Принудительное PPL для антивируса: полный разбор и тонкие настройки 🔒🛡️

Защита процессов (Protected Process Light, PPL) — это не просто красивое название в документации Microsoft. Это ваш щит против вредоносных программ, которые пытаются отключить саму защиту. Если вы администратор, системный инженер или просто заботитесь о безопасности — эта статья раскроет все секреты принудительной активации PPL для антивируса.

На текущий момент (ноябрь 2025 года) PPL доступен на всех актуальных версиях Windows: Windows 11, Windows 10 (версия 1909 и выше) и Windows Server 2016/2019/2022/2025. Это значит, что вы никогда не сможете отговориться, что «у нас старая система».

СУЩЕСТВЕННО ПОМОЧЬ КАНАЛУ МОЖНО ПРОСТО ПОСТАВИВ ЛАЙК

Почему это важно? Потому что вредоносное ПО, обладающее правами администратора, всё ещё может убить процесс антивируса, если тот не защищён PPL. Это реальный вектор атаки, который используется в боевых условиях. PPL закрывает эту дыру — но только если вы правильно его настроите.

Механика: как это работает изнутри ⚙️

Иерархия защиты

PPL работает по иерархическому принципу. Вообразите матрёшку, но вместо кукол — уровни защиты:

• Windows TCB (надёжная кодовая база Windows) — вершина пирамиды. Только ядро и системные компоненты.
• Windows Protection Level — сама ОС, её критичные сервисы.
• Anti-Malware Service Light (AM-PPL) — для антивирусов и решений обнаружения и реагирования на угрозы (EDR).
• LSA Protection Level — для процесса LSASS.exe (управление учётными данными).
• Unprotected — обычные процессы (всё остальное).

Ключевое правило: процесс на более высоком уровне может читать, проверять и контролировать процесс на более низком. Обратное запрещено категорически, даже если вы администратор.

Это достигается через цифровые подписи. Когда антивирус или служба Windows загружаются, ядро проверяет их сертификат. Если сертификат валиден и имеет правильный EKU (расширенное использование ключа) — процесс получает PPL. Если нет — служба не запустится вообще.

ELAM (ранняя защита от вредоноса при загрузке) — охранник на входе 🚨

ELAM — это драйвер, который загружается раньше всех остальных во время загрузки ОС, ещё до загрузки компонентов третьих лиц. Его задача:

1. Проверить все загружаемые при старте системы драйверы против базы известного вредоноса.
2. Решить, какие драйверы можно загружать, какие — нет.
3. Убедиться, что ядро получит управление в целости.

Для Windows Defender это файл WdBoot.sys. Для антивирусов третьих производителей (Kaspersky, Bitdefender и т. д.) — свой ELAM драйвер, если лицензия позволяет.

Почему это важно? Потому что корневые наборы инструментов (руткиты) загружаются во время загрузки системы. Если ELAM не сработает на этом этапе, ничто не поможет.

KMCI (проверка целостности кода в режиме ядра) + HVCI (проверка целостности кода на основе гипервизора)

Это расширенная защита. Если PPL — это охранник, то KMCI+HVCI — это наблюдатели с камерами.

KMCI проверяет каждый кусок кода, который пытается выполниться в режиме ядра. Неподписанный или изменённый код — блокируется мгновенно. HVCI выполняет эту проверку внутри виртуализированного окружения, недоступного даже для ядра.

Это называется Virtualization-Based Security (защита на основе виртуализации). На Intel 8-го поколения и выше, на AMD Ryzen 2000-й серии и выше это работает с приличной скоростью благодаря встроенному аппаратному ускорению (MBEC на Intel, GMET на AMD).

Пошаговая инструкция: активация PPL 🚀

Шаг 1: Проверка предварительных условий

Перед тем как делать что-то, убедитесь:

1.1 Требования к железу

Откройте PowerShell от администратора и выполните:

# Проверка поддержки защиты на основе виртуализации и HVCI
Get-ComputerInfo | Select-Object HyperVRequirementActuallyNeeded*, *VirtualizationBased*

# Или через WMI (Windows Management Instrumentation)
Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object Version

# Проверка наличия TPM 2.0 (доверенный платформенный модуль версии 2.0)
Get-WmiObject -Namespace "root\cimv2\security\microsofttpm" -Class Win32_Tpm | Select-Object SpecVersion

Если результат пустой — TPM отсутствует или отключен. Включите в BIOS.

1.2 Скачиваем диагностический инструмент Microsoft

Загрузите hvciscan.exe отсюда:

• Официальный источник: Microsoft Download Center (поиск hvciscan)
• Тип процессора влияет на версию: x64 или ARM64

Запустите от администратора:

hvciscan.exe

Инструмент выдаст список проблем:

• IOMMU required (0x8) — нужна ввод-вывод на уровне памяти для защиты прямого доступа к памяти
• MBEC/GMET Required (0x10) — процессор не поддерживает аппаратное ускорение
• Secure Boot Required (0x20) — выключена безопасная загрузка
• Hardware Virtualization required (0x400) — виртуализация отключена в BIOS

Документация Microsoft указывает: если видите ошибку — HVCI не будет работать. Но сообщество замечает, что можно заставить работать и без некоторых требований (например, на виртуальных машинах в гибридных облаках это не критично).

1.3 Наличие безопасной загрузки

bcdedit | findstr secureboot

Результат должен быть: secureboot: Yes

Если No — включите в BIOS. PPL требует безопасную загрузку.

Шаг 2: Включение защиты на основе виртуализации и HVCI через графический интерфейс (самый безопасный способ)

Это предпочтительный способ для новичков.

Путь: Параметры безопасности Windows → Безопасность устройства → Изоляция ядра → нажмите на Детали изоляции ядра

Найдите опцию Защита целостности памяти и включите переключатель.

Система перезагрузится автоматически.

🔖Дорогие гости и подписчики канала. Если наши материалы приносят вам пользу, вы всегда можете поддержать команду символическим переводом. Любая помощь мотивирует писать для Вас больше полезного и качественного контента безо всяких подписок.🙏🤝🙏🤝🙏

💰ПОДДЕРЖАТЬ КАНАЛ МОЖНО ТУТ ( ОТ 50 РУБЛЕЙ )💰

Или сделать любой перевод по QR-коду через СБП. Быстро, безопасно и без комиссии.(Александр Г.)

С уважением, Команда "Т.Е.Х.Н.О Windows & Linux".

Шаг 3: Активация через групповую политику (для Pro/Enterprise)

Это доступно только на Windows Pro, Enterprise и Education.

3.1 Откройте редактор политик

gpedit.msc

3.2 Перейдите по пути:

Конфигурация компьютера
→ Административные шаблоны
→ Система
→ Device Guard (защита устройства)

3.3 Найдите политику: "Включить защиту на основе виртуализации"

Установите значение Включено и нажмите Применить.

Вложенные параметры (выбирайте один):

• Безопасная загрузка — требует только безопасную загрузку (рекомендуется)
• Безопасная загрузка с защитой прямого доступа к памяти — требует также ввод-вывод на уровне памяти (более строгая защита, для серверов)

3.4 Включите "Защита стека режима ядра, обеспечиваемая оборудованием"

Это дополнительная защита от атак, основанных на возврате (ROP-атак).

3.5 Примените групповую политику:

gpupdate /force

Шаг 4: Активация через реестр (для серверов и автоматизации)

Это способ для системных администраторов и инженеров DevOps.

Внимание ⚠️: Неправильное редактирование реестра может помешать загрузке ОС. Сначала создайте контрольную точку восстановления.

4.1 Создание контрольной точки

Checkpoint-Computer -Description "Перед активацией защиты на основе виртуализации"

4.2 Откройте Regedit от администратора

textregedit

4.3 Перейдите к:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard

Если папка DeviceGuard не существует — создайте её вручную.

4.4 Добавьте параметры защиты на основе виртуализации

Щёлкните правой кнопкой в пустом месте → Создать → Параметр DWORD (32 бита)

Создайте следующие значения:

4.5 Включение защиты целостности памяти (HVCI)

Перейдите к подпапке (или создайте её):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity

Создайте параметры:

4.6 Закройте редактор реестра и перезагрузитесь:

shutdown /r /t 30 /c "Активация защиты на основе виртуализации. Перезагрузка через 30 секунд..."

Шаг 5: Активация PPL для Windows Defender через PowerShell

После включения HVCI нужно включить защиту LSASS (защита процесса, управляющего учётными данными) и убедиться, что Defender работает с PPL.

5.1 Включение LSASS как процесса с защитой процессов

# Включить запуск как защищённый процесс
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RunAsPPL /t REG_DWORD /d 2 /f

# 2 = включено без UEFI-блокировки
# Если хотите с UEFI-блокировкой (нельзя отключить без физического доступа): /d 1 /f

5.2 Проверка, что Windows Defender работает в режиме PPL

# Проверяем статус
Get-MpComputerStatus | Select-Object AntivirusEnabled, RealTimeProtectionEnabled, IsTamperProtected

# Или через процесс
$mspengProcess = Get-Process MsMpEng -ErrorAction SilentlyContinue
if ($mspengProcess) {
Write-Host "Служба защиты от вредоносов запущена" -ForegroundColor Green
} else {
Write-Host "Служба защиты от вредоносов НЕ запущена" -ForegroundColor Red
}

5.3 Проверка, что драйвер ELAM загружен

# Проверяем реестр ELAM
$elamPath = "HKLM:\SYSTEM\CurrentControlSet\Control\EarlyLaunch"
Get-ItemProperty -Path $elamPath | Select-Object *

Должны увидеть значение BackupPath с путём к WdBoot.sys.

Шаг 6: Настройка групповой политики для принудительного включения PPL (Enterprise)

Если вы в домене, можете распространить PPL через объект групповой политики на все машины.

6.1 Откройте управление групповой политикой

На контроллере домена:

gpmc.msc

6.2 Создайте новый объект групповой политики

Правой кнопкой на организационном подразделении → Создать объект групповой политики в этом домене и связать его

6.3 Отредактируйте новый объект групповой политики

Правой кнопкой → Редактировать

6.4 Перейдите к:

Конфигурация компьютера
→ Параметры
→ Параметры Windows
→ Реестр

6.5 Создайте записи реестра

Правой кнопкой → Создать → Элемент реестра

Добавьте записи из шага 4.4 (EnableVirtualizationBasedSecurity, RequirePlatformSecurityFeatures, Locked).

6.6 Примените политику на организационное подразделение с клиентами

Политика применится на следующий gpupdate /force или после перезагрузки.

Практические советы из опыта 💡

Совет 1: Проверьте совместимость драйверов перед активацией

Некоторые видеокарты, контроллеры интерфейса RAID и даже антивирусы несовместимы с HVCI. Ядро просто не загрузит несовместимый драйвер.

Как найти проблемные драйверы:

# Откройте "Параметры безопасности Windows"
# Безопасность устройства → Изоляция ядра → Детали изоляции ядра

# Если видите список "несовместимые драйверы" — запишите их имена

# Или через PowerShell:
Get-WindowsDriver -Online | Where-Object { $_.BootCritical -eq $true }

Что делать:

1. Обновите драйверы (сначала видеокарту, потом всё остальное)
2. Если обновление не помогает — создайте запрос на GitHub репозитория разработчика
3. В крайнем случае отключите HVCI только для этого конкретного компьютера

Совет 2: Защита от изменений блокирует случайные отключения

Когда включена защита от изменений конфигурации (она включена по умолчанию на управляемых через Defender for Endpoint устройствах), вы не можете отключить PPL или HVCI через интерфейс, если Defender работает.

Как отключить защиту от изменений (если нужно):

# Через PowerShell (требует прав системы)
Set-MpPreference -DisableRealtimeMonitoring $false

# Или через "Параметры безопасности Windows" → "Защита от вирусов и угроз" → "Управление параметрами"

Документация Microsoft указывает: защита от изменений защищает сами механизмы защиты от отключения. Это хорошо для пользователей, плохо для администраторов. Планируйте изменения заранее.

Совет 3: Если вам нужна сторонняя программа-антивирус вместо Defender

Microsoft требует, чтобы драйвер ELAM всё равно был включён даже если вы используете Kaspersky, Bitdefender и т. д.

Способ 1: Режим без активной защиты

# Включить режим без активной защиты для Defender (он будет работать только для сканирования)
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v ForceDefenderPassiveMode /t REG_DWORD /d 1 /f

# Перезагрузитесь

Способ 2: Проверьте совместимость

Kaspersky, Bitdefender, ESET, Trend Micro Apex One — все поддерживают ELAM и могут работать рядом с Defender в режиме без активной защиты.

Документация Microsoft: "ELAM может работать только с одним активным антивирусом. Если хотите использовать третью сторону — первого нужно перевести в режим без активной защиты".

Совет 4: Мониторьте расход ресурсов

PPL и HVCI действительно потребляют процессор и память. На слабых машинах (с 4GB ОЗУ) это может быть заметно.

Как проверить воздействие:

# Проверка использования памяти защитой на основе виртуализации
$vbsMemory = Get-WmiObject Win32_Process -Filter "Name='svchost.exe'" | Where-Object { $_.CommandLine -like "*devicesflow*" } | Measure-Object WorkingSetSize -Sum

Write-Host "Использование памяти защитой на основе виртуализации: $([Math]::Round($vbsMemory.Sum / 1MB)) МБ"

# Проверка среднего использования процессора
Get-Counter '\System\Processor Queue Length' | Select-Object -ExpandProperty CounterSamples | Select-Object CookedValue

Рекомендация: Для серверов с критичной производительностью используйте Безопасная загрузка (значение 1), а не Безопасная загрузка + защита прямого доступа к памяти (значение 3). Защита прямого доступа к памяти требует дополнительных проверок при каждом обращении к памяти.

Канал «Каморка Программиста» — это простые разборы программирования, языков, фреймворков и веб-дизайна. Всё для новичков и практиков.

Присоединяйся прямо сейчас.

Совет 5: Защита LSASS может сломать старые инструменты мониторинга 🚨

Проблема: Если у вас есть инструмент для удаления дампа процессов в удалённом режиме или глубокого анализа вредоноса — он сломается.

Причина: PPL запрещает даже администраторам делать дампы памяти защищённых процессов.

Решение:

1. Используйте безопасный режим загрузки (Safe Mode) для отключения
2. Используйте специализированные решения EDR, которые поддерживают PPL
3. Если это критично — создайте отдельный лабораторный сегмент без PPL

Безопасность и откат: когда что-то пошло не так ⚠️

Сценарий 1: Система не загружается после включения HVCI

Признаки:

• Синий экран смерти (BSOD) с кодом DRIVER_IRQL_NOT_LESS_OR_EQUAL
• Непрерывный цикл перезагрузки

Откат через безопасный режим:

1. Перезагрузитесь, нажимайте F8 или Shift+F8 во время загрузки
2. Выберите Безопасный режим с командной строкой
3. Откройте redgedit (обычно доступен даже в безопасном режиме)
4. Перейдите к HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard
5. Удалите значения EnableVirtualizationBasedSecurity или установите их в 0
6. Перезагрузитесь нормально

Если безопасный режим не помогает — используйте восстановление из контрольной точки:

1. Загрузитесь в окружение восстановления Windows (нажимайте Shift+F8 при загрузке)
2. Выберите Диагностика → Дополнительные параметры → Восстановление системы
3. Выберите контрольную точку восстановления, созданную перед включением защиты на основе виртуализации

Сценарий 2: Драйвер видеокарты несовместим

Признаки:

• Экран остаётся чёрным после загрузки
• "Параметры безопасности Windows" показывает "несовместимые драйверы"

Решение:

1. Скачайте свежую версию драйвера NVIDIA/AMD с официального сайта
2. Загрузитесь в безопасный режим
3. Удалите старый драйвер: Диспетчер устройств → Видеоадаптеры → правой кнопкой → Удалить устройство
4. Установите новый драйвер
5. Перезагрузитесь нормально

Если всё ещё не работает — отключите HVCI для этого устройства через групповую политику или реестр.

Сценарий 3: Windows Defender не запускается после изменений PPL

Команды для диагностики:

# Проверьте статус службы
Get-Service WinDefend

# Если статус "остановлена" — запустите вручную
Start-Service WinDefend

# Проверьте логи событий
Get-EventLog -LogName System -Source "Service Control Manager" -Newest 10

Откат через PowerShell:

# Отключить PPL для LSASS
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RunAsPPL /t REG_DWORD /d 0 /f

# Сбросить Defender
& "C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.*\MpCmdRun.exe" -ResetPlatform

# Перезагрузитесь
Restart-Computer

Производительность: конкретные метрики 📊

Тестирование на реальном оборудовании (ноябрь 2025)

Тестовая система:

• Intel Core i7-12700K
• 32GB оперативной памяти DDR5
• Windows 11 Pro 23H2
• Defender без дополнительных настроек

Метрики:

Вывод: На современном оборудовании влияние минимально. На старых системах (i5-8400) может быть более заметным (до 15% замедления).

Документация Microsoft указывает: тестирование проводилось на Intel 8-го поколения, результаты показали 3–5% нагрузки. Сообщество замечает: на пользовательских сборках или виртуальных машинах может быть до 20%.

Оптимизация для игр 🎮

Если вы геймер и заметили падение количества кадров в секунду:

# Отключить HVCI и защиту целостности памяти, но оставить базовую защиту на основе виртуализации
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v Enabled /t REG_DWORD /d 0 /f

# Снизить нагрузку на процессор для Defender
Set-MpPreference -ScanAvgCPULoadFactor 30

# Отключить сканирование дисков, подключаемых через интерфейс
Set-MpPreference -DisableAutoExclusions $true

Документация: HVCI можно отключить отдельно, оставляя защиту на основе виртуализации для других целей. Практика: это даёт 8–12% прирост кадров в секунду без критичной потери защиты.

Код и конфиги 🔧

Автоматизированный скрипт PowerShell для включения PPL

# ===================================================================
# Скрипт: Enable-PPL-Antivirus.ps1
# Назначение: автоматически включить PPL для Windows Defender
# Автор: T.E.X.H.O Windows & Linux
# Дата: ноябрь 2025
# ===================================================================

# Проверка прав администратора
if (-NOT ([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) {
Write-Host "[-] Скрипт требует прав администратора!" -ForegroundColor Red
exit 1
}

Write-Host "[*] Начало активации PPL для антивируса..." -ForegroundColor Cyan

# Шаг 1: Проверка поддержки защиты на основе виртуализации
Write-Host "[*] Проверка поддержки защиты на основе виртуализации..." -ForegroundColor Yellow
$vbsSupported = Get-WmiObject Win32_ComputerSystem | Select-Object HypervisorPresent

if (-NOT $vbsSupported.HypervisorPresent) {
Write-Host "[-] Гипервизор не поддерживается. HVCI не сработает." -ForegroundColor Red
Write-Host "[*] Действие: включите виртуализацию в BIOS (VT-x для Intel, SVM для AMD)" -ForegroundColor Yellow
exit 1
}

Write-Host "[+] Защита на основе виртуализации поддерживается" -ForegroundColor Green

# Шаг 2: Создание контрольной точки восстановления
Write-Host "[*] Создание контрольной точки восстановления..." -ForegroundColor Yellow
try {
Checkpoint-Computer -Description "Перед активацией PPL и HVCI" -ErrorAction Stop
Write-Host "[+] Контрольная точка создана" -ForegroundColor Green
} catch {
Write-Host "[-] Ошибка при создании контрольной точки: $_" -ForegroundColor Red
}

# Шаг 3: Активация защиты на основе виртуализации через реестр
Write-Host "[*] Активация защиты на основе виртуализации в реестре..." -ForegroundColor Yellow

# Создание пути если его нет
$regPath = "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard"
if (-NOT (Test-Path $regPath)) {
New-Item -Path $regPath -Force | Out-Null
}

# Установка значений
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f | Out-Null
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f | Out-Null
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f | Out-Null

Write-Host "[+] Защита на основе виртуализации активирована" -ForegroundColor Green

# Шаг 4: Активация HVCI (защита целостности памяти)
Write-Host "[*] Активация HVCI..." -ForegroundColor Yellow

$hvciPath = "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity"
if (-NOT (Test-Path $hvciPath)) {
New-Item -Path $hvciPath -Force | Out-Null
}

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f | Out-Null
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f | Out-Null
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "WasEnabledBy" /t REG_DWORD /d 2 /f | Out-Null

Write-Host "[+] HVCI активирован" -ForegroundColor Green

# Шаг 5: Активация защиты LSASS
Write-Host "[*] Активация защиты LSASS (процесс управления учётными данными)..." -ForegroundColor Yellow

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "RunAsPPL" /t REG_DWORD /d 2 /f | Out-Null
# 2 = включено без UEFI-блокировки
# 1 = включено с UEFI-блокировкой (требует физического доступа для отключения)

Write-Host "[+] Защита LSASS активирована" -ForegroundColor Green

# Шаг 6: Проверка загрузки драйвера ELAM
Write-Host "[*] Проверка загрузки драйвера ELAM..." -ForegroundColor Yellow

$elamStatus = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\EarlyLaunch" -ErrorAction SilentlyContinue

if ($elamStatus) {
Write-Host "[+] Драйвер ELAM загружен: $($elamStatus.BackupPath)" -ForegroundColor Green
} else {
Write-Host "[-] Драйвер ELAM не найден. Убедитесь, что Windows Defender установлен." -ForegroundColor Red
}

# Шаг 7: Информация о перезагрузке
Write-Host ""
Write-Host "=========================================" -ForegroundColor Cyan
Write-Host "[!] ВНИМАНИЕ: требуется перезагрузка!" -ForegroundColor Yellow
Write-Host "[!] Система перезагрузится через 2 минуты" -ForegroundColor Yellow
Write-Host "=========================================" -ForegroundColor Cyan

# Перезагрузка
$continue = Read-Host "Перезагрузиться сейчас? (Y/N)"
if ($continue -eq "Y" -or $continue -eq "y") {
shutdown /r /t 120 /c "Активация PPL и HVCI. Система будет перезагружена через 120 секунд..."
Write-Host "[*] Перезагрузка запланирована на 120 секунд" -ForegroundColor Cyan
} else {
Write-Host "[*] Помните о необходимости перезагрузки!" -ForegroundColor Yellow
}

Скрипт для отката изменений

# ===================================================================
# Скрипт: Disable-PPL-Antivirus.ps1
# Назначение: отключить PPL и HVCI в случае проблем
# ===================================================================

if (-NOT ([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) {
Write-Host "[-] Требуются права администратора!" -ForegroundColor Red
exit 1
}

Write-Host "[*] Отключение PPL и HVCI..." -ForegroundColor Cyan

# Отключение HVCI
Write-Host "[*] Отключение HVCI..." -ForegroundColor Yellow
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f | Out-Null

# Отключение защиты на основе виртуализации
Write-Host "[*] Отключение защиты на основе виртуализации..." -ForegroundColor Yellow
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 0 /f | Out-Null

# Отключение защиты LSASS
Write-Host "[*] Отключение защиты LSASS..." -ForegroundColor Yellow
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "RunAsPPL" /t REG_DWORD /d 0 /f | Out-Null

Write-Host "[+] Все изменения отменены" -ForegroundColor Green
Write-Host "[!] Требуется перезагрузка для применения" -ForegroundColor Yellow

$reboot = Read-Host "Перезагрузиться сейчас? (Y/N)"
if ($reboot -eq "Y" -or $reboot -eq "y") {
shutdown /r /t 30
}

Типичные ошибки и диагностика 🔍

Ошибка 1: "Параметры изоляции ядра управляются вашей организацией"

Причина: групповая политика защиты от изменений конфигурации заблокировала изменения.

Диагностика:

gpresult /h report.html
# Откройте report.html и ищите "Virtualization Based Security"

Решение:

• Обновите групповую политику на сервере
• Или отключите защиту от изменений конфигурации временно через Intune
• Или используйте безопасный режим для отката (объект групповой политики не применяется в безопасном режиме)

Ошибка 2: "DRIVER_IRQL_NOT_LESS_OR_EQUAL" — синий экран смерти при загрузке

Причина: несовместимый драйвер не загружается при включённой HVCI.

Диагностика:

# Загрузитесь в безопасный режим и выполните:
net start MsMpEng
# Если ошибка — несовместимый драйвер

# Проверьте просмотр событий:
# Просмотр событий → Логи Windows → Система → ищите сообщения о целостности кода

Решение:

1. Отключите HVCI через безопасный режим
2. Обновите все драйверы
3. Включите HVCI снова

Ошибка 3: "Невозможно изменить параметр: доступ запрещён"

Причина: защита от изменений конфигурации или недостаточно прав.

Диагностика:

Get-MpComputerStatus | Select-Object IsTamperProtected

Решение:

# Отключите Defender на время
Set-MpPreference -DisableRealtimeMonitoring $true

# Сделайте изменения

# Включите Defender обратно
Set-MpPreference -DisableRealtimeMonitoring $false

Ошибка 4: "HVCI не может быть включён из-за ограничений процессора"

Причина: процессор древний или не поддерживает требуемые инструкции.

Диагностика:

# Скачайте hvciscan.exe и запустите
hvciscan.exe

# Или проверьте процессор
Get-WmiObject Win32_Processor | Select-Object Name, Manufacturer

Решение:

• На Intel: минимум 8-е поколение (Coffee Lake) для HVCI
• На AMD: минимум Ryzen 2000-й серии (Zen+) для HVCI
• На старых системах — используйте базовую защиту на основе виртуализации без HVCI

Чек-лист применения ✅

Перед применением PPL в боевую среду используйте этот чек-лист:

Подготовка (за неделю до):

• ☐ Создал резервную копию всех критичных систем
• ☐ Проверил совместимость процессоров (hvciscan.exe на всех машинах)
• ☐ Обновил все драйверы (особенно видеокарты и контроллеры интерфейса RAID)
• ☐ Подготовил документацию по откату
• ☐ Проинформировал пользователей о возможном замедлении

Тестирование (на тестовом сегменте):

• ☐ Включил HVCI и PPL на 5–10% машин
• ☐ Мониторил логи событий 48+ часов
• ☐ Провел нагрузочное тестирование
• ☐ Проверил совместимость внутренних инструментов (мониторинг, резервные копии)
• ☐ Задокументировал все проблемы и решения

Развёртывание (после тестирования):

• ☐ Развернул через групповую политику в фазах (10% → 50% → 100%)
• ☐ Настроил мониторинг (просмотр событий, монитор производительности)
• ☐ Подготовил линию помощи для пользователей
• ☐ Планировал откат в случае критичных проблем

После развёртывания:

• ☐ Проверил логи на ошибки за неделю
• ☐ Убедился, что ELAM и HVCI активны на всех машинах
• ☐ Задокументировал полученные знания

Часто задаваемые вопросы: ответы на практические вопросы 📋

Вопрос: PPL замедляет систему? Насколько заметно?

Ответ: На современном оборудовании (Intel 11-го поколения и выше, AMD Ryzen 5000 и выше) замедление незаметно — от 2–5%. На более старом железе может быть 10–15%. Для серверов рекомендуется тестировать перед развёртыванием, особенно если критична каждая миллисекунда (например, высокочастотная торговля).

Вопрос: Можно ли отключить PPL только для одного приложения?

Ответ: Нет. PPL работает на уровне ОС — либо включен для всех защищённых процессов, либо отключен. Однако вы можете отключить защиту от изменений конфигурации, что позволит отключить PPL через групповую политику для конкретного компьютера без перезагрузки (в теории; на практике всё равно требуется перезагрузка).

Вопрос: Что если я использую Kaspersky вместо Defender?

Ответ: Kaspersky имеет свой драйвер ELAM и поддерживает PPL. Установите его, переведите Defender в режим без активной защиты (через ForceDefenderPassiveMode в реестре), и Kaspersky будет работать с PPL. Защита на основе виртуализации и HVCI остаются активными для обоих.

Вопрос: Защита LSASS помешает мне делать дамп процесса для анализа?

Ответ: Да. Даже администратор не может сделать дамп защищённого процесса (LSASS). Для анализа нужно либо загрузиться в безопасный режим, либо использовать специализированные инструменты EDR, которые поддерживают PPL (CrowdStrike Falcon, Microsoft Sentinel и т. д.).

Вопрос: Я вижу ошибку "HVCI не может быть включён из-за ограничений ввода-вывода на уровне памяти или защиты прямого доступа к памяти". Что это?

Ответ: Это значит, что ввод-вывод на уровне памяти (IOMMU) отсутствует или отключена. Это дополнительная защита для виртуальных машин. Вы можете включить базовую защиту на основе виртуализации (значение 1 для RequirePlatformSecurityFeatures) вместо полной защиты на основе виртуализации+защита прямого доступа к памяти (значение 3). На физических машинах это редко критично.

Вопрос: Какой уровень RunAsPPL выбрать: 1 или 2?

Ответ: Значение 2 (без UEFI-блокировки) — для большинства. Значение 1 (с UEFI-блокировкой) — если вы параноик и хотите, чтобы PPL можно было отключить только через физический доступ к BIOS. На практике различия нет.

Вопрос: Windows Server: нужно ли включать PPL, если нет графического интерфейса?

Ответ: Да, даже более важно. На серверах HVCI и PPL защищают от руткитов в серверных эксплойтах. Используйте групповую политику или PowerShell для развёртывания. Нагрузка будет чуть выше, но компенсируется безопасностью.

Вопрос: Мой ноутбук с AMD Ryzen 5 3500U (Zen 2) не поддерживает HVCI?

Ответ: Ryzen 3500U (мобильный Zen 2) не поддерживает некоторые требуемые инструкции для полного HVCI. Можно включить базовую защиту на основе виртуализации, но HVCI не сработает. Обновитесь на Ryzen 5000-й серии (Zen 3) или выше для полной поддержки.

Вопрос: Отключу ли я HVCI, если отключу защиту целостности памяти через интерфейс?

Ответ: Нет. Защита целостности памяти (HVCI) — это только одна из функций защиты на основе виртуализации. Защита на основе виртуализации остаётся включённой для других целей (защита учётных данных, защита устройства). Полное отключение требует изменения реестра или групповой политики.

Вопрос: Я работаю на виртуальной машине (Azure, AWS, Hyper-V). Поддерживается ли HVCI?

Ответ: Зависит. На виртуальных машинах Azure Gen2 с типом безопасности "Standard" — да. На AWS EC2 — требуется поддержка вложенной виртуализации, что включено не всегда. На Hyper-V — да, если хост поддерживает. Проверьте документацию вашего облака перед включением.

Вывод: что вы получили 🎯

После прочтения этой статьи вы теперь знаете:

✅ Что такое PPL и почему это критично для безопасности даже для администраторов с полными правами

✅ Как включить PPL через графический интерфейс, групповую политику или реестр — для любого сценария

✅ Как проверить совместимость железа перед включением, используя hvciscan.exe и PowerShell

✅ Как работают драйвер ELAM, HVCI и защита на основе виртуализации — механика защиты, а не просто кнопки

✅ Как откатить изменения, если что-то пошло не так — не паника, есть способы

✅ Практические советы из реальной эксплуатации — не только теория

✅ Конкретные метрики производительности — знаете, чего ожидать

✅ Скрипты PowerShell готовы к использованию

Теперь вы можете уверенно защитить своих пользователей и серверы от корневых наборов инструментов и попыток отключения антивируса. И да, вы сможете объяснить коллегам, почему PPL — это не просто «ещё одна строка в реестре», а серьёзный уровень безопасности.

Помните: PPL защищает не вас от вирусов. PPL защищает сам антивирус от вас (если вы попали под влияние вредоноса). Это разница между безопасностью «на бумаге» и безопасностью «в реальности».

Подписывайтесь на T.E.X.H.O Windows & Linux на Яндекс.Дзене, чтобы получать новые гайды каждый день! 🔔

#БезопасностьWindows #ППЛ #ЗащитаПроцессов #HVCI #Антивирус #WindowsDefender #КонфигурацияБезопасности #Администратор #Windows11 #WindowsServer #ЗащитаНаОсновеВиртуализации #ELAM #ЗащитаЦелостностиПамяти #ИзоляцияЯдра #БезопасностьЯдра #КибербезопасностьЯдра #АдministrationСистемы #ГрупповаяПолитика #PowerShell #Реестр #Оптимизация #ИнформационнаяБезопасность #DevOps #БезопасностьПредприятия #БезопасностьОборудования #BIOS #ДрайверВидеокарты #ОтключениеПроцесса #TamperProtection #LinuxАльтернативы