如何在 Win11 中开启核心隔离保护内核完整性教程

Windows 11需启用内存完整性（HVCI）以防御勒索病毒等内核级攻击，前提为BIOS中开启CPU虚拟化，再通过Windows安全中心、组策略（专业版）或注册表（家庭版）启用，并用msinfo32验证“基于虚拟化的安全性”和“内存完整性”均显示“已启用”。

你正面临勒索病毒加密文档、恶意软件静默提权或零日漏洞利用等风险，而系统提示“核心隔离未启用”“内存完整性关闭”，说明 Windows 11 的内核级主动防护机制尚未激活——这会直接导致 Defender 对高权限攻击行为失去拦截能力。

确认硬件虚拟化已启用

核心隔离依赖 CPU 级虚拟化能力，若 BIOS/UEFI 中该功能被禁用，后续所有软件层操作均无效且开关必然灰显。

按下 Ctrl + Shift + Esc 打开任务管理器 → 切换到「性能」选项卡 → 左侧点击「CPU」→ 右侧查看「虚拟化」状态是否为“已启用”。

若显示“已禁用”，需立即重启电脑，在开机自检阶段反复按 Del、F2、F10 或 Esc 进入 BIOS/UEFI 设置界面；Intel 平台进入 Advanced → CPU Configuration，AMD 平台进入 Security → SVM Mode，将对应选项设为 Enabled；保存退出后再次验证任务管理器中虚拟化状态已变为“已启用”。

【未启用硬件虚拟化时，后续所有方法均无效】

通过 Windows 安全中心一键启用内存完整性

这是最稳妥的图形化路径，系统会自动检测 CPU 虚拟化、驱动签名兼容性，并阻止不安全驱动加载，避免手动操作引发蓝屏。

按下 Win + I 打开设置 → 点击左侧“隐私和安全性” → 右侧点击“Windows 安全中心” → 在主界面点击“设备安全性”卡片 → 滚动到“内核隔离”区域，点击“核心隔离详细信息” → 将“内存完整性”开关设为【开启】。

系统会立即执行驱动签名兼容性扫描。若检测到不兼容驱动，会弹出黄色警告并自动关闭开关——此时不能跳过，必须先处理冲突驱动再重试。

确认无警告后，点击提示框中的「立即重新启动」。

用组策略编辑器强制启用（仅限专业版/企业版/教育版）

当安全中心界面灰显、锁定或反复提示不兼容却找不到具体驱动时，此方法可绕过图形层限制，直接注入策略指令。

方法一：策略路径直达

按下 Win + R 输入 gpedit.msc 并回车，以管理员权限打开组策略编辑器 → 依次展开：计算机配置 → 管理模板 → 系统 → Device Guard → 在右侧双击“启用基于虚拟化的安全性” → 选择“已启用”，勾选下方“启用内存完整性保护” → 点击“确定”关闭编辑器。

方法二：补充启用 VBS 基础组件（部分 OEM 系统必需）

仍在 gpedit.msc 中，导航至：计算机配置 → 管理模板 → 系统 → Device Guard → 双击“启用虚拟机平台” → 设为“已启用” → 点击“确定”。

完成全部设置后关闭编辑器，执行 shutdown /r /t 0 命令立即重启。

注册表底层激活 HVCI（适用于家庭版或图形界面异常）

操作前【必须创建系统还原点】，否则注册表误改可能导致系统无法启动。

第一步：以管理员身份运行注册表编辑器

按下 Win + R 输入 regedit 回车 → 点击“是”允许 UAC 提权。

第二步：定位到 HVCI 配置项

导航至路径：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity。

第三步：修改启用标志

在右侧找到名为 Enabled 的 DWORD 值，双击编辑 → 将数值数据改为 1 → 点击“确定”。

第四步：重启生效

执行 Restart-Computer -Force 命令，或手动重启电脑。

验证是否真正启用

重启后，必须验证 HVCI 是否成功加载，否则所有防护形同虚设。

按下 Win + R 输入 msinfo32 回车 → 在系统信息窗口中确认“基于虚拟化的安全性”与“内存完整性”两项均显示为【已启用】。

这一步不可跳过：若任一栏为“否”，说明 HVCI 未真正加载，所有后续防护形同虚设。