Windows 11 - Warum "alte" Prozessoren nicht mehr anerkannt werden

PHuV schrieb:
was in der CPU MBEC benötigt, und TPM für die Verschlüsselung benötigt.
Wieso? Soweit ich das sehe, bedingt sich beides technisch nicht. Woher die Keys für MBEC kommen, ist ja egal, sie müssen nicht durch ein TPM verwaltet werden.
 
MBEC ist ein CPU Feature. Ich verstehe jetzt Dein Problem hier nicht. :confused_alt:

1 Sekunde googlen:

https://5gmobilephone.net/mbec-windows-11/
Many users wonder why an Intel Gen 6 or 7 is not suitable for Windows 11, but an Intel Gen 8 is. Windows 11 requires a security function (in addition to TPM 2.0) that only the current CPUs from Kaby Lake or AMD Zen 2 and higher can handle. It is called MBEC (Mode Based Execution Control) at Intel and is part of HVCI (Hypervisor-Protected Code Integrity).


Under AMD it is called GMET (AMD Guest-Mode Execute Trap for NPT) and under ARM TTS2UXN (ARM Translation Table Stage 2 Unprivileged Execute-Never).

Egal welche CPU, sie benötigen alle dieses besondere Feature für HVCI (Hypervisor-Protected Code Integrity).
  • Intel - MBEC (Mode Based Execution Control)
  • AMD - GMET (AMD Guest-Mode Execute Trap for NPT)
  • ARM - TTS2UXN (ARM Translation Table Stage 2 Unprivileged Execute-Never)
Und wenn das in der CPU nicht vorhanden ist, muß es eben emuliert werden, wie eben im Ryzen 1, wo es dann deutlich langsamer läuft.
 
  • Gefällt mir
Reaktionen: aragorn92
PHuV schrieb:
Also, der Grund ist ganz banal. VBS kostet mit HVCI viel Leistung, was die älteren CPU bei der Emulation von MBEC drastisch bremst.
Also ich habe mich kürzlich mit unserer IT in der Firma über das Thema unterhalten. Da sind alle Rechner wohl soweit kompatibel zu Win 11.
Hier muss man aber sagen, dass diese Office PCs im Normalfall komplett kaum mal 500 Euro das Stück gekostet haben und teilweise auch schon deutlich älter sind, als meiner. (wurden teilweise mit SSD und mehr Speicher nachgerüstet)
Bei mir ist allein die CPU mehr wert als so ein ganzer Rechner und der soll zu langsam sein? Ich kann es mir kaum vorstellen.
Da müsste in den billigen CPUs was drin sein, was die ganze benötigte Rechenleistung einfach bereitstellen kann ohne mit der Wimper zu zucken, aber meine CPU soll da nicht können?
Das muss dann ja noch krasser sein, als wenn ich Raytracing auf einer Grafikkarte laufen lasse die keinen passen RT-Chip dafür hat. Oder ein Spiel komplett über CPU ohne Grafikkarte emuliere. Also das kann ich mir beim besten Willen nicht vorstellen.
Und die nach meiner CPU folgende 7.te Generation, wird auch außen vor gelassen? Ein Kollege von mir hat einen zirka 4 Jahre alten Alienware-Rechner für viele 1.000 Euro gekauft und darf den dann entsorgen, wenn er Win 11 nutzen will?
Also ich denke da muss sich MS noch mal was überlegen, wenn die das wirklich auf Dauer so durchziehen wollen.
 
PHuV schrieb:
Und wenn das in der CPU nicht vorhanden ist, muß es eben emuliert werden, wie eben im Ryzen 1, wo es dann deutlich langsamer läuft.
Ah, hatte ich tatsächlich nicht auf dem Schirm, dass es in der Richtung Unterschiede zwischen Ryzen 1 und 2 gibt.

Find's aber putzig, dass ein Gamer-Betriebssystem wie Windows da so einen Dicken macht, während diejenigen, die sich tatsächlich mit Server-Performance und Security auseinandersetzen (Google, Facebook, Amazon und so weiter) solche Fässer bei ihren Deployments nicht aufmachen. Naja.
 
Ich verstehe Euer Problem an der Stelle nicht? :confused_alt:
  1. Ich kann doch dafür nix, daß in ältereren CPUs dieses Feature für VBS mit HVCI fehlt.
  2. Dafür kann ebenso Micsosoft nichts.
  3. Siehe Videos, dieses Features ist nun mal wichtig, wenn VBS mit HVCI eingeschaltet wird
  4. Hat eine ältere CPU das Feature nicht,
    1. wird es emuliert, und der Rechner läuft deutlich langsamer
    2. schaltet man es ab, und es wird unsicherer

Preisfrage an Euch, was soll hier nun Eurer Meinung nach Microsoft machen? Angesichts der massiven Malwarbedrohungen der letzten Jahren ist die Einführung von VBS mit HVCI ein folgerichtiger und logischer Schritt, um die Computersicherheit weltweit zu erhöhen. Und es ist dann ebenso folgerichtig, ältere CPU-Generationen, die dann mit diesem Sicherheitskonzept wesentlich langsamer laufen, dann auszuschließen, oder wie es Microsoft ausführlich allen gesteckt hat, in Eigenverantwortung und auf eigenem Risiko doch Windows 11 auf einer veralteten CPU einzusetzen, oder bei Windows 10 zu bleiben.
Ergänzung ()

GrumpyCat schrieb:
Find's aber putzig, dass ein Gamer-Betriebssystem wie Windows da so einen Dicken macht, während diejenigen, die sich tatsächlich mit Server-Performance und Security auseinandersetzen (Google, Facebook, Amazon und so weiter) solche Fässer bei ihren Deployments nicht aufmachen. Naja.
Natürlich tun sie das, siehe Ausfall Facebook:
https://www.heise.de/news/Facebook-Ausfall-Alles-ist-sehr-schnell-gegangen-6211125.html
Ergänzung ()

Tramizu schrieb:
Also ich denke da muss sich MS noch mal was überlegen, wenn die das wirklich auf Dauer so durchziehen wollen.
Wie soll sich MS hier ein CPU Feature aus den Rippen schneiden? :confused_alt: Ihr solltet alle, die diese Änderungen so anzweifeln, mal selbst Software entwickeln. Hier ist es Gang und Gäbe, alte Features und Unterstützung für veraltete Betriebssysteme, Bibliotheken, Hardware und Co. in einem neuen Softwarezyklus zu entfernen. Einerseits, weil sonst die Sache zu inkompatiblen, langsam oder sonstwas wird, und die Kosten für die Entwicklung bei der Pflegen mehrere Releasezweige zu intensiv wird. Man muß einfach mal immer wieder alte Zöpfe abschneiden, um ein neueres und besseres Konzept durchzusetzen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: aragorn92
Der Ausfall von Facebook, WhatsApp und Instagram war ursächlich auf Fehlfunktionen eines integrierten Dienstes zurückzuführen. Das war also ein internes Problem.

Die Malwarebedrohungen im privaten Nutzerbereich haben in den letzten Jahren massiv abgenommen, im Unternehmerbereich hat das auch keine allzu große Relevanz mehr.
Unternehmen sind Zusehens von Cyberattacken betroffen, die das Stehlen von Daten als Ziel haben.

Nichts, aber auch gar nichts rechtfertigt diese Sicherheitsvorgaben von MS für Windows 11.
 
  • Gefällt mir
Reaktionen: Janami25
  • Gefällt mir
Reaktionen: aragorn92 und Dr. McCoy
PHuV schrieb:
Wie soll sich MS hier ein CPU Feature aus den Rippen schneiden? :confused_alt: Ihr solltet alle, die diese Änderungen so anzweifeln, mal selbst Software entwickeln. Hier ist es Gang und Gäbe, alte Features und Unterstützung für veraltete Betriebssysteme, Bibliotheken, Hardware und Co. in einem neuen Softwarezyklus zu entfernen.
Das man insgesamt die Soft -und Hardware anpassen muss, um neueren Anforderungen gerade in punkto Sicherheit auch in Zukunft zu gewährleisten ist klar.
Aber wem bringt das wirklich was? Behörden, Firmen, Militär und ähnliches. Aber mir als Privatanwender?
Wäre mein Homebanking (wenn ich es denn überhaupt am PC mache) deswegen nicht mehr sicher?
Hier sollte und muss MS den Kunden die Wahl lassen. Auch ohne irgendwelchen Workaround's.
In Games habe ich ja auch die Wahl, Features zu nutzen oder auch wegzulassen, wenn es damit eben nicht so toll läuft.
Wenn ich es wirklich wollte, kann ich Win 11 auch bei mir drauf prügeln. Aber wer garantiert mir das es im halben Jahr immer noch läuft, trotz der Workarounds die zum Teil sogar von MS selbst kommen?
Anders herum frage ich mich aber, wenn eine nicht unterstützte CPU dann trotzdem läuft, warum wird das System dann nicht erheblich langsamer, wie immer geschrieben wird?
Gibt ja schon genug, die es ausprobiert haben mit einer nicht supporteten CPU. Ich habe da noch keine Hinweise darauf gesehen, dass es langsamer ist.
 
Zuletzt bearbeitet:
Tramizu schrieb:
Das man insgesamt die Soft -und Hardware anpassen muss, um neueren Anforderungen gerade in punkto Sicherheit auch in Zukunft zu gewährleisten ist klar.
Aber wem bringt das wirklich was? Behörden, Firmen, Militär und ähnliches. Aber mir als Privatanwender?
Wäre mein Homebanking (wenn ich es denn überhaupt am PC mache) deswegen nicht mehr sicher?
Definitiv ja. Schau Dir das Video an. Das Konzept selbst finde ich sehr überzeugend, ob das die letzte glückseeligmachende sein wird, wird sich zeigen. Schon mal die Schlüssel, Zertifikate und Kennwörter im RAM entsprechend abzusichern ist sehr sinnvoll.

Der Knackpunkt ist doch der, daß sich immer irgendwelche Malware über einen Weg über einen gefakten Treiber, Programm, Kompomente einschleichen kann. Der ist mit der Speicherintegrität nun sehr viel schwerer geworden. Wenn man alle Komponenten entsprechend signieren und isolieren kann, stellt das schon einen sehr wirksamen Schutz dar. Klar, ein falsch Programm als Administrator gestartet wird das Konzept vermutlich auch nicht verhindern können. Aber man kann dadurch verhindern, daß sich so ein Programm festsetzen kann, wie das Video mit der EFI-Modifikation zeigt.
Qubes OS geht mit isolieren und virtualsierten Komponenten einen ähnlichen Weg.

Wenn man das Kernsystem so stabilisieren kann, so daß eine Kompromitierung zumindest deutlich erschwert wird, ist schon eine Menge gewonnen. Und noch sind die CPU Bugs für Meltdown und Spectre in allen Varianten noch lange nicht von der Welt, sprich, sie stellen bis heute eine Gefahr dar. Mit VBS und HVCI wirds zwar nicht gelöst, aber deutlich minimiert.
Tramizu schrieb:
Gibt ja schon genug, die es ausprobiert haben mit einer nicht supporteten CPU. Ich habe da noch von keinen Hinweisen darauf, dass es langsamer ist, gelesen.
Gut, wer hat den wirklich mal hier Win 11 mit Spielen und Benchmark, TPM, mit aktiviertem VBS und HVCI getestet? CB hat es mit Ryzen 1 und 3 getestet:
https://www.computerbase.de/2021-09...schnitt_erste_benchmarks_zum_leistungsverlust
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: aragorn92 und Dr. McCoy
Das Verhalten von Microsoft in diesem Punkt ist trotz guten Gründen für mehr Sicherheit Quatsch. Dann installiert man Windows 11 halt ggf. ohne aktiviertes VBS/HVCI, zeigt im Windows-Sicherheitscenter einen Hinweiskasten dazu an, und fertig. Das ist zumindest nicht weniger sicher als mit Windows 10. Dafür ist das System dann auf Windows 11 migriert und Microsoft kann sich über eine hohe Adoption Rate freuen.
 
  • Gefällt mir
Reaktionen: Carrera124 und Klever
Man sollte sich bei Heise die Kommentare dazu anschauen. Einige davon bringen es auf den Punkt und widerlegen so manches aus dem Artikel.

Bei TPM von Sicherheit zu sprechen ist einfach nur falsch, denn...
...die Sicherheit von TPM greift da, wo der Worst Case ja bereits eingetreten ist
und der wird in 99% der Fälle sogar vom Nutzer selbst herbeigeführt.
Nun und wenn ich als IT-Fachkraft in einer Firma tätig bin und da plötzlich Systeme nicht mehr
booten, oder gar nahezu vollständig verschlüsselt sind – dann trage ich selbst die Verantwortung dafür.

Dieser Artikel, zeigt wieder überdeutlich, dass Journalisten nur Informationen verbreiten, aber nicht in der Lage sind die Qualität derer zu verifizieren. Um so erstaunlicher ist es zu sehen, was für festgefahrene Meinungen sie dabei sogar noch entwickeln. Das denen selbst nicht einmal auffällt wie Paradox das ist... Als würden sie glauben, dass sie von der ständige Recherche und Schreiberei, ihr eigenes Portfolio an Fachwissen aufbauen...
Einfach nur: NEIN!

Kurzum: Es kommt bei allem immer auf das Verhalten des Benutzers an.

Wenn der Benutzer wahllos auf zweifelhafte E-Mail-Anhänge klickt, zwielichte Webseiten ansteuert, Dateien und Anwendungen aus unbekannten Quellen herunterlädt und sich demzufolge das System mit Schadware verseucht, dann nützt dem TPM, Secure-Boot und VBS gar nichts.
 
  • Gefällt mir
Reaktionen: Janami25
Nur mal so, auf den meisten Smartphones und Tablets wird schon seit Jahren TPM eingesetzt, und da interessiert sich doch auch keiner weiter dafür. 🤗 TPM sorgt hier doch nur dafür, daß alles mit Anmeldedaten und Kennwörter gesichert sind.

VBS mit HVCI (ich nenne hier explizit immer beide Features, weil HVCI ohne VBS nicht geht) kann sehr wohl verhindern, daß Malware sich mehr verbreitet. Es sind mehrere Komponenten eines Sicherungskonzeptes, genau wie Haustür, bessere verriegeln, Videoüberwachung, Alarmanlage für ein Haus. Einbrüche wird es nciht verhindern, aber erschweren. Hast Du Dir mal das Video angeschaut? Das ist schon überzeugend, das hier das Einfallen in ein System nicht so weiter mehr funktioniert. Gut, jetzt wären noch weitere Szenarien interessant, wenn jemand wirklich Malware installiert, was dann weiter in Windows 11 weiter passiert. Wenn das richtig funktioniert, lehnt HVCI jede nicht korrekt signierte Änderung rigoros ab, und die Malware ist zwar installiert, wird aber sofort blockiert und kommt hier nicht weiter. Sprich, jede Kompromittierung des laufenden Systems sollte ausgeschlossen sein. APT Angriffe wie Emotet sollten so nicht mehr möglich sein.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: aragorn92
bei Windows 11 Pro wird "alte" Prozessor erkannt, sogar meine alte Hauppauge WinTV karte läuft.

restliche Details: siehe Bild!
 

Anhänge

  • Win11 mt WinTV.JPG
    Win11 mt WinTV.JPG
    343,9 KB · Aufrufe: 271
TorenAltair schrieb:
Die Missbrauchsmöglichkeiten sind mir im Moment da noch viel zu groß.

Faust2011 schrieb:
Eher umgekehrt wird doch ein Schuh draus. Das System wird "sicher" verriegelt.

Ich vermute, er meine damit, dass Software-Entwickler das Feature als Nonplusultra voraussetzen können und damit mögliche Konsumenten aussperren würden.

So etwas zum Beispiel:
https://winfuture.de/news,125031.html
Ergänzung ()

Termy schrieb:
Dass der Autor bezüglich der Linux-Mitigationen von Spectre/Meltdown Blödsinn erzählt und scheinbar noch nichts von Retpoline gehört hat disqualifiziert ihn schon so n bisschen

Wie die Implementierung der Retpoline unter Linux bewerkstelligt wird, darüber bin ich nicht informiert. Unter Windows beschränkt die Retpoline sich auf die alten Iterationen bis Broadwell. Alles darüber hinaus, ergo ab Skylake ist mit der Retpoline nicht kompatibel, weil es für die nachfolgenden Plattformen hardwareseitigen Support per Firmware-Update gegeben hat.
 
Zuletzt bearbeitet:
Es wäre immerhin zu kleinlich, wegen jeder noch so pingeligen Sicherheitsfunktion, die nicht zwinged erforderlich sein muss, ganze CPUs und Plattformen auszugrenzen.

Demzufolge finde ich die Ankündigung zur finalen Version von Windows 11 lobenswert, wenn sie denn tatsächlich umgesetzt würde, bei den Iterationen Kaby Lake, Summit Ridge und Raven Ridge ein Auge zuzudrücken, solange ein TPM in Version 1.2 installiert ist.
 
PHuV schrieb:
Das hat mich jetzt heute bei meinem Anwendungsrechner überrascht
Das gilt genau so für meinen 2700X, also Zen+. Das fehlende Feature heißt bei AMD Guest Mode Execute Trap (GMET) und ist erst ab Zen2 enthalten. Und es gibt keinen technischen Grund, warum zwar Zen+, aber nicht Zen unterstützt wird.
 
Bl4ckIce schrieb:
Das System wird schon gut "ankommen" man wird ja dazu gezwungen früher oder später ;)

Hallo zusammen, zum Thema "gezwungenes Upgrade" (korrigiert mich wenn ich im falschen thread bin)

Meine Eltern haben nen Akoya E2228 der ist selbst mit Win10 schon langsam/ruckelig und ne neue Umgebung wollen sie auch nicht.. Ist win11 jetz intuitiver?

(und ja, ich hab bislang nur bis zu diesem Absatz gelesen)

Ich hab gesehen, dass das Win11 Upd(gr) ate bereits geladen ist, kann man das irgendwie abwählen?

Mein anderer Gedanke wäre alternativ Linux zu installieren, welches eine ähnliche Oberfläche hat wie win7/10 - da der Prozessor lt. notebookcheck eher für win/Android konzipiert wurde, bin ich mir aber nicht sicher, ob dies überhaupt funktioniert oder umzusetzen ist. Merci
 
Zurück
Oben