente de la combinación Windows + I, luego irías a «Actualización y seguridad», entrarías en «Seguridad de Windows» y, desde ahí, a «Seguridad del dispositivo» y «Detalles de aislamiento del núcleo» para activar o desactivar la integridad de memoria según te interese.
Lo bueno es que esta función se puede liga e desliga tantas veces como quieras. Por ejemplo, puedes mantenerla activa normalmente y, si vas a usar un programa muy exigente que sabes que pierde rendimiento o algún juego concreto donde te falten FPS, desactivarla temporalmente y volverla a activar después. También es interesante activarla cuando conectes memorias USB de procedencia dudosa o externa.
Activación avanzada mediante Registro de Windows y VBS
En entornos profesionales o cuando quieres controlar al milímetro cómo se comporta VBS y la integridad de memoria, puedes utilizar el Registro do Windows y otras herramientas de administración. Esto permite automatizar la activación en muchos equipos o ajustar opciones como el bloqueo UEFI o el modo obligatorio.
La ruta principal de configuración para VBS e integridad de memoria se encuentra bajo la clave:
HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard
Una configuración recomendada para habilitar VBS y la integridad de memoria sin forzar el bloqueo UEFI se puede aplicar con una serie de comandos reg add ejecutados en un símbolo del sistema o PowerShell con privilegios de administrador. Estos comandos activan la segurança baseada em virtualização, definen los requisitos de seguridad de la plataforma (como Secure Boot y protección DMA), establecen si el sistema queda bloqueado a nivel UEFI y encienden el escenario de integridad de código reforzada por hipervisor.
Por ejemplo, se puede:
- Activar solo VBS sin integridad de memoria ajustando el valor Habilitar segurança baseada em virtualização para 1.
- Indicar que solo se requiere arranque seguro (Secure Boot) estableciendo RequirePlatformSecurityFeatures em 1.
- Exigir tanto Secure Boot como protección DMA con un valor 3 en esa misma clave.
- Definir si se quiere bloqueo UEFI o no mediante el valor Bloqueado (0 para sin bloqueo, 1 para bloqueo).
- Encender la integridad de memoria configurando Os utilizadores da app Smart Spaces com Google Wallet podem usufruir de acesso móvel sem contacto com qualquer leitor HID® Signo™ habilitado com NFC. en la rama DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity.
Existe además la posibilidad de habilitar VBS e integridad de memoria en modo obligatorio usando el valor Mandatory. En este escenario, si el hipervisor, el kernel seguro o alguno de sus componentes críticos no arrancan, el cargador del sistema operativo no continúa con el arranque normal, de manera que se evita iniciar el equipo en un estado potencialmente inseguro.
Para el control de la interfaz gráfica de la integridad de memoria, también hay una clave interesante: FoiAtivadoPor. Eliminándola mediante reg delete se consigue que la opción aparezca atenuada en la app de Seguridad de Windows con el mensaje «This setting is managed by your administrator». Si en cambio se establece como valor DWORD 2, se devuelve la funcionalidad normal de la interfaz, permitiendo que el usuario interactúe con el interruptor.
Uso de App Control (Control de aplicaciones) para activar integridad de memoria
En organizaciones y entornos gestionados, es habitual recurrir a Controle de aplicativos para empresas (Control de aplicaciones para empresas) para configurar políticas de seguridad, incluyendo la activación de la integridad de memoria a través de reglas centralizadas.
Hay varias formas de usar App Control para forzar la integridad de código protegida por hipervisor. Una de las más sencillas consiste en emplear el Asistente para control de aplicaciones que proporciona Microsoft. Al crear o editar una directiva, en la página de reglas de política del asistente, se puede habilitar la opción correspondiente a integrar Integridade de código protegido por hipervisor como parte da configuração.
Otra alternativa es utilizar PowerShell con el cmdlet Set-HVCIOptions, que permite modificar de forma más granular las opciones relacionadas con HVCI. Esta vía es muy útil cuando se integran los cambios en scripts de despliegue automático o en pipelines de configuración.
Finalmente, los administradores más avanzados pueden editar directamente el XML da política de controle de aplicativos y ajustar el valor del elemento <HVCIOptions>. De esa forma, se puede definir de manera explícita cómo y cuándo se debe aplicar la integridad de memoria en los equipos que reciban esa política, integrando la configuración con otros requisitos de seguridad de la organización.
Como verificar se o VBS e a integridade da memória estão ativos
Una vez configurado todo, es importante verificar que VBS y la integridad de memoria funcionan realmente en el sistema. Para ello, Windows ofrece varias herramientas, tanto desde línea de comandos como mediante interfaces gráficas. Para tareas de comprobación más detallada puedes consultar la guía de auditoría de seguridad.
Una de las opciones más flexibles es utilizar la clase WMI Win32_DeviceGuard, disponible en Windows 10, Windows 11 y Windows Server 2016 y posteriores. Desde una sesión de Windows PowerShell con privilegios elevados, puedes lanzar:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
La salida de este comando muestra diferentes propiedades relacionadas con la seguridad basada en virtualización y con la integridad de memoria. Entre las más relevantes destacan:
- Identificador de instância, que identifica de manera única cada dispositivo.
- Versão, que indica la versión de la clase WMI (actualmente 1.0).
- Propriedades de segurança disponíveis, donde se enumeran las características de seguridad soportadas por el hardware, como compatibilidad con hipervisor, arranque seguro, protección DMA, sobrescritura de memoria segura, protecciones NX, mitigaciones SMM, MBEC/GMET o virtualización de APIC.
Además, hay otros campos fundamentales para entender el estado del sistema:
- Status de aplicação da política de integridade do código: indica si la política de integridad de código está desactivada, en modo auditoría o en modo de cumplimiento estricto.
- Propriedades de segurança necessárias: enumera qué propiedades de seguridad son necesarias para habilitar VBS, como soporte de hipervisor, Secure Boot, protección DMA, etc.
- Serviços de segurança configurados: señala si se han configurado servicios como Credential Guard, integridad de memoria, protección del sistema de inicio seguro, medición de firmware SMM o protección de pila en modo kernel.
- Serviços de segurança em execução: informa de qué servicios de seguridad están efectivamente en ejecución en ese momento.
También es interesante fijarse en Status de segurança baseado em virtualização, que aclara si VBS no está habilitado, si lo está pero sin ejecutarse, o si se encuentra habilitado y en ejecución. Otros campos como SmmIsolationLevel, UsermodeCodeIntegrityPolicyEnforcementStatus, VirtualMachineIsolation y VirtualMachineIsolationProperties completan la fotografía general del estado de seguridad del sistema, incluyendo escenarios avanzados de aislamiento de máquinas virtuales.
Si prefieres algo visual, puedes recurrir a la herramienta gráfica msinfo32.exe. Abriéndola desde una sesión con privilegios elevados, en la sección «Resumen del sistema» encontrarás, en la parte inferior, información sobre las características de seguridad basadas en virtualización disponibles y activas, incluyendo el estado del aislamiento del núcleo y otras funciones relacionadas.
Problemas comuns e como resolvê-los
Uno de los fallos más habituales al intentar activar la integridad de memoria es que Windows avise de controladores incompatíveis. En ocasiones, al pulsar en «Revisar controladores incompatibles» aparecen listados concretos (normalmente archivos .sys u .inf), pero otras veces el usuario se encuentra con que no se muestra nada, lo que complica bastante la identificación del culpable.
Para salir de este atolladero, lo primero es asegurarse de que el hardware es compatible con las funciones de virtualización necesarias y de que la virtualización está activada en la BIOS/UEFI. Sin soporte de hipervisor y sin estas opciones habilitadas, VBS e integridad de memoria no podrán funcionar correctamente.
A partir de ahí, es muy recomendable revisar y actualizar todos los controladores importantes: chipset, gráficos, dispositivos de almacenamiento, red, etc. Los fabricantes suelen publicar versiones más recientes que ya son compatibles con las políticas de integridad reforzada o que corrigen errores de compatibilidad con VBS en Windows 11.
Cuando hay drivers especialmente antiguos o de procedencia dudosa, puede que no existan versiones actualizadas en Windows Update ni en la web del fabricante. En esos casos, toca plantearse desinstalar completamente el controlador problemático y sustituirlo por otro genérico o por una alternativa moderna. En ocasiones, es necesario recurrir al Administrador de dispositivos, mostrar dispositivos ocultos y revisar uno por uno los controladores sospechosos.
Si un controlador no se carga o provoca bloqueos en tiempo de ejecución tras activar la integridad de memoria, otro camino es comprobar si existe una versión firmada correctamente y adaptada a este entorno. Si no la hay, puede ser más sensato renunciar a ese hardware o software concreto que mantener el sistema expuesto.
Recuperación del sistema si algo sale mal
Aunque no es lo habitual, puede suceder que al activar VBS y la integridad de memoria el equipo empiece a comportarse de manera inestable, con errores críticos al arrancar o pantallazos azules recurrentes. En esos casos, es importante saber cómo volver atrás sin perder el control de la máquina.
Lo primero es deshabilitar cualquier política de grupo o directiva que se hubiera utilizado para forzar la activación de VBS e integridad de memoria. Si hay una GPO, un script de inicio o una política MDM empujando esa configuración, hay que invertirla para evitar que el sistema la vuelva a aplicar tras la recuperación.
Después, se puede iniciar el equipo en el entorno de recuperación de Windows (Windows RE). Desde allí, se tiene acceso a opciones avanzadas que permiten abrir una consola, restaurar el sistema, desinstalar actualizaciones o tocar el Registro sin arrancar el Windows principal, lo cual es muy útil cuando el problema impide un arranque normal. Antes de tocar el Registro, haz una Backup do registro.
Una vez dentro de Windows RE, es posible cambiar directamente el valor que controla la integridad de memoria en el Registro. Por ejemplo, se puede establecer el valor Enabled de la clave correspondiente a HypervisorEnforcedCodeIntegrity a 0 para dejarlo desactivado. Tras realizar ese ajuste, bastaría con reiniciar o dispositivo para que el sistema volviera a arrancar sin la función conflictiva.
Este tipo de maniobras conviene hacerlas con cierto cuidado, pero son una vía eficaz cuando el equipo queda atrapado en un bucle de arranque defectuoso a causa de un controlador incompatible o una mala combinación de hardware y políticas de seguridad.
Integridade da memória em máquinas virtuais Hyper-V
La integridad de memoria no se limita a equipos físicos. También puede proteger máquinas virtuales creadas con Hyper-V, ofreciendo un nivel de seguridad adicional a los sistemas invitados. Los pasos para habilitarla desde dentro de la máquina virtual son muy similares a los de un equipo físico: se configura VBS, se activa el aislamiento del núcleo y se enciende la integridad de memoria desde Seguridad de Windows.
En este escenario, la integridad de memoria actúa frente al malware que se ejecuta dentro de la máquina virtual invitada, igual que lo haría en un PC físico. Lo que no hace es blindar la VM frente al administrador del host. El administrador del Hyper-V siempre conserva la capacidad de deshabilitar la integridad de memoria de una máquina virtual concreta, por ejemplo con el comando Set-VMSecurity usando la opción VirtualizationBasedSecurityOptOut.
Para que todo esto funcione, el host de Hyper-V debe cumplir ciertos requisitos mínimos. Necesita ejecutar al menos Windows Server 2016 o Windows 10 versión 1607, ya que versiones anteriores no cuentan con todas las piezas necesarias para VBS en invitados. Además, la máquina virtual debe ser de generación 2 y ejecutar como mínimo Windows Server 2016 o Windows 10.
Es posible habilitar al mismo tiempo la integridad de memoria y la virtualização aninhada, de forma que dentro de la propia VM se pueda instalar el rol de Hyper-V y crear más máquinas virtuales. Para ello, primero hay que preparar el entorno de virtualización anidada de Windows en esa máquina.
Hay algunas limitaciones importantes a tener en cuenta: los adaptadores de canal de fibra virtual no son compatibles con integridad de memoria, por lo que, antes de conectarlos a una VM, hay que excluirla de la seguridad basada en virtualización mediante Set-VMSecurity. Tampoco es compatible la opción AllowFullSCSICommandSet en discos de paso a través cuando se quiere usar integridad de memoria; si se necesita esa opción, la máquina debe quedar fuera de VBS.
En resumen, la integridad de memoria puede jugar un papel clave también en ambientes virtualizados, siempre que se respeten las restricciones de hardware y configuración de Hyper-V.
Al final, el aislamiento del núcleo y la integridad de memoria en Windows 11 forman un tándem muy potente para elevar el nivel de seguridad del sistema, especialmente frente a ataques sofisticados que apuntan al kernel. Eso sí, vienen con condiciones: hay que contar con hardware compatible, asumir cierto impacto en rendimiento y estar dispuesto a lidiar con controladores que no se adapten bien. Si usas tu PC principalmente para navegar, gestionar documentos, conectarte a redes corporativas o manipular datos sensibles, tiene mucho sentido mantener estas funciones activadas, y consulta nuestros secretos de seguridad; si tu prioridad absoluta es exprimir cada fotograma en juegos o exprimir al máximo un equipo justito de recursos, quizá prefieras desactivarlas o ir alternando según el uso que vayas a darle en cada momento.
Escritor apaixonado pelo mundo dos bytes e da tecnologia em geral. Adoro compartilhar meu conhecimento por meio da escrita, e é isso que farei neste blog, mostrar a vocês tudo o que há de mais interessante sobre gadgets, software, hardware, tendências tecnológicas e muito mais. Meu objetivo é ajudá-lo a navegar no mundo digital de uma forma simples e divertida.