News Ryzen 9000: Verstecktes Admin-Konto verbessert Spieleleistung unter Windows 11

Gutes Video von Wendell dazu:
 
  • Gefällt mir
Reaktionen: qiller, incurable und Nine-tailed Fox
Danke Wendell, bestätigt nur meine Vermutungen, dass das Security-Theater von Win11 durchaus Performance kostet (und bei Zen5 wohl mehr als bei anderen CPU-Generationen).

SVM im BIOS zu deaktivieren ist sicherlich die einfachste Methode, aber wer auf die hardwaregestützte Virtualisierungsbeschleunigung angewiesen ist (z.B. weil er Virtualbox benutzen möchte), sollte eher unter Programme & Features sämtliche Virtualisierungsfeatures deaktivieren. Man muss aber dran denken, dass so Features wie WSL die Virtualisierungsfeature teilweise wieder aktivieren und damit auch wieder VBS.
 
Fegr8 schrieb:
es gibt jetzt von AMD ein Statement
Wobei man hier wieder sieht, wie in solchen hitzigen Diskussionen mehrere Sachen durcheinander gewürfelt werden. Einmal die Sicherheitsfunktionen von Windows, von denen alle Hersteller mehr oder weniger im gleichen Maße betroffen sein dürften und einmal spezielle AMD Funktionen, die in Windows zum Releasezeitpunkt von Zen5 noch nicht implementiert wurden.
For “Zen 5” users, here is our recommendation for how to unlock the best performance. Optimized AMD-specific branch prediction code will be available in Windows 11, version 24H2 in preview through the Windows Insider Program (Release Preview Channel - Build 26100) or by downloading the ISO here.
AMD macht es aber scheinbar auch nicht besser und würfelt ebenfalls zwei Aussagen miteinander.
The “Zen 5” architecture incorporates a wider branch prediction capacity than prior “Zen” generations. Our automated test methodology was run in “Admin” mode which produced results that reflect branch prediction code optimizations not present in the version of Windows reviewers used to test Ryzen 9000 Series.
Aha! Als Admin gibt es andere Optimierungen in der Sprungvorhersage, als wenn man mit einem normalen Benutzer arbeitet? Was will AMD uns hier erzählen?

Bestenfalls könnte ich mir vorstellen, mit dem Benutzer Admin werden Spectre Mitigationen abgeschaltet, die zu einer geänderten Sprungvorhersage führen und nun arbeitet Microsoft daran diese auf die aktuellen AMD CPUs zu optimieren. Es wäre dann jedoch ein Verhalten was weder so dokumentiert noch irgendwo bereits aufgetreten ist.
https://en.wikipedia.org/wiki/Spectre_(security_vulnerability)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: incurable
qiller schrieb:
Zen5 halt mehr als alle anderen.
Nochmal wiederholt.....
xexex schrieb:
wie in solchen hitzigen Diskussionen mehrere Sachen durcheinander gewürfelt werden.
Die Windows 11 Security Funktionen, wie Virtualization-based Security (VBS), mit denen hier im Thread die Leistungsnachteile gegenüber Linux gezeigt wurden und die unabhängig vom Hersteller zu reduzierter Leistung führen, haben nichts mit dem eigentlichen AMD Problem zu tun, was scheinbar die Sprungvorhersage der AMD CPUs betreffen soll.

In diesem Thread wurden aber beide Geschichten hin und her gemischt.
 
Ich kann mich nur auf Wendells Video beziehen, der zeigts ja schön: Zen5 verliert nunmal mehr Performance mit aktiviertem VBS als Zen4 (und wahrscheinlich die Intel-CPUs, die er aber nicht mitgetestet hatte). Also nix mit "im gleichen Maße".
 
AMDs Antwort macht die ganze Problematik nur noch mysteriöser.

Insbesondere da doch Intel anscheinend genauso davon betroffen ist (siehe frühere Links zu Diskussionen). Ich hab leider noch keinen seriösen Nachtest mit Intel+"run as Admin" gesehen um das mal aktuell zu bestätigen.

WENN tatsächlich irgendwas an der Sprungvorhersage betroffen wäre, warum ist es dann auf Intel CPUs genauso - oder sind es doch tatsächlich irgendwelche Spectre+Co Mitigations die hier ~5% rauben und mittels "run as admin" ausgehebelt werden?

Wobei das IMHO nicht der Fall sein sollte - die sollten doch als Admin ganz genauso "aktiv" bleiben - die Mitigations laufen doch über Kernel-Mode und nicht im "User space"...

Auf jeden Fall sollte da die Technikpresse etwas dranbleiben - sowohl auf AMD als auch Intel Seite und ebenso MS Windows Seite.

Noch ist völlig unklar WARUM eigentlich "run as admin" diese Performance Boosts bringt...die Security Mitigations SOLLTEN es eigentlich nicht sein. Und FALLS doch IMHO ein weitere Bug des OS, also Windows.
 
  • Gefällt mir
Reaktionen: xexex
Iscaran schrieb:
Noch ist völlig unklar WARUM eigentlich "run as admin" diese Performance Boosts bringt...die Security Mitigations SOLLTEN es eigentlich nicht sein. Und FALLS doch IMHO ein weitere Bug des OS, also Windows.
Jain! Gefunden habe ich zu diesem Thema sowas, allerdings sollten solche Mitigationen auf aktuellen CPUs gar nicht notwendig sein.
KVA shadow thus optimizes highly privileged applications (specifically, those that have a primary token which is a member of the BUILTIN\Administrators group, which includes LocalSystem, and processes that execute as a fully-elevated administrator account) by running these applications only with the KVA shadow “kernel” address space, which is very similar to how applications execute on processors that are not susceptible to rogue data cache load. These applications avoid most of the overhead of KVA shadowing, as no address space switch occurs on user/kernel transitions. Because these applications are fully trusted by the operating system, and already have (or could obtain) the capability to load drivers that could naturally access kernel memory, KVA shadowing is not required for fully-privileged applications.
https://msrc.microsoft.com/blog/2018/03/kva-shadow-mitigating-meltdown-on-windows/
Bei meinem 13700K sieht es jedenfalls so aus.
1724363150710.png
 
Warum sollte ein "Admin" ohne KVA shadow laufen??? Es gibt dafür keinen sinnvollen Grund?

EDIT: Oder ich versteh die Funktionsweise davon nicht hinreichend.

Auch ist KVA teil der Meltdown Mitigation, die eigentlich vor allem auf den älteren Intel CPUs DRINGEND notwendig ist.

Meltdown != Spectre.
https://labs.bluefrostsecurity.de/blog/2020/06/30/meltdown-reloaded-breaking-windows-kaslr/
EDIT: Nachtrag: http://wiki.webperfect.ch/index.php?title=Security-Bug:_Meltdown_and_Spectre
Leider ist das KVA-Shadowing löcherig, insofern...keine Ahnung. Stecke da aktuell nicht mehr tief genug in der Materie.
 
  • Gefällt mir
Reaktionen: Nine-tailed Fox
Hier hat jemand ein Interview mit David McAfee von AMD gepostet. Da werden viele Dinge nochmal geklärt. Ein Punkt ist die größere Diskrepanz zwischen den Tests von AMD und den Reviewern. AMD hat für die Testsuite ein wohl schon "angepasstes" Windows 11 benutzt. Diese Anpassungen (die die Branch Prediction betrifft) kommen mit Windows 24H2 dann für alle (die aber die Reviewer noch nicht hatten) und wenn ich das richtig verstanden habe, soll das sogar "backportet" werden, also wohl auch für Windows 10 kommen.

Das zweite ist, dass AMDs Testsuite grundsätzlich immer mit Adminrechten ausgeführt wurde. Das war schon immer so und McAfee meinte, dass das in der Vergangenheit nur unerhebliche Unterschiede gezeigt hätte und daher kein Problem war. Mit den neuen Security-Features in Windows 11 ist das aber mittlerweile nicht mehr "unerheblich" und das hatten sie einfach nicht auf dem Schirm. Er meint dann auch, dass das in Zukunft wohl geändert oder zumindest besser kommuniziert wird. Also ich nehme an, dass dann bei den Tests von AMD sowas wie welche Windows Version, welche Performance beeinflussenden Security Features waren aktiv, welcher Privilegien Modus etc. dransteht.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Nine-tailed Fox
Iscaran schrieb:
Warum sollte ein "Admin" ohne KVA shadow laufen??? Es gibt dafür keinen sinnvollen Grund?
Steht doch ausführlich im Text.
KVA shadow thus optimizes highly privileged applications (specifically, those that have a primary token which is a member of the BUILTIN\Administrators group, which includes LocalSystem, and processes that execute as a fully-elevated administrator account) by running these applications only with the KVA shadow “kernel” address space
Wenn die Applikationen sowieso mit hohen Privilegien ausgeführt werden, startet das System sie in einem "Kernel" Adressraum und spart sich dabei die Mitigationen, die sonst zwischen User/Kernel Adressraum stattfinden würden.
Because these applications are fully trusted by the operating system, and already have (or could obtain) the capability to load drivers that could naturally access kernel memory, KVA shadowing is not required for fully-privileged applications.
Letztendlich ist es aber auch das einzige was ich in der Form gefunden habe und KVA sollte auf aktuellen CPUs nicht mehr notwendig sein. Könnten AMD Nutzer vielleicht ja selbst testen, auf meinem Intel System sind die jedenfalls nicht aktiv.
 
xexex schrieb:
Steht doch ausführlich im Text.

Letztendlich ist es aber auch das einzige was ich in der Form gefunden habe und KVA sollte auf aktuellen CPUs nicht mehr notwendig sein. Könnten AMD Nutzer vielleicht ja selbst testen, auf meinem Intel System sind die jedenfalls nicht aktiv.

AFAIK ist KVA shadowing für nicht-Intel (bzw. nicht Meltdown gefährdete CPUs) sowieso nicht notwendig.
Unabhängig davon sollte das keine 5% Performance fressen und unabhängig davon SOLLTE "run as admin" so eine Mitigation gerade NICHT aushebeln...das ist doch sowieso der Knackpunkt den ich meinte.

Und wenn die CPU-Type sowieso nicht Meltdown anfällig ist, sollte Windows KVA sowieso deaktiviert lassen...(@ZEN auf jeden fall).

Womit wir WIEDER bei OS-Bug wären...

Und das erklärt immer noch nicht warum das soviel Performance kosten sollte.
Zumal eine Meltdown-Mitigation auf einem Zen system sowieso nicht sinnvoll ist...

Die Erklärung wie qkiller postet leuchtet da dann schon mehr ein. Es geht AMD gar nicht um den Admin vs nicht-Admin offset, sondern um die fehlenden ca 10% vs der selbst-releasten Benchmarks...wenn da nun Optimierungen im W112024H2 kommen die diese freischalten, dann hat das 0,0 mit dem "Admin-Mode" zu tun, sondern hat also ganz andere Ursachen.
 
Iscaran schrieb:
SOLLTE "run as admin" so eine Mitigation gerade NICHT aushebeln...das ist doch sowieso der Knackpunkt den ich meinte.
Nochmal! Microsoft erklärt ganz genau, wieso es in dem Fall passiert. Wenn ich Prozesse zwischen den jeweiligen Adressräumen trennen muss, weil Gefahr besteht von einem Prozess auf einen anderen zugreifen zu können, kostet es bei jedem Wechsel des Prozesses Zeit und somit Leistung. Manche Sachen laufen nun mal im Kerneladressraum, andere im Benutzerkontext und es macht keinen Sinn Prozesse im Kontext eines Administrators, davor zu schützen auf Kernkomponenten zuzugreifen.

Wird genau so von Microsoft erklärt und es ist deshalb denkbar, dass es bei anderen Mitigationen ähnlich gemacht wird.
Ergänzung ()

Iscaran schrieb:
Es geht AMD gar nicht um den Admin vs nicht-Admin offset, sondern um die fehlenden ca 10% vs der selbst-releasten Benchmarks.
Doch! Genau darum geht es AMD! AMDs Behauptung ist Microsoft arbeitet an einem veränderten Task Scheduler und gleichzeitig behaupten sie ihre Benchmarks mit einem Admin Konto erstellt zu haben. Gäbe es zwischen den beiden Fällen keine Korrelation, würden wir über zwei völlig verschiedenen Probleme sprechen.

Es gibt also offensichtlich bei den Sicherheitsfunktionen von Windows einen Unterschied zwischen "Administrator" und Benutzer mit Adminrechten, allerdings fand ich bisher außer dem verlinkten Dokument keinerlei Informationen zu einem solchen Verhalten und da mich das nur bedingt interessiert, werde ich da auch nicht noch weiter bohren.
 
t3chn0 schrieb:
Was passiert denn wenn man etwas als Administrator ausführt, dass dort mehr Leistung anliegt? Wird die Kernisolierung ausgesetzt?

Die hat ja auf verschiedenen Systemen auch gerne Mal 4-8% Leistung gekostet.
Ich hatte scheinbar, zumindest ungefähr Recht.
 
Zurück
Oben