La configuració de Core Isolation i Integritat de memòria a Windows s'ha convertit en un tema clau per a qualsevol que busqui un plus de seguretat al vostre PC, sobretot en entorns on el malware i els atacs al sistema estan a l'ordre del dia. Encara que a primera vista pugui semblar una funció «amagada» entre els ajustaments avançats, la veritat és que té un paper fonamental a l'hora de blindar el nucli del sistema operatiu.
A les properes línies trobaràs una guia molt completa on s'explica què és exactament l'aïllament de nucli, com funciona la integritat de memòria basada en virtualització (VBS), quins requisits i limitacions té, com activar-la o desactivar-la tant des de la interfície gràfica com mitjançant Registre, PowerShell o directives, i quin impacte real pot tenir en el rendiment i la compatibilitat del vostre equip.
Què és Core Isolation a Windows i per a què serveix?
L'anomenat aïllament del nucli (Core Isolation) és una característica de seguretat avançada integrada a Windows 10, Windows 11 i Windows Server que es recolza a la seguretat basada en virtualització (VBS). El seu objectiu és executar certs components crítics del sistema operatiu en un entorn aïllat de la resta de processos, reduint moltíssim la superfície d'atac davant malware i exploits que intenten comprometre el nucli.
Quan actives Core Isolation, el sistema crea un entorn virtual protegit aprofitant l'hipervisor de Windows. En aquest espai aïllat s'executen funcions d'alta seguretat, de manera que el codi maliciós que aconsegueixi executar-se al sistema normal no pugui interactuar fàcilment amb el nucli ni manipular estructures de memòria crítiques. Aquesta separació lògica funciona com una barrera extra entre el sistema i tot el que vingui de fora, ja sigui un fitxer adjunt infectat, un programa de procedència dubtosa o un controlador defectuós.
Imagina que obris un correu electrònic amb un adjunt maliciós. Sense aquest aïllament, un exploit podria aprofitar vulnerabilitats del sistema per escalar privilegis i arribar fins al nucli. Amb Core Isolation habilitat, gran part de la lògica crítica es troba protegida en aquest entorn virtualitzat, de manera que el codi maliciós veu molt limitat el seu marge de maniobra, encara que hagi aconseguit executar-se amb permisos elevats a la part no aïllada del sistema.
Què és la Integritat de memòria i quin paper juga a VBS?
Dins de Core Isolation, la peça estrella és l'anomenada Integritat de memòria, també coneguda com HVCI (Hypervisor-Enforced Code Integrity). Aquesta funcionalitat trasllada la comprovació d'integritat del codi que s'executa en mode kernel a l'entorn segur de VBS, de manera que l'hipervisor actua com a arrel de confiança i supervisa que només es carregui codi signat i legítim al nucli.
Amb Integritat de memòria activa, el sistema restringeix les assignacions de memòria del nucli que podrien ser utilitzades per a atacs d'injecció de codi o per desactivar mecanismes de seguretat. En executar-se la validació d'integritat a l'entorn aïllat, un atacant que arribi a comprometre el nucli tradicional ho té molt més difícil per desactivar aquestes proteccions, perquè el procés de verificació mateix està fora del seu abast.
Entre les funcions internes més rellevants, la integritat de memòria s'encarrega de protegir el mapa de bits de Control Flow Guard (CFG) aplicat a controladors en mode kernel i de blindar el procés d'integritat de codi que valida que altres processos privilegiats tinguin certificats vàlids. Aquestes mesures limiten notablement els intents de redirigir fluxos d'execució cap a codi maliciós o de carregar binaris no fiables al nucli.
Requisits i compatibilitat de l´aïllament de nucli
Tot i que Windows integra aquestes funcions de sèrie, no tots els equips són compatibles o les tenen activades per defecte. Perquè Core Isolation i la integritat de memòria funcionin correctament, el maquinari i el microprogramari han de complir una sèrie de condicions: suport de virtualització per maquinari (Intel VT-x, AMD-V), arrencada segura, certes extensions de CPU com MBEC/GMET i, en entorns de servidor o virtualització, capacitats addicionals per aïllament.
En molts casos, aquestes opcions depenen també de la configuració de la BIOS/UEFI. Si la virtualització o l'arrencada segura estan desactivades a nivell de microprogramari, VBS no es podrà iniciar i les funcions d'aïllament del nucli no estaran disponibles, encara que les activeu des del Windows. A més, alguns controladors antics o poc mantinguts poden resultar incompatibles amb aquestes tecnologies, provocant errors, pantalles blaves com l'error IRQL_NOT_LESS_OR_EQUAL o directament impedint lactivació de la integritat de memòria.
Com activar o desactivar Core Isolation des de Seguretat de Windows?
La forma més senzilla i més ben orientada per a usuaris domèstics o d'oficina és gestionar l'aïllament del nucli des de la pròpia aplicació Seguretat de Windows, on s'agrupen la majoria de paràmetres de seguretat del sistema en un únic panell.
Per revisar i modificar aquestes opcions, pots seguir una seqüència semblant a aquesta a Windows 10 i Windows 11: obris l'app Seguretat de Windows des de la icona d'escut a la safata o amb la cerca, entres a Seguretat de el dispositiu i localitzes el bloc de Aïllament del nucli. En aquesta pantalla sol aparèixer un missatge indicant si la integritat de memòria està activada o no, juntament amb un avís de vulnerabilitat potencial quan roman deshabilitada.
dins Detalls d'aïllament del nucli trobaràs l'interruptor per activar o desactivar la Integritat de memòria, així com l'opció anomenada llista de bloquejats de controladors vulnerables de Microsoft, que impedeix que es carreguin drivers coneguts per presentar fallades greus. Un cop actives la integritat de memòria, el sistema us demanarà reiniciar l'ordinador per aplicar els canvis i, en tornar a iniciar, hauríeu de veure una icona verda de confirmació al costat de l'apartat d'aïllament del nucli.
Si, en engegar-la, apareixen problemes de rendiment, caigudes de FPS en jocs o fins i tot cops de pantalla blava, sempre pots tornar a aquest mateix panell i apagar l'interruptor. Windows permet canviar aquest ajustament tantes vegades com vulguis, la qual cosa resulta pràctic si, per exemple, vols activar-lo només en moments concrets (com quan maneges unitats USB desconegudes o instal·les programari de procedència dubtosa).
Impacte en rendiment i quan convé activar-lo o no
Convé tenir clar que Core Isolation i, especialment, la integritat de memòria, no són funcions gratuïtes en termes de rendiment. Cada capa addicional de seguretat implica més comprovacions, més validacions de codi i més treball per a la CPU a l'hora d'examinar què s'executa al sistema. A PCs potents potser amb prou feines es noti, però en equips més justos o quan es juga a títols exigents sí que es pot apreciar una caiguda de FPS o una resposta menys fluida.
Molts usuaris han reportat que, després d'activar l'aïllament del nucli, jocs i aplicacions gràfiques van una mica pitjor, i que en desactivar-ho recuperen la fluïdesa prèvia. En alguns casos puntuals, fins i tot s'han trobat amb errors crítics com el BSOD Critical_Process_Died en intentar activar-ho, especialment si hi havia drivers antics o mal dissenyats que no es portaven bé amb aquestes proteccions.
Per això, té sentit valorar-ne el context d'ús. Si utilitzes el PC fonamentalment per jugar i tasques d'alt rendiment en un entorn relativament controlat, amb bons hàbits de seguretat (no descarregar executables sospitosos, evitar webs tèrboles, mantenir Windows Defender actualitzat), potser prefereixis deixar Core Isolation desactivat per esprémer al màxim el maquinari. Si, en canvi, navegues molt, obres adjunts amb freqüència, connectes dispositius externs de tercers o l'equip s'usa de forma compartida en biblioteques, oficines o centres educatius, és força recomanable sacrificar una mica de rendiment a canvi d'una seguretat notablement més gran.
Integritat de memòria i aïllament del maquinari: com protegeix el sistema
Quan es parla d'aquesta funció també s'esmenta sovint que separa processos d'alta seguretat de la resta del sistema, establint una barrera virtual entre el que podríem considerar maquinari primari (placa base, CPU, GPU, RAM i emmagatzematge principal) i el maquinari perifèric (dispositius USB, impressores, discos externs…). La idea és que qualsevol interacció amb components crítics passi per filtres més estrictes.
Aquesta protecció no substitueix Windows Defender ni a altres solucions antimalware tradicionals, sinó que les complementa. L'antivirus continua sent l'encarregat d'analitzar arxius, detectar patrons de codi maliciós i bloquejar amenaces conegudes, mentre que l'aïllament del nucli vigila els vectors d'atac al mateix nucli i les estructures de memòria més sensibles. És habitual que es recomana mantenir Windows Defensar activat sempre i, de manera opcional, afegir-hi programari de seguretat imprescindible depenent de les necessitats concretes.
Com activar l'aïllament del nucli al Windows 11 pas a pas?
A Windows 11, el procés per posar en marxa aquesta funció és força directe i no requereix tocar res al Registre si no vols complicar-te. A grans trets, es tracta d'accedir a la configuració del sistema, entrar a la secció de seguretat i localitzar el panell de Seguretat de Windows per activar l'aïllament del nucli i la seva integritat de memòria.
El recorregut típic consisteix a obrir la Configuració de Windows (per exemple amb Win + I), anar a Privadesa i seguretat, Entrar a Seguretat de Windows i prémer el botó que obre l'aplicació. Des d'aquí, al menú lateral, tries Seguretat de el dispositiu, localitzes el bloc d'Aïllament del nucli, accedeixes als detalls i actives el control de Integritat de memòria si està apagat. Després de tancar la finestra i reiniciar el sistema, la funció queda habilitada; per a consells generals sobre com millorar la seguretat a Windows 11 pots revisar guies complementàries.
Aquest mateix mecanisme el pots repetir tantes vegades com vulguis. En alguns escenaris pot ser útil encendre'l de manera puntual, per exemple quan connectaràs un USB procedent d'una altra persona, quan treballes amb discs externs d'origen desconegut o si comparteixes l'equip amb diversos usuaris. Encara que no sigui un escut infal·lible, redueix les possibilitats que un codi maliciós aprofiti una fallada en un controlador per colar-se a nivell de kernel.
Activació a Windows 10 i similituds amb Windows 11
A Windows 10 també hi ha l'aïllament del nucli i la integritat de memòria, i la forma d'activar-ho és molt semblant a la de Windows 11, amb petites diferències als noms d'alguns menús. Novament, el camí passa pel panell de Configuració, la secció de seguretat i l'app Seguretat de Windows.
En aquest cas, obris Configuració, entres a Actualització i seguretat, tries Seguretat de Windows i després la categoria de Seguretat de el dispositiu. Aquí veureu l'apartat d'aïllament del nucli i, dins dels detalls, el commutador per encendre o apagar la integritat de memòria. Pots canviar aquest ajustament sempre que et faci falta, cosa interessant si alternes períodes de navegació intensiva per Internet amb sessions de gaming on prefereixes rascar cada FPS disponible.
Activar Integritat de memòria i VBS des de la línia d'ordres (Registre)
Per a entorns corporatius o usuaris avançats que vulguin automatitzar la configuració de VBS i la integritat de memòria, el Registre de Windows ofereix un control força granular. A través de l'eina de línia d'ordres REG podeu afegir i modificar les claus necessàries perquè l'hipervisor i les proteccions basades en virtualització s'activin en arrencar; abans de fer-ho és recomanable crear còpies de seguretat del registre.
Una configuració habitual és habilitar virtualització basada en seguretat, exigir determinades característiques de plataforma, activar la integritat de codi reforçada per l'hipervisor i ajustar el bloqueig UEFI. Per això, es modifiquen entrades sota la clau HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard i el seu subclau Scenaris\HypervisorEnforcedCodeIntegrity, ajustant valors com EnableVirtualizationBasedSecurity, RequirePlatformSecurityFeatures, Locked, Enabled o Mandatory, tots ells en format REG_DWORD amb valors numèrics que defineixen el comportament.
Per exemple, pots establir VBS sense integritat de memòria només activant Activa la seguretat basada en la virtualització, o bé combinar-ho amb la clau RequirePlatformSecurityFeatures per exigir arrencada segura (valor 1) o arrencada segura més protecció DMA (valor 3). El paràmetre bloquejat permet definir si el bloqueig UEFI s'aplica o no i l'opció obligatori fa que el sistema no continuï l'arrencada si l'hipervisor, el nucli segur o un dels seus mòduls dependents no es carreguen correctament.
Al subarbre de HypervisorEnforcedCodeIntegrity, el valor habilitat controla directament si s'activa la integritat de memòria, mentre que la clau bloquejat per a aquest mateix escenari decideix si queda fixada amb bloqueig UEFI. A més, hi ha un valor denominat WasEnabledBy que s'usa per controlar com es presenta la interfície gràfica a l'usuari: si s'elimina, la UI mostra el missatge de "This setting is managed by your administrator" i el commutador apareix deshabilitat; si s'estableix amb un valor concret, la interfície es torna a comportar de manera normal.
Gestió mitjançant App Control per a empreses i PowerShell
En desplegaments empresarials on se centralitzen polítiques de seguretat, App Control per a empreses (abans Windows Defender Application Control) ofereix una altra via per habilitar la integritat de memòria de manera més estructurada. Des del vostre assistent de configuració es pot crear o editar una directiva de control d'aplicacions i marcar l'opció de Integritat de codi protegida per hipervisor a la pàgina de regles de la política.
A més de la interfície gràfica, és possible recórrer al cmdlet de PowerShell Set-HVCIOptions, dissenyat específicament per ajustar les opcions de HVCI, o editar directament l'XML de la directiva d'App Control, modificant el valor de l'element per activar les proteccions desitjades. Aquests enfocaments són especialment útils quan es vol aplicar la mateixa configuració a molts equips sense haver de tocar un per un, i es poden complementar amb polítiques de seguretat via secpol.msc en entorns gestionats.
Validar si VBS i Integritat de memòria estan activats
Per comprovar de manera precisa si la virtualització basada en seguretat i la integritat de memòria estan realment actives i en execució, Windows proporciona diverses eines orientades a administradors i usuaris avançats, entre les quals destaquen una classe WMI específica i el clàssic msinfo32.
La classe WMI Win32_DeviceGuard, accessible des de PowerShell amb permisos elevats mitjançant l'ordre Get-CimInstance i l'espai de noms root\Microsoft\Windows\DeviceGuard, retorna nombrosos camps relacionats amb les propietats de seguretat de VBS i HVCI. Entre ells destaquen:
L'identificador únic InstanceIdentifier i la versió de la classe, que actualment sol ser 1.0, així com la llista AvailableSecurityProperties, que indica quines característiques de seguretat basades en maquinari són presents al dispositiu, com suport d'hipervisor, arrencada segura, protecció de DMA, sobreescriptura segura de memòria, proteccions NX, mitigacions de SMM, MBEC/GMET o virtualització d'APIC.
El camp RequiredSecurityProperties especifica quins elements són necessaris perquè VBS pugui habilitar-se en aquest equip (per exemple, exigir arrencada segura o protecció DMA), mentre que SecurityServicesConfigured mostra si s'han configurat serveis com Credential Guard, integritat de memòria, System Guard Secure Launch, mesurament de microprogramari de SMM o protecció de pila en mode kernel, incloent-hi si aquesta última es troba en mode auditoria o d'aplicació forçada.
Relacionat amb l'anterior, SecurityServicesRunning indica quins serveis estan realment en execució en aquell moment, diferenciant entre configurat i operatiu. Altres camps importants són CodeIntegrityPolicyEnforcementStatus, que revela si la directiva d'integritat de codi del sistema està desactivada, en mode auditoria o en mode exigit; UsermodeCodeIntegrityPolicyEnforcementStatus, que ofereix la mateixa informació però centrada en el codi en mode usuari; i VirtualizationBasedSecurityStatus, que aclareix si VBS està desactivat, simplement habilitat però inactiu, o plenament habilitat i en marxa.
Finalment, VirtualMachineIsolation y VirtualMachineIsolationProperties indiquen el nivell d'aïllament de màquina virtual disponible i les tecnologies suportades, com AMD SEV-SNP, virtualització basada en seguretat o Intel TDX, rellevants quan es volen aplicar aquestes proteccions en entorns virtualitzats.
Si prefereixes una via més visual, pots executar msinfo32.exe amb permisos elevats, cosa que obrirà la finestra d'Informació del sistema. A la part inferior de la secció de Resum del sistema apareix un bloc dedicat a les característiques de VBS i els seus estats, on es detalla si la seguretat basada en virtualització està habilitada i quins components concrets estan actius.
Protecció de pila imposada per maquinari i relació amb Integritat de memòria
A la família de proteccions que giren al voltant de Core Isolation trobem la protecció de pila forçada per maquinari, una funció basada en capacitats específiques de CPU modernes (com Intel Control-Flow Enforcement Technology o AMD Shadow Stack) destinada a evitar que el codi maliciós manipuli adreces de retorn a la pila de manera kernel per redirigir l'execució cap a càrregues malicioses.
En processadors compatibles, la CPU manté una segona còpia de les adreces de tornada en una pila d'ombres de només lectura, inaccessible pels controladors normals. Si un programa o driver intenta modificar la direcció de tornada a la pila principal, la CPU detecta la discrepància comparant-la amb la referència guardada a la pila d'ombres. Quan això passa, el sistema dispara un error greu (el típic cop de pantalla blau) i atura l'execució, bloquejant l'intent de segrest del flux d'execució.
No tots els controladors són compatibles amb aquesta defensa, ja que alguns drivers legítims alteren adreces de tornada amb fins no maliciosos. Per això, Microsoft ha anat treballant amb múltiples fabricants perquè les seves versions més recents suportin la protecció de pila basada en maquinari. Aquesta funció es pot activar o desactivar mitjançant un commutador a la interfície de Seguretat de Windows, però perquè funcioni és imprescindible tenir la integritat de memòria habilitada i comptar amb una CPU que implementi les tecnologies esmentades.
Si en intentar activar-la el sistema avisa que existeix un controlador o servei incompatible, convé cercar actualitzacions a la web del fabricant del dispositiu o de l'aplicació implicada. De vegades, el component problemàtic és un servei associat a un controlador que només es carrega en iniciar el programa, per la qual cosa pot ser necessari desinstal·lar aquest programari o evitar-ne l'ús si es vol mantenir la protecció de pila habilitada.
Solució de problemes i reversió en cas de fallades
En activar VBS, integritat de memòria o la protecció de pila, és possible que en alguns equips certs controladors deixin de carregar-se o el sistema es torni inestable. En el millor dels casos, només caldrà actualitzar els drivers des de l'Administrador de dispositius o la web del fabricant; en situacions més greus, es pot produir un error crític durant l'arrencada.
Si després d'habilitar aquestes funcions el sistema no arrenca correctament o es comporta de forma erràtica, una opció és recórrer al Entorn de recuperació de Windows (Windows RE). Abans de res, convé desactivar les polítiques (per exemple, de directiva de grup) que es van fer servir per forçar VBS i HVCI. Després, arrenques l'equip afectat a Windows RE, inicies sessió i, des d'allà, pots canviar la clau de Registre corresponent per desactivar la integritat de memòria establint el valor Enabled de HypervisorEnforcedCodeIntegrity a 0. En reiniciar, el sistema hauria de tornar a arrencar sense aquesta protecció, cosa que sol restaurar l'estabilitat si el problema era de si el problema fos una fallada d'arrencada greu consulta la guia sobre el error INACCESSIBLE_BOOT_DEVICE.
En entorns on es vol a més gestionar els advertiments visuals que apareixen a Seguretat de Windows (com la icona d'exclamació groc quan es desactiva la integritat de memòria), la cosa es complica. No sempre n'hi ha prou amb tocar el Registre, i moltes vegades cal combinar directives de grup, Intune o altres eines de gestió per amagar aquests avisos sense haver d'anar equip per equip a descartar el missatge des de la interfície local, cosa que a més requereix permisos d'administrador.
Integritat de memòria a màquines virtuals Hyper-V
La integritat de memòria no només protegeix sistemes físics; també es pot aplicar a màquines virtuals que s'executen sobre Hyper-V, on actua de forma molt similar a com ho faria en un equip real. Des de dins de la màquina virtual, els passos per habilitar la funció són essencialment els mateixos: activar VBS, assegurar-se que la integritat de memòria es pot iniciar i complir els requisits de maquinari virtualitzat.
És important entendre que aquesta protecció blinda la màquina virtual convidada davant de malware que s'executi dins, però no afegeix una seguretat extra al host. Des del sistema amfitrió és possible desactivar la integritat de memòria d'una VM concreta utilitzant ordres d'administració de Hyper-V (com Set-VMSecurity amb l'opció d'exclusió de VBS), de manera que l'administrador manté el control sobre quines convidades aprofiten aquestes característiques i quines no.
Perquè les màquines virtuals Hyper-V puguin utilitzar integritat de memòria, l'amfitrió ha d'executar almenys Windows Server 2016 o Windows 10 versió 1607, i les VMs han de ser de generació 2, amb un sistema operatiu modern (Windows 10 o Windows Server 2016 en endavant). També és possible combinar integritat de memòria amb virtualització imbricada, sempre que primer s'habiliti el rol de Hyper-V dins de la pròpia màquina virtual i es compleixin les condicions necessàries.
Hi ha certes limitacions que cal conèixer: alguns dispositius virtuals, com els adaptadors de canal de fibra virtual, no són compatibles amb integritat de memòria, per la qual cosa la màquina virtual s'ha d'excloure de VBS abans d'afegir-los mitjançant les opcions de seguretat de Hyper-V. El mateix passa amb discos de pas mitjançant configurats amb AllowFullSCSICommandSet, que requereixen desactivar la seguretat basada en virtualització d'aquesta VM abans d'usar-los.
Alternatives quan Core Isolation no és viable
En equips on el maquinari no compleix els requisits, els drivers generen conflictes constants o l'impacte en rendiment és massa alt, té sentit plantejar-se solucions alternatives per executar aplicacions de risc sense comprometre el sistema principal. Entre les més utilitzades es troben tecnologies com estibador o lús de màquines virtuals completes.
Docker permet crear entorns aïllats tipus contenidor on executar aplicacions de manera encapsulada. A Windows, es pot utilitzar per muntar una mena de «mini-sistema» separat on provar programari sospitós o serveis concrets, sabent que, en tancar i eliminar el contenidor, tot el seu contingut desapareix sense deixar rastre al host. Per a proves més complexes o quan es requereix un escriptori complet, el recurs clàssic és configurar una màquina virtual amb Windows i executar-hi els programes potencialment perillosos; si alguna cosa surt malament o es detecta malware, només cal destruir la VM i crear-ne una de nova.
Encara que aquestes alternatives no repliquen exactament el tipus de defensa que ofereix la integritat de memòria a nivell de kernel, sí que proporcionen un nivell d'aïllament pràctic molt útil quan no és possible o recomanable activar Core Isolation al propi sistema físic.
La configuració de Core Isolation, Integritat de memòria i proteccions relacionades a Windows ofereix un salt qualitatiu en seguretat a costa d'un consum addicional de recursos i certs maldecaps amb controladors incompatibles; conèixer a fons com funcionen, com habilitar-les o deshabilitar-les, com validar-les amb Win32_DeviceGuard i msinfo32, i quines alternatives existeixen quan no són viables, et permet ajustar l'equilibri ideal entre rendiment i protecció segons l'ús real que dónes al teu PC oa la teva infraestructura. Comparteix la guia i més persones coneixeran tot sobre el Core Isolation i Memory Integrity a Windows.