Windows 11 Treiberproblem Kernisolierung

Sie haben Windows 11 installiert und Ihnen begegnen diese Fehlermeldungen bei Windows Treibern:

Man könnte vermuten, dass Gerätetreiber, die für Windows 10 und 64 Bit entwickelt wurden, ohne weitere Modifikationen unter Windows 11 lauffähig seien.

Ein Trugschluss, denn Windows 11 hat strengere Anforderungen an Kernel-Mode-Treiber. Alle Windows Treiber müssen:

  • Digital signiert sein (das war auch in Windows 10 so)
  • Code Integrity Checks bestehen (auch das gab es in Windows 10)
  • Mit Virtualization-Based Security VBS und Memory Integrity kompatibel sein. Und das ist neu in Windows 11.

Das entscheidende Problem: Memory Integrity erzwingt eine hypervisor-basierte Code-Integritätsprüfung, die viele ältere Windows Treiber nicht bestehen – selbst wenn diese für Windows 10 64-Bit zertifiziert waren. Windows Treiber müssen speziell für diese VBS/HVCI-Anforderungen angepasst werden.

Windows 11 Fehlermeldungen

„Der Gerätetreiber für diese Hardware kann nicht geladen werden. Der Treiber ist möglicherweise beschädigt oder nicht vorhanden (Code 39)“

„Sie erhalten diese Meldung, weil die Einstellung Speicherintegrität in Windows-Sicherheit verhindert,
dass ein Treiber auf Ihr Gerät geladen wird“

„Windows cannot load the device driver for this hardware. The driver may be corrupted or missing (Code 39)“

Speicherintegrität aktivieren

Windows + I → Datenschutz & Sicherheit → Windows-Sicherheit Gerätesicherheit → Details zu Kernisolierung Speicherintegrität auf EIN schalten

In der Praxis sieht man daher bei Windows Treibern, die eine längere Historie aufweisen oder nicht mit den neuesten Entwicklungswerkzeugen erstellt wurden Fehlermeldungen wie: „A driver can’t load on this device“ oder „Ein Treiber kann für dieses Gerät nicht geladen werden“.

Grund hierfür ist in den meisten Fällen nicht das Gerät selbst und auch nicht die Struktur des Gerätetreibers, wie die Fehlermeldung vielleicht vermuten lässt.

Windows 11: Erhöhte Sicherheitsanforderungen

Microsoft hat schlichtweg die Sicherheitsanforderungen an Windows Treiber verschärft und erweitert.

Core Isolation Memory Integrity

Core Isolation Memory Integrity (auch als HVCI – Hypervisor-Protected Code Integrity oder Speicherintegrität bezeichnet) ist eine in Windows 11 standardmäßig aktivierte Sicherheitsfunktion, die den Windows-Kernel vor Manipulation schützt. Sie basiert auf Virtualization-Based Security (VBS) und nutzt den Windows-Hypervisor, um eine isolierte virtuelle Umgebung zu schaffen

Da wäre zunächst die Kernisolation (Core Isolation Memory Integrity), welche vereinfacht gesagt dafür sorgt, dass kritische Kernprozesse in einer quasi virtuellen Umgebung ausgeführt werden und dort Schutzmechanismen greifen, die verhindern sollen, dass Schadcode außerhalb gültiger Speicherbereiche ausgeführt bzw. unauthorisierter Code geladen wird.

Windows Treiber müssen zudem konsequent darauf verzichten, veraltete Schnittstellen zu verwenden. Gerade beim Anfordern von Speicherbereichen existieren diverse Methoden, von denen einige durch Microsoft als veraltet gekennzeichnet sind und zu den obigen Fehlermeldungen führen.

Core Isolation gab es auch unter Windows 10, jedoch war das ein optionales Feature.
Was es auch bei Windows 11 ist, dort allerdings standardmässig aktiv geschaltet wurde.

Unter Windows 11 hängt es übrigens von der konkret verwendeten Hardware ab, welche Schutzfunktionen aktiviert und deaktiviert werden können und es gibt auch gewisse Unterschiede zwischen der Neuinstallation eines Treibers und der Weiterverwendung nach einem Upgrade.

Treten hier Probleme auf, kann ein erfahrener Treiberentwickler diese finden und beheben.

Für Nutzer stellt ein solcher, kritischer Windows Treiber jedoch eine nahezu unüberwindliche Hürde dar, gerade wenn im beruflichen Umfeld seitens der IT-Abteilung gefordert ist, dass die „Core Isolation“ auf dem Zielsystem eingeschaltet ist.

Quick and Dirty: Deaktivierung der Memory Integrity unter Windows 11

Wenn Sie sich nicht anders zu helfen wissen, können Sie das Sicherheitsfeature abschalten. Mit allen Konsequenzen für die Sicherheit Ihres PCs

  • Öffnen Sie Windows-Sicherheit → Gerätesicherheit → Kernisolierung
  • Schieben Sie den Regler „Speicherintegrität“ (Memory Integrity) auf „AUS“ (Off)
  • Ein UAC-Bestätigungsdialog wird eingeblendet – bestätigen Sie mit Ja (Yes)
  • Neustart des Rechners

Treiber Redesign

Das Abschalten ist für viele Anwender und Unternehmen keine Option. Es gibt auch bessere Lösungen, sofern Sie der Anbieter des Windows Treibers bzw der damit verbundenen Hardware sind:

Problematische Treiber haben sich bei telos in den letzten Jahren zu einem Standardthema entwickelt, da viele Hersteller der Mess- und Automatisierungstechnik eigene PCI bzw. PCI Express Karten vertreiben, die einen aktualisierten Windows Treiber benötigen.

Gesperrte Treiber finden unter Windows 11

Auf der Seite „Kernisolierung“ finden Sie einen Link „Inkompatible Treiber überprüfen“ (Check incompatible drivers). Hier listet Windows automatisch auf, welche Treiber die Aktivierung verhindern – mit Herstellername und Produktname.

  • Sollten Sie auf der Suche nach einem Partner sein, der Sie bei solchen und ähnlichen Problemen unterstützt, sprechen Sie uns gern an. Wir haben eine Vielzahl von Treibern für unsere Kunden entwickelt, von USB bis PCI, von ISA bis Druckertreiber
  • telos ist seit 1988 aktiv. Nutzen Sie unser Ingenieurteam und die Erfahrung mehrerer Jahrzehnte!
  • Nehmen Sie bitte Kontakt mit uns auf 040 450173 60
  • Gerne auch für einen unverbindlichen "Klönschnack", wie man im Norden sagt