Kernisolatie (geheugenintegriteit) inschakelen lukt niet?

Kernisolatie (geheugenintegriteit) laat essentiële processen in een afgezonderde virtuele omgeving uitvoeren zodat malware e.d. de processen niet kunnen kapen. Deze extra beschermingsoptie van het geheugen bestaat al langer en is terug te vinden via Instellingen > Privacy en beveiliging (Windows 10: Bijwerken en beveiliging) > Windows-beveiliging > Apparaatbeveiliging, link Kerninsolatiedetails (bij Kernisolatie), optie Geheugenintegriteit.

Sinds kort probeert Windows om de optie Geheugenintegriteit automatisch te activeren. Dit kan echter alleen wanneer de geïnstalleerde hardware drivers (oftewel de stuurprogramma's) geschikt zijn voor kernisolatie, anders bestaat het risico op vastlopers. Zijn er ongeschikte hardware drivers dan wordt in het systeemvak de melding Los eventuele problemen met het stuurprogramma op en scan opnieuw getoond. Achterhaal in dat geval via de link Incompatibele stuurprogramma's controleren om welke drivers het gaat (wordt hier een groot aantal drivers vermeld, dan kan je er vanuit gaan dat het om de drivers van het moederbord gaat). Controleer vervolgens of er voor de betreffende hardware misschien recentere drivers beschikbaar zijn (dat kan via Instellingen > Windows Update > Geavanceerde opties > Optionele updates, dan wel via de website van de fabrikant). Als deze er niet zijn dan houdt het op en blijft kernisolatie voorlopig uitgeschakeld. Dat is op zich geen probleem, voorheen stond kernisolatie namelijk ook standaard uit.

Aanvulling Windows 11 22H2

Om te voorkomen dat aanmeldgegevens van gebruikers misbruikt kunnen worden, is kernisolatie bij Windows 11 met een recente update uitgebreid naar de lokale beveiligingsinstanties (Local Security Authority). Met deze zogenaamde LSA-beveiliging wordt de toegang van onveilige processen tot aanmeldgegevens aan banden gelegd. Bij menig Windows 11-gebruiker zorgt deze update voor een vage melding (waarbij kernisolatie wederom niet ingeschakeld kan worden). Of deze melding zich ook op jouw pc voordoet, is te controleren via Instellingen > Privacy en beveiliging > Windows-beveiliging > Apparaatbeveiliging, link Kerninsolatiedetails (bij Kernisolatie). Hier worden de meldingen Geheugenintegriteit is uitgeschakeld. Uw apparaat is mogelijk kwetsbaar en Beveiliging voor lokale beveiligingsinstanties is uitgeschakeld. Uw apparaat is mogelijk kwetsbaar weergegeven. Het heeft geen zin om de optieste activeren (als dat al mogelijk is), bij een herstart worden ze namelijk automatisch weer uitgeschakeld.

Dit is 'op te lossen' door met de register-editor bij de registersleutel HKLM \SYSTEM \CurrentControlSet \Control \Lsa de DWORD-registerwaarden RunAsPPL en RunAsPPLBoot met de waarde 2 toe te voegen. Na het opnieuw opstarten van Windows 11 zal de optie Beveiliging van lokale beveiligingsinstanties zijn ingeschakeld, waarna de optie Geheugenintegriteit handmatig ingeschakeld kan worden. Vind je deze registertweak teveel werk, wacht dan totdat Microsoft zelf met een oplossing via Windows Update komt.

Aanvulling Mei 2022

Sinds enige tijd speelt er een aanverwant 'probleempje'. Bij menig Windows 11-installatie wordt nu namelijk in het venster van Windows-beveiliging (zie Instellingen > Privacy en beveiliging > Windows-beveiliging) bij onderdeel Apparaatbeveiliging de melding getoond dat "een actie wordt aanbevolen". Wordt dit onderdeel geopend dan is te lezen dat 'de beveiliging van lokale beveiligingsinstanties is uitgeschakeld en dat het apparaat mogelijk kwetsbaar is' (zie afbeelding). Een vage mededeling waar ik zelf in eerste instantie ook geen tabak van kon maken...

Wordt vervolgens op de link Kernisolatiedetails geklikt, dan wordt duidelijk waar deze melding over gaat: de ingeschakelde optie Blokkeringslijst voor Microsoft-kwetsbare stuurprogramma's blijkt ontoegankelijk te zijn: