La configurazione di Isolamento del core e integrità della memoria in Windows È diventato un fattore chiave per chiunque cerchi una maggiore sicurezza del PC, soprattutto in ambienti in cui malware e attacchi al sistema sono all'ordine del giorno. Sebbene possa inizialmente sembrare una funzionalità "nascosta" tra le impostazioni avanzate, in realtà svolge un ruolo fondamentale nella protezione del core del sistema operativo.
Nelle righe che seguono troverete una guida molto completa che spiega Cos'è esattamente l'isolamento del nucleo?Come funziona l'integrità della memoria basata sulla virtualizzazione (VBS), quali sono i requisiti e le limitazioni, come abilitarla o disabilitarla dall'interfaccia grafica o tramite Registro di sistema, PowerShell o criteri e quale impatto reale può avere sulle prestazioni e sulla compatibilità del computer.
Cos'è Core Isolation in Windows e a cosa serve?
La chiamata Isolamento del nucleo Si tratta di una funzionalità di sicurezza avanzata integrata in Windows 10, Windows 11 e Windows Server che si basa su sicurezza basata sulla virtualizzazione (VBS)Il suo obiettivo è quello di eseguire determinati componenti critici del sistema operativo in un ambiente isolato dal resto dei processi, riducendo notevolmente la superficie di attacco contro malware ed exploit che tentano di compromettere il kernel.
Quando si abilita Core Isolation, il sistema crea un ambiente virtuale protetto Sfruttando l'hypervisor di Windows, questo ambiente isolato esegue funzioni ad alta sicurezza, impedendo al codice dannoso che riesce a essere eseguito sul sistema normale di interagire facilmente con il kernel o di manipolare strutture di memoria critiche. Questa separazione logica funge da ulteriore barriera tra il sistema e qualsiasi cosa provenga dall'esterno, che si tratti di un allegato infetto, di un programma di dubbia origine o di un driver difettoso.
Immagina di aprire un e-mail con allegato dannosoSenza questo isolamento, un exploit potrebbe sfruttare le vulnerabilità del sistema per aumentare i privilegi e raggiungere il kernel. Abilitando Core Isolation, gran parte della logica critica è protetta all'interno di questo ambiente virtualizzato, limitando gravemente la capacità del malware di operare, anche se riesce a eseguire con privilegi elevati nella parte non isolata del sistema.
Che cos'è l'integrità della memoria e che ruolo svolge in VBS?
All'interno di Core Isolation, il pezzo forte è il cosiddetto Integrità della memoria, noto anche come HVCI (Hypervisor-Enforced Code Integrity). Questa funzionalità sposta il controllo dell'integrità del codice dalla modalità kernel all'ambiente VBS sicuro, in modo che l'hypervisor agisca come radice di attendibilità e garantisca che nel kernel venga caricato solo codice firmato e legittimo.
Con Active Memory Integrity, il sistema limita le allocazioni di memoria del kernel Questi potrebbero essere utilizzati per attacchi di iniezione di codice o per disabilitare i meccanismi di sicurezza. Poiché la convalida dell'integrità viene eseguita in un ambiente isolato, un aggressore che riesce a compromettere il kernel tradizionale ha molte più difficoltà a disabilitare queste protezioni, poiché il processo di verifica in sé è al di fuori della sua portata.
Tra le funzioni interne più rilevanti, l'integrità della memoria è responsabile di Proteggere il bitmap Control Flow Guard (CFG) Applicate ai driver in modalità kernel, queste misure rafforzano anche il processo di integrità del codice che convalida che altri processi privilegiati dispongano di certificati validi. Queste misure limitano significativamente i tentativi di reindirizzare i flussi di esecuzione verso codice dannoso o di caricare file binari non attendibili nel kernel.
Requisiti e compatibilità dell'isolamento del nucleo
Sebbene Windows integri queste funzionalità per impostazione predefinita, Non tutti i dispositivi sono compatibili oppure sono abilitati per impostazione predefinita. Affinché l'isolamento del core e l'integrità della memoria funzionino correttamente, l'hardware e il firmware devono soddisfare una serie di condizioni: supporto della virtualizzazione hardware (Intel VT-x, AMD-V), avvio sicuro, alcune estensioni della CPU come MBEC/GMET e, in ambienti server o di virtualizzazione, funzionalità aggiuntive di isolamento delle macchine virtuali.
In molti casi, queste opzioni dipendono anche dall' Impostazioni BIOS/UEFISe la virtualizzazione o l'avvio sicuro sono disabilitati a livello di firmware, VBS non sarà in grado di avviarsi e le funzionalità di isolamento del kernel non saranno disponibili, anche se abilitate da Windows. Inoltre, alcuni driver obsoleti o mal gestiti potrebbero essere incompatibili con queste tecnologie, causando errori. Schermate blu come l'errore IRQL_NOT_LESS_OR_EQUAL o impedendo direttamente l'attivazione dell'integrità della memoria.
Come posso abilitare o disabilitare Core Isolation da Sicurezza di Windows?
Il modo più semplice e più orientato per gli utenti domestici o d'ufficio è gestire l'isolamento del core dal dispositivo stesso. Applicazione di sicurezza di Windows, dove la maggior parte delle impostazioni di sicurezza del sistema sono raggruppate in un unico pannello.
Per rivedere e modificare queste opzioni, puoi seguire una sequenza simile a questa in Windows 10 e Windows 11: apri l'app Sicurezza di Windows dall'icona dello scudo nella barra delle applicazioni o utilizzando la ricerca, quindi vai a Sicurezza del dispositivo e si individua il blocco di isolamento del nucleoIn questa schermata solitamente compare un messaggio che indica se l'integrità della memoria è abilitata o meno, insieme a un avviso di potenziale vulnerabilità quando rimane disabilitata.
Entro Dettagli dell'isolamento del nucleo Troverai l'interruttore per attivare o disattivare l'integrità della memoria, così come l'opzione chiamata Elenco dei driver vulnerabili bloccati da MicrosoftCiò impedisce il caricamento di driver noti per presentare gravi difetti. Una volta abilitata l'integrità della memoria, il sistema richiederà di riavviare il computer per applicare le modifiche e, al riavvio, dovrebbe essere visualizzata un'icona di conferma verde accanto alla sezione di isolamento del kernel.
Sì, quando lo accendi, appaiono problemi di prestazioni, cali di FPS nei giochi Oppure, anche se visualizzi schermate blu, puoi sempre tornare allo stesso pannello e disattivare l'interruttore. Windows ti consente di modificare questa impostazione tutte le volte che vuoi, il che è utile se, ad esempio, vuoi attivarla solo in momenti specifici (come quando utilizzi unità USB sconosciute o installi software da fonti dubbie).
Impatto sulle prestazioni e quando attivarlo o meno
È importante capire che l'isolamento del core, e in particolare l'integrità della memoria, Queste funzionalità non sono gratuite in termini di prestazioni.Ogni ulteriore livello di sicurezza comporta più controlli, più convalida del codice e più lavoro per la CPU per esaminare ciò che è in esecuzione sul sistema. Su PC potenti, questo potrebbe essere appena percettibile, ma su macchine meno potenti o quando si gioca a giochi impegnativi, si potrebbe notare un calo di FPS o una risposta meno fluida.
Molti utenti hanno segnalato che, dopo aver attivato l'isolamento del nucleoI giochi e le applicazioni grafiche funzionano un po' peggio, e disattivando questa opzione si ripristina la fluidità precedente. In alcuni casi specifici, si sono addirittura riscontrati errori critici come il BSOD Critical_Process_Died quando si tenta di attivarlo, soprattutto se sono presenti driver vecchi o mal progettati che non funzionano bene con queste protezioni.
Pertanto, ha senso considerare il contesto di utilizzo. Se utilizzi principalmente il tuo PC per giochi e attività ad alte prestazioni In un ambiente relativamente controllato, con buone abitudini di sicurezza (non scaricare eseguibili sospetti, evitare siti web poco affidabili, mantenere Windows Defender aggiornato), potresti preferire lasciare Core Isolation disattivato per sfruttare al meglio l'hardware. Tuttavia, se navighi molto, apri frequentemente allegati, colleghi dispositivi esterni di terze parti o il computer è condiviso in biblioteche, uffici o istituti scolastici, è altamente consigliabile sacrificare un po' di prestazioni in cambio di una sicurezza significativamente maggiore.
Integrità della memoria e isolamento hardware: come il sistema protegge
Quando si parla di questa funzione, si dice spesso anche che separa i processi ad alta sicurezza dal resto del sistema, stabilendo una barriera virtuale tra ciò che potremmo considerare hardware primario (scheda madre, CPU, GPU, RAM e storage principale) e hardware periferico (dispositivi USB, stampanti, unità esterne, ecc.). L'idea è che qualsiasi interazione con componenti critici passi attraverso filtri più severi.
Questa protezione non sostituisce Windows Defender Non sostituisce le altre soluzioni antimalware tradizionali, ma le integra. L'antivirus rimane responsabile della scansione dei file, del rilevamento dei pattern malware e del blocco delle minacce note, mentre l'isolamento del kernel monitora i vettori di attacco che prendono di mira il kernel stesso e le strutture di memoria più sensibili. In genere, si consiglia di mantenere Windows Defender sempre abilitato e, facoltativamente, di aggiungere software di sicurezza essenziale a seconda delle esigenze specifiche.
Come abilitare passo dopo passo l'isolamento del kernel in Windows 11?
In Windows 11, abilitare questa funzionalità è piuttosto semplice e non richiede alcuna modifica al registro, se si preferisce un approccio più semplice. In sostanza, è sufficiente accedere alle impostazioni di sistema, andare alla sezione sicurezza e individuare il pannello Sicurezza di Windows per abilitare l'isolamento del kernel e l'integrità della memoria.
Il percorso tipico prevede l'apertura del Impostazioni di Windows (ad esempio con Win + I), vai a Privacy e sicurezza, entrare Protezione di Windows e tocca il pulsante che apre l'applicazione. Da lì, nel menu laterale, scegli Sicurezza del dispositivoIndividua il blocco Core Isolation, accedi ai dettagli e attiva il controllo di Integrità della memoria Se è disattivata. Dopo aver chiuso la finestra e riavviato il sistema, la funzione è abilitata; per suggerimenti generali su come Migliorare la sicurezza in Windows 11 È possibile consultare le guide supplementari.
Puoi ripetere questo stesso processo tutte le volte che vuoi. In alcuni scenari, potrebbe essere utile attivarlo solo quando necessario, ad esempio quando Stai per collegare un'unità USB di qualcun altro.Questo è particolarmente importante quando si lavora con unità esterne di origine sconosciuta o se si condivide il computer con più utenti. Pur non essendo una protezione infallibile, riduce le possibilità che un malware sfrutti una vulnerabilità del driver per infiltrarsi nel kernel.
Attivazione in Windows 10 e somiglianze con Windows 11
Windows 10 offre anche isolamento del kernel e integrità della memoria, e Il modo per attivarlo è molto simile È simile a Windows 11, con piccole differenze nei nomi di alcuni menu. Anche in questo caso, la procedura prevede l'accesso al pannello Impostazioni, alla sezione Sicurezza e all'app Sicurezza di Windows.
In questo caso, apri Impostazioni, vai in Aggiornamento e sicurezza, Tu scegli Protezione di Windows e poi la categoria di Sicurezza del dispositivoQui troverete la sezione "Core Isolation" e, tra i dettagli, l'interruttore per attivare o disattivare l'integrità della memoria. Potete modificare questa impostazione ogni volta che ne avete bisogno, il che è utile se alternate periodi di navigazione Internet intensiva a sessioni di gioco in cui volete spremere fino all'ultimo FPS dal vostro sistema.
Abilitare l'integrità della memoria e VBS dalla riga di comando (Registro di sistema)
Per ambienti aziendali o utenti avanzati che desiderano automatizzare la configurazione VBS e l'integrità della memoria, Il registro di Windows offre un controllo abbastanza granulareUtilizzando lo strumento da riga di comando REG, è possibile aggiungere e modificare le chiavi necessarie per abilitare l'hypervisor e le protezioni basate sulla virtualizzazione all'avvio; prima di farlo, si consiglia di creare backup del registro.
Una configurazione tipica prevede l'abilitazione della virtualizzazione basata sulla sicurezza, la richiesta di funzionalità specifiche della piattaforma, l'attivazione dell'integrità del codice applicata dall'hypervisor e la modifica del blocco UEFI. Ciò avviene modificando le voci sotto la chiave HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard e la sua sottochiave Scenari\HypervisorEnforcedCodeIntegrity, regolando valori come EnableVirtualizationBasedSecurity, RequirePlatformSecurityFeatures, Locked, Enabled o Mandatory, tutti in formato REG_DWORD con valori numerici che definiscono il comportamento.
Ad esempio, è possibile impostare VBS senza integrità della memoria semplicemente abilitando AbilitaVirtualizationBasedSecurityoppure combinalo con la chiave Richiedi funzionalità di sicurezza della piattaforma per richiedere l'avvio protetto (valore 1) o l'avvio protetto più protezione DMA (valore 3). Il parametro Bloccato consente di definire se il blocco UEFI viene applicato o meno e l'opzione Obbligatorio Impedisce al sistema di continuare l'avvio se l'hypervisor, il kernel sicuro o uno dei suoi moduli dipendenti non vengono caricati correttamente.
Nel sottoalbero HypervisorEnforcedCodeIntegrity, il valore Gli utenti dell’app Smart Spaces con Google Wallet possono ora usufruire di accesso mobile contactless con qualsiasi lettore HID® Signo™ abilitato NFC. Controlla direttamente se l'integrità della memoria è abilitata, mentre la chiave Bloccato Per lo stesso scenario, decide se bloccarlo con UEFI. Inoltre, c'è un valore chiamato WasEnabledBy che viene utilizzato per controllare il modo in cui l'interfaccia grafica viene presentata all'utente: se viene rimosso, l'interfaccia utente visualizza il messaggio "Questa impostazione è gestita dall'amministratore" e l'interruttore appare disabilitato; se viene impostato su un valore specifico, l'interfaccia torna a comportarsi normalmente.
Gestione tramite App Control per aziende e PowerShell
Nelle distribuzioni aziendali in cui le policy di sicurezza sono centralizzate, Controllo delle app per le aziende (in precedenza Windows Defender Application Control) offre un altro modo per abilitare l'integrità della memoria in modo più strutturato. La sua procedura guidata di configurazione consente di creare o modificare un criterio di controllo delle applicazioni e di selezionare l'opzione per Integrità del codice protetta dall'hypervisor nella pagina delle regole della policy.
Oltre all'interfaccia grafica, è possibile utilizzare il cmdlet PowerShell Set-HVCIOptions, progettato specificamente per regolare le opzioni HVCI o modificare direttamente l'XML della direttiva App Control, modificando il valore dell'elemento per attivare le protezioni desiderate. Questi approcci sono particolarmente utili quando si desidera applicare la stessa configurazione a molti dispositivi senza doverli modificare singolarmente e possono essere completati con Criteri di sicurezza tramite secpol.msc in ambienti gestiti.
Controllare se VBS e Memory Integrity sono abilitati
Per verificare accuratamente se la virtualizzazione basata sulla sicurezza e l'integrità della memoria Sono effettivamente attivi e in esecuzioneWindows fornisce diversi strumenti pensati per amministratori e utenti avanzati, tra cui una classe WMI specifica e il classico msinfo32.
La classe WMI Win32_DeviceGuardAccessibile da PowerShell con privilegi elevati tramite il comando Get-CimInstance e lo spazio dei nomi root\Microsoft\Windows\DeviceGuard, restituisce numerosi campi relativi alle proprietà di sicurezza di VBS e HVCI. Tra questi:
L'identificatore univoco Identificatore di istanza e versione della classe, che attualmente è solitamente 1.0, così come l'elenco Proprietà di sicurezza disponibiliche indica quali funzionalità di sicurezza basate sull'hardware sono presenti sul dispositivo, come supporto hypervisor, avvio protetto, protezione DMA, sovrascrittura sicura della memoria, protezioni NX, mitigazioni SMM, MBEC/GMET o virtualizzazione APIC.
Campo Proprietà di sicurezza richieste specifica quali elementi sono necessari affinché VBS sia abilitato su quel dispositivo (ad esempio, richiedendo un avvio sicuro o una protezione DMA), mentre Servizi di sicurezza configurati Mostra se sono stati configurati servizi quali Credential Guard, integrità della memoria, System Guard Secure Launch, misurazione del firmware SMM o protezione dello stack in modalità kernel, incluso se quest'ultimo è in modalità di controllo o applicazione forzata.
In relazione a quanto sopra, Servizi di sicurezza in esecuzione Indica quali servizi sono effettivamente in esecuzione in quel momento, distinguendo tra configurati e operativi. Altri campi importanti sono: Stato di applicazione della politica di integrità del codice, che rivela se la policy di integrità del codice di sistema è disabilitata, in modalità di controllo o in modalità applicata; UsermodeCodeIntegrityPolicyEnforcementStatus, che offre le stesse informazioni ma si concentra sul codice in modalità utente; e Stato di sicurezza basato sulla virtualizzazione, che chiarisce se VBS è disabilitato, semplicemente abilitato ma inattivo o completamente abilitato e in esecuzione.
Infine, Isolamento della macchina virtuale y VirtualMachineIsolationProperties Indicano il livello di isolamento della macchina virtuale disponibile e le tecnologie supportate, come AMD SEV-SNP, virtualizzazione basata sulla sicurezza o Intel TDX, che sono rilevanti quando si desidera applicare queste protezioni in ambienti virtualizzati.
Se preferisci un approccio più visivo, puoi eseguire msinfo32.exe Con privilegi elevati, si aprirà la finestra Informazioni di sistema. In fondo alla sezione Riepilogo di sistema, è presente un blocco dedicato alle funzionalità VBS e al loro stato, che specifica se la sicurezza basata sulla virtualizzazione è abilitata e quali componenti specifici sono attivi.
Protezione dello stack imposta dall'hardware e la sua relazione con l'integrità della memoria
All'interno della famiglia di protezioni che ruotano attorno al Core Isolation, troviamo il protezione dello stack applicata tramite hardware, una funzione basata su capacità specifiche delle CPU moderne (come Intel Control-Flow Enforcement Technology o AMD Shadow Stack) destinata a impedire al codice dannoso di manipolare gli indirizzi di ritorno sullo stack in modalità kernel per reindirizzare l'esecuzione verso payload dannosi.
Nei processori compatibili, la CPU mantiene una seconda copia degli indirizzi di ritorno in uno stack shadow di sola lettura, inaccessibile ai driver normali. Se un programma o un driver tenta di modificare l'indirizzo di ritorno sullo stack principale, la CPU rileva la discrepanza confrontandolo con il riferimento memorizzato nello stack shadow. Quando ciò si verifica, il sistema genera un errore critico (la tipica schermata blu) e interrompe l'esecuzione, bloccando il tentativo di dirottare il flusso di esecuzione.
Non tutti i controller sono compatibili con questa difesa, poiché Alcuni conducenti legittimi modificano gli indirizzi di ritorno per scopi non dannosi. Per questo motivo, Microsoft ha collaborato con diversi produttori per garantire che le loro versioni più recenti supportino la protezione dello stack basata su hardware. Questa funzionalità può essere abilitata o disabilitata tramite un'opzione nell'interfaccia di Sicurezza di Windows, ma affinché funzioni, è necessario abilitare l'integrità della memoria e disporre di una CPU che implementi le tecnologie sopra menzionate.
Se, quando si tenta di attivarlo, il sistema avverte che c'è un driver o servizio incompatibileSi consiglia di verificare la presenza di aggiornamenti sul sito web del produttore del dispositivo o sul sito web dell'applicazione in questione. A volte, il componente problematico è un servizio associato a un driver che si carica solo all'avvio del programma, quindi potrebbe essere necessario disinstallare il software o evitarne del tutto l'utilizzo se si desidera mantenere attiva la protezione dello stack.
Risoluzione dei problemi e ripristino in caso di guasti
L'abilitazione di VBS, dell'integrità della memoria o della protezione dello stack potrebbe avere ripercussioni su alcuni sistemi. alcuni driver smettono di caricarsi o il sistema diventa instabileNel migliore dei casi, sarà sufficiente aggiornare i driver da Gestione dispositivi o dal sito Web del produttore; in situazioni più gravi, potrebbe verificarsi un errore critico durante l'avvio.
Se, dopo aver abilitato queste funzioni, il sistema non si avvia correttamente o si comporta in modo irregolare, un'opzione è quella di ricorrere a Ambiente di ripristino di Windows (Windows RE)Innanzitutto, è consigliabile disattivare tutti i criteri (come i Criteri di gruppo) utilizzati per applicare VBS e HVCI. Quindi, avviare il computer interessato in Windows RE, effettuare l'accesso e, da lì, modificare la chiave del Registro di sistema corrispondente per disattivare l'integrità della memoria impostando il valore Enabled di HypervisorEnforcedCodeIntegrity su 0. Al riavvio, il sistema dovrebbe riavviarsi senza questa protezione, il che di solito ripristina la stabilità se il problema era di compatibilità. Se il problema è un errore di avvio grave, consultare la guida nella [sezione pertinente]. Errore INACCESSIBLE_BOOT_DEVICE.
In ambienti dove è anche desiderato gestire gli avvisi visivi Quando questi avvisi compaiono in Sicurezza di Windows (come l'icona del punto esclamativo giallo quando l'integrità della memoria è disabilitata), le cose si complicano. Modificare semplicemente il Registro di sistema non è sempre sufficiente e spesso è necessario combinare Criteri di gruppo, Intune o altri strumenti di gestione per nascondere questi avvisi senza dover accedere a ogni computer singolarmente per eliminare il messaggio dall'interfaccia locale, operazione che richiede anche privilegi di amministratore.
Integrità della memoria nelle macchine virtuali Hyper-V
L'integrità della memoria non protegge solo i sistemi fisici; può anche essere applicata a macchine virtuali in esecuzione su Hyper-Vdove si comporta in modo molto simile a come si comporterebbe su un computer reale. Dall'interno della macchina virtuale, i passaggi per abilitare la funzionalità sono essenzialmente gli stessi: attivare VBS, assicurarsi che l'integrità della memoria possa essere avviata e soddisfare i requisiti hardware virtualizzati.
È importante capire che questa protezione protegge la macchina virtuale guest dal malware che viene eseguito al suo interno, ma non aggiunge ulteriore sicurezza all'host. Dal sistema host, è possibile disabilitare l'integrità della memoria per una specifica VM utilizzando i comandi di gestione di Hyper-V (come Set-VMSecurity con l'opzione di esclusione VBS), in modo che l'amministratore mantenga il controllo su quali guest sfruttano queste funzionalità e quali no.
Affinché le macchine virtuali Hyper-V utilizzino l'integrità della memoria, l'host deve essere in esecuzione almeno Windows Server 2016 o Windows 10 versione 1607e le VM devono essere di seconda generazione, con un sistema operativo moderno (Windows 10 o Windows Server 2016 o successivo). È anche possibile combinare l'integrità della memoria con virtualizzazione annidataa condizione che il ruolo Hyper-V venga prima abilitato all'interno della macchina virtuale stessa e che siano soddisfatte le condizioni necessarie.
Ci sono alcune limitazioni che dovrebbero essere note: alcuni dispositivi virtuali, come adattatori di canale in fibra virtualeQuesti dischi non sono compatibili con l'integrità della memoria, quindi la macchina virtuale deve essere esclusa da VBS prima di aggiungerli utilizzando le opzioni di sicurezza di Hyper-V. Lo stesso vale per i dischi pass-through configurati con AllowFullSCSICommandSet, che richiedono la disabilitazione della sicurezza basata sulla virtualizzazione per quella macchina virtuale prima di poterli utilizzare.
Alternative quando l'isolamento del nucleo non è praticabile
Nelle squadre in cui il l'hardware non soddisfa i requisitiSe i driver generano conflitti costanti o l'impatto sulle prestazioni è troppo elevato, ha senso considerare soluzioni alternative per eseguire applicazioni rischiose senza compromettere il sistema principale. Tra le più diffuse ci sono tecnologie come docker o l'uso di macchine virtuali complete.
Docker ti consente di creare ambienti isolati di tipo contenitore dove le applicazioni possono essere eseguite in modo incapsulato. In Windows, può essere utilizzato per configurare una sorta di "mini-sistema" separato in cui testare software sospetti o servizi specifici, sapendo che quando il contenitore viene chiuso ed eliminato, tutto il suo contenuto scompare senza lasciare traccia sull'host. Per test più complessi o quando è richiesto un desktop completo, l'approccio classico consiste nel configurare un macchina virtuale con Windows ed eseguire programmi potenzialmente pericolosi; se qualcosa va storto o viene rilevato un malware, è sufficiente distruggere la VM e crearne una nuova.
Sebbene queste alternative non replichino esattamente il tipo di difesa offerto dall'integrità della memoria a livello di kernel, forniscono comunque un livello pratico di isolamento molto utile quando non è possibile o consigliabile attivare Core Isolation sul sistema fisico stesso.
La configurazione di Isolamento del core, integrità della memoria e protezioni correlate in Windows Offre un salto di qualità nella sicurezza a costo di un consumo di risorse aggiuntivo e di qualche grattacapo con driver incompatibili; conoscere a fondo come funzionano, come abilitarli o disabilitarli, come convalidarli con Win32_DeviceGuard e msinfo32 e quali alternative esistono quando non sono praticabili, consente di regolare l'equilibrio ideale tra prestazioni e protezione in base all'uso effettivo che si fa del PC o della propria infrastruttura. Condividi la guida e più persone impareranno tutto sull'isolamento del core e sull'integrità della memoria in Windows.