Windows 11/10: Speicherintegrität aktivieren, deaktivieren – So geht’s

Speicherintegrität in Windows 11 und Windows 10 aktivieren oder deaktivieren: Schritt-für-Schritt-Anleitung für mehr Systemsicherheit und stabilen PC-Betrieb.

Die Speicherintegrität (auch „Memory Integrity“ oder HVCI) schützt Ihren Windows-PC vor gefährlichen Angriffen auf Kernprozesse. In Windows 11 ist sie bei Neuinstallationen standardmäßig aktiv, unter Windows 10 jedoch oft nicht.

Dieser Artikel zeigt Ihnen Schritt für Schritt, wie Sie die Funktion aktivieren, deaktivieren und typische Probleme lösen – sowohl über die Benutzeroberfläche als auch über Registrierung, PowerShell und Gruppenrichtlinie.

Was ist die Speicherintegrität und warum ist sie wichtig?

Die Speicherintegrität ist eine Unterfunktion der sogenannten Kernisolierung und gehört zur virtualisierungsbasierten Sicherheit (VBS) in Windows 10 und Windows 11. Technisch korrekt heißt sie Hypervisor Protected Code Integrity, kurz HVCI. Ursprünglich war sie Teil von Device Guard, das Microsoft inzwischen jedoch nicht mehr aktiv bewirbt.

Die Funktion isoliert kritische Kernprozesse des Betriebssystems vom Rest des Systems. Dabei werden diese Prozesse in einer virtualisierten Umgebung ausgeführt, sodass Schadcode nicht direkt auf sie zugreifen kann. Außerdem prüft Windows jeden Treiber, der in den Kernel geladen werden soll, auf seine Integrität – und zwar in einer geschützten Umgebung außerhalb des normalen Betriebssystems.

Deshalb ist die Funktion besonders wertvoll: Angriffe wie WannaCry oder Petya-Ransomware nutzten genau diese Schwachstellen auf Kernel-Ebene aus. Zudem schützt HVCI vor sogenannten Pass-the-Hash-Angriffen und anderen Techniken, bei denen Angreifer versuchen, Treiber zu manipulieren, um Kontrolle über das System zu erlangen.

Wichtige Voraussetzungen für die Speicherintegrität:

• 64-Bit-Prozessor mit Virtualisierungsunterstützung (Intel VT-x oder AMD-V)
• Virtualisierung im BIOS/UEFI muss aktiviert sein
• UEFI-Firmware (kein Legacy-BIOS)
• Secure Boot sollte aktiviert sein
• Alle installierten Treiber müssen HVCI-kompatibel sein

Unter Windows 11 ist die Speicherintegrität bei Neuinstallationen auf kompatibler Hardware standardmäßig aktiviert. Ebenso ist sie auf allen Secured-Core-PCs automatisch aktiv. Unter Windows 10 hingegen war sie nur im S-Modus auf geeigneter Hardware standardmäßig eingeschaltet – auf anderen Geräten muss sie manuell aktiviert werden.

Speicherintegrität aktivieren: Methode 1 – Über Windows-Sicherheit (empfohlen)

Die einfachste und empfohlene Methode ist der Weg über die Windows-Sicherheits-App. Diese Vorgehensweise funktioniert sowohl unter Windows 10 als auch unter Windows 11 identisch.

Schritt-für-Schritt-Anleitung:

1. Öffnen Sie das Startmenü und geben Sie „Windows-Sicherheit“ in die Suchleiste ein.
2. Klicken Sie auf die App Windows-Sicherheit, um sie zu öffnen.
3. Wählen Sie im linken Menü den Bereich „Gerätesicherheit“.
4. Klicken Sie unter der Überschrift „Kernisolierung“ auf den Link „Details zur Kernisolierung“.
5. Setzen Sie den Kippschalter bei „Speicherintegrität“ auf „Ein“.
6. Bestätigen Sie die UAC-Eingabeaufforderung mit „Ja“, falls sie erscheint.
7. Starten Sie Ihren PC neu – erst danach ist die Funktion vollständig aktiv.

Um die Speicherintegrität später wieder zu deaktivieren, kehren Sie einfach zu diesen Einstellungen zurück und schalten den Kippschalter auf „Aus“. Auch in diesem Fall ist ein Neustart erforderlich, damit die Änderung wirksam wird.

Hinweis: Falls der Kippschalter ausgegraut ist oder eine Fehlermeldung erscheint, liegen häufig inkompatible Treiber vor. Dieses Problem wird weiter unten im Artikel ausführlich behandelt.

Speicherintegrität aktivieren: Methode 2 – Über den Registrierungseditor

Eine weitere Möglichkeit ist der direkte Eingriff in die Windows-Registrierung. Diese Methode ist besonders nützlich, wenn die Windows-Sicherheits-App nicht reagiert oder wenn Sie die Einstellung per Skript steuern möchten.

Schritt-für-Schritt-Anleitung zum Aktivieren:

1. Drücken Sie Win + R, geben Sie regedit ein und bestätigen Sie mit Enter.
2. Bestätigen Sie die UAC-Abfrage mit „Ja“.
3. Navigieren Sie zum folgenden Pfad:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
4. Existiert der Unterschlüssel „HypervisorEnforcedCodeIntegrity“ nicht, legen Sie ihn an: Rechtsklick auf „Scenarios“ → „Neu“ → „Schlüssel“, dann benennen Sie ihn entsprechend.
5. Klicken Sie mit der rechten Maustaste auf den Schlüssel → „Neu“ → „DWORD-Wert (32-Bit)“ → benennen Sie ihn „Enabled“.
6. Doppelklicken Sie auf „Enabled“ und setzen Sie den Wert auf 1 (aktivieren) oder 0 (deaktivieren).
7. Klicken Sie auf „OK“ und starten Sie den PC neu.

Diese Methode eignet sich zudem für Administratoren, die die Einstellung auf mehreren Geräten gleichzeitig anpassen möchten – beispielsweise per Skript oder Softwareverteilung.

Speicherintegrität aktivieren: Methode 3 – Per PowerShell

Für erfahrene Benutzer und Administratoren bietet PowerShell eine besonders schnelle und automatisierbare Methode. Zusätzlich lässt sich damit auch der aktuelle Status der Speicherintegrität abfragen.

Status prüfen:

Öffnen Sie PowerShell als Administrator (Rechtsklick auf das Startmenü → „Windows PowerShell (Administrator)“ bzw. „Terminal (Administrator)“) und führen Sie folgenden Befehl aus:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Dieser Befehl zeigt Ihnen alle VBS-relevanten Eigenschaften des Systems, darunter auch den Status der Speicherintegrität.

Aktivieren per PowerShell:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" -Name "Enabled" -Value 1

Deaktivieren per PowerShell:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" -Name "Enabled" -Value 0

Starten Sie den PC nach der Ausführung neu. Alternativ kann auch das Cmdlet Set-HVCIOptions in Kombination mit einer App-Control-Richtlinie genutzt werden – dies ist jedoch hauptsächlich für Unternehmensumgebungen relevant.

Speicherintegrität aktivieren: Methode 4 – Per Gruppenrichtlinie (Windows 10/11 Pro und höher)

Die Gruppenrichtlinie steht in Windows 10 Pro, Enterprise und Education sowie in Windows 11 Pro und Enterprise zur Verfügung. Deshalb ist diese Methode besonders für Unternehmensumgebungen und Administratoren geeignet.

Schritt-für-Schritt-Anleitung:

1. Drücken Sie Win + R, geben Sie gpedit.msc ein und bestätigen Sie mit Enter.
2. Navigieren Sie zu:
   Computerkonfiguration → Administrative Vorlagen → System → Device Guard
3. Doppelklicken Sie auf „Virtualisierungsbasierte Sicherheit aktivieren“.
4. Wählen Sie oben „Aktiviert“.
5. Wählen Sie unter „Schutz der Codeintegrität durch Virtualisierung“ die Option „Mit UEFI-Sperre aktiviert“ (empfohlen) oder „Ohne Sperre aktiviert“.
6. Klicken Sie auf „Übernehmen“ und dann auf „OK“.
7. Starten Sie den PC neu.

Wichtig: Die Option „Mit UEFI-Sperre aktiviert“ verhindert, dass die Einstellung ohne direkten UEFI-Zugriff rückgängig gemacht werden kann – das erhöht die Sicherheit, erschwert aber auch eine spätere Deaktivierung.

Um die Speicherintegrität per Gruppenrichtlinie zu deaktivieren, setzen Sie dieselbe Richtlinie auf „Deaktiviert“ und starten den PC neu. Falls die Einstellung danach trotzdem noch aktiv bleibt, liegt möglicherweise eine unternehmensweite Richtlinie vor, die Vorrang hat.

Speicherintegrität lässt sich nicht aktivieren: Ursachen und Lösungen

Ein häufiges Problem in der Praxis ist, dass der Kippschalter zwar sichtbar, aber ausgegraut ist oder dass beim Versuch der Aktivierung eine Fehlermeldung erscheint. Die häufigste Ursache sind dabei inkompatible Treiber.

Inkompatible Treiber identifizieren und entfernen

Windows zeigt in der Kernisolierungs-Ansicht eine Liste der inkompatiblen Treiber an. Dort steht jeweils der Name der Treiberdatei. Notieren Sie sich diese.

Inkompatiblen Treiber per PowerShell entfernen:

1. Öffnen Sie PowerShell als Administrator.
2. Führen Sie folgenden Befehl aus, um die betroffene INF-Datei des Treibers zu finden und zu entfernen (ersetzen Sie oem31.inf durch den tatsächlichen Dateinamen):

pnputil /delete-driver oem31.inf /uninstall /force

3. Starten Sie den PC neu und prüfen Sie, ob die Speicherintegrität nun aktiviert werden kann.

Außerdem lohnt es sich, im Geräte-Manager nach Treibern mit Ausrufezeichen zu suchen und diese zu aktualisieren. Viele Hersteller haben ihre Treiber inzwischen auf HVCI-Kompatibilität angepasst. Deshalb empfiehlt sich zunächst ein Treiberupdate, bevor Sie Treiber vollständig entfernen.

Virtualisierung im BIOS/UEFI aktivieren

Wenn die Speicherintegrität überhaupt nicht verfügbar erscheint, ist häufig die Hardwarevirtualisierung im BIOS/UEFI nicht aktiviert. Gehen Sie dabei wie folgt vor:

1. Starten Sie den PC neu und drücken Sie beim Boot die BIOS/UEFI-Taste Ihres Herstellers (häufig Entf, F2, F10 oder F12).
2. Suchen Sie die Einstellung „Intel Virtualization Technology“ (VT-x) bzw. „AMD-V“ oder „SVM Mode“.
3. Setzen Sie diese auf „Enabled“.
4. Speichern und verlassen Sie das BIOS (F10).

Ebenso sollte Secure Boot im BIOS aktiviert sein, da dies eine empfohlene Voraussetzung für HVCI ist.

Systemdateien reparieren

Falls keine Treiberprobleme vorliegen, aber die Speicherintegrität trotzdem nicht aktiviert werden kann, können beschädigte Systemdateien die Ursache sein. Öffnen Sie die Eingabeaufforderung als Administrator und führen Sie folgende Befehle aus:

sfc /scannow

Anschließend:

DISM /Online /Cleanup-Image /RestoreHealth

Starten Sie den PC danach neu und versuchen Sie erneut, die Speicherintegrität zu aktivieren.

Speicherintegrität aktiviert sich nach Neustart selbst wieder: Was tun?

Manche Benutzer berichten das umgekehrte Problem: Sie deaktivieren die Speicherintegrität, aber nach dem nächsten Neustart ist sie wieder eingeschaltet. Dies tritt besonders häufig in Unternehmensumgebungen auf, kann jedoch auch auf privaten Geräten vorkommen.

Mögliche Ursachen:

• Eine Gruppenrichtlinie erzwingt die Aktivierung – typisch in Unternehmensnetzwerken
• Windows Update hat die Einstellung überschrieben
• Ein Registrierungseintrag setzt die Funktion bei jedem Neustart zurück
• Ein Drittanbieterprogramm (z. B. Antivirensoftware) reaktiviert die Funktion

Lösung: Prüfen Sie zunächst den Gruppenrichtlinien-Editor (falls vorhanden) auf eine aktive VBS-Richtlinie und setzen Sie diese auf „Deaktiviert“. Außerdem können Sie die oben beschriebene PowerShell-Methode nutzen, um den Registrierungswert dauerhaft auf 0 zu setzen.

Auswirkungen auf die Systemleistung

Ein häufig diskutiertes Thema ist der Einfluss der Speicherintegrität auf die PC-Leistung. Tatsächlich kann HVCI die Systemleistung in bestimmten Szenarien messbar beeinträchtigen, da die zusätzliche Überprüfungsebene Rechenleistung beansprucht.

Besonders betroffen sind ältere Prozessoren ohne dedizierte Virtualisierungsfunktionen. Auf modernen CPUs – also aktuellen Intel Core- und AMD-Ryzen-Prozessoren der letzten Generationen – ist der Leistungsunterschied jedoch in der Praxis kaum spürbar. Dennoch berichten manche Nutzer von Einbußen in Spielen oder bei CPU-intensiven Anwendungen.

Empfehlung: Auf neueren Systemen (ab ca. 2019) empfiehlt sich das Aktivieren der Speicherintegrität für alle Alltagsnutzer. Auf älteren Systemen oder für professionelle Anwendungsfälle wie Videoschnitt oder 3D-Rendering kann eine Deaktivierung vertretbar sein – sofern andere Sicherheitsmaßnahmen wie aktueller Antivirenschutz und regelmäßige Updates vorhanden sind.

Speicherintegrität und Spielekompatibilität

Einige Benutzer deaktivieren die Speicherintegrität, weil bestimmte Spiele oder deren Anti-Cheat-Systeme (z. B. ältere Versionen von EasyAntiCheat oder BattlEye) damit nicht kompatibel sind. Außerdem können bestimmte Virtualisierungslösungen wie ältere Versionen von VMware Workstation oder VirtualBox Konflikte verursachen.

In solchen Fällen ist es sinnvoll, die Speicherintegrität gezielt zu deaktivieren – allerdings sollten Sie das Sicherheitsrisiko dabei im Blick behalten und andere Schutzmaßnahmen aktiv halten. Neuere Versionen der genannten Programme sind jedoch inzwischen größtenteils HVCI-kompatibel, sodass Konflikte im Jahr 2026 deutlich seltener auftreten.

Speicherintegrität in Windows RE deaktivieren (Notfalloption)

Falls Windows nach dem Aktivieren der Speicherintegrität instabil wird oder nicht mehr startet, bietet die Windows-Wiederherstellungsumgebung (Windows RE) eine Notfalllösung.

1. Booten Sie in die Windows-Wiederherstellungsumgebung – entweder über die erweiterten Startoptionen (Umschalttaste + Neustart) oder über einen bootfähigen USB-Stick.
2. Wählen Sie „Problembehandlung“ → „Erweiterte Optionen“ → „Eingabeaufforderung“.
3. Deaktivieren Sie zunächst alle aktiven Gruppenrichtlinien, die VBS erzwingen.
4. Setzen Sie den Registrierungswert manuell über die Eingabeaufforderung zurück:

   reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v Enabled /t REG_DWORD /d 0 /f

5. Starten Sie den PC normal neu.

Häufige Fragen zur Speicherintegrität

Ist die Speicherintegrität unter Windows 10 standardmäßig aktiviert?

Nein. Unter Windows 10 ist die Speicherintegrität nur auf Geräten im S-Modus sowie auf Secured-Core-PCs standardmäßig aktiv. Auf allen anderen Windows-10-Systemen muss sie manuell aktiviert werden. Unter Windows 11 hingegen ist sie bei Neuinstallationen auf kompatibler Hardware automatisch eingeschaltet.

Ist es sicher, die Speicherintegrität zu deaktivieren?

Das hängt von Ihrer Situation ab. Grundsätzlich verringert eine Deaktivierung den Schutz vor kernel-basierten Angriffen. Für Heimanwender mit aktueller Hardware empfiehlt sich deshalb das Aktivieren. Falls Sie die Funktion aus Kompatibilitätsgründen deaktivieren, sollten Sie umso mehr auf aktuelle Treiber, einen aktuellen Virenschutz und regelmäßige Windows-Updates achten.

Warum ist die Speicherintegrität ausgegraut?

Meistens liegen inkompatible Treiber vor. Windows zeigt diese in der Kernisolierungs-Ansicht an. Entfernen oder aktualisieren Sie die betroffenen Treiber. Außerdem kann es sein, dass die Hardwarevirtualisierung im BIOS deaktiviert ist oder dass die Hardware die Funktion grundsätzlich nicht unterstützt.

Welche Hardware wird für die Speicherintegrität benötigt?

Benötigt werden ein 64-Bit-Prozessor mit aktivierter Hardwarevirtualisierung (Intel VT-x oder AMD-V), UEFI-Firmware (kein Legacy-BIOS) sowie Secure Boot. Ältere Prozessoren ohne diese Funktionen unterstützen HVCI nicht.

Verlangsamt die Speicherintegrität den PC?

Auf modernen Systemen ist der Leistungsunterschied minimal und im Alltag kaum bemerkbar. Auf älteren Prozessoren kann es jedoch zu messbaren Einbußen kommen, insbesondere in rechenintensiven Anwendungen oder Spielen.

Muss ich nach dem Aktivieren der Speicherintegrität neu starten?

Ja, zwingend. Die Funktion wird erst nach einem vollständigen Neustart des Systems aktiv. Dasselbe gilt für das Deaktivieren – auch hier ist ein Neustart erforderlich.

Warum aktiviert sich die Speicherintegrität nach dem Neustart selbst wieder?

Ursachen sind häufig eine aktive Gruppenrichtlinie (besonders in Unternehmensumgebungen), ein Windows Update, das die Einstellung zurücksetzt, oder ein Drittanbieterprogramm. Prüfen Sie den Gruppenrichtlinien-Editor und ggf. den entsprechenden Registrierungswert.

Kann ich die Speicherintegrität per Skript oder Fernwartung steuern?

Ja. Über PowerShell können Sie den Registrierungswert per Skript setzen und die Funktion damit auf vielen Geräten gleichzeitig aktivieren oder deaktivieren. In Unternehmensumgebungen bietet außerdem die Gruppenrichtlinie eine zentrale Steuerung.

Was passiert, wenn ein Treiber nach dem Aktivieren nicht mehr lädt?

Windows verhindert dann das Laden dieses Treibers, da er die Integritätsprüfung nicht besteht. Das betroffene Gerät (z. B. eine Grafikkarte oder ein USB-Controller) funktioniert unter Umständen nicht mehr korrekt. Aktualisieren Sie in diesem Fall den Treiber oder entfernen Sie ihn und suchen Sie nach einem HVCI-kompatiblen Ersatz.

Gilt die Speicherintegrität auch für Windows Server?

Ja. Die Speicherintegrität und VBS stehen auch auf Windows Server 2016 und höher zur Verfügung. Die Konfiguration über PowerShell und Registrierung funktioniert dort identisch wie unter Windows 10 und Windows 11.

Fazit

Die Speicherintegrität ist eine wichtige Sicherheitsfunktion, die Ihren Windows-PC effektiv vor kernel-basierten Angriffen schützt. Auf modernen Systemen sollte sie stets aktiv sein. Falls Treiberkonflikte auftreten, helfen die beschriebenen Methoden über Registrierung, PowerShell oder Gruppenrichtlinie dabei, die Funktion zuverlässig zu steuern und Kompatibilitätsprobleme zu beheben.