Kernisolierung im BIOS MSI B450M Mortar Max Fachfrage

[Reezn]

Hallo,

kurze Frage zur Kernisolierung. Die fehlt in der Gerätesicherheit. Ich habe gelesen dass im BIOS Einstellungen eingestellt werden müssen. Sind diese beiden Einstellungen richtig (Bilder im Anhang)? Ich habe im Handbuch nur diese beiden Einstellungen gefunden die mit Virtualisierung zu tun haben. Da ich nichts falsches einstellen will und auch nichts kaputt machen möchte, lieber die Frage an euch Fachspezis.

Lieben Dank
Reezn

 

[madmax2010]

vermutlich hast du irgendwas installiert, was sicherheitsfeatures deinesBetriebssystem abschaltet.
Die optionen sind soweit richtig.

 

[NameHere]

Das gleiche Problem W11 22H2?
https://www.computerbase.de/forum/t...solierung-aktivierung-nicht-moeglich.2115088/

 

[Flakstar]

SVM (Secure Virtual Machine ) auf enabled setzen, dann sollte es funzen.

Some Core Isolation features are enabled by default on Windows 10 PCs that meet certain hardware and firmware requirements, including having a 64-bit CPU and TPM 2.0 chip. It also requires your PC supports the Intel VT-x or AMD-V virtualization technology, and that it’s enabled in your PC’s UEFI settings.

https://www.howtogeek.com/357757/what-are-core-isolation-and-memory-integrity-in-windows-10/
https://www.asus.com/DE/support/FAQ/1038245

edit: IOMMU ebenfalls auf enabled setzen

 

[Reezn]

Okay, dann werde ich es morgen mal ausprobieren. Microsoft schlägt ja vor das zu aktivieren, aber ich weiß gar nicht ob sich das wirklich so lohnt. Es wird bei mir halt bisher noch nicht mal angezeigt.

 

[Reezn]

Moin nochmal, ehrlich gesagt finde ich im BIOS diese Funktion nicht. Ich bin alles durchgegangen bis auf Overclocking. Kann es eventuell dort versteckt sein? Bin gerade überfragt.

 

[Flakstar]

Am besten im Handbuch nachsehen, da jeder Mainboard Hersteller seine UEFI Menüs anders gestaltet. Bei meinem Asus sind die Optionen unter dem "Advanced" Reiter in den Submenüs zu finden.

 

[Reezn]

Ahh, ja stimmt. Ist im OC Menü versteckt gewesen. Aber das sollte jetzt keine Probleme verursachen wenn ich beides aktiviere oder?

 

[PC295]

Die Kernisolierung bringt nur mehr Probleme als einen Sicherheitsgewinn.
Wenn sie aktiviert ist lassen u. U. einige Programme und Treiber nicht korrekt installieren oder funktionieren nicht mehr.

 

[Reezn]

Und warum empfiehlt Windows so etwas „riskantes“?

 

[PC295]

Riskant nicht unbedingt, die Liste "inkompatibler" Treiber ist halt noch lang.

 

[Reezn]

Wo kann man diese Liste denn einsehen? Habe eigentlich nicht viele Treiber drauf außer Chipsatz, nVidia und paar Kleinigkeiten

 

[PC295]

Wenn die Kernisolierung verfügbar ist, wird beim Aktivieren eine Prüfung durchgeführt.
Inkompatible Treiber werden dann aufgelistet, wobei dort nicht immer klar nachvollziehbar ist wozu der Treiber eigentlich gehört.

Dort wird nur der Hersteller und Dateiname ohne Pfad angezeigt.

 

[Flakstar]

Die Kernisolierung bringt nur mehr Probleme als einen Sicherheitsgewinn.
Wenn sie aktiviert ist lassen u. U. einige Programme und Treiber nicht korrekt installieren oder funktionieren nicht mehr.

Normale Applikationen sind von der Core Isolation/Memory Integrity nicht betroffenen, Stichwort Userland/Kernel. Virtualisierungslösungen bekommen logischerweise Probleme aufgrund der Funktionsweise von Memory Integrity. Dies dürfte bei den meisten Privatanwender irrelevant sein. Schlechte konzipierte Sicherheitssoftware kann uU ebenfalls Probleme verursachen, insbesondere wenn die Schlingel wieder undokumentiere Kernel Funktionen nutzen. In diesem Falle sollte man von der Sicherheitslösung Abstand nehmen.

Der einzige beanstandete Treiber bei meinem Win11 Testsys war ein Treiber von ATI von 2005, welche von dem Betriebssystem offenbar nicht gebraucht wird.

Ansonsten erhöht das Feature massiv die Hürden, welche Malware nehmen muss, um sich persistent im System zu installieren.

 

[Reezn]

Okay danke euch! Dann aktiviere ich morgen mal SVM und IOMMU und schaue was die Kernisolierung sagt. Danke erstmal. Melde mich ggf. noch mal. Wenn nicht, dann vielen Dank schonmal

 

[Reezn]

Moin Moin, hat funktioniert. Nur eine Frage noch, ich habe IOMMU auf Aktiviert gestellt, aber es gibt auch noch Auto. Es stand vorher auf Auto, aber ich habe nun SVM und IOMMU auf Aktiviert gestellt. Soll ich IOMMU auf Auto stellen oder ist Aktiviert in ordnung?

 

[cvzone]

IOMMU ist für HVCI nicht nötig und Auto wird deaktiviert bedeuten. Schaden tut es aber auch nicht, ist dann halt ein nicht genutztes aktives Feature für Virtualisierung.

VMs die es unterstützen können davon aber sehr profitieren. Ganz einfach gesagt kann das die virtuelle Maschine direkt auf die Hardware zugreifen, ohne den Umweg durch den VM Host zu nehmen.

 

[Reezn]

Also einfach aktiviert lassen? Auto würde er es dann ja einschalten, wenn es benötigt wird. Es macht denn auch keine Probleme wenn es an und permanent läuft z.B. beim spielen? Oder mache ich mir da zu viele Gedanken?

 

[Reezn]

Jetzt hatte ich kurz dass der Bildschirm flackerte und im Wartungsverlauf stand folgendes, kann das damit zusammenhängen?

 

[PC295]

Beobachte es erstmal weiter. Wenn es häufiger auftritt, deaktiviere die Kernisolierung.
Der Grafiktreiber ist auf dem neusten Stand?