Windows 11: Sind VBS und HVCI aktiv? Wie schaltet man die Features notfalls ab?

Rund um den Release von Windows 11 gab es für Spieler eine aufschreckende Meldung. In Verbindung mit Sicherheitsmaßnahmen wie HVCI kann die Spieleleistung um bis zu 30 Prozent niedriger als bei Windows 10 ausfallen. Allerdings ist HVCI nur in der Theorie eine "Spielspaßbremse". Schließlich gibt es das optionale Feature nur, wenn man eine unterstützte CPU inklusive aktivierter Virtualisierungsfunktion und aktiviertem Secure Boot (im UEFI-BIOS) nutzt und kein installierter Treiber die Kernisolierung alias HVCI blockiert. Was steckt hinter HVCI und VBS, wie deaktiviert man das?

Was sind VBS und HVCI?

HVCI steht für Hypervisor-geschützte Codeintegrität und gehört neben TPM 2.0, der Firmwareunterstützung für Security Mitigation Table-Schutz und einigen optionalen UEFI-Features zur Virtualization-based Security - kurz VBS - unter Windows 11. Eigentlich sind VBS und HVCI ein alter Hut, denn diese Schutzmechanismen gibt es schon seit 2013 in Windows 8. Mit Windows 11 haben aber beide Begriffe an Bekanntheit gewonnen, denn HVCI und VBS sind Features, die vollständig erst von diesen CPU-Generationen unterstützt werden.

• AMD Ryzen ab 2000,
• Intel Core ab 7. Generation (empfohlen: ab 8. Generation),
• Qualcomm Snapdragon 850, 7c, 7cx, 8cx (alle Generationen)

Wem diese Prozessorliste bekannt vorkommt, der liegt richtig, denn es sind die Prozessoren, die Microsoft offiziell als kompatibel mit Windows 11 ansieht. VBS-Funktionen benötigen eine unterstützte CPU mit aktivierter Virtualisierungsfunktion. Zudem kommt es auf die installierten Treiber an, ob man überhaupt HVCI alias Kernisolierung aktivieren kann. Die Speicherintegrität auf CPUs kostet einiges an Leistung, sodass Microsoft beschlossen hat, nur CPUs für Windows 11 als kompatibel auszuweisen, die über genügend Leistung und den vollständigen VBS-Support verfügen.

Mit der virtualisierungsbasierten Sicherheit werden Hardwarevirtualisierungsfunktionen genutzt, um einen sicheren Speicherbereich vom normalen Betriebssystem zu erstellen und diesen zu isolieren. So sollen böswillige Exploits keine Chance mehr haben, Schaden am Betriebssystem anzurichten. Zu VBS gehört die Hypervisor-geschützte Codeintegrität, die auch als Speicherintegrität oder Kernisolierung bezeichnet wird. HVCI verhindert, dass nicht signierte Treiber oder Systemdateien in den Speicher geladen werden.

So (de)aktiviert man die Kernisolierung alias HVCI in Windows 11

Falls man von einem Windows-10-PC auf Windows 11 aktualisiert, ist HVCI deaktiviert. Lediglich bei Firmen-PCs kann es sein, dass VBS-Maßnahmen wie HVCI aktiviert sind. In der App Windows-Sicherheit nennt sich HVCI übrigens Kernisolation. Wer HVCI manuell aktivieren will oder überprüfen möchte, ob es auf seinem PC aktiviert ist, kann wie folgt vorgehen:

• Öffnen der Einstellungsapp und dort den Bereich Datenschutz & Sicherheit aufrufen.
• Nun klickt man auf die Windows-Sicherheit.
• Im neuen Fenster die Gerätesicherheit auswählen.
• Nun auf Kernisolierung klicken und dann "Details zur Kernisolierung" auswählen.
• Hier kann man die Kernisolierung aktivieren oder deaktivieren.
• Nach einem PC-Neustart ist die Kernisolation dauerhaft aktiviert oder deaktiviert.

Wer ganz auf Nummer sichergehen will, der kann mit folgendem Befehl in der Eingabeaufforderung von Windows alle VBS-Maßnahmen manuell und aktivieren anpassen:

• Aktivierung von VBS:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

• Aktivierung von VBS und sicherer Start als erforderlich (Wert1):

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f

Wichtig ist, dass man die Eingabeaufforderung von Windows 11 als Administrator aufruft. Microsoft soll - angeblich - planen, dass künftig Gerätehersteller bestimmte PCs mit VBS-Maßnahmen inklusive HVCI ausliefern. Wenn das der Nutzer nicht möchte, muss er selbst aktiv werden und die Kernisolierung alias HVCI manuell deaktivieren. Ob das jedoch wirklich dazu kommt, welche OEMs mitmachen und ob Spiele-PCs künftig mit HVCI ausgeliefert werden, ist noch unklar.

Ebenfalls lesenswert: Nicht kompatibel mit Windows 11: Nun erscheint die Update-Sperre auf PCs

Sammlung zu VBS und HVCI in Windows 11:

• Einige Tester berichten, dass unter Windows 11 PC-Spiele langsamer laufen, zumindest wenn HVCI aktiviert ist.
• In den meisten PCs ist HVCI alias Kernisolierung allerdings deaktiviert. Lediglich bei Firmen-PCs kann es sein, dass HVCI aktiv ist.
• HVCI steht für Hypervisor-geschützte Codeintegrität und gehört neben TPM 2.0, der Firmwareunterstützung für Security Mitigation Table-Schutz und einigen optionalen UEFI-Features zur Virtualization-based Security.
• So soll etwa Schadcode möglichst wenig dem Betriebssystem anhaben können. Allerdings kostet HVCI CPU-Leistung und ist erst ab Intel Core 8. Generation beziehungsweise ab AMD Ryzen 2000 vollständig nutzbar.

Reklame: Windows-Notebooks jetzt bei Amazon bestellen
Quellen: Microsoft (1), Microsoft (2)

Außerdem beliebt bei PCGH-Lesern:

Fallout 76: Spieler finden Xbox-Chef und beschießen ihn mit einer Atombombe

2Der Xbox-Chef hat nach den vielen Entlassungen und Schließungen offenbar seinen Kredit bei den Fans verspielt.

Core-Chaos: MSI setzt Intels Empfehlungen um und ermöglicht dennoch die Brechstange

17MSI setzt Intels Empfehlungen mit den "Default Settings" für Core-CPUs um und ermöglicht mit wenigen Klicks dennoch die Brechstange.

M4-Prozessor im Benchmark: Apples neuer Super-Chip schlägt sogar den M3 Pro [Bericht]

7Der neue M4-Prozessor von Apple schlägt seine Vorgänger M3 und M3 Pro in ersten Benchmarks teilweise deutlich.