MENU
  1. Accueil
  2. Windows
  3. Windows11
  4. Windows 11 : « Core Isolation » désactivé après installation neuve ? Causes, sécurité et correctifs pas à pas

Windows 11 : « Core Isolation » désactivé après installation neuve ? Causes, sécurité et correctifs pas à pas

Windows11

Après une installation neuve de Windows 11, « Core Isolation » peut s’afficher comme désactivé sans que votre PC soit en danger immédiat. Voici pourquoi cela arrive, comment diagnostiquer précisément la cause et les actions concrètes pour activer VBS/HVCI en toute sécurité.

Sommaire

Pourquoi « Core Isolation » peut s’afficher comme désactivé juste après l’installation

Vue d’ensemble

  • Constat typique : dans Sécurité Windows > Sécurité des appareils, la carte « Isolement du noyau » signale un état désactivé. Quelques jours plus tard, une alerte (triangle jaune) apparaît dans le Centre de notifications.
  • Ce que cela signifie : votre système démarre sans la virtualisation basée sur la sécurité (VBS). L’OS fonctionne normalement, mais il n’utilise pas certaines protections avancées (HVCI/« Memory Integrity »).

La dépendance critique au firmware (BIOS/UEFI)

Le cœur du sujet est la disponibilité de la virtualisation matérielle :

  • AMD : option SVM / AMD‑V dans l’UEFI.
  • Intel : Intel VT‑x (et idéalement VT‑d pour la protection DMA).

Si la virtualisation est désactivée dans l’UEFI : Windows ne peut pas initialiser VBS ; la carte « Core Isolation » reste grisée ou en « Non disponible ».
Si la virtualisation est activée : VBS est disponible, mais « Intégrité de la mémoire » (HVCI) reste désactivée tant que vous ne l’activez pas vous‑même. C’est le comportement normal par défaut sur de nombreux PC.

Pourquoi l’alerte n’apparaît pas le jour 1

Windows effectue en tâche de fond un inventaire des pilotes et évalue leur compatibilité avec HVCI. Un pilote noyau (kmdf/umdf) non conforme peut empêcher l’activation automatique ; l’alerte n’est donc déclenchée que lorsqu’un pilote récalcitrant est détecté ou après une mise à jour de sécurité qui réévalue votre configuration.

Impact sécurité : faut‑il s’inquiéter ?

  • Pas de risque immédiat : votre machine n’est pas « moins sûre que Windows 10 » par défaut. Elle n’active simplement pas une couche de durcissement supplémentaire.
  • Intérêt d’activer VBS/HVCI : réduction des attaques par injection de code noyau, de certaines escalades de privilèges et durcissement de la chaîne de démarrage.
  • Coût performance : pénalité mesurée d’environ 1–3 % sur la majorité des charges générales ; négligeable pour la plupart des usages grand public et bureautiques.

Diagnostic pas à pas (rapide et fiable)

1) Vérifier l’état VBS/HVCI depuis Windows

  1. Ouvrez msinfo32.exe. Repérez la ligne Virtualization-based security : Not enabled / Running.
  2. Dans Sécurité Windows > Sécurité des appareils > Détails d’isolement du noyau, observez l’état de « Intégrité de la mémoire » et cliquez sur Examiner les pilotes incompatibles s’il est proposé.

2) Confirmer que la virtualisation est activée dans l’UEFI

  • Redémarrez dans l’UEFI (Del/F2/Esc selon le fabricant).
  • Activez SVM (AMD) ou Intel VT‑x. Si disponible, activez aussi VT‑d/IOMMU (utile pour la protection DMA).
  • Vérifiez que UEFI + Secure Boot et TPM 2.0 sont actifs (prérequis pour les scénarios VBS modernes).

3) Gérer les pilotes bloquants

Si Windows liste des pilotes incompatibles (audio, réseau, périphériques USB, pilotes d’anciennes imprimantes, etc.), mettez‑les à jour depuis l’OEM ou remplacez l’appareil. À défaut, supprimez le pilote non essentiel.

4) Activer « Intégrité de la mémoire »

  1. Retournez dans Sécurité Windows > Sécurité des appareils > Détails d’isolement du noyau.
  2. Basculez l’interrupteur « Intégrité de la mémoire » sur Activé.
  3. Acceptez le redémarrage demandé. Au retour, laissez Windows finaliser le scan.

Tableau récapitulatif des actions

ÉtapeActionÀ retenir
UEFIActiver SVM/VT‑x (+ VT‑d/IOMMU)Sans virtualisation matérielle, VBS ne peut pas démarrer.
PilotesMettre à jour/remplacer les pilotes incompatiblesUtiliser Examiner les pilotes incompatibles dans Sécurité Windows.
HVCIActiver « Intégrité de la mémoire »Redémarrage requis ; l’alerte disparaît après validation.
Mises à jourWindows Update + pilotes chipset/GPULes microcodes et pilotes récents améliorent la compatibilité VBS.

Interaction avec « Reputation‑based protection »

Pourquoi elle se désactive en même temps que l’alerte « Core Isolation »

La Protection basée sur la réputation (SmartScreen, blocage des PUA, filtrage d’apps non fiables) s’appuie sur des services que VBS peut influencer. Lorsqu’un changement d’état VBS/HVCI survient (activation, désactivation, échec de démarrage ou pilotes bloquants), la configuration « Réputation » peut être réinitialisée par prudence, d’où l’état désactivé observé.

Remise en conformité

  1. Assurez‑vous que SVM/VT‑x est actif et que « Intégrité de la mémoire » fonctionne.
  2. Ouvrez Sécurité Windows > Contrôle des applications et du navigateur > Paramètres de la protection basée sur la réputation et réactivez les options souhaitées (SmartScreen, bloqueur d’applications potentiellement indésirables, etc.).
  3. Si les bascules restent grisées, vérifiez qu’aucun antivirus tiers, utilitaire d’« optimisation », stratégie de groupe ou clé de Registre n’impose leur désactivation.

Scénarios fréquents et correctifs ciblés

UEFI récent mais « Core Isolation » non disponible

  • Cause probable : SVM/VT‑x désactivé par défaut après un « Load Setup Defaults », mise à jour UEFI, ou activation d’un profil XMP/EXPO ayant réinitialisé des options.
  • Correctif : réactiver SVM/VT‑x (et VT‑d/IOMMU), sauvegarder, redémarrer.

« Intégrité de la mémoire » refuse de s’activer à cause des pilotes

  • Pistes : pilotes audio (certains Realtek), cartes d’extension USB ou capture vidéo, pilotes d’anciennes imprimantes/scanners, pilotes GPU très anciens, modules RGB « bas niveau ».
  • Correctifs : mettre à jour depuis le constructeur ; remplacer le périphérique ; supprimer l’ancien pilote (Gestionnaire de périphériques > Afficher > Périphériques cachés > désinstaller + supprimer le pilote le cas échéant).

Outils de virtualisation et Hyper‑V

  • Compatibilité : depuis Windows 10 2004+, Hyper‑V cohabite mieux avec VirtualBox/VMware via l’interface d’hyperviseur Windows. Toutefois, VBS actif peut réduire les performances de certaines VM.
  • Astuce : si vous utilisez massivement des VM et constatez une chute de performances, évaluez l’utilité d’HVCI pour vos usages, ou basculez les outils vers le mode « Hyper‑V » quand c’est possible.

Antivirus tiers ou outils d’optimisation

  • Symptôme : bascules grisées, options « Réputation » inactives, alertes récurrentes.
  • Correctif : dans un premier temps, désinstallez proprement ces outils (utilitaires de nettoyage inclus) et redémarrez. Le moteur de sécurité Windows reprendra la main.

Matériel ancien ou pilotes non maintenus

  • Symptôme : pilote signé mais non conforme HVCI (signature SHA‑1, ancienne date, absence de compatibilité DSE renforcée).
  • Correctif : privilégier des matériels ou pilotes maintenus. À défaut, conservez VBS sans HVCI si l’appareil est indispensable (compromis sécurité/fonction).

Vérifications avancées (pour aller au bout du diagnostic)

État VBS/HVCI via PowerShell

PowerShell (exécuter en tant qu’administrateur)
Get-CimInstance -ClassName Win32_DeviceGuard |
  Select-Object VirtualizationBasedSecurityStatus, SecurityServicesConfigured, SecurityServicesRunning
  • VirtualizationBasedSecurityStatus : 0=désactivé, 1=activé mais non en cours, 2=en cours d’exécution.
  • SecurityServices* : 1=Credential Guard, 2=HVCI (Memory Integrity).

Hyperviseur actif au démarrage

bcdedit /enum {current}

Vérifiez hypervisorlaunchtype : Auto indique que l’hyperviseur Windows est prévu au démarrage (utile pour VBS/Hyper‑V/WSL2).

Journal Code Integrity

Ouvrez Observateur d’événements > Journaux des applications et services > Microsoft > Windows > CodeIntegrity > Operational pour repérer des refus de chargement de pilotes liés à HVCI.

Lister les pilotes potentiellement obsolètes

PowerShell (admin)
Get-CimInstance Win32_PnPSignedDriver |
  Where-Object { $_.DriverProviderName -ne 'Microsoft' -and $_.DriverDate -lt (Get-Date).AddYears(-5) } |
  Select-Object DeviceName, DriverVersion, DriverDate, Manufacturer |
  Sort-Object DriverDate

FAQ claire et concrète

HVCI (« Intégrité de la mémoire ») est‑il obligatoire ?

Non. Il s’agit d’un durcissement supplémentaire. Pour un poste sensible (navigation, bureautique, messagerie), il est recommandé si votre parc matériel/pilotes le permet.

Faut‑il activer « Hyper‑V » dans les fonctionnalités Windows pour profiter de VBS/HVCI ?

Non. VBS utilise les capacités de virtualisation du système sans nécessiter l’installation du rôle Hyper‑V. Laisser « Hyper‑V » désactivé n’empêche pas HVCI de fonctionner.

Quel est l’effet sur les jeux et anti‑cheat ?

La grande majorité fonctionne sans souci. Quelques anti‑cheat très bas niveau peuvent réagir à HVCI ; gardez vos pilotes graphiques et les jeux à jour pour éviter les incompatibilités.

Que faire si l’interrupteur « Intégrité de la mémoire » revient tout seul à Off ?

Rechercher un pilote réinstallé en arrière‑plan (Windows Update, utilitaire OEM). Répéter « Examiner les pilotes incompatibles », mettre à jour, puis réactiver HVCI.

« Reputation‑based protection » reste grisé

Vérifiez qu’aucune stratégie (gpedit.msc) n’impose sa désactivation (SmartScreen, PUA). Si un antivirus tiers gère la réputation, désinstallez‑le proprement, redémarrez, puis contrôlez l’état.

Bonnes pratiques de configuration (check‑list)

  • UEFI : activer SVM/VT‑x et VT‑d/IOMMU, Secure Boot, TPM 2.0.
  • Windows Update : appliquer toutes les mises à jour cumulatives et microcodes.
  • Pilotes : prioriser chipset, storage, réseau, GPU depuis l’OEM/constructeur.
  • Sécurité Windows : activer Intégrité de la mémoire puis régler Reputation‑based protection.
  • Audit : surveiller les journaux CodeIntegrity et l’alerte du Centre de notifications après redémarrage.

Que faire si vous devez composer avec un pilote incompatible indispensable

Il arrive qu’un périphérique critique (ex. vieil outil de capture industrielle) impose un pilote non compatible HVCI. Dans ce cas :

  1. Conservez VBS sans HVCI : vous gardez la base de durcissement (isolation via l’hyperviseur) tout en laissant « Intégrité de la mémoire » désactivée temporairement.
  2. Segmenter les usages : si possible, dédiez ce périphérique à un poste séparé de votre machine principale.
  3. Surveiller les mises à jour du fabricant : bon nombre publient tôt ou tard un pilote compatible HVCI.

Tout‑en‑un : guide d’activation sécurisé

Avant de commencer

  • Sauvegardez vos documents.
  • Prévoyez un redémarrage.

Procédure condensée

  1. UEFI : activez SVM/VT‑x (et VT‑d/IOMMU), Secure Boot et vérifiez TPM 2.0.
  2. Windows : mettez à jour via Paramètres > Windows Update.
  3. Sécurité Windows : ouvrez Sécurité des appareils > Détails d’isolement du noyau > activez Intégrité de la mémoire.
  4. Pilotes : si « Examiner les pilotes incompatibles » apparaît, mettez‑les à jour/remplacez‑les, puis réactivez HVCI.
  5. Réputation : dans Contrôle des applications et du navigateur, réactivez SmartScreen/PUA et vérifiez l’état.

Points techniques utiles (référence rapide)

  • Terminologie : « Core Isolation » = parapluie VBS ; « Intégrité de la mémoire » = HVCI (Hypervisor‑protected Code Integrity).
  • Prérequis matériels : CPU 64 bits avec extensions de virtualisation, TPM 2.0, démarrage UEFI/Secure Boot.
  • Performances : impact courant 1–3 % (plus élevé sur charges très spécifiques ou pilotes non optimisés).
  • Où regarder : msinfo32 (état VBS), CodeIntegrity (journaux), Sécurité Windows (bascules).

Résumé actionnable

Si « Core Isolation » est désactivé, ce n’est pas anormal après une installation neuve. Le plus souvent, la virtualisation est coupée dans l’UEFI ou un pilote incompatible retarde l’activation d’HVCI. La marche à suivre : activer SVM/VT‑x (et VT‑d/IOMMU), mettre à jour/remplacer les pilotes signalés, basculer « Intégrité de la mémoire » sur Activé, puis réactiver la Protection basée sur la réputation. Vous bénéficiez alors du niveau de sécurité maximal proposé nativement par Windows 11, pour un coût en performances généralement imperceptible.

Tableau décisionnel (en un coup d’œil)

SymptômeCause la plus probableAction recommandée
« Core Isolation » grisé / non disponibleVirtualisation (SVM/VT‑x) désactivée dans l’UEFIActiver SVM/VT‑x (+ VT‑d), Secure Boot, TPM 2.0
« Intégrité de la mémoire » refuse de s’activerPilotes noyau incompatiblesMettre à jour/remplacer les pilotes listés > Réessayer
Alerte apparue après quelques joursInventaire/scan pilotes différé ou mise à jour sécuritéLancer « Examiner les pilotes incompatibles », corriger
« Reputation‑based protection » désactivéeRéinitialisation liée au changement d’état VBS/HVCIRéactiver manuellement, vérifier GPO/AV tiers
Chute de perfs VM/émulateursCohabitation avec l’hyperviseur WindowsAjuster les outils VM ou reconsidérer HVCI selon l’usage

En pratique : séquence complète avec vérifications

  1. Activer SVM/VT‑x dans l’UEFI (et VT‑d/IOMMU si présent).
  2. Mettre à jour Windows, le BIOS/UEFI si nécessaire, puis les pilotes chipset, stockage, réseau, GPU depuis les sources du fabricant.
  3. Dans Sécurité Windows, activer « Intégrité de la mémoire » > redémarrer.
  4. Si un blocage persiste, examiner les pilotes incompatibles, les corriger puis réessayer.
  5. Revenir à Contrôle des applications et du navigateur pour réactiver la protection basée sur la réputation.
  6. Contrôler msinfo32 : Virtualization-based security doit indiquer Running.

Conclusion : l’apparition tardive de l’alerte « Core Isolation désactivé » et la désactivation conjointe de la protection basée sur la réputation sont cohérentes avec une virtualisation du firmware coupée ou des pilotes encore non compatibles. En suivant le chemin UEFI → pilotes → HVCI → Réputation, vous stabilisez durablement la sécurité de Windows 11.

Windows11
Windows 11 Windows Defender VBS Core Isolation Memory Integrity
Sommaire