内存完整性不可用时,应依次检查并启用硬件虚拟化、清除不兼容驱动、通过安全中心/组策略/注册表启用Core Isolation,最后验证Hyper-V支持。
如果您尝试启用 Windows 11 的系统完整性保护功能,但内存完整性开关处于灰色不可用状态或提示不兼容,则可能是由于硬件虚拟化未启用、驱动程序冲突或策略限制所致。以下是启用 Core Isolation 防护的具体操作步骤:
一、通过 Windows 安全中心启用内存完整性
该方法利用系统内置的安全界面直接控制内存完整性开关,适用于所有 Windows 11 版本,无需额外工具或权限。它通过 Hypervisor 强制代码完整性机制,在内核运行时验证驱动与系统模块的数字签名,阻止未签名或篡改代码加载。
1、按下 Win + I 打开“设置”应用。
2、在左侧菜单中点击 隐私和安全性,右侧滚动找到并点击 Windows 安全中心。
3、在安全中心主界面中,点击 设备安全性 卡片。
4、向下滚动至 内核隔离 区域,点击 内核隔离详细信息。
5、将 内存完整性 开关切换为“开”,系统将执行兼容性检查并提示需要重启。
6、点击 立即重新启动,重启后功能生效。
二、使用本地组策略编辑器配置(限专业版/企业版)
该方法通过系统策略层强制启用基于虚拟化的安全性,可绕过图形界面灰显限制,适用于已激活 Windows 11 专业版、企业版或教育版的高权限环境,且要求组策略服务正常运行。
1、按下 Win + R,输入 gpedit.msc 并回车,以管理员权限打开组策略编辑器。
2、依次展开路径:计算机配置 → 管理模板 → 系统 → Device Guard。
3、在右侧双击 启用基于虚拟化的安全性 策略。
4、选择 已启用,并在下方勾选 启用内存完整性保护。
5、点击 确定 保存设置,关闭编辑器。
6、重启计算机使策略生效。
三、通过注册表修改启用(适用于家庭版或界面失效场景)
当 Windows 安全中心选项灰显、组策略不可用(如家庭版)或策略被锁定时,可直接修改底层注册表项来激活内存完整性。操作前请确保已创建系统还原点,并确认当前用户具备管理员权限。
1、按下 Win + R,输入 regedit 并回车,以管理员权限运行注册表编辑器。
2、导航至以下路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity。
3、若该路径不存在,需手动逐级新建对应项:右键父项 → 新建 → 项,名称严格匹配路径层级。
4、在右侧窗格中,查找名为 Enabled 的 DWORD (32 位) 值;如不存在,右键空白处 → 新建 → DWORD (32 位) 值,命名为 Enabled。
5、双击 Enabled,将其“数值数据”设为 1,基数选“十进制”。
6、关闭注册表编辑器,重启计算机。
四、排查并清除不兼容驱动程序
内存完整性无法启用的最常见原因是存在未签名、过期或恶意驱动程序。系统会在“内核隔离详细信息”页列出所有导致失败的驱动文件名,必须逐一卸载或更新其安装包,否则注册表或策略修改仍将失败。
1、在“Windows 安全中心 > 设备安全性 > 内核隔离详细信息”中,点击 查看不兼容的驱动程序。
2、记录全部列出的 .sys 文件名(例如 PassGuard_x64.sys、RTKVHD64.sys)。
3、右键“开始”菜单,选择 设备管理器,点击“查看” → 勾选 显示隐藏的设备。
4、再次点击“查看” → 选择 按驱动程序排序,在列表中定位对应驱动程序。
5、右键该驱动 → 选择 卸载设备,并务必勾选 删除此设备的驱动程序软件。
6、打开终端(管理员),执行命令:pnputil /enum-drivers,查找关联的 .inf 包名。
7、执行命令:pnputil /delete-driver oemXX.inf(将 oemXX.inf 替换为实际文件名),彻底清除驱动安装包。
8、重启后再次尝试启用内存完整性。
五、验证并启用底层虚拟化支持
Core Isolation 依赖 CPU 级虚拟化能力(Intel VT-x 或 AMD-V)及固件层 Hyper-V 支持。若 BIOS/UEFI 中相关选项关闭、Hyper-V 被禁用或系统信息中显示虚拟化未就绪,则内存完整性必然无法启用。
1、重启电脑,在开机自检阶段反复按 F2 或 Del 键进入 UEFI BIOS 设置界面。
2、在“Advanced”或“CPU Configuration”中,确认 Intel Virtualization Technology(或 AMD-V)设置为 Enabled。
3、保存退出并启动系统,以管理员身份运行 PowerShell,执行:systeminfo | findstr "Hyper-V"。
4、确认输出中“Hyper-V Requirements”各项均为 Yes,尤其关注“Virtualization Enabled In Firmware: Yes”。
5、若显示“No”,需返回 BIOS 启用虚拟化;若显示“Yes”但功能仍不可用,检查是否启用了 Windows Hypervisor Platform 功能(控制面板 → 程序 → 启用或关闭 Windows 功能)。
