Si usas Windows 10 o Windows 11, seguro que has visto mĆ”s de una vez el aviso sobre aislamiento del nĆŗcleo e integridad de memoria en Seguridad de Windows con un icono amarillo o verde. DetrĆ”s de ese mensaje hay un conjunto de tecnologĆas bastante potentes que pueden marcar la diferencia entre un sistema bien protegido y un equipo expuesto a malware que ataca al kernel. Puedes consultar cĆ³mo mejorar la seguridad en Windows 11 para complementar estas protecciones.
En esta guĆa vamos a desgranar, con calma y en castellano de a pie, quĆ© son exactamente Core Isolation y Memory Integrity, cĆ³mo se relacionan con la seguridad basada en virtualizaciĆ³n (VBS), quĆ© implican a nivel de rendimiento, cĆ³mo activarlos o desactivarlos desde la interfaz grĆ”fica, la lĆnea de comandos, el Registro, Intune o directivas, y cĆ³mo diagnosticar problemas tĆpicos con controladores incompatibles, pantallazos azules o advertencias que no desaparecen.
QuĆ© es el aislamiento del nĆŗcleo (Core Isolation) en Windows
Cuando Windows habla de aislamiento del nĆŗcleo (Core Isolation) se refiere a un conjunto de mecanismos que crean un entorno protegido y virtualizado alrededor de los procesos mĆ”s crĆticos del sistema, especialmente los que funcionan en modo kernel. La idea es que el corazĆ³n del sistema operativo quede separado del resto de procesos y de los controladores que se cargan en memoria.
Para conseguir este aislamiento, Windows se apoya en la seguridad basada en virtualizaciĆ³n (VBS). VBS utiliza el hipervisor de Windows para levantar un entorno separado de la sesiĆ³n normal del sistema, que se asume que podrĆa llegar a quedar comprometida. Ese entorno aislado se convierte en una especie de raĆz de confianza desde la que se valida quĆ© cĆ³digo puede ejecutarse en el kernel.
En la prĆ”ctica, Core Isolation hace que el kernel y ciertos procesos de alta seguridad se ejecuten en un espacio de memoria protegido, fuera del alcance directo del software que corre en el sistema operativo ānormalā. Si un malware intenta inyectar cĆ³digo en esa zona sensible, la propia arquitectura le corta el paso antes de poder hacer demasiado daƱo.
Un ejemplo tĆpico: abres un adjunto del correo que contiene malware y este intenta explotar una vulnerabilidad de un controlador para colarse en el kernel. Con aislamiento de nĆŗcleo desactivado, el camino estĆ” mucho mĆ”s despejado; con Core Isolation y sus protecciones activas, el cĆ³digo malicioso se queda en la parte āno confiableā del sistema y el impacto se reduce de forma drĆ”stica.
QuƩ es la integridad de memoria (Memory Integrity o HVCI)
Dentro del aislamiento del nĆŗcleo, la funciĆ³n estrella es la llamada integridad de memoria, tambiĆ©n conocida como HVCI (Hypervisor-Enforced Code Integrity). Esta caracterĆstica lleva la integridad de cĆ³digo del kernel a ese entorno virtualizado creado por VBS, de forma que el hipervisor vigila quĆ© se ejecuta realmente en modo kernel.
En otras palabras, la integridad de memoria hace que solo se cargue en el kernel cĆ³digo firmado y considerado de confianza. Si un controlador o mĆ³dulo intenta modificarse, inyectar instrucciones o manipular estructuras internas de memoria del kernel, la protecciĆ³n lo bloquea y en muchos casos provoca un error grave (pantallazo azul) para evitar que el sistema siga funcionando en un estado potencialmente comprometido.
Esta capa de seguridad aƱade tambiĆ©n restricciones a cĆ³mo se asigna y gestiona la memoria en modo kernel. Determinadas asignaciones que se sabe que son vectores habituales de ataque quedan limitadas o supervisadas desde el entorno seguro de VBS, reduciendo la superficie de ataque frente a exploits avanzados.
Funciones de seguridad proporcionadas por la integridad de memoria
AdemĆ”s de la validaciĆ³n de cĆ³digo en general, la integridad de memoria protege algunos elementos muy concretos dentro del kernel que suelen ser diana de los atacantes. Entre lo mĆ”s importante destacan dos aspectos:
- ProtecciĆ³n del mapa de bits de Control Flow Guard (CFG) en controladores de modo kernel, para evitar que se manipule el flujo de ejecuciĆ³n legĆtimo.
- ProtecciĆ³n del propio proceso de integridad de cĆ³digo del kernel, de forma que solo otros procesos de confianza con certificados vĆ”lidos pueden interactuar con Ć©l o cargar nuevos mĆ³dulos.
Todo esto hace que resulte mucho mĆ”s complicado para el malware alterar las rutas de ejecuciĆ³n del kernel o colar controladores maliciosos que aparentan ser legĆtimos. Si la protecciĆ³n detecta algo raro en la memoria de modo kernel, el sistema prefiere bloquear antes de dejar que el cĆ³digo malicioso continĆŗe ejecutĆ”ndose.
Diferencia entre Core Isolation, VBS e Integridad de memoria
Es fĆ”cil hacerse un lĆo con tantos nombres, asĆ que conviene separar conceptos para que quede todo claro y puedas elegir la configuraciĆ³n que mĆ”s te interese en tu equipo o en tu flota de PCs:
- VBS (Virtualization-Based Security): es la base. Usa el hipervisor para crear un entorno aislado en memoria donde se ejecutan servicios de seguridad.
- Core Isolation (aislamiento de nĆŗcleo): nombre comercial que agrupa varios mecanismos que se apoyan en VBS para proteger el kernel y ciertos procesos crĆticos.
- Memory Integrity (HVCI): componente concreto dentro de Core Isolation que aplica integridad de cĆ³digo estricta en modo kernel, validada desde el entorno VBS.
Se puede tener VBS activado sin habilitar la integridad de memoria, aunque no es lo habitual en equipos modernos con Windows 10/11 y hardware compatible. De hecho, para entornos corporativos se recomienda activar tanto VBS como HVCI siempre que sea posible.
Ventajas de seguridad y coste en rendimiento
La parte positiva de activar Core Isolation e integridad de memoria es evidente: mĆ”s capas de seguridad en el punto mĆ”s sensible del sistema. El kernel, los controladores y las rutas crĆticas de ejecuciĆ³n quedan mucho mejor defendidos frente a rootkits, exploits de dĆa cero y malware que intenta ganar privilegios de sistema.
El inconveniente es que todo este control extra tiene un coste en rendimiento y compatibilidad. Cada vez que se carga un controlador o se hace una operaciĆ³n delicada en el kernel, el hipervisor y la lĆ³gica de VBS tienen que validar lo que estĆ” ocurriendo. Eso se traduce en mĆ”s uso de CPU y cierta latencia, especialmente visible en algunos escenarios.
Muchos usuarios han notado que, al activar estas funciones, los FPS en juegos disminuyen o aparecen pequeƱos tirones donde antes todo iba mĆ”s fluido. Otros comentan que su PC parece āmĆ”s pesadoā en tareas del dĆa a dĆa, especialmente en mĆ”quinas que no van sobradas de recursos o con hardware un poco justo.
Otro efecto secundario posible es que, al activar el aislamiento de nĆŗcleo, surjan pantallazos azules o bloqueos al arrancar o durante el uso normal. En la mayorĆa de los casos, la culpa recae en controladores que no cumplen los requisitos de las nuevas protecciones y que intentan hacer cosas que ahora estĆ”n vetadas.
En resumen: tienes un nivel de seguridad muy superior, pero a cambio aceptas un cierto impacto en rendimiento y la necesidad de mantener muy al dĆa drivers y firmware (checklist esencial de hardware). En PCs dedicados al juego o a tareas muy exigentes, hay quien prefiere desactivar estas funciones para apurar los recursos al mĆ”ximo, siempre que compense con buenas prĆ”cticas de seguridad.
Activar o desactivar Core Isolation e integridad de memoria desde Seguridad de Windows
La forma mĆ”s directa para la mayorĆa de usuarios de gestionar estas opciones pasa por la aplicaciĆ³n Seguridad de Windows, integrada tanto en Windows 10 como en Windows 11. El flujo es prĆ”cticamente el mismo en ambas versiones del sistema, con ligeros cambios en los nombres de algunos menĆŗs.
En Windows 11 puedes abrir la configuraciĆ³n rĆ”pida con Windows + I, ir a Privacidad y seguridad y despuĆ©s a Seguridad de Windows. Desde ahĆ, pulsa en Abrir Seguridad de Windows y, en el menĆŗ de la izquierda, entra en Seguridad del dispositivo. VerĆ”s un apartado llamado Aislamiento del nĆŗcleo con un enlace de Detalles.
Una vez dentro de los detalles del aislamiento del nĆŗcleo, encontrarĆ”s el conmutador de Integridad de memoria. Si estĆ” desactivado, es probable que veas tambiĆ©n un aviso del tipo āla integridad de memoria estĆ” desactivada, es posible que el dispositivo sea vulnerableā. Activando el control deslizante, el sistema comenzarĆ” a forzar la validaciĆ³n de cĆ³digo en modo kernel.
AdemĆ”s de la integridad de memoria, normalmente verĆ”s una opciĆ³n de lista de controladores vulnerables de Microsoft, que bloquea de forma proactiva drivers problemĆ”ticos conocidos por tener agujeros de seguridad. Lo ideal es mantener ambas funciones activas, aunque de nuevo, si te ves con problemas de compatibilidad, quizĆ” toque afinar la configuraciĆ³n.
Al activar la integridad de memoria, Windows te pedirĆ” reiniciar el equipo. Hasta que no se complete ese reinicio, la protecciĆ³n no se aplica realmente y la advertencia de Seguridad de Windows seguirĆ” apareciendo. Tras el arranque, si todo ha salido bien, deberĆas ver un icono verde junto a Aislamiento del nĆŗcleo.
ConfiguraciĆ³n avanzada vĆa Registro para VBS e integridad de memoria
En entornos corporativos o cuando quieres forzar la configuraciĆ³n de Core Isolation de forma masiva, es habitual recurrir a claves de Registro y scripts. Windows permite habilitar VBS, bloquearlo por UEFI, exigir ciertas protecciones de plataforma o imponer la integridad de memoria con varios valores especĆficos.
Las claves relevantes se encuentran bajo HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard y sus subclaves. Desde una consola con privilegios de administrador, se pueden usar comandos reg add para definir los valores deseados en cada escenario (y no olvides hacer copias de seguridad del Registro antes de tocar nada).
Por ejemplo, para activar la configuraciĆ³n recomendada de VBS con integridad de memoria habilitada y sin bloqueo UEFI, se utilizan comandos que establecen EnableVirtualizationBasedSecurity a 1, definen RequirePlatformSecurityFeatures (por ejemplo a 1 para solo arranque seguro, o 3 para arranque seguro y protecciĆ³n DMA), y configuran las claves de HypervisorEnforcedCodeIntegrity con Enabled=1 y Locked=0.
TambiĆ©n se puede activar VBS en modo obligatorio mediante el valor Mandatory=1. En este caso, si el hipervisor, el kernel seguro o algĆŗn mĆ³dulo dependiente no llegan a cargarse durante el arranque, el sistema simplemente no continuarĆ” arrancando. Es una opciĆ³n mucho mĆ”s estricta que conviene probar bien antes de desplegar masivamente.
Otra configuraciĆ³n interesante es la clave WasEnabledBy bajo la subclave de HypervisorEnforcedCodeIntegrity. Si se elimina ese valor, la interfaz grĆ”fica de integridad de memoria se atenĆŗa y aparece el mensaje āThis setting is managed by your administratorā, lo que permite bloquear el cambio desde la UI y evitar que el usuario la active o desactive a mano.
Activar Core Isolation e integridad de memoria desde lĆnea de comandos
Si prefieres scripts o necesitas automatizar instalaciones, es muy cĆ³modo activar la integridad de memoria con una sola orden desde un SĆmbolo del sistema elevado o desde PowerShell. La clave principal es el valor Enabled de la ruta de HVCI en el Registro.
Basta con ejecutar, como administrador, un comando que aƱada el valor Enabled=1 en HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity. Esa modificaciĆ³n le indica a Windows que debe encender la integridad de memoria en el siguiente arranque.
Una vez aplicado el cambio, es recomendable comprobar que la seguridad basada en virtualizaciĆ³n estĆ” soportada y operativa. Para ello se puede usar SystemInfo.exe y revisar el apartado de requisitos de Hyper-V: si los campos aparecen en āSĆā, el hardware y la configuraciĆ³n de BIOS/UEFI cumplen las condiciones para trabajar con VBS y Core Isolation; tambiĆ©n puedes ver las especificaciones completas de tu PC desde la configuraciĆ³n para mayor seguridad.
Por Ćŗltimo, para completar el proceso, hay que reiniciar el equipo. Esto puede hacerse desde el propio sĆmbolo del sistema con un shutdown /r. Tras el reinicio, se verifica el estado en Seguridad de Windows, en Seguridad del dispositivo, para confirmar que la integridad de memoria aparece como activa dentro del aislamiento del nĆŗcleo.
Integridad de memoria y App Control para empresas
En organizaciones que utilizan directivas centralizadas, la integridad de memoria tambiĆ©n se puede activar como parte de App Control for Business (el antiguo Windows Defender Application Control). Este enfoque permite gestionar HVCI como una opciĆ³n mĆ”s dentro de las reglas de aplicaciones permitidas.
Desde el asistente de Control de aplicaciones, se puede crear o editar una directiva y marcar la casilla de āIntegridad de cĆ³digo protegida por hipervisorā en la secciĆ³n de reglas de la polĆtica. Esa selecciĆ³n fuerza la habilitaciĆ³n de HVCI en los equipos a los que se aplica la polĆtica (reglas personalizadas en AppLocker son un enfoque similar para controlar quĆ© se ejecuta).
Alternativamente, se puede recurrir al cmdlet de PowerShell Set-HVCIOptions para ajustar las opciones de integridad de memoria de forma mĆ”s granular. Y para quienes editan las polĆticas en bruto, tambiĆ©n es posible modificar directamente el elemento <HVCIOptions> del XML de App Control, estableciendo los valores deseados para el comportamiento de HVCI.
CĆ³mo comprobar si VBS e integridad de memoria estĆ”n activos
AdemĆ”s del indicador visual en Seguridad de Windows, hay formas mĆ”s tĆ©cnicas de comprobar quĆ© capacidades de VBS estĆ”n disponibles en el equipo y cuĆ”les se estĆ”n usando realmente. Windows proporciona una clase WMI llamada Win32_DeviceGuard que expone propiedades muy Ćŗtiles para auditar el estado de estas funciones.
Desde una sesiĆ³n de PowerShell con privilegios de administrador, se puede lanzar un Get-CimInstance sobre esa clase en el espacio de nombres adecuado. La salida incluye campos como AvailableSecurityProperties, donde se indican las capacidades compatibles (hipervisor, arranque seguro, protecciĆ³n DMA, NX, mitigaciones SMM, MBEC/GMET, virtualizaciĆ³n de APICā¦), y RequiredSecurityProperties, que enumeran quĆ© requisitos son necesarios para habilitar VBS.
Otros campos importantes son SecurityServicesConfigured y SecurityServicesRunning, que detallan si estĆ”n configurados o en ejecuciĆ³n Credential Guard, integridad de memoria, protecciĆ³n de inicio seguro, medidas de firmware SMM o la protecciĆ³n de pila aplicada por hardware, entre otros servicios basados en virtualizaciĆ³n.
La propiedad VirtualizationBasedSecurityStatus indica claramente si VBS estĆ” desactivado, habilitado pero no activo, o habilitado y en ejecuciĆ³n. Y en sistemas con aislamiento de mĆ”quinas virtuales reforzado, los campos VirtualMachineIsolation y VirtualMachineIsolationProperties muestran si hay caracterĆsticas como AMD SEV-SNP o Intel TDX disponibles.
Si prefieres algo mĆ”s visual, tambiĆ©n se puede usar msinfo32.exe. EjecutĆ”ndolo como administrador, en la secciĆ³n de Resumen del sistema encontrarĆ”s, en la parte inferior, un bloque con las caracterĆsticas de seguridad basadas en virtualizaciĆ³n disponibles y las que estĆ”n activas en ese momento.
ProtecciĆ³n de pila impuesta por hardware y su relaciĆ³n con la integridad de memoria
AdemĆ”s de HVCI, en las versiones recientes de Windows se ha introducido la protecciĆ³n de pila forzada por hardware, una funciĆ³n que aprovecha capacidades de CPU modernas como Intel Control-Flow Enforcement Technology o AMD Shadow Stack para blindar aĆŗn mĆ”s el modo kernel.
Esta caracterĆstica mantiene una segunda copia de las direcciones de retorno del cĆ³digo de kernel en una pila de sombras de solo lectura. Si un controlador malicioso o un exploit intenta modificar la direcciĆ³n de retorno en la pila normal para redirigir la ejecuciĆ³n hacia cĆ³digo malicioso, la CPU compara con la copia segura de la pila de sombras y, al detectar la discrepancia, dispara un error grave (BSOD) en lugar de permitir el secuestro del flujo de ejecuciĆ³n.
No todos los controladores son compatibles con esta funciĆ³n, porque hay un pequeƱo nĆŗmero de drivers legĆtimos que modifican direcciones de retorno por motivos no maliciosos. Por eso, Microsoft lleva tiempo trabajando con los fabricantes para actualizar sus controladores e ir ampliando la lista de los que pueden convivir sin problemas con la protecciĆ³n de pila impuesta por hardware.
En la interfaz de Seguridad de Windows, esta protecciĆ³n suele aparecer como otra opciĆ³n con botĆ³n de alternancia. Para poder activarla, es obligatorio que la integridad de memoria estĆ© habilitada y que la CPU sea compatible con las tecnologĆas de control de flujo correspondientes.
Si el sistema detecta un controlador o servicio incompatible, mostrarĆ” un aviso indicando quĆ© elemento estĆ” bloqueando la activaciĆ³n. En ese caso, lo recomendable es buscar una versiĆ³n actualizada del driver, desinstalar la aplicaciĆ³n asociada o, en Ćŗltima instancia, valorar si merece la pena prescindir de esa pieza de software para poder habilitar la capa extra de seguridad.
Desactivar avisos de integridad de memoria y problemas con el icono amarillo
Algo que suele desesperar a mĆ”s de un administrador es ver que, aunque haya decidido desactivar la integridad de memoria por polĆtica, sigue apareciendo un icono de advertencia amarillo en Seguridad de Windows que obliga a entrar en la configuraciĆ³n local y descartar el mensaje con permisos de administrador.
Este comportamiento no siempre se controla directamente con las mismas claves de Registro que encienden o apagan HVCI. De hecho, hay casos en los que, aun estando el valor Enabled a 0, la aplicaciĆ³n sigue insistiendo en que la funciĆ³n estĆ” desactivada y muestra la advertencia como si esperara que se activara.
Para entornos gestionados con Intune, GPO u otras herramientas de administraciĆ³n (directivas de seguridad), la vĆa recomendada suele ser establecer polĆticas que definan explĆcitamente el estado deseado de Core Isolation y ocultar o atenuar la interfaz de usuario donde sea posible. Como se mencionaba antes, eliminar o ajustar el valor WasEnabledBy puede hacer que aparezca el mensaje de āesta configuraciĆ³n estĆ” administrada por el administradorā, reduciendo la interacciĆ³n del usuario.
Aun asĆ, no todas las advertencias son suprimibles con facilidad y, en algunas configuraciones, el icono amarillo es bĆ”sicamente la forma que tiene Seguridad de Windows de recordarte que estĆ”s desactivando voluntariamente una capa de protecciĆ³n. En ese contexto, la soluciĆ³n real pasa por asumir el aviso o reconfigurar la polĆtica de seguridad para que el sistema deje de considerar recomendable la activaciĆ³n.
SoluciĆ³n de problemas comunes con Core Isolation e integridad de memoria
Si al activar estas funciones empiezan los dolores de cabeza, lo habitual es que haya algĆŗn controlador desactualizado o incompatible intentando hacer cosas que ya no estĆ”n permitidas. Empezar por el Administrador de dispositivos y actualizar drivers desde el fabricante suele resolver una buena parte de las incidencias; ademĆ”s, aplicar prĆ”cticas de seguridad para Windows reduce las probabilidades de encontrarte con controladores problemĆ”ticos.
Cuando el problema es mĆ”s grave y el sistema sufre errores crĆticos durante el arranque o queda muy inestable despuĆ©s de habilitar la integridad de memoria, una opciĆ³n es acudir al Entorno de recuperaciĆ³n de Windows (Windows RE). Antes de nada conviene deshabilitar las directivas que fuerzan VBS/HVCI (por ejemplo, a travĆ©s de directiva de grupo) para que no se vuelvan a aplicar automĆ”ticamente.
Desde Windows RE se puede cargar el Registro del sistema afectado y modificar directamente la clave de HypervisorEnforcedCodeIntegrity para establecer Enabled=0. Con eso se apaga la integridad de memoria, y tras reiniciar el dispositivo normalmente deberĆa arrancar sin esa capa de protecciĆ³n (si necesitas ver cĆ³mo reparar el Registro de Windows ahĆ tienes instrucciones Ćŗtiles).
Es importante tener en cuenta que, aunque desactives HVCI, puede que VBS siga habilitado si las claves de DeviceGuard siguen configuradas o si hay otras funciones como Credential Guard activas. Revisar todas las entradas de DeviceGuard, asĆ como las polĆticas de seguridad aplicadas, ayuda a entender quĆ© estĆ” quedando en marcha y quĆ© no.
Uso de integridad de memoria en mƔquinas virtuales Hyper-V
La integridad de memoria no es una funciĆ³n exclusiva de mĆ”quinas fĆsicas. TambiĆ©n puede proteger mĆ”quinas virtuales de Hyper-V de la misma manera que lo harĆa con un equipo tradicional, siempre que se cumplan ciertos requisitos tanto en el host como en el invitado.
Para empezar, el host de Hyper-V debe ejecutar al menos Windows Server 2016 o Windows 10 versiĆ³n 1607. AdemĆ”s, la mĆ”quina virtual debe ser de generaciĆ³n 2 y tener como sistema operativo invitado una versiĆ³n moderna de Windows (Server 2016 o Windows 10/11).
Desde dentro de la propia mĆ”quina virtual, los pasos para activar Core Isolation e integridad de memoria son prĆ”cticamente los mismos que en un PC fĆsico: se usa Seguridad de Windows, se accede a Seguridad del dispositivo y se ajusta la configuraciĆ³n de aislamiento del nĆŗcleo.
Hay que tener en cuenta, eso sĆ, que la integridad de memoria protege solo frente al malware que se ejecuta en la mĆ”quina virtual invitada. El administrador del host conserva el control absoluto y puede, por ejemplo, deshabilitar la seguridad basada en virtualizaciĆ³n para una VM concreta con un comando de Set-VMSecurity, obligando a que la mĆ”quina invitada no utilice VBS.
TambiĆ©n existen limitaciones de compatibilidad: los adaptadores de canal de fibra virtual no estĆ”n soportados cuando se usa integridad de memoria. Antes de conectar uno de estos adaptadores a una mĆ”quina virtual, hay que excluirla de VBS. De forma similar, la opciĆ³n AllowFullSCSICommandSet en discos de paso a travĆ©s tampoco es compatible con HVCI, por lo que, si se necesita esa funcionalidad, habrĆ” que renunciar a la seguridad basada en virtualizaciĆ³n en esa VM.
CuƔndo conviene activar o desactivar Core Isolation
Con toda esta informaciĆ³n sobre la mesa, toca hacerse la pregunta prĆ”ctica: Āædejo Core Isolation activado o lo quito?. La respuesta, como casi siempre en seguridad, depende del equilibrio que quieras entre protecciĆ³n y rendimiento, y del tipo de uso que hagas del equipo.
Si el ordenador se usa para navegar con frecuencia por webs de procedencia dudosa, descargar muchos archivos, instalar software poco conocido o se comparte en entornos como oficinas, colegios o bibliotecas, es muy recomendable mantener la integridad de memoria y el aislamiento del nĆŗcleo activos, y complementar con un buen antivirus como el propio Microsoft Defender.
En cambio, si el PC estĆ” orientado sobre todo a jugar y has comprobado que al activar estas funciones aparecen caĆdas de FPS, microcortes o incluso pantallazos azules ligados a drivers, puedes plantearte desactivarlas para rascar algo de rendimiento. Eso sĆ, conviene compensar aplicando buenas prĆ”cticas bĆ”sicas de seguridad: no abrir adjuntos sospechosos, evitar webs poco fiables y mantener siempre actualizado el sistema.
Para equipos que ejecutan tareas muy crĆticas, que almacenan informaciĆ³n sensible o que forman parte de infraestructuras mĆ”s complejas, el enfoque habitual en empresas es justo el contrario: activar VBS, HVCI y, si es posible, protecciĆ³n de pila por hardware, revisar compatibilidad de controladores y asumir el ligero coste en recursos como precio a pagar por una defensa reforzada.
Conocer a fondo cĆ³mo funcionan Core Isolation y la integridad de memoria, quĆ© implicaciones tienen sobre tu hardware y quĆ© opciones de configuraciĆ³n ofrecen a travĆ©s de la interfaz grĆ”fica, el Registro, las directivas y las herramientas de administraciĆ³n remota, te permite ajustar Windows a tu forma de trabajar sin ir a ciegas y decidir con criterio hasta quĆ© punto quieres blindar el kernel de tu sistema.
