Windows 11 & 10: Benchmarks zum VBS-Leistungsverlust inkl. HVCI
Die von Microsoft deutlich angehobenen Systemanforderungen von Windows 11 sollen insbesondere die Sicherheit des neuen Betriebssystems erhöhen. Dafür sorgen neben dem geforderten TPM auch die in Windows integrierte Virtualization-based Security (VBS). UL Benchmarks sieht Leistungsverluste, ComputerBase hat nachgemessen.
Ab sofort verfügbar: Der Download von Windows 11 als ISO, Media Creation Tool und Installation Assistant.
Der Artikel wurde um Testergebnisse mit einem AMD Ryzen 7 1800X, der von Windows 11 offiziell nicht unterstützt wird, weil er kein MBEC beherrscht, samt Radeon RX 6700 XT ergänzt.
VBS aus Windows 10 wird in Windows 11 ein Thema
Virtualization-based Security (VBS) ist bereits in Windows 10 integriert, dort aber standardmäßig deaktiviert. Bei Windows 11 will Microsoft offiziell mit OEMs jetzt dafür sorgen, dass VBS ab Werk aktiviert ist.
Laut UL Benchmarks, den Entwicklern hinter 3DMark oder PCMark, ist VBS auch dann aktiv, wenn Windows 11 nicht als Update von Windows 10, sondern auf einem leeren Laufwerk installiert wird – und würde damit auch viele Enthusiasten betreffen.
Die Redaktion hat das im Zuge umfassender Test zu Windows 11 inzwischen überprüft. UL Benchmarks Aussage ist nur dann zutreffend, wenn auf dem System alle Voraussetzungen für VBS erfüllt werden. Dann blieb VBS in Windows 10 noch aus und bleibt es beim Update auch, wird bei einer Neuinstallation von Windows 11 allerdings aktiviert – zumindest zum Teil. Und was sind die Voraussetzungen und was ist dieser Teil?
Die Voraussetzungen für aktives VBS
Microsofts eigene Angaben zu den Voraussetzung für die Aktivierung von VBS sind einmal mehr widersprüchlich: An einer Stelle wird von TPM 2.0 und aktivem Secure Boot gesprochen, an anderer TPM 2.0 explizit als optional und Secure Boot gar nicht erwähnt. Erforderlich sind:
- Aktives Secure Boot (im BIOS)
- Aktive CPU-Virtualisierung (im BIOS: AMD AMD-V/SVM / Intel: VT-x)
- Windows-Installation als UEFI, nicht Legacy (im BIOS)
- Kein Windows-Treiber darf dagegen sprechen
VBS ist nicht gleich VBS
VBS umfasst neben der so genannten „Kernisolation“ auch die Funktion „Speicherintegrität“ („Hypervisor-Protected Code Integrity“ (HVCI)). Sind alle Voraussetzungen erfüllt, ist in Windows 11 bei einer Neuinstallation nur Kernisolation aktiv. HVCI muss auch in Windows 11 noch manuell aktiviert werden, das geschieht über die Einstellungen, Datenschutz und Sicherheit, Windows Sicherheit, Gerätesicherheit und dort den Punkt Core Isolation (Kernisolation/Core Isolation). Erst nach einem Neustart ist auch HVCI aktiv. Das hat einen Grund: HVCI kostet potentiell Leistung.
Dass „Speicherintegrität“ auf CPUs, die kein Mode-based Execution Control (MBEC) unterstützen, sogar signifikant Leistung kosten kann, hat Microsoft zur expliziten Nennung von mit Windows 11 offiziell kompatiblen CPUs bewegt. VBS funktioniert grundsätzlich aber auch auf älteren CPUs und Windows 11 lässt sich über den USB-Stick-Weg auch auf diesen installieren. Möglich, dass UL Benchmarks in der Presseaussendung VBS und VBS mit zusätzlich aktivem HVCI synonym verwendet hat. In jedem Fall falsch ist, dass VBS mit HVCI automatisch aktiviert wird.
Microsoft plant lediglich, VBS inklusive HVCI ab dem kommenden Jahr bei OEMs zum Standard zu machen. Aktives Secure Boot, eine Grundvoraussetzungen, verlangt Microsoft von OEMs bereits seit dem Jahr 2013.
UL Benchmarks spricht von Leistungsverlusten durch VBS
Auch beim angesprochenen Leistungsverlust in den eigenen Benchmarks bleibt UL Benchmarks unkonkret, spricht lediglich von auf Basis der aktuellen Insider Preview beobachteten Leistungsrückgängen in den eigenen Benchmarks, wenn VBS auf dem System aktiv war. Damit bleibt unklar, ob die Entwickler nur VBS mit HVCI auf CPUs ohne MBEC im Fokus haben, auf denen sich Windows 11 über den Installationsweg USB-Stick auch problemlos installieren lässt, oder generell ein Thema sieht.
In our testing with pre-release builds of Windows 11, a feature called Virtualization-based Security (VBS) causes performance to drop. VBS is enabled by default after a clean install of Windows 11, but not when upgrading from Windows 10. This means the same system can get different benchmark scores depending on how Windows 11 was installed and whether VBS is enabled or not.
UL Benchmarks
UL Benchmarks plant, die eigenen Benchmarks wie den PCMark oder den 3DMark in Zukunft mit einer Routine auszustatten, die erkennt, ob VBS aktiv oder inaktiv ist und das dem Anwender mitteilt.
Die Redaktion wird versuchen, dem Thema in den kommenden Tagen näher auf den Grund zu gehen. Rückmeldungen aus der Community sind jederzeit gerne gesehen.
Erste Benchmarks zum Leistungsverlust
Benchmarks mit Ryzen Threadripper 3970X
Die Redaktion hat ein paar erste Benchmarks zum Thema erstellt. Getestet wurde mit dem Windows 11 Build 22000 (Insider Preview) auf einem Ryzen Threadripper 3970X mit GeForce RTX 3080 Ti sowohl mit deaktiviertem VBS als auch mit aktiviertem VBS (Kernisolation und Kernisolation zzgl. Speicherintegrität (HVCI)). Als Treiber kam der von Nvidia für das finale Build von Windows 11 vorgesehene GeForce 472.12 zum Einsatz. Der Ryzen Threadripper 3000 unterstützt MBEC, sollte wie alle von Microsoft offiziell für Windows 11 freigegebenen CPUs also vergleichsweise wenig Leistung unter Nutzung von HVCI einbüßen.
Nichtsdestoweniger zeigen durch das Hinzuschalten von HVCI teils deutliche Leistungsdifferenzen in den untersuchten Spielen und Anwendungen. Der 3DMark Time Spy fällt dabei mit 25 Prozent Leistungsrückgang (reproduzierbar) klar aus dem Rahmen, auch Windows 10 verliert hier fast 20 Prozent. In den Spielen sind es in der Regel weniger als zehn Prozent bei den FPS, nur F1 2020 und der 3DMark Time Spy fällt aus dem rahmen. Das Verhalten des 3DMark dürfte die Ursache für die Pressemeldung von UL Benchmarks sein. Auch Unter Windows 10 zeigt sich durch VBS inklusive HVCI im 3DMark und F1 2020 der größte Leistungsrückgang.
Im PCMark von UL Benchmarks zeigt sich auf dem Testsystem ein derartigert Malus nicht, dafür liegt auch die Leistung im Multi-Core-Render-Benchmark reproduzierbar leicht zurück.
Ebenfalls nicht von HVCI unbeeindruckt zeigt sich die Leistung der schnelle NVMe-SSD Seagate FireCuda 530 (Test), die als Systemlaufwerk fungierte: Bei wahlfreien Zugriffen (4K) über einen Thread sinkt die Leistung um bis zu 10 Prozent.
Dasselbe Verhalten zeigt auch Windows 10, der Leistungsverlust durch das Hinzuschalten von HVCI ist dort allerdings nicht ganz so groß. Dafür scheint Windows 11 Build 22000 bei wahlfreien 4K-Zugriffen mit langer Befehlswarteschlange wesentlich schneller zu agieren als Windows 10.
Benchmarks mit Ryzen 7 1800X
Neben dem von Windows 11 unterstützten Threadripper 3000 hat die Redaktion dieselben Tests auch noch mit einem nicht unterstützten Ryzen 7 1800X wiederholt. Im Durchschnitt fallen die Leistungsverluste in den Spielen bei aktiviertem VBS inklusive HCVI größer aus als mit dem Ryzen Threadripper 3000 aus, es sind eher an die zehn statt um die fünf Prozent weniger FPS. Bei den Anwendungen überrascht der Absturz des PCMark 10, der beim Threadripper nicht zu beobachten war, während der 3DMark wiederum nicht auf dem Ryzen 7 verliert.
Abermals deutlich sind die Auswirkungen auf die Leistung des Systemlaufwerks: Die in diesem Fall genutzte Kingston A2000 verliert bei wahlfreien 4K-Zugriffen, beim Lesen über eine 32 Plätze lange Befehlskette wird die Leistung gar halbiert.
Ein zaghafter Anfang
Die Benchmarks der Redaktion auf einem alles andere als alltäglichen, aber am Donnerstagabend direkt mit Windows 11 verfügbaren Rechner sind nicht mehr als ein Auftakt, um das Thema VBS, das von Microsoft bei Windows 11 stärker in den Fokus gerückt wird, in seinen Auswirkungen auf die Leistung detaillierter zu ergründen. Neben weiteren Benchmarks der Redaktion können dazu auch Benchmarks aus der Community beitragen. Jeder Benchmark ist willkommen. Wie sich VBS inklusive HVCI unter Windows 11 aktivieren lässt, ist dem Artikel weiter oben zu entnehmen.
Für Spieler eher theoretischer Natur
VBS setzt aktives Secure Boot voraus und das ist für Windows 11 keine Pflicht, nur OEMs werden von Microsoft bereits seit 2013 dazu ab Werk verpflichtet. Weder VBS, noch das eh nur optionale HVCI (Speicherintegrität/Memory Integrity) müssen von privaten Endanwendern also für den Betrieb genutzt werden. Nichtsdestoweniger ist die Analyse der Auswirkungen auf die Leistungsfähigkeit interessant.
Ein Dank geht an Community-Mitglied cvzone für die Unterstützung bei der Einrichtung – seine Ratschläge sind bereits weiter oben in den Artikel eingeflossen.
Dieser Artikel war interessant, hilfreich oder beides? Die Redaktion freut sich über jede Unterstützung durch ComputerBase Pro und deaktivierte Werbeblocker. Mehr zum Thema Anzeigen auf ComputerBase.