Si uses Windows 10 o Windows 11 i et preocupa la seguretat, segurament hauràs vist a Seguretat de Windows les opcions de aïllament del nucli (Core Isolation) y integritat de memòria. A molts usuaris els apareixen avisos del tipus “La integritat de memòria està desactivada, el teu dispositiu pot ser vulnerable” i no sempre és clar què significa això ni com s'activa correctament sense embolicar-la, i si vols aprofundir en com blindar el teu Windows podeu consultar més recursos.
En aquesta guia trobaràs una explicació molt completa, però en llenguatge clar, de què és exactament Aïllament del nucli, com funciona la integritat de memòria, quins requisits té, com habilitar-ho tant des de les opcions gràfiques de Windows com des de la línia d'ordres o mitjançant directives avançades, i què fer si en activar-ho et surten errors, pantalles blaves o pèrdua de rendiment. La idea és que puguis decidir amb fonament si t'interessa tenir-ho activat i, sobretot, que sàpigues configurar-ho sense por. Pots consultar també la nostra guia completa de seguretat i privadesa.
Què és Core Isolation i quin paper juga la integritat de memòria
L'anomenat aïllament del nucli (Core Isolation) és una tecnologia de seguretat avançada integrada a Windows que es recolza en la seguretat basada en virtualització (VBS). Bàsicament, Windows crea un petit entorn virtual aïllat dins del propi sistema, que actua com a zona de màxima confiança i des del qual es vigila el que passa al nucli i en altres processos crítics.
Dins aquest entorn protegit entra en acció la integritat de memòria, També coneguda com HVCI (Hypervisor-Enforced Code Integrity). Aquesta característica obliga que el codi que s'executa en mode kernel estigui degudament signat i verificat, i controla de manera molt estricta com s'assigna i es modifica la memòria del nucli, bloquejant intents típics de molts tipus de codi maliciós que tracten d'injectar-se al cor del sistema.
Quan actives Core Isolation i la integritat de memòria, Windows aixeca una mena de “muralla virtual” al voltant del nucli: l'hipervisor de Windows aïlla una part de la memòria on s'executen les comprovacions d'integritat de codi, i el mateix nucli passa a estar molt més controlat. Això complica enormement a qualsevol atacant la tasca de modificar estructures internes del sistema o de carregar controladors maliciosos.
Tot això forma part d'un canvi de model de seguretat a Windows: ja no s'assumeix que el nucli sigui intocable, sinó que es parteix de la idea que pot ser atacat i es reforça amb una capa addicional que s'executa en aquest entorn virtual aïllat. És un enfocament semblant a tenir un “micro sistema operatiu” dedicat a vigilar el sistema principal.
Funcions i avantatges de la integritat de memòria
La integritat de memòria no és només “un interruptor més” a Seguretat de Windows. És un dels components clau de la VBS i aporta diverses capes de protecció específiques davant d'atacs al nucli i als controladors.
D'una banda, aquesta funció protegeix el mapa de bits de Control Flow Guard (CFG) per a controladors de manera kernel. CFG és una tecnologia que intenta evitar que el flux dexecució dun programa es desviï a zones de memòria inesperades.
A més, la integritat de memòria protegeix el procés d'integritat de codi en mode kernel, que és l'encarregat de verificar que els processos i controladors considerats de confiança tenen certificats vàlids i no han estat manipulats. D'aquesta manera, no només es vigila els altres, sinó també qui vigila, reduint el risc que el mecanisme de seguretat sigui sabotejat.
Una altra aportació important és que restringeix de forma estricta les assignacions de memòria del nucli. Moltes tècniques d'escalada de privilegis o de rootkits consisteixen precisament a aconseguir que el sistema reservi memòria d'una manera concreta per injectar codi maliciós.
A la pràctica, tot això es tradueix en una millora notable del model d'amenaces de Windows: el kernel passa de ser un objectiu relativament accessible per a certes famílies de codi maliciós sofisticat a estar bastant més blindat, especialment quan es combina amb altres característiques com Credential Guard o altres proteccions basades en maquinari, així com ASR a Windows.
A la pràctica, tot això es tradueix en una millora notable del model d'amenaces de Windows: el nucli passa de ser un objectiu relativament accessible per a certes famílies de codi maliciós sofisticat a estar força més blindat, especialment quan es combina amb altres característiques com Credential Guard o altres proteccions basades en maquinari.
Què protegeix exactament Core Isolation al teu PC
Per entendre bé què aporta aquesta funció, ve bé distingir entre maquinari primari y maquinari perifèric. L'aïllament del nucli i la integritat de memòria se centren sobretot a protegir el camí que uneix el sistema amb aquest maquinari primari (placa base, CPU, GPU, RAM, unitat d'emmagatzematge principal…), que és on es juguen les coses més delicades.
Mentrestant, tot el que es connecta mitjançant USB o altres ports (memòries externes, ratolins, teclats, impressores, mòbils, etc.) es considera maquinari perifèric. Encara que aquests dispositius no siguin el cor de l'equip, són una de les principals portes d'entrada de codi maliciós (malware). La integritat de memòria ajuda a que, encara que un d'aquests dispositius estigui compromès o utilitzeu un controlador vulnerable, us resultarà més difícil atacar directament el nucli.
Convé remarcar que aquesta funció no substitueix l'antivirus. Windows Defender (o Microsoft Defender) segueix sent imprescindible per analitzar arxius, processos i trànsit de xarxa, i és part de l'estratègia per a protegir el teu PC d'hackeigs i atacs. L'aïllament de nucli i la integritat de memòria actuen com a complement de baix nivell que entra en joc quan un atac intenta anar directe al sistema operatiu. La combinació de totes dues coses reforça molt la seguretat general.
Això sí, aquesta protecció extra té la seva cost en recursos. Igual que un control d'accés amb més passos triga més a deixar-te entrar a casa, com més comprovacions fa Windows sobre el codi que es carrega al nucli, més temps i potència de CPU consumeix. En equips molt ajustats o en situacions com a jocs exigents, això es pot notar.
Avantatges i desavantatges: seguretat vs rendiment
Activar Core Isolation i la integritat de memòria augmenta de forma clara la seguretat del sistema, però no tot són flors. Molts usuaris han observat que, després d'activar aquestes opcions, els FPS en jocs es redueixen o que el sistema se sent una mica més pesat, especialment en ordinadors que ja anaven al límit quant a maquinari.
També hi ha casos en què, en activar l'aïllament del nucli, apareixen pantalles blaves (BSOD) o bloquejos estranys. A la majoria d'aquestes situacions l'origen sol ser el mateix: controladors incompatibles o mal dissenyats que no compleixen les regles més estrictes d'integritat de codi que exigeix HVCI.
D'altra banda, si l'ús que fas de l'ordinador és relativament conservador (no descarregues programari rar, visites webs de confiança, mantens actualitzat el sistema i deixes actiu Microsoft Defender), potser no notis una diferència enorme de seguretat en activar Core Isolation, mentre que sí que pots notar la pèrdua de rendiment, sobretot en jocs o aplicacions molt intensives.
La recomanació assenyada sol ser la següent: si el teu equip és relativament modern, compleix els requisits de virtualització, no mostra errors en activar la funció i no aprecies problemes de rendiment rellevants, val la pena deixar Core Isolation activat. Si, per contra, comences a patir caigudes fortes de rendiment o inestabilitat, pots valorar desactivar-lo o fer-lo servir només en moments concrets.
En qualsevol cas, fins i tot amb totes aquestes funcions activades, la peça clau continua sent el mateix usuari: evitar descàrregues estranyes, no obrir adjunts sospitosos, no visitar webs tèrboles i mantenir tot actualitzat segueix sent la millor defensa. La tecnologia ajuda, però no fa miracles si es navega sense cura.
Com activar Core Isolation i integritat de memòria des de Seguretat de Windows
La manera més directa i visual d'activar l'aïllament del nucli i la integritat de memòria és a través de la pròpia aplicació Seguretat de Windows, que ve integrada tant a Windows 10 com a Windows 11. Els passos són molt semblants en ambdós sistemes, encara que el menú canviï una mica de nom.
Al Windows 11, podeu obrir l'aplicació prement Windows+I per anar a Configuració i després entrant a Privadesa i seguretat > Seguretat de Windows, on veuràs un botó per obrir-la. També podeu cercar “Seguretat de Windows” des del menú Inici o fer clic a la icona d'escut blau que sol aparèixer a la safata del sistema.
Un cop dins de Seguretat de Windows, aneu a la secció Seguretat de el dispositiu. Aquí trobareu l'apartat anomenat Aïllament del nucli (Core Isolation). És probable que vegis un missatge indicant-te que la integritat de memòria està desactivada i que el teu equip pot ser vulnerable si no l'actives.
Fes clic a Detalls d'aïllament del nucli. S'obrirà una pantalla amb diverses opcions avançades. La més important és l'interruptor de Integritat de memòria: en activar-lo, Windows començarà a aplicar aquestes polítiques d'integritat de codi reforçades al nucli, impedint la càrrega de controladors o codi potencialment maliciós.
En aquesta mateixa secció també podeu trobar, segons la versió de Windows, l'opció Llista de bloquejats de controladors vulnerables de Microsoft. Aquesta funció, que ja està activada, impedeix que es carreguin certs controladors coneguts per tenir vulnerabilitats greus. Combinada amb la integritat de memòria, ofereix una capa extra de seguretat davant de drivers problemàtics.
Com habilitar integritat de memòria i VBS amb ordres i Registre
Si gestiones diversos ordinadors o vols un control més fi, també és possible activar Core Isolation i la integritat de memòria mitjançant la línia d'ordres, modificant directament determinades claus del Registre de Windows. Això és molt útil en entorns corporatius o quan vols automatitzar la configuració.
Per començar, obre el Símbol del sistema com a administrador. Clica Windows + S, escriu “cmd”, fes clic dret sobre “Símbol del sistema” i selecciona “Executar com a administrador”. Accepteu l'avís del Control de comptes d'usuari si apareix.
La clau principal per a la integritat de memòria és a HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenaris\HypervisorEnforcedCodeIntegrity. Dins aquesta branca, el valor habilitat controla si HVCI està activat (1) o desactivat (0). Amb una ordre similar a aquesta pots activar-la:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v Enabled /t REG_DWORD /d 1 /f
Core Isolation depèn que la seguretat basada en virtualització (VBS) estigui habilitada. Això es controla des de la clau HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard. Aquí tens diversos valors importants: per exemple, Activa la seguretat basada en la virtualització (per encendre la VBS), RequirePlatformSecurityFeatures (per exigir arrencada segura i protecció DMA amb diferents valors) i bloquejat (per indicar si s'estableix o no bloqueig UEFI).
Un conjunt d'ordres típic per configurar VBS i HVCI sense bloquejar res de forma permanent al microprogramari podria ser una cosa així, sempre executat en una consola amb privilegis elevats:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
Ús d'App Control per a empreses i PowerShell
En organitzacions que despleguen polítiques de seguretat en molts equips, Microsoft ofereix una altra via per activar la integritat de memòria: App Control for Business (Control d'aplicacions per a empreses), hereu de Windows Defender Application Control. Des d´aquí es pot incloure HVCI com a part d´una política centralitzada.
Una forma habitual és fer servir el Assistent per a control d'aplicacions, que guia a la creació o modificació de la política. Dins aquest assistent, a la pàgina de regles de directiva, és possible marcar l'opció Integritat de codi protegida per hipervisor, el que indica que es vol activar la integritat de memòria en tots els dispositius que apliquin aquesta política.
Una altra alternativa és emprar el cmdlet de PowerShell Set-HVCIOptions, que permet configurar diferents modes de funcionament de HVCI, com a auditoria, forçat, etc. Això resulta molt pràctic si vols provar primer la compatibilitat dels teus controladors en mode auditoria abans de passar a una manera estrictament forçada.
Finalment, qui tingui experiència amb XML pot editar directament el fitxer de política d'App Control i modificar el valor de l'element <HVCIOptions>. D'aquesta manera es controla amb força detall com s'aplica la integritat de memòria en un entorn on es gestionen molts equips alhora.
Tot aquest enfocament està més orientat a empreses, però ve bé saber que la integritat de memòria es pot governar tant des de la interfície d'usuari com des d'eines d'administració de polítiques i scripts segons les necessitats de cada entorn.
Com comprovar si VBS i integritat de memòria estan realment actius
Quan has activat VBS i la integritat de memòria, és lògic preguntar-se si de debò estan funcionant o si alguna cosa s'ha quedat a mitges. Windows ofereix diverses maneres de comprovar-ho, tant gràfiques com mitjançant ordres.
Una de les més completes és fer servir la classe WMI Win32_DeviceGuard, accessible des d'una sessió de PowerShell amb privilegis d'administrador. Executant una ordre com aquesta pots obtenir un informe força detallat:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
La sortida d'aquesta ordre inclou camps com AvailableSecurityProperties, que enumera quines característiques de seguretat basades en maquinari són presents (suport d'hipervisor, arrencada segura, protecció DMA, proteccions NX, mitigacions SMM, MBEC/GMET, virtualització d'APIC, etc.), i RequiredSecurityProperties, que indica quines propietats són necessàries perquè VBS es pugui habilitar correctament.
També veuràs camps com SecurityServicesConfigured y SecurityServicesRunning, que mostren si serveis com Guàrdia de credencials o la integritat de memòria estan configurats i si realment s'estan executant. Per exemple, un valor que inclogui “2” sol indicar que la integritat de memòria està entre els serveis configurats o en execució, respectivament.
Un altre camp clau és VirtualizationBasedSecurityStatus, que us dirà si la VBS està desactivada (0), habilitada però no en execució (1) o habilitada i funcionant plenament (2). Perquè Core Isolation funcioni com a toca, l'ideal és que aquest valor sigui 2.
Si prefereixes alguna cosa més visual i menys tècnica, pots recórrer a msinfo32.exe. Executa aquest programa (per exemple, escrivint “msinfo32” al quadre de cerca de Windows) des d'una sessió amb privilegis elevats. A la part inferior del Resum de sistema veureu un bloc dedicat a les característiques de VBS, on s'indica si està habilitada i quines proteccions relacionades estan actives.
Integritat de memòria a màquines virtuals Hyper-V
La integritat de memòria i Core Isolation no només serveixen per a equips físics. També és possible activar-los dins d'una màquina virtual de Hyper-V, sempre que es compleixin certs requisits. En aquest escenari, la VM gaudeix de les mateixes proteccions que un PC físic davant de codi maliciós que intenti atacar el nucli de la màquina convidada.
Per a això, el host de Hyper-V ha dexecutar com a mínim Windows Server 2016 o Windows 10 versió 1607, i la màquina virtual ha de ser de generació 2 i executar una versió de Windows compatible. Dins de la VM, els passos per activar Core Isolation són els mateixos que en un equip normal.
És important entendre que la integritat de memòria a la màquina virtual protegeix el convidat, no el host. L'administrador del host continua tenint capacitat per controlar la configuració de la VM i, de fet, pot desactivar la participació d'aquesta màquina virtual a la VBS amb ordres com:
Set-VMSecurity -VMName <NombreVM> -VirtualizationBasedSecurityOptOut $true
Core Isolation i integritat de memòria són dues peces clau del reforç de seguretat de Windows: recolzant-se en la virtualització de maquinari, afegeixen una capa de protecció molt profunda sobre el nucli i els controladors, amb la capacitat de frenar atacs sofisticats que abans tenien el camí més lliure; ara bé, la seva activació exigeix complir certs requisits de maquinari i assumir que, en alguns equips o usos molt exigents, es pot pagar un preu en rendiment o compatibilitat de controladors, per la qual cosa convé valorar-ne l'ús amb calma i recolzar-se sempre en bones pràctiques de seguretat a l'hora de navegar i instal·lar programari.
