Publié le

Windows 11: Core isolation mais pilote non conforme ?

Microsoft a récemment amélioré la sécurité de Windows en permettant au système d’exploitation de s’isoler en protégeant son noyau des programme s’éxécutant en mode noyau. Cela concerne généralement certains pilotes (drivers). Pour plus d’information sur cette fonction : https://support.microsoft.com/fr-fr/windows/isolation-de-base-e30ed737-17d8-42f3-a2a9-87521df09b78.

Interface Windows Defender pour le paramètre de protection du noyau.

Cette fonction étant activée par défaut depuis peu, les utilisateurs remarquent l’indicateur d’état de sécurité (le bouclier Defender dans la zone de notification) qui passe en mode alerte. L’activation manuelle de l’isolation du noyau liste alors des pilotes (drivers) qui interdisent le basculement en mode protégé ! Windows ne sait pas (pour le moment) neutraliser ces drivers et il est difficile pour l’utilisateur de résoudre cette situation, malgré les pages d’aide de Microsoft.

La résolution de cet incident m’a amené à découvrir l’excellent outil AUTORUNS de SysInternals https://docs.microsoft.com/fr-fr/sysinternals/downloads/autoruns. Il ne permet cependant pas de résoudre simplement l’incident sans connaissance avancée du système.

En lieu et place voici une méthode simple qui permet de se débarrasser de ces drivers non conformes.

Attention

Un driver ou pilote est un composant qui permet le fonctionnement d’un périphérique ou appareil. Avant sa désactivation, vérifier qu’il correspond bien à un appareil identifiable. Par exemple, une webcam, un lecteur externe, etc. S’il s’agit du drivers de votre carte écran, vous risquez de ne plus rien afficher ! Il faut donc soit accepter de se débarrasser du périphérique concerné, soit trouver un drivers récent certifié et conforme, soit prévoir de remplacer l’appareil par une version récente et supportée par Microsoft.

Comment procéder

  • Ouvrir la liste des pilotes incriminés qui est proposée après la tentative d’activation de l’option Core Isolation. Un message s’affiche proposant de lister les non conformes.
  • Pour chaque drivers, il est possible de déplier des compléments d’information. L’information à noter est le fichier « oemxxx.inf » qui référence le pilote (NxDRV.sys par exemple).
  • Ouvrir une boite de commande (Shell, PowerShell ou Terminal) en mode administrateur. Pour cela, il suffit de faire clic droit sur le bouton Windows et un menu propose entre autres, le lancement d’une interface de commande en mode administrateur.
  • Saisissez la commande
    PNPUTIL /delete-driver oemXXX.inf /uninstall
    Où oemXXX.inf est le fichier référencé à l’étape 2.
  • Cette commande désinstalle et supprime le fichier pilote.
  • Une fois TOUS les pilotes supprimés, vous devez redémarrer Windows

Après redémarrage vous pourrez vérifier que Defender active cette fois correctement la protection du noyau (Core Isolation).