Kernisolatie (geheugenintegriteit) inschakelen lukt niet?

Vraag van Rudi:

Windows-beveiliging geeft met een melding in het systeemvak aan dat geheugenintegriteit is uitgeschakeld en dat mijn apparaat mogelijk kwetsbaar is. Klik ik door naar venster Instellingen dan lukt het niet om kernisolatie in te schakelen. Hoe kan ik dit in orde brengen?

Antwoord:

Kernisolatie (geheugenintegriteit) laat essentiŽle processen in een afgezonderde virtuele omgeving uitvoeren zodat malware e.d. de processen niet kunnen kapen. Deze extra beschermingsoptie van het geheugen bestaat al langer en is terug te vinden via Instellingen > Privacy en beveiliging (Windows 10: Bijwerken en beveiliging) > Windows-beveiliging > Apparaatbeveiliging, link Kerninsolatiedetails (bij Kernisolatie), optie Geheugenintegriteit.

Kernisolatie: geheugenintegriteit (uw apparaat is mogelijk kwetsbaar)

Sinds kort probeert Windows om de optie Geheugenintegriteit automatisch te activeren. Dit kan echter alleen wanneer de geÔnstalleerde hardware drivers (oftewel de stuurprogramma's) geschikt zijn voor kernisolatie, anders bestaat het risico op vastlopers. Zijn er ongeschikte hardware drivers dan wordt in het systeemvak de melding Los eventuele problemen met het stuurprogramma op en scan opnieuw getoond. Achterhaal in dat geval via de link Incompatibele stuurprogramma's controleren om welke drivers het gaat (wordt hier een groot aantal drivers vermeld, dan kan je er vanuit gaan dat het om de drivers van het moederbord gaat). Controleer vervolgens of er voor de betreffende hardware misschien recentere drivers beschikbaar zijn (dat kan via Instellingen > Windows Update > Geavanceerde opties > Optionele updates, dan wel via de website van de fabrikant). Als deze er niet zijn dan houdt het op en blijft kernisolatie voorlopig uitgeschakeld. Dat is op zich geen probleem, voorheen stond kernisolatie namelijk ook standaard uit.

Aanvulling Windows 11 22H2

Om te voorkomen dat aanmeldgegevens van gebruikers misbruikt kunnen worden, is kernisolatie bij Windows 11 met een recente update uitgebreid naar de lokale beveiligingsinstanties (Local Security Authority). Met deze zogenaamde LSA-beveiliging wordt de toegang van onveilige processen tot aanmeldgegevens aan banden gelegd. Bij menig Windows 11-gebruiker zorgt deze update voor een vage melding (waarbij kernisolatie wederom niet ingeschakeld kan worden). Of deze melding zich ook op jouw pc voordoet, is te controleren via Instellingen > Privacy en beveiliging > Windows-beveiliging > Apparaatbeveiliging, link Kerninsolatiedetails (bij Kernisolatie). Hier worden de meldingen Geheugenintegriteit is uitgeschakeld. Uw apparaat is mogelijk kwetsbaar en Beveiliging voor lokale beveiligingsinstanties is uitgeschakeld. Uw apparaat is mogelijk kwetsbaar weergegeven. Het heeft geen zin om de optieste activeren (als dat al mogelijk is), bij een herstart worden ze namelijk automatisch weer uitgeschakeld.

Beveiliging voor lokale beveiligingsinstanties is uitgeschakeld. Uw apparaat is mogelijk kwetsbaar

Dit is 'op te lossen' door met de register-editor bij de registersleutel HKLM \SYSTEM \CurrentControlSet \Control \Lsa de DWORD-registerwaarden RunAsPPL en RunAsPPLBoot met de waarde 2 toe te voegen. Na het opnieuw opstarten van Windows 11 zal de optie Beveiliging van lokale beveiligingsinstanties zijn ingeschakeld, waarna de optie Geheugenintegriteit handmatig ingeschakeld kan worden. Vind je deze registertweak teveel werk, wacht dan totdat Microsoft zelf met een oplossing via Windows Update komt.

Aanvulling Mei 2022

Bij menig Windows 11-installatie wordt bij onderdeel Apparaatbeveiliging (van Instellingen > Privacy en beveiliging > Windows-beveiliging) aangegeven dat "een actie wordt aanbevolen". Ook deze melding heeft met kernisolatie te maken en kan met de link Sluiten worden genegeerd.

Worden via de link Kernisolatiedetails de details rondom kernisolatie weergegeven, dan blijkt dat de ingeschakelde optie Blokkeringslijst voor Microsoft-kwetsbare stuurprogramma's ontoegankelijk is (deze blokkeringslijst moet voorkomen dat malafide hardware-drivers controle over Windows krijgen). Deze functionaliteit bevindt zich nog in een testfase en wordt later door een update van Microsoft alsnog ingeschakeld (zie het derde roze kader).

© 2001-2023 - - SchoonePC - Rotterdam - Privacyverklaring