Test Windows 11 & 10: Benchmarks zum VBS-Leistungsverlust inkl. HVCI

[Jan]

Die von Microsoft deutlich angehobenen Systemanforderungen von Windows 11 sollen insbesondere die Sicherheit des neuen Betriebssystems erhöhen. Dafür sorgen neben dem geforderten TPM auch die in Windows integrierte Virtualization-based Security (VBS). UL Benchmarks sieht Leistungsverluste, ComputerBase hat nachgemessen.

Zum Test: Windows 11 & 10: Benchmarks zum VBS-Leistungsverlust inkl. HVCI

 

[paulemannsen]

Läuft für Windows 11.Wird übersprungen.

 

[Damien White]

Jetzt für Laien wie mich:

Wie wichtig ist dieses VBS Zeug für den Durchschnitts-Dau?

 

[kamanu]

Wie wichtig ist dieses VBS Zeug für den Durchschnitts-Dau?

Es ist der Grund, den Microsoft für die hohen Systemanforderungen hat. Damit soll unter anderem einiges an Sicherheitslücken eingeschränkt werden können. Ob das so ist, lasse ich lieber Experten beurteilen. Aber ich hab zumindest noch nirgends gelesen, dass dem nicht so wäre.

Bei mir ist VBS aktiv mit aktuellstem Insider-Build. War ein Upgrade von Windows 10 Insider. Sowohl Secure Boot als auch TPM 2.0 sind aktiv. Ich habe VBS allerdings manuell im Nachhinein aktiviert.
Über große Geschwindigkeitsverluste kann ich mich bisher nicht beklagen. Läuft alles anstandslos. Generell fühlt sich Windows 11 ein wenig mehr "snappy" an. Aber das kann auch an den neuen Animationen liegen.

 

[cvzone]

Meine eigene Erkenntnis mit 20000.194 ist, dass HVCI bei einer Neuinstallation nicht aktiviert wird. War ein Asus X570 TUF mit 5900X, wo absolut alles im Bios bezüglich TPM, Secureboot, SVM und weitrerer AMD-V Optionen aktiviert war.

 

[feris]

Ist nichts, was man nicht abwarten könnte.

 

[Jan]

Meine eigene Erkenntnis mit 20000.194 ist, dass HVCI bei einer Neuinstallation nicht aktiviert wird.

Bei mir ist VBS aktiv mit aktuellstem Insider-Build. War ein Upgrade von Windows 10 Insider. Sowohl Secure Boot als auch TPM 2.0 sind aktiv. Ich habe VBS allerdings manuell im Nachhinein aktiviert.

Danke für diese ersten Wortmeldungen!

Ich kann das aus der Erinnerung auch nicht so nachvollziehen, was UL da sagt. Setze parallel aber auch gerade nochmal ein System auf und mache die Runde Windows 10 -> Windows 11 -> Format C: -> Windows 11

 

[Chesterfield]

kostet Sicherheit nicht immer irgendetwas? Geld, Privatsphäre, Ressource, Geschwindigkeit oder eben die "Freiheit" ?

 

[leipziger1979]

Das Problem ist nicht neu.

Wir mussten VBS in unseren Clustern mit Windows Server 2016 schon deaktivieren weil die Leistung um 50% niedriger war als ohne VBS/HVCI.
Ist aber auch kein Wunder bei sowas wie HVCI wo jedes Bit im Speicher nochmals geprüft wird.

Und wie hoch der Mehrwert von VBS/HVCI ist stelle ich eh in Frage.

 

[cvzone]

Danke für diese ersten Wortmeldungen!

Wobei die Kernisolation ja wohl immer aktiv ist, wenn verfügbar und auch nicht abschaltbar. Das zählt ja bereits zu VBS. So gesehen ist VBS wohl doch ab Werk aktiv. HVCI ist ja nur eine Erweiterung.

 

[Conqi]

Wie wichtig ist dieses VBS Zeug für den Durchschnitts-Dau?

Wie bei vielen Security-Maßnahmen ist das schwer abzuschätzen. Ich sehe den größten Nutzen für VBS eher im Unternehmensumfeld. Die meisten Angriffe, denen man privat ausgesetzt ist, gehen andere Wege. Es kann aber trotzdem helfen und sobald es auch nur einmal was abfängt ist der Nutzen dann halt doch sehr groß.

Ich würde mal ein paar Benchmarks abwarten. Kernisolierung selbst hat man auch unter Windows 10 sehr schnell, wenn man Hyper-V aktiviert hat und das haben ja durchaus einige.

 

[sikarr]

Auch UL Benchmarks tut das nicht und spricht wenig konkret lediglich von auf Basis der aktuellen Insider Preview beobachteten Leistungsrückgängen in den eigenen Benchmarks, wenn VBS auf dem System aktiv war.

Mich würde mal interessieren von welcher Größenordnung an Leistungseinbußen wir hier reden? Im einstelligen Prozentbereich ist mir sowas herzlich egal, wenns aber 20%-50% sind so ist das ein NoGO.

 

[nixalsverdruss]

Langsam aber sicher sollte man auf Linux umsteigen.

Kernisolierung selbst hat man auch unter Windows 10 sehr schnell, wenn man Hyper-V aktiviert hat und das haben ja durchaus einige.

Nur dadurch, daß ich Hyper-V aktiviere ist mein (Host) Kern isoliert ? Stimmt das wirklich ?

 

[TriceO]

Also nach meinem Verständnis ist das jetzt der Punkt, weshalb Microsoft als Systemvoraussetzungen CPUs mit MBEC fordert.
Ohne MBEC kann es emuliert werden und das kostet Leistung.

Finde ich jetzt wenig verwunderlich und war doch klar.

 

[Bigfoot29]

Palladium heißt jetzt also offiziell "VBS". - UND: Es ist vollständig. Nachdem es rund um 2000 noch einen riesigen Aufstand deswegen gab, wirds jetzt doch heimlich nach und nach durchgedrückt. - Respekt... -.-'

Regards, Bigfoot29

 

[mibbio]

Wir mussten VBS in unseren Clustern mit Windows Server 2016 schon deaktivieren weil die Leistung um 50% niedriger war als ohne VBS/HVCI.

Sind in den Servern denn CPUs, die das Feature nativ in Hardware unterstützen oder müssen die das "emulieren"? Denn das ist ja einer der Gründe, warum nur relativ aktuelle CPUs auf den Support-Listen für Windows 11 stehen - um sicher zu gehen, dass die CPU das nicht emulieren muss und dadurch stark an Leistung verliert.

 

[cvzone]

Stimmt das wirklich ?

Nicht ganz. AMD-V oder Intel VT-x reicht schon, Hyper-V selber muss nicht aktiv sein.

PS: stimmt nicht so ganz von mir. AMD-V ist nötig, um Hyper-V zu starten, welches wiederum VBS aktiviert.

 

[Chesterfield]

wie erwähnt hat MS selbst schon dazu geäußert:

Da HVCI die modusbasierte Ausführungssteuerungverwendet, funktioniert HVCI besser mit Intel Kaby Lake oder AMD Zen 2 CPUs und höher. Prozessoren ohne MBEC basieren auf einer Emulation dieses Features, das als eingeschränkter Benutzermodusbezeichnet wird, was größere Auswirkungen auf die Leistung hat.

indirekt eine aussage dass es leistung kostet... die empfehlung ist halt eine cpu starke cpu zu nehmen dass es einfach nicht ins gewicht fällt

 

[second.name]

Klingt tatsächlich nach interessanten Sicherheits-Features.
Wie es sich für mich liest, wurde also an der Konstruktion des Kernels recht umfangreich geschraubt und dieser zukünftig isoliert ausgeführt (?).
Hat damit den Charakter eines Containers (Docker, LXD, …), oder klassischer Virtualisierung.
So kann ich z.T. nachvollziehen, dass gewisse CPU‘s vorausgesetzt werden, wenngleich zahlreiche ausgeschlossene CPU‘s auch ebendiese Virtualisierungs-Features bieten.

 

[saintsimon]

Bei mir läßt sich die Kernisolierung nicht einschalten, weil noch veraltete Treiber im Wege stehen (Danke, Brother, Conexant, WD, Cambridge Silicon). Jetzt versuche ich mühsam die Treiber zu deinstallieren.

Mein i5-11500 im DeskMini hat mehr als genug Leistung für die Sicherheit übrig.