Начиная с Windows 10 1709 для изданий Pro и выше (включая S mode) можно укрепить безопасность, включив защиту процессов режима ядра от инъекций и выполнения вредоносного или непроверенного кода.
Проверка целостности кода выполняется в защищенной среде, а разрешения страниц для режима ядра задаются и обслуживаются гипервизором Hyper-V. Защита работает на основе политик аудита WDAC (Windows Defender Application Control).
⚠️ После включения политики возможны конфликты с драйверами, BSODы, вплоть до невозможности загрузиться в ОС.
Версия 1709
Достаточно скачать файл политик в CAB-архиве, распаковать его в System32\CodeIntegrity и убедиться, что включен гипервизор. После перезагрузки все должно работать, проверяется в msinfo32.
• Документация с картинками, файл политики: https://goo.gl/oZ66mi
• Статья в тему "Windows 10 Device Guard and Credential Guard Demystified": https://goo.gl/NWFxjZ
В случае проблем просто удалите файл политик.
Версия 1803
HVCI будет включаться автоматически при чистой установке 1803 на поддерживаемое железо - седьмое поколение процессоров Intel и AMD с поддержкой MBEC. Кроме того В 1803 HVCI можно включить в графическом интерфейсе центра безопасности защитника Windows.
Там появился новый раздел Безопасность устройства, где в категории Изоляция ядра в присутствует единственная настройка Целостность памяти. Это и есть HVCI, в чем опять же помогает убедиться msinfo32.
Но, как выяснилось, в GUI можно только включить HVCI, но не отключить :) Это известный баг, который должны скоро исправить.
А пока для отключения придется в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
установить для параметра Enabled значение 0 и перезагрузиться.
