Kernisolierung aktivieren in Windows 11 und 10: So schützen Sie Ihren PC vor Schadsoftware – mit Schritt-für-Schritt-Anleitung zur Speicherintegrität.
Die Kernisolierung ist eine der wichtigsten Sicherheitsfunktionen in Windows 11 und Windows 10. Sie schützt kritische Systemprozesse vor Malware und Angriffen auf Kernel-Ebene.
In dieser Anleitung erfahren Sie Schritt für Schritt, wie Sie die Kernisolierung aktivieren, welche Voraussetzungen nötig sind, wie Sie typische Fehler beheben und warum die Funktion manchmal deaktiviert bleibt – inklusive aller Lösungswege.
Was ist die Kernisolierung in Windows?
Die Kernisolierung (englisch: „Core Isolation“) ist ein Oberbegriff für mehrere Sicherheitsmechanismen, die Microsoft in Windows 10 und Windows 11 integriert hat. Technisch basiert sie auf der sogenannten virtualisierungsbasierten Sicherheit (VBS), die wiederum auf den Virtualisierungsfunktionen der CPU aufbaut. Dadurch werden Kernprozesse des Betriebssystems in einer abgeschotteten, virtualisierten Umgebung ausgeführt – getrennt vom restlichen System.
Konkret bedeutet das: Angreifer können nicht einfach bösartigen Code in sicherheitskritische Windows-Prozesse einschleusen, selbst wenn sie es bis auf Treiber-Ebene geschafft haben. Bekannte Schadprogramme wie WannaCry oder Petya nutzten genau solche tiefliegenden Schwachstellen aus. Deshalb ist die Kernisolierung eine bedeutende Verteidigungslinie, besonders in einer Zeit, in der Cyberangriffe immer ausgefeilter werden.
Die wichtigsten Unterfunktionen der Kernisolierung sind:
- Speicher-Integrität (auch „Memory Integrity“ oder „HVCI“ – Hypervisor-geschützte Codeintegrität): Verhindert das Einschleusen von bösartigem Code in Hochsicherheitsprozesse.
- Hardware-gestützter Stapelschutz im Kernel-Modus: Schützt Windows davor, dass fremder Code eingeschleust und ausgeführt wird.
- Schutz durch lokale Sicherheitsautorität (LSA-Schutz): Schützt Anmeldeinformationen, indem nicht signierte Treiber und Plug-ins blockiert werden.
- Microsoft-Sperrliste gefährdeter Treiber: Blockiert automatisch Treiber mit bekannten Sicherheitslücken.
Zusätzlich ist wichtig zu wissen: Die Anzahl und Art der verfügbaren Optionen variiert je nach Windows-Version und installierter Hardware. Nicht jedes Gerät unterstützt alle Funktionen.
Voraussetzungen: Was Ihr PC braucht
Bevor Sie die Kernisolierung aktivieren, sollten Sie prüfen, ob Ihr System die technischen Anforderungen erfüllt. Andernfalls bleibt der Schalter ausgegraut oder die Funktion lässt sich nicht dauerhaft einschalten.
Folgende Voraussetzungen sind notwendig:
1. CPU-Virtualisierung aktiviert (im BIOS/UEFI)
Die CPU muss Hardwarevirtualisierung unterstützen und diese muss im BIOS/UEFI eingeschaltet sein. Bei Intel heißt die Option „Intel VT-x“ oder „Intel Virtualization Technology“, bei AMD „AMD-V“ oder „SVM Mode“.
2. Hyper-V-Unterstützung
Windows nutzt Hyper-V als Grundlage für die VBS. Hyper-V muss entweder bereits aktiv sein oder zumindest von der Hardware unterstützt werden.
3. TPM 2.0 (Trusted Platform Module)
Besonders unter Windows 11 ist ein aktives TPM 2.0 Pflicht. Dieses Sicherheitschip stellt kryptografische Funktionen bereit, die für VBS benötigt werden.
4. Secure Boot aktiviert
Der Secure Boot (abgesicherter Start) muss im UEFI eingeschaltet sein. Er stellt sicher, dass nur vertrauenswürdige Software beim Systemstart geladen wird.
5. UEFI-MAT (UEFI Memory Attributes Table)
Das UEFI des Systems sollte die sogenannte UEFI-MAT unterstützen, da diese für den korrekten Betrieb von HVCI benötigt wird.
6. Kompatible Treiber
Alle installierten Gerätetreiber müssen mit der Speicher-Integrität kompatibel sein. Veraltete oder unsignierte Treiber blockieren die Aktivierung häufig.
7. Spezielle CPU-Funktionen
Für den optimalen Betrieb empfiehlt Microsoft bestimmte CPU-Funktionen: Bei Intel ist das MBEC (Mode-Based Execute Control), bei AMD GMET (Guest Mode Execute Trap). Ältere Prozessoren, die diese Funktionen nicht unterstützen, können die Kernisolierung zwar ausführen, aber mit einem höheren Leistungsverlust.
Kernisolierung in Windows 11 aktivieren – Schritt für Schritt
Die Aktivierung über die Windows-Sicherheitseinstellungen ist der einfachste und empfohlene Weg. Gehen Sie dabei wie folgt vor:
Schritt 1: Öffnen Sie das Startmenü und klicken Sie auf das Zahnrad-Symbol, um die Einstellungen zu öffnen. Alternativ drücken Sie die Tastenkombination Windows + I.
Schritt 2: Klicken Sie im linken Menü auf „Datenschutz und Sicherheit“.
Schritt 3: Wählen Sie rechts den Punkt „Windows-Sicherheit“ aus.
Schritt 4: Es öffnet sich die Windows-Sicherheits-App. Klicken Sie dort auf „Gerätesicherheit“.
Schritt 5: Unter dem Abschnitt „Kernisolierung“ klicken Sie auf den blauen Link „Details zur Kernisolierung“.
Schritt 6: Sie sehen nun die verfügbaren Schalter. Aktivieren Sie zunächst „Speicher-Integrität“, indem Sie den Schalter auf „Ein“ stellen.
Schritt 7: Aktivieren Sie ebenso alle weiteren angezeigten Optionen, sofern Ihre Hardware diese unterstützt: „Hardware-gestützter Stapelschutz im Kernel-Modus“, „Schutz durch lokale Sicherheitsautorität“ und „Microsoft-Sperrliste gefährdeter Treiber“.
Schritt 8: Windows fordert Sie auf, die Benutzerkontensteuerung (UAC) zu bestätigen. Klicken Sie auf „Ja“.
Schritt 9: Starten Sie den PC neu, damit die Änderungen vollständig übernommen werden. Erst nach dem Neustart ist die Kernisolierung aktiv.
Kernisolierung in Windows 10 aktivieren – Schritt für Schritt
Auch unter Windows 10 ist die Kernisolierung verfügbar, allerdings ist die Oberfläche etwas anders aufgebaut. Zudem läuft die Funktion auf älteren Systemen mitunter weniger stabil. Dennoch ist die Aktivierung grundsätzlich dieselbe:
Schritt 1: Klicken Sie auf das Startmenü und geben Sie „Windows-Sicherheit“ in die Suche ein. Öffnen Sie die App.
Schritt 2: Klicken Sie auf „Gerätesicherheit“ in der linken Seitenleiste.
Schritt 3: Unter „Kernisolierung“ wählen Sie „Details zu Kernisolierung“.
Schritt 4: Setzen Sie den Schalter bei „Speicher-Integrität“ auf „Ein“. Bestätigen Sie die UAC-Anfrage.
Schritt 5: Starten Sie den Computer neu, um die Einstellung zu übernehmen.
Wichtig zu wissen: Unter Windows 10 steht nicht zwingend der gesamte Funktionsumfang zur Verfügung wie unter Windows 11. Außerdem bleibt die Kernisolierung auf Windows-10-Systemen mit älterer Hardware häufiger inaktiv oder instabil. Deshalb empfiehlt es sich, nach der Aktivierung zu prüfen, ob der Schalter dauerhaft auf „Ein“ bleibt.
Kernisolierung per Registrierungseditor aktivieren
Alternativ zur grafischen Oberfläche können Sie die Kernisolierung auch direkt über die Windows-Registrierung aktivieren. Diese Methode ist besonders dann hilfreich, wenn der Schalter in der Windows-Sicherheits-App nicht reagiert oder ausgegraut erscheint.
Schritt 1: Drücken Sie Windows + R, geben Sie regedit ein und bestätigen Sie mit Enter.
Schritt 2: Bestätigen Sie die UAC-Anfrage mit „Ja“.
Schritt 3: Navigieren Sie im Registrierungseditor zum folgenden Pfad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
Schritt 4: Suchen Sie dort den DWORD-Wert „Enabled“. Doppelklicken Sie darauf.
Schritt 5: Ändern Sie den Wert auf „1″, um die Speicher-Integrität zu aktivieren (oder auf „0″, um sie zu deaktivieren).
Schritt 6: Schließen Sie den Registrierungseditor und starten Sie den PC neu.
Bitte beachten Sie: Änderungen an der Windows-Registrierung sollten grundsätzlich nur dann vorgenommen werden, wenn Sie wissen, was Sie tun. Deshalb empfiehlt es sich, vorher eine Sicherungskopie der Registrierung zu erstellen. Klicken Sie dazu im Registrierungseditor auf Datei > Exportieren und speichern Sie die Sicherung an einem sicheren Ort.
Kernisolierung per Gruppenrichtlinien aktivieren (Windows Pro/Enterprise)
Wer Windows 10 Pro, Windows 11 Pro oder eine Enterprise-Version nutzt, kann die Kernisolierung zudem über den Gruppenrichtlinien-Editor verwalten. Diese Methode eignet sich besonders für Unternehmensumgebungen mit mehreren PCs.
Schritt 1: Drücken Sie Windows + R, geben Sie gpedit.msc ein und bestätigen Sie mit Enter.
Schritt 2: Navigieren Sie zum Pfad:
Computerkonfiguration > Administrative Vorlagen > System > Device Guard
Schritt 3: Doppelklicken Sie auf die Richtlinie „Virtualisierungsbasierte Sicherheit aktivieren“.
Schritt 4: Wählen Sie „Aktiviert“ und stellen Sie unter „Optionen“ die Speicher-Integrität auf „Mit UEFI-Sperre aktiviert“ ein. Diese Einstellung verhindert, dass die Funktion ohne physischen Zugriff auf das BIOS deaktiviert werden kann – ein wichtiger Sicherheitsaspekt für Unternehmensgeräte.
Schritt 5: Klicken Sie auf „OK“ und starten Sie den PC neu.
Wenn sich die Kernisolierung nicht aktivieren lässt: Fehlersuche und Lösungen
Einer der häufigsten Frustrationspunkte ist, dass sich die Kernisolierung zwar einschalten lässt, nach dem nächsten Neustart aber wieder deaktiviert ist. Ebenso kommt es vor, dass der Schalter ausgegraut bleibt. Beide Situationen haben meist klare Ursachen und damit auch Lösungen.
Problem 1: Inkompatible oder veraltete Treiber
Das häufigste Hindernis sind inkompatible Gerätetreiber. Windows zeigt in solchen Fällen oft eine Liste mit problematischen Treibern an. Gehen Sie folgendermaßen vor:
Empfohlene Vorgehensweise:
- Öffnen Sie „Details zur Kernisolierung“ in der Windows-Sicherheits-App.
- Scrollen Sie nach unten – Windows listet dort die blockierenden Treiber auf.
- Suchen Sie nach Updates für diese Treiber: Öffnen Sie den Geräte-Manager (Windows + X > Geräte-Manager), klicken Sie mit der rechten Maustaste auf das Gerät und wählen Sie „Treiber aktualisieren“.
- Prüfen Sie ebenso über Windows Update (Einstellungen > Windows Update > Erweiterte Optionen > Optionale Updates), ob aktualisierte Treiber bereitstehen.
- Falls kein Update verfügbar ist, wenden Sie sich an den Hersteller des Geräts.
Treiber, die sich nicht aktualisieren lassen und weiterhin blockieren, können im Geräte-Manager deinstalliert werden. Danach sollte die Aktivierung funktionieren. Allerdings bedeutet das: Das betroffene Gerät verliert möglicherweise seine Funktion. Deshalb sollten Sie in solchen Fällen abwägen, ob das Gerät weiterhin benötigt wird.
Problem 2: Veraltete UEFI/BIOS-Firmware
Auch eine veraltete BIOS- oder UEFI-Version kann dazu führen, dass die Kernisolierung instabil läuft oder sich gar nicht aktivieren lässt. Deshalb empfiehlt es sich, die Firmware regelmäßig zu aktualisieren.
Empfohlene Vorgehensweise:
Besuchen Sie die Support-Website des Mainboard- oder Laptop-Herstellers (z. B. ASUS, MSI, Lenovo, HP, Dell) und laden Sie dort das neueste BIOS/UEFI-Update herunter. Folgen Sie anschließend der jeweiligen Installationsanleitung des Herstellers genau.
Problem 3: CPU-Virtualisierung im BIOS deaktiviert
Falls die Virtualisierung im BIOS/UEFI ausgeschaltet ist, kann Windows keine VBS-Umgebung aufbauen. Starten Sie den PC neu, rufen Sie das BIOS/UEFI auf (häufig mit F2, Entf oder F10 beim Startbildschirm) und aktivieren Sie dort die Virtualisierungsoption Ihres Prozessors.
Problem 4: Virtuelle Maschinen blockieren die Funktion
Programme wie VirtualBox oder ältere Versionen von VMware Workstation installieren eigene Treiber für Netzwerk, Grafik und Virtualisierung. Ältere Versionen dieser Programme gehören zu den häufigsten Ursachen dafür, dass die Speicher-Integrität nicht aktiviert werden kann.
Empfohlene Vorgehensweise:
Aktualisieren Sie VirtualBox auf die aktuelle Version (ab Version 7.1 sind die meisten Kompatibilitätsprobleme behoben) oder aktualisieren Sie VMware Workstation Pro auf Version 17 oder höher, da diese Versionen offiziell mit HVCI kompatibel sind.
Problem 5: Treiber im DriverStore lassen sich nicht löschen
Manche blockierenden Treiber befinden sich im DriverStore/FileRepository von Windows und lassen sich nicht manuell löschen. Für diesen Fall empfiehlt sich das kostenlose Tool „pnputil.exe“, das direkt in Windows integriert ist.
Empfohlene Vorgehensweise:
- Öffnen Sie die Eingabeaufforderung als Administrator (Startmenü > cmd > Rechtsklick > Als Administrator ausführen).
- Geben Sie folgenden Befehl ein, um alle installierten Treiberpakete aufzulisten:
pnputil /enum-drivers - Identifizieren Sie das problematische Treiberpaket anhand des Dateinamens (den Windows in der Fehlerliste anzeigt).
- Löschen Sie den Treiber mit dem Befehl:
pnputil /delete-driver oem##.inf /uninstall /force
(ersetzen Sie „oem##.inf“ durch die tatsächliche Dateibezeichnung aus Schritt 2) - Starten Sie den PC neu.
Kernisolierung und Leistung: Wie viel kostet die Funktion?
Eine häufige Sorge betrifft die Systemleistung. Tatsächlich kann die Kernisolierung auf älteren Systemen ohne native MBEC/GMET-Unterstützung der CPU zu einem messbaren Leistungsabfall führen, da Windows in diesem Fall auf eine Softwareemulation zurückgreift. Allerdings ist der Effekt auf modernen Systemen mit entsprechender CPU-Unterstützung in der Praxis minimal und für die meisten Alltagsaufgaben nicht spürbar.
Deshalb gilt als allgemeine Empfehlung: Auf Systemen mit Intel Core der 7. Generation oder neuer bzw. AMD Ryzen der 1000er-Serie oder neuer mit UEFI-Unterstützung ist der Leistungsverlust vernachlässigbar. Auf sehr alten Systemen hingegen kann es sinnvoll sein, die Funktion zu deaktivieren, wenn deutliche Verlangsamungen auftreten.
Wann sollte man die Kernisolierung deaktivieren?
Obwohl die Aktivierung grundsätzlich empfehlenswert ist, gibt es Szenarien, in denen eine Deaktivierung sinnvoll sein kann:
- Ältere Hardware ohne native Virtualisierungsunterstützung, bei der es zu deutlichen Leistungseinbußen kommt.
- Fehlerbehebung: Wenn der PC nach der Aktivierung instabil läuft oder Bluescreen-Fehler auftreten, kann eine temporäre Deaktivierung helfen, den Verursacher einzugrenzen.
- Spezielle Software, die exklusiven Zugriff auf Hardwarevirtualisierung benötigt, z. B. bestimmte Debugging-Tools oder ältere Programmierwerkzeuge.
- Nicht aktualisierbare Treiber: Wenn ein unverzichtbares Gerät einen inkompatiblen Treiber hat und kein Update verfügbar ist.
Bitte beachten Sie jedoch: Die Deaktivierung der Kernisolierung macht Ihr System anfälliger für Rootkits, Kernel-Level-Angriffe und andere tiefgreifende Schadsoftware. Deshalb sollte die Deaktivierung stets bewusst und nur temporär erfolgen.
Kernisolierung im Vergleich: Windows 11 vs. Windows 10
Windows 11 setzt stärker und konsequenter auf moderne Sicherheitsmechanismen als Windows 10. Konkret bedeutet das:
- Unter Windows 11 ist die Speicher-Integrität auf neuen PCs oft bereits ab Werk aktiviert, sofern Hardware und Treiber kompatibel sind.
- Windows 10 unterstützt die Kernisolierung ebenfalls, jedoch weniger konsequent. Auf älteren Systemen läuft die Funktion instabiler und bleibt häufiger deaktiviert.
- Nach einem Upgrade von Windows 10 auf Windows 11 bleibt die Kernisolierung häufig deaktiviert, selbst wenn die Hardware kompatibel wäre. Deshalb sollten Sie nach einem solchen Upgrade die Einstellungen manuell prüfen.
- Zudem bietet Windows 11 zusätzliche Optionen wie den „Hardware-gestützten Stapelschutz im Kernel-Modus“, der unter Windows 10 nicht verfügbar ist.
Kernisolierung prüfen: Ist sie wirklich aktiv?
Nach der Aktivierung und dem Neustart sollten Sie prüfen, ob die Kernisolierung tatsächlich läuft. Gehen Sie dazu wie folgt vor:
Methode 1 – Windows-Sicherheits-App:
Öffnen Sie Windows-Sicherheit > Gerätesicherheit > Details zur Kernisolierung. Der Schalter „Speicher-Integrität“ sollte auf „Ein“ stehen und nicht mehr ausgegraut sein.
Methode 2 – Msinfo32:
Drücken Sie Windows + R, geben Sie msinfo32 ein und öffnen Sie „Systeminformationen“. Suchen Sie dort nach dem Eintrag „Virtualisierungsbasierte Sicherheit“. Wenn dort „Wird ausgeführt“ steht, ist VBS aktiv.
Methode 3 – Eingabeaufforderung:
Öffnen Sie die Eingabeaufforderung als Administrator und geben Sie folgenden Befehl ein:
msinfo32
Alternativ können Sie auch systeminfo eingeben und in der Ausgabe nach „Hyper-V“ suchen.
Häufige Fragen zur Kernisolierung
Was genau macht die Speicher-Integrität?
Die Speicher-Integrität (HVCI) ist die Kernkomponente der Kernisolierung. Sie nutzt Hardware-Virtualisierung, um den Arbeitsspeicherbereichen kritischer Systemprozesse eine eigene, abgeschottete Umgebung zu geben. Dadurch ist es für Schadprogramme erheblich schwieriger, bösartigen Code in diese Prozesse einzuschleusen. Außerdem überprüft HVCI jeden Treiber, bevor dieser in den Kernel geladen wird.
Warum ist die Kernisolierung bei mir deaktiviert?
Die häufigsten Gründe sind inkompatible oder veraltete Treiber, fehlende CPU-Virtualisierung im BIOS, eine veraltete UEFI-Firmware oder Hardware, die VBS nicht vollständig unterstützt. Zudem bleibt die Funktion nach einem Windows-10-auf-Windows-11-Upgrade oft deaktiviert. Prüfen Sie zunächst die Treiberliste unter „Details zur Kernisolierung“, um den genauen Grund zu erkennen.
Muss ich die Kernisolierung aktivieren?
Eine gesetzliche oder technische Pflicht besteht nicht. Grundsätzlich erhöht die Aktivierung jedoch die Sicherheit des Systems deutlich. Für Privatanwender mit aktueller Hardware und kompatiblen Treibern empfiehlt es sich, die Funktion zu aktivieren. Für ältere Systeme oder spezielle Softwareumgebungen kann eine Abwägung sinnvoll sein.
Verliere ich durch die Kernisolierung Leistung?
Auf modernen CPUs mit MBEC- (Intel) oder GMET-Unterstützung (AMD) ist der Leistungsverlust so gering, dass er im Alltag nicht spürbar ist. Auf älteren Prozessoren ohne diese Funktionen kann es jedoch zu messbaren Einbußen kommen, besonders bei rechenintensiven Aufgaben. Deshalb empfiehlt es sich, nach der Aktivierung die Systemleistung kurz zu beobachten.
Warum schaltet sich die Kernisolierung nach dem Neustart wieder ab?
Das passiert fast immer, weil ein installierter Treiber inkompatibel ist. Windows deaktiviert die Funktion automatisch, sobald beim Start ein problematischer Treiber erkannt wird. Die Lösung ist, den blockierenden Treiber zu aktualisieren oder zu deinstallieren. Die entsprechenden Treiber zeigt Windows unter „Details zur Kernisolierung“ an.
Kann ich die Kernisolierung per Gruppenrichtlinie erzwingen?
Ja, das ist möglich – allerdings nur unter Windows 10 Pro/Enterprise und Windows 11 Pro/Enterprise. Die Einstellung „Virtualisierungsbasierte Sicherheit aktivieren“ finden Sie im Gruppenrichtlinien-Editor unter Computerkonfiguration > Administrative Vorlagen > System > Device Guard. Die Option „Mit UEFI-Sperre“ verhindert dabei eine spätere Deaktivierung ohne BIOS-Zugriff.
Funktioniert die Kernisolierung mit VMware oder VirtualBox?
Ja, jedoch nur mit aktuellen Versionen. VMware Workstation Pro ab Version 17 und VirtualBox ab Version 7.1 sind mit HVCI kompatibel. Ältere Versionen hingegen installieren Treiber, die die Kernisolierung blockieren. Deshalb sollten Sie diese Programme vor der Aktivierung auf den neuesten Stand bringen.
Ist die Kernisolierung dasselbe wie Secure Boot?
Nein, das sind zwei unterschiedliche Sicherheitsfunktionen. Secure Boot prüft beim Systemstart, ob die geladene Software vertrauenswürdig ist. Die Kernisolierung hingegen schützt laufende Systemprozesse während des Betriebs durch Virtualisierung. Beide Funktionen ergänzen sich und sollten idealerweise gemeinsam aktiviert sein.
Lässt sich die Kernisolierung ohne Neustart aktivieren?
Nein. Die Kernisolierung erfordert nach jeder Änderung – ob Aktivierung oder Deaktivierung – einen vollständigen Neustart des Systems, da die Virtualisierungsumgebung bereits beim Start aufgebaut wird. Ein einfaches Abmelden reicht nicht aus.
Was passiert, wenn ich die Kernisolierung deaktiviere?
Das System wird anfälliger für tiefgreifende Angriffe wie Rootkits, Kernel-Level-Exploits und bösartige Treiber. Außerdem verlieren Sie den Schutz durch HVCI, was bedeutet, dass Schadsoftware theoretisch Code in kritische Windows-Prozesse einschleusen könnte. Deshalb sollte eine Deaktivierung nur temporär und aus konkretem Anlass erfolgen.
Fazit
Die Kernisolierung ist eine der wirksamsten Sicherheitsfunktionen in Windows 10 und Windows 11. Sofern Ihre Hardware und Treiber kompatibel sind, sollten Sie sie unbedingt aktivieren. Die Aktivierung gelingt über die Windows-Sicherheits-App, den Registrierungseditor oder die Gruppenrichtlinien.
Scheitert die Aktivierung, liegt es fast immer an veralteten Treibern oder fehlenden BIOS-Einstellungen – beides lässt sich gezielt beheben. Mit den beschriebenen Schritten schützen Sie Ihr System nachhaltig gegen Angriffe auf Kernel-Ebene.