Test Windows 11 & 10: Benchmarks zum VBS-Leistungsverlust inkl. HVCI

[alQamar]

--So vermeidet man Vollzitate--

@Klever ich arbeite in meiner Freizeit viel an Microsoft Docs und glaube mir, nur weil es dort steht, muss es nicht richtig oder aktuell sein. Das ist wie Wikipedia, nur ohne Quellenangaben.

Ergänzung (6. Oktober 2021)

--So vermeidet man Vollzitate--

Moin, es erschien auf einem Home System trotz korrekter Einstellungen kein Core Isolation in Sicherheitscenter. Ich werde das ggf. nochmal prüfen, ich kenne nur wenige die Home haben.

Ergänzung (6. Oktober 2021)

--So vermeidet man Vollzitate--

Wie kommst du darauf? bei mir ist VBS aktiv und VT-d an, sonst würde ich (unabhängig von VBS) kein Hyper-V nutzen können oder Credential Guard und Application Guard.

 

[cvzone]

bei mir ist VBS aktiv und VT-d an, sonst würde ich (unabhängig von VBS) kein Hyper-V nutzen können oder Credentia

Du verwechselt glaube VT-x mit VT-d. Das VT-d deaktiviert sein soll hat mat immer mal wieder gelesen, ich habe aber kein Intel System. Das keine Kernisolation angezeigt wird kann eigentlich nur am inaktiven Secure Boot oder VT-x liegen. Habe hier jedenfalls auf einem Home VBS/HVCI aktiv.

Ich suche eben die Quelle nochmal, falls das nicht mehr aktuell ist dann sorry aber das habe ich definitiv mehrfach so gelesen.

EDIT:

Im BIOS/UEFI muss unbedingt VT-d deaktiviert sein, ansonsten hängt Windows beim Booten nach Aktivierung der Kernelisolierung/Speicher-Integrität.

https://www.deskmodder.de/wiki/index.php?title=Kernisolierung_aktivieren_deaktivieren_Windows_10

Es gibt auch noch andere Quellen. Aber da VT-d die IOMMU ist und Windows 11 bei AMD mit aktiver IOMMU problemlos läuft, ist das wohl nicht mehr aktuell. However. Damit VBS funktioniert muss mindestens VT-x und nicht nur VT-d zwingend an sein.

 

[ZeroStrat]

Bei Tom's Hardware zeigt sich ein signifikanter Unterschied zwischen VBS on/off auf Windows 11, auch ohne HVCI. Komisch...

 

[Seven2758]

Du verwechselt glaube VT-x mit VT-d. Das VT-d deaktiviert sein soll hat mat immer mal wieder gelesen, ich habe aber kein Intel System. Das keine Kernisolation angezeigt wird kann eigentlich nur am inaktiven Secure Boot oder VT-x liegen. Habe hier jedenfalls auf einem Home VBS/HVCI aktiv.

Es gibt auch noch andere Quellen. Aber da VT-d die IOMMU ist und Windows 11 bei AMD mit aktiver IOMMU problemlos läuft, ist das wohl nicht mehr aktuell. However. Damit VBS funktioniert muss mindestens VT-x und nicht nur VT-d zwingend an sein.

Deskmodder nutze ich ebenfalls als Lexikon um mich zu informieren aber bei VBS war es bei mir ebenfalls umgekehrt.

Mit deaktivierten VT-d (andere Intel Virtualisierungen aktiviert) bekam ich in MSINFO32 folgende Meldung:
Virtualisierungsbasierte Sicherheit: Aktiviert aber nicht ausgeführt.

Die Speicherintegrität konnte ich zwar aktivieren aber nach einem Neustart war diese wieder deaktiviert.
Erst nachdem ich VT-d im Bios aktiviert hatte, lief VBS ohne Probleme und die Speicherintegrität blieb auch aktiviert. Auch bei MSINFO32 stand endlich "wird ausgeführt".

Den Hinweis habe ich über Umwege bei Microsoft Docs gefunden:
Furthermore, one user also shared his experience on enable both Intel Virtualization Technology and Intel Vt-d feature.
https://social.technet.microsoft.com/Forums/office/en-US/d0ef2b8b-c679-4fdb-b6b0-f64b64a57483/credential-guard?forum=win10itprosecurity

Quelle

 

[cvzone]

@Seven83 Danke für die Erläuterung und den Test. Bei mir (AMD) reicht aktives AMD-V und IOMMU (enstpricht VT-d) muss im UEFI nicht aktiv sein.

 

[Jan]

Artikel-Update: Der Artikel wurde um Testergebnisse mit einem AMD Ryzen 7 1800X, der von Windows 11 offiziell nicht unterstützt wird, weil er kein MBEC beherrscht, samt Radeon RX 6700 XT ergänzt.

 

[Don_2020]

Nach Windows 11 kommt Windows 12.
Windows 13 wird es nicht geben, aus bekannten Gründen.

 

[Jedi123]

Bei Tom's Hardware zeigt sich ein signifikanter Unterschied zwischen VBS on/off auf Windows 11, auch ohne HVCI. Komisch...

Das sieht aber echt übel aus bei deren Benchmarks..

 

[RobZ-]

Mein Aorus Master Z390 hinkt mal wieder, kein vt-x nur vt-d. Aber ohne installiertes Hyper-V scheint VBS nicht aktiv zu seinn, egal was ich im Bios einstelle.

/edit
Bei mir gibt es ein Problem, dieses hier:
https://answers.microsoft.com/en-us...s-driver/b1b9fe34-c05e-40e3-8ddf-4f9b1ebab2d5

 

[ZeroStrat]

@Jan Hab gerade mit Paul von Tom's Hardware geschrieben. Habt ihr nach dem Setzen von VBS enabled einen Reboot gemacht?

Abfrage per PowerShell Befehl.

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Aktiviert man VBS, ist der Status auf 1. Das heißt aber noch nicht, dass es läuft. Erst nach einem Reboot ist VirtualizationBasedSecurityStatus 2, was bedeutet, dass aktiviert ist und läuft.

 

[Jan]

Ja @ZeroStrat , das UI fordert sogar dazu auf.

 

[ZeroStrat]

Ja @ZeroStrat , das UI fordert sogar dazu auf.

Nachfrage von Paul als Screenshot... ^^ Bin zu faul zum tippen.

Und am besten mal den PowerShell Befehl oben ausführen als Gegencheck.

 

[cvzone]

Also außer über die Group Policy oder Registry wüsste ich gar nicht wie man VBS (ohne HVCI) gezielt einschaltet und da gibt es keine Neustartaufforderung,

HVCI verlangt natürlich einen Neustart, aber dann hat man ja direkt beides am Hals.

 

[Flomek]

Ich habe hier eine Anleitung verfasst, wie man dies bestenfalls konfiguriert bekommt

https://www.linkedin.com/posts/karl...and-windows-activity-6850911810279784448-oex8

Vielen Dank dafür, mit dieser Anleitung konnte ich VBS nun aktivieren. @cvzone ich musste dafür ebenfalls Hyper-V installieren, damit es aktiv ist

 

[cvzone]

@Jan Kleiner Tipp, der ggf. stundenlage Sucherei und Gebastel erspart: Wenn man versehentlich HVCI mit UEFI Lock aktiviert (geht über die Group Policy) muss man zum abschalten einmal die Secure Boot Keys im UEFI löschen, Windows neu starten und dann wieder Secure Boot Keys setzen.

Ich habe eben Stunden gebraucht und eine komplette Windows 11 Neuinstallation, um das rauszufinden.

Sämtliche anderen Lösungen aus Microsofts Dokumentationen haben nicht funktioniert. Selbst nach einer sauberen Neuinstallation wurde HVCI erzwungen und war nicht abzuschalten.

 

[zephyr444]

Wie aktiviere ich denn VBS ohne HVCI im Nachhinein?

 

[cvzone]

Wie aktiviere ich denn VBS ohne HVCI im Nachhinein?

Entweder Regedit unter HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard den DWORD "EnableVirtualizationBasedSecurity" mit Wert 1 hinzufügen oder bei Windows Pro unter gpedit.msc unter Administrative Vorlagen -> Systen -> Device Guard -> Virt.basierte Sicherheit aktivieren -> Aktiviert und Plattform-Sicherheitsstufe "Sicherer Start".

"Sicherer Start + DMA" startet VBS nur bei einem System was auch Kernel-DMA-Schutz kann. Das ist je nach UEFI Einstellung meist nicht der Fall.

 

[zephyr444]

OK danke erstmal, bei der Abfrage mit dem obigen befehl, steht VirtualizationBasedSecurityStatus aber nur auf 1 statt 2, also ist laut obigen User aktiviert aber nicht angewandt? Reboot habe ich gemacht

EDIT: jetzt gehts, musste noch Hyper V installieren

Edit2: jetzt habe ich das Problem, dass HVCI mitaktiviert wurde, jedenfalls laut Windows Sicherheit.

Edit3: Ok, nach dem deaktivieren der Gruppenrichtlinier scheint die Kernisolierung immer noch aktiv zu sein, scheint also geklappt zu haben

 

[cvzone]

HVCI

Schau Mal unter Regedit, ob du HypervisorEnforcedCodeIntegrity auf 0 setzen kannst und VBS aktiv bleibt. Findest du unter dem gleichen Schlüssel wie oben VBS, nur im Untermenü Scenarios.

 

[zephyr444]

OK habe ich gemacht, den Pfad in der Registry habe ich nur über die Suche finden können, habe Windows Pro, finde den jetzt nur nicht wieder, nachdem ich den Wert geändert habe

Finde nur noch
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\default\VirtualizationBasedTechnology\HypervisorEnforcedCodeIntegrity

und als Extraeintrag value auf 0, D-Word als Variablentyp, scheint aber alles zu laufen jz, danke