Windows 11 содержит несколько защитных механизмов, которые часто остаются выключенными или теряются в глубине настроек: целостность памяти, защита администратора, Smart App Control, контролируемый доступ к папкам, защита LSA, DNS поверх HTTPS, BitLocker с PIN и Personal Data Encryption. Часть функций доступна в Home и Pro, часть работает только в Enterprise и Education, а некоторые настройки требуют новых сборок, совместимых драйверов или управления через Intune.
Включать весь набор без проверки рискованно. Целостность памяти может упереться в старый драйвер. Контролируемый доступ к папкам блокирует легальные программы. Smart App Control останавливает неподписанный софт до запуска. BitLocker без сохранённого ключа восстановления превращает обычную ошибку в потерю данных.
Целостность памяти
Целостность памяти находится в разделе «Безопасность Windows» → «Безопасность устройства» → «Сведения об изоляции ядра». Механизм использует VBS и HVCI, чтобы вынести проверку кода ядра в среду, защищённую гипервизором. Windows не должна загружать в ядро неподписанный или подозрительный драйвер.
Microsoft описывает Memory Integrity как VBS-функцию для защиты от вредоносного кода на уровне ядра. На новых компьютерах переключатель часто уже активен. На старых установках Windows 11 функция может быть выключена из-за несовместимого драйвера. Windows обычно показывает имя такого драйвера в том же разделе.
Главный риск связан не с настройкой, а с железом и драйверами. После включения стоит перезагрузить компьютер и проверить, что система стартует нормально. На старых процессорах возможна небольшая потеря производительности, на новых машинах разницу обычно трудно заметить.
Защита администратора
Administrator Protection меняет сценарий повышения прав в Windows 11. Вместо постоянной работы с административным токеном система выдаёт временные права только на конкретное действие и требует подтверждение через Windows Hello.
Функция появилась в Windows 11 как дополнительная защита административных операций. Включают её через «Защиту учётных записей», групповые политики или реестр. Для ручной настройки используют параметр TypeOfAdminApprovalMode со значением 2.
После включения нужно проверить работу на простой операции. Запустите приложение от имени администратора и убедитесь, что Windows Hello действительно появляется. В ранних сборках 25H2 переключатель мог вести себя нестабильно, поэтому одну проверку лучше сделать сразу, а не после первого инцидента.
Smart App Control
Smart App Control находится в разделе «Управление приложениями и браузером». Функция проверяет подпись и репутацию программы до запуска. Подозрительное или недоверенное приложение Windows блокирует ещё до выполнения кода.
У Smart App Control есть режим оценки. Windows наблюдает за запускаемыми программами и решает, подходит ли компьютер для жёсткого режима. Такой подход снижает шанс, что система внезапно запретит рабочий инструмент, написанный три года назад в подвале подрядчика и подписанный ничем.
Раньше для включения Smart App Control часто требовалась чистая установка Windows. Microsoft уже изменила это поведение в актуальных сборках Windows 11: функцию можно включать из приложения «Безопасность Windows» без переустановки. На отдельных устройствах ограничения всё равно возможны из-за режима S, выключенной необязательной диагностики, корпоративного управления или прошлой оценки системы.
Контролируемый доступ к папкам
Контролируемый доступ к папкам включают в «Защите от вирусов и угроз» → «Управление защитой от программ-шантажистов». Функция защищает «Документы», «Изображения», «Видео», «Музыку», «Избранное» и другие выбранные папки от записи со стороны недоверенных приложений.
Microsoft позиционирует Controlled Folder Access как защиту от вредоносных программ и шифровальщиков. Defender проверяет приложение по списку доверенных и блокирует изменение файлов в защищённых папках, если процесс выглядит подозрительно.
На практике настройка часто требует ручной доводки. Игры, редакторы, архиваторы, программы резервного копирования и старые корпоративные утилиты могут попасть под блокировку. Журнал событий и список разрешённых приложений находятся рядом с переключателем.
Защита от подделки
Tamper Protection мешает вредоносным программам менять параметры Microsoft Defender через реестр, групповые политики, PowerShell и локальные инструменты. Без такой защиты вредоносный код с правами администратора может выключить антивирусные функции перед основной атакой.
На домашних устройствах настройка доступна как переключатель в «Защите от вирусов и угроз». В управляемой среде администраторы настраивают Tamper Protection через Microsoft Defender, Intune, Configuration Manager или связанные политики.
При включённой защите часть локальных изменений Defender просто игнорирует. Для корпоративных машин это нормальное поведение, а не ошибка интерфейса.
Защита LSA
LSA Protection переводит LSASS в режим защищённого процесса. Такой режим усложняет выгрузку учётных данных из памяти и мешает классическим сценариям атак с инструментами для кражи паролей.
Включить защиту можно через «Изоляцию ядра», групповые политики или параметр RunAsPPL в реестре. Microsoft описывает дополнительную защиту LSA как способ снизить риск внедрения кода в процесс Local Security Authority.
У функции есть неприятная особенность. Windows иногда продолжает показывать предупреждение о перезагрузке, хотя защита уже работает. Старые модули аутентификации и устаревшие расширения входа могут конфликтовать с LSASS в защищённом режиме.
Репутационная защита
Репутационная защита находится в разделе «Управление приложениями и браузером». Внутри размещены SmartScreen для файлов и Microsoft Edge, защита от фишинга и блокировка потенциально нежелательных приложений.
Блокировка потенциально нежелательных приложений закрывает установщики с рекламными модулями, навязанными расширениями, бандлами и скрытыми майнерами. Переключатель часто остаётся выключенным, хотя настройка почти не влияет на нормальную работу системы.
Фишинговая защита предупреждает, когда пользователь вводит пароль учётной записи Microsoft на подозрительном сайте или в приложении. Для локальной учётной записи эффект будет скромнее.
DNS поверх HTTPS
DNS поверх HTTPS включают в свойствах сетевого адаптера. Windows шифрует DNS-запросы и отправляет их поддерживаемому DNS-провайдеру по HTTPS, если выбранный сервер умеет работать в таком режиме.
DoH защищает запросы от пассивного просмотра в локальной сети и снижает риск подмены ответа на уровне обычного DNS. Метод не скрывает конечный IP-адрес, не прячет SNI без дополнительных технологий и не делает соединение анонимным.
Для корпоративной сети DoH может конфликтовать с внутренними DNS-зонами, фильтрацией и политиками безопасности. На рабочем ноутбуке переключатель лучше согласовать с администратором, чтобы потом не выяснять, почему половина внутренних сервисов «сама исчезла».
BitLocker и PIN до загрузки
Windows 11 Home поддерживает «Шифрование устройства» при выполнении требований железа и входе через учётную запись Microsoft. Полноценный BitLocker доступен в Pro, Enterprise и Education.
PIN до загрузки усиливает BitLocker. TPM перестаёт отдавать ключ автоматически при старте, а пользователь вводит PIN до загрузки Windows. Такой режим снижает риск атак с физическим доступом к устройству.
Перед включением нужно сохранить ключ восстановления вне зашифрованного компьютера. Потеря PIN и ключа восстановления означает потерю доступа к данным. Тут Windows не драматизирует, а просто закрывает дверь и делает вид, что никогда вас не знала.
Personal Data Encryption
Personal Data Encryption шифрует пользовательские данные на уровне файлов и связывает доступ с Windows Hello for Business. После выхода пользователя из системы ключи удаляются из памяти, а другой пользователь на том же компьютере не может прочитать содержимое защищённых файлов.
PDE работает как дополнительный слой поверх BitLocker. Функция рассчитана на корпоративные сценарии, где один компьютер может использовать несколько пользователей или где администраторы хотят отделить доступ к файлам от простого локального входа.
Для настройки нужны поддерживаемая редакция Windows, Windows Hello for Business, присоединение к Microsoft Entra и управление политиками через Intune. В Windows 11 Home и Pro для обычного домашнего пользователя Personal Data Encryption фактически недоступна.
Где искать настройки
| Функция | Раздел Windows | Главное ограничение |
|---|---|---|
| Целостность памяти | Безопасность устройства → Изоляция ядра | Старые драйверы могут заблокировать включение |
| Administrator Protection | Защита учётных записей, GPO или реестр | Нужны поддерживаемая сборка и проверка Windows Hello |
| Smart App Control | Управление приложениями и браузером | Может блокировать неподписанные программы |
| Контролируемый доступ к папкам | Защита от вирусов и угроз | Потребуются исключения для легальных приложений |
| Tamper Protection | Защита от вирусов и угроз | В организациях управляется политиками |
| LSA Protection | Изоляция ядра, GPO или реестр | Старые модули входа могут конфликтовать |
| Репутационная защита | Управление приложениями и браузером | Часть параметров зависит от учётной записи и браузера |
| DNS поверх HTTPS | Сеть и интернет → свойства адаптера | Не скрывает конечный IP-адрес |
| BitLocker с PIN | Шифрование устройства или BitLocker | Без ключа восстановления данные можно потерять |
| Personal Data Encryption | Intune и корпоративные политики | Недоступна большинству домашних пользователей |
Перед изменением параметров шифрования сохраните ключ восстановления. Smart App Control, контролируемый доступ к папкам и целостность памяти лучше сначала проверить на рабочем наборе программ и драйверов. Корпоративные политики нельзя накатывать на боевые машины без тестовой группы.
Какие функции стоит включить первыми?
Для домашнего компьютера практичнее начать с целостности памяти, Tamper Protection, контролируемого доступа к папкам и шифрования диска. Эти настройки закрывают атаки на ядро, отключение Defender, шифровальщиков и физический доступ к накопителю.
Почему целостность памяти не включается?
Чаще всего мешает несовместимый драйвер. Windows показывает имя драйвера в разделе изоляции ядра. Драйвер нужно обновить, удалить вместе со старым устройством или оставить функцию выключенной до замены проблемного компонента.
Smart App Control заменяет антивирус?
Smart App Control не заменяет антивирус. Функция проверяет репутацию и подпись приложения до запуска, а Microsoft Defender продолжает искать вредоносный код, следить за поведением процессов и проверять файлы.
DNS поверх HTTPS делает пользователя анонимным?
DNS поверх HTTPS шифрует DNS-запрос, но не скрывает конечный IP-адрес сервера. Провайдер DNS тоже видит запрос. DoH повышает конфиденциальность DNS, но не превращает обычное соединение в анонимное.
Можно ли включить Personal Data Encryption на Windows 11 Pro?
Для обычной Windows 11 Pro функция недоступна как домашняя настройка. Personal Data Encryption рассчитана на корпоративные редакции и управление через Microsoft Entra, Windows Hello for Business и Intune.
Для BitLocker с PIN нужен сохранённый ключ восстановления, для целостности памяти — совместимые драйверы, для Personal Data Encryption — Windows Hello for Business, Microsoft Entra и управление через Intune.
