在 Windows 11 中，要真正启用内存完整性（HVCI）、Windows Hello 凭据隔离等核心安全机制，必须先激活“基于虚拟化的安全性”（VBS）。如果没有 VBS 作为底层支撑，系统面对零日漏洞利用时几乎毫无防御能力。VBS 是这些防护功能的根基——没有它，内存完整性等开关形同虚设。

那么，具体该如何操作？下面将完整流程拆解为从底层命令到图形界面再到强制策略的多个步骤，一步不落地带你完成 Win11 VBS 开启。

通过命令提示符启用 Hypervisor 启动类型

这是最底层、优先级最高的方法，直接修改系统引导配置数据库（BCD），确保 Windows 启动时加载 Hyper-V 分区并激活 VBS 基础层。图形界面中的所有开关都依赖这一步才能生效。

第一步：右键点击“开始菜单”，选择“终端（管理员）”或“Windows PowerShell（管理员）”。注意，务必以管理员身份运行，否则后续命令无效。

第二步：输入以下命令并按回车执行：bcdedit /set hypervisorlaunchtype auto。

第三步：如果返回“操作成功完成”，说明设置已写入；若提示“拒绝访问”，请确认终端窗口左上角是否显示“管理员：Windows Terminal”。这一步若卡住，后续所有操作都将无意义。

第四步：关闭终端，立即重启计算机。

第五步：重启后，按 Win + R 输入 msinfo32 打开系统信息，查找“基于虚拟化的安全性”条目——只有此处显示“正在运行”，才代表 VBS 底层已真正激活。

通过 Windows 安全中心开启内存完整性

该方法调用系统内置安全服务，自动执行硬件兼容性检测、驱动签名验证与依赖项校验，在用户交互层面最为简洁。适用于所有 Windows 11 版本（含家庭版），但前提是上一步的 Hypervisor 已成功加载。

1. 按 Win + I 打开“设置”，进入“隐私和安全性”→“Windows 安全中心”。

2. 点击“设备安全性”卡片中的“内核隔离详细信息”。

3. 将“内存完整性”右侧开关切换为开状态。

4. 系统弹出提示要求重启，点击“立即重新启动”——【若不重启，内存完整性不会加载，VBS 仍处于空闲状态】。

使用本地组策略编辑器强制启用 Device Guard

此方法适用于 Windows 11 专业版、企业版或教育版用户，可绕过图形界面灰显的限制，强制绑定 VBS 与内存完整性，防止第三方软件或策略覆盖导致的安全降级。

方法一：组策略强制启用

1. 按 Win + R，输入 gpedit.msc 并回车，以管理员权限启动组策略编辑器。

2. 依次展开路径：计算机配置 → 管理模板 → 系统 → Device Guard。

3. 双击“启用基于虚拟化的安全性”策略。

4. 选择“已启用”，并勾选下方“启用内存完整性保护”选项。

5. 点击“确定”保存，关闭编辑器，重启生效。

方法二：注册表手动激活（适用于家庭版或图形界面异常失效场景）

1. 按 Win + R，输入 regedit 并回车，以管理员权限打开注册表编辑器。

2. 导航至：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity。

3. 在右侧双击 Enabled，将其数值数据改为 1。

4. 关闭注册表编辑器，重启计算机——【操作前请务必创建系统还原点，错误修改可能导致系统无法启动】。

验证 VBS 是否真正启用

光看开关变绿还不够，必须交叉验证三项关键指标，缺一不可：

① 运行 msinfo32，确认“基于虚拟化的安全性”状态为“正在运行”；

② 同一窗口中，“内存完整性”状态为“已启用”；

③ 打开“Windows 安全中心”→“设备安全性”→“内核隔离详细信息”，确认“内存完整性”开关处于开启且无黄色警告图标。

这三条全部满足，VBS 才算真正就绪，系统才能发挥出内核级防御的完整能力，确保 Win11 安全机制全面生效。