VBS inkl. HVCI in Windows 11: Aktuelle Benchmarks zum Leistungsverlust in Spielen
Mit Windows 11 hat Microsoft die Nutzung der Virtualization-based Security (VBS) forciert. Zum Start im Jahr 2021 war nur deren Komponente „Kernisolation“ automatisch aktiv, inzwischen gilt das auch für die „Speicherintegrität“ (HVCI), wenn die Plattform es kann. Wie viel Leistung das kostet, zeigen neue Benchmarks.
VBS inkl. HVCI in Windows 11 im Überblick
Bereits zum Start von Windows 11 im Herbst 2021 hatte die Redaktion dem Thema Virtualization-based Security (VBS) mit und ohne aktive „Hypervisor-Protected Code Integrity“ (HVCI) einen umfassenden Artikel mit dem Titel Windows 11 & 10: Benchmarks zum VBS-Leistungsverlust inkl. HVCI gewidmet. Die Kernaussagen daraus sind auch heute noch gültig, doch zwei Rahmenbedingungen haben sich geändert:
- Zum Start von Windows 11 waren auf vielen Mainboards die wesentlichen Voraussetzungen für die Nutzung von VBS inklusive HVCI (CPU-Virtualisierung) im BIOS werkseitig noch abgeschaltet.
- Windows 11 21H2 als erstes Release schaltete HVCI auf Rechnern, auf denen alle Voraussetzungen erfüllt waren, nicht automatisch aktiv.
Anfang 2023 sieht das anders aus: Wer ein neues System mit Windows 11 22H2 auf einer modernen Plattform von AMD (AM5) oder Intel (Sockel LGA 1700) mit aktuellem BIOS aufsetzt, installiert ohne weiteren manuellen Eingriff ein Betriebssystem, das Virtualization-based Security (VBS) inklusive HVCI nutzt. Über Informationen zu Ausnahmen von dieser Regel in den Kommentaren würde sich die Redaktion sehr freuen.
Ob HVCI aktiv ist, lässt sich wie folgt in Windows 11 nachvollziehen: Hinter Einstellungen, Datenschutz und Sicherheit, Windows Sicherheit, Gerätesicherheit, Details zur Kernisolierung muss Speicher-Integrität aktiv sein – ist es nicht aktiv, ist HCVI aus.
Mehr Sicherheit kostet Leistung
Dass HVCI Leistung kostet und dies im privaten Umfeld insbesondere Spiele betrifft, hatte ComputerBase ebenfalls schon vor anderhalb Jahren in dem Artikel herausgearbeitet. Dass „Speicherintegrität“ auf CPUs, die kein Mode-based Execution Control (MBEC) unterstützen, sogar signifikant Performance kosten kann, hatte Microsoft zur expliziten Nennung von mit Windows 11 offiziell kompatiblen CPUs ab AMD Zen 2 und Intel Kaby Lake bewegt.
Zuletzt war es um das Thema allerdings wieder ruhiger geworden und nur in wenigen Veröffentlichungen zum Thema Spiele-Leistung überhaupt eine Information über den Status von VBS und/oder HVCI in den Benchmarks zu lesen. Dabei ist diese Angabe – insbesondere dann, wenn verschiedene Plattformen miteinander verglichen werden – zwingend erforderlich, wie die nachfolgenden aktuellen Benchmarks zeigen.
Aktuelle Benchmarks im CPU-Limit
Vor dem Hintergrund, dass VBS inklusive HVCI auf neuen Plattformen inzwischen Standard ist, hat ComputerBase die letzten CPU-Spiele-Tests zu Ryzen 9 7950X3D und Ryzen 9 7900X3D plattformübergreifend bereits mit voll aktivierter VBS durchgeführt und das auch explizit erwähnt.
Auf der genutzten AM4-Plattform für Ryzen 5000 musste die CPU-Virtualisierung auch mit dem aktuellsten BIOS allerdings weiterhin manuell aktiviert werden – und das wurde zu Anfang vergessen. Der Ryzen 7 5800X durchlief den Spiele-Testparcours daher einmal mit aktiver Kernisolierung, aber ohne aktive Speicherintegrität, bevor die erstaunlich guten Messwerte erst für Verwunderung sorgten und dann zum Einschalten von HVCI führten (über die Aktivierung der CPU-Virtualisierung im BIOS). Ohne es zu planen, brachten die Tests der neuen X3D-CPU auf diesem Weg topaktuelle Benchmarks zur Auswirkung der Sicherheitsfunktion im CPU-Limit hervor.
Konkret verliert der Ryzen 7 5800X in Zusammenspiel mit einer Radeon RX 7900 XTX 6 Prozent bei den FPS und 8 Prozent bei den Frametimes, wenn Speicherintegrität (HVCI) aktiv ist.
Die Benchmarks wurden im maximalen CPU-Limit in 720p erstellt (Details zu den Einstellungen), die Auswirkungen wären mit mehr Last auf der GPU also geringer. Doch in Anbetracht der Tatsache, dass für die Beurteilung der Leistungsfähigkeit von CPUs in Spielen Szenarien im CPU-Limit herangezogen werden, sind die Auswirkungen zweifelsohne weiterhin beachtlich: Der Wechsel zwischen inaktivem und aktivem HVCI hat im Durchschnitt schnell größere Auswirkungen als so mancher CPU-Austausch.
Wie hoch der Effekt der „Hypervisor-Protected Code Integrity“ auf die Leistung im CPU-Limit in Spielen ausfällt, hängt auch in diesem Fall ganz vom Spiel ab: Titel wie Forspoken reagieren auf dem Ryzen 7 5800X kaum darauf, in Diablo II: Resurrected fallen die Frametimes hingegen um über 30 Prozent.
Fazit
Dass VBS inklusive HVCI für mehr Sicherheit sorgt, aber Leistung kostet, ist keine neue Erkenntnis, doch über ein Jahr nach dem letzten Artikel zum Thema war es an der Zeit, noch einmal darauf hinzuweisen – auch wenn der Auslöser in diesem Fall ein zufällig „falsch“ getesteter Prozessor war.
Doch erstens nutzen immer mehr Anwender ein solches Setup, weil Windows 11 auf neuen Plattformen ab Werk mit diesen Sicherheitsmechanismen läuft. Und zweitens sind die Auswirkungen im absoluten CPU-Limit weiterhin so groß, dass mindestens in Artikeln zum Thema CPU-Gaming-Leistung zwingend darüber aufgeklärt werden muss, auf welcher Plattform welche VBS-Komponente aktiv gewesen ist.
In der Praxis, die bei den meisten Spielern in den meisten Games vom GPU-Limit geprägt sein wird, sind die Auswirkungen kleiner. Doch wer seine Gaming-CPU-Kaufentscheidung aus gutem Grund auch auf Basis von 720p-Benchmarks fällt, muss sich der Auswirkungen der zusätzlichen Sicherheits-Features in Windows 11 ebenfalls bewusst sein.
-
Kernisolierung
-
Speicherintegrität
-
Keins von beiden
Dieser Artikel war interessant, hilfreich oder beides? Die Redaktion freut sich über jede Unterstützung durch ComputerBase Pro und deaktivierte Werbeblocker. Mehr zum Thema Anzeigen auf ComputerBase.