Microsoft hat Windows 11 veröffentlicht und schon geistern auch vermeintlich neue Begriffe wie VBS und HVCI umher. Was steckt dahinter, wie kann man die Performancebremsen deaktivieren?
Rund um den Release von Windows 11 gab es für Spieler eine aufschreckende Meldung. In Verbindung mit Sicherheitsmaßnahmen wie HVCI kann die Spieleleistung um bis zu 30 Prozent niedriger als bei Windows 10 ausfallen. Allerdings ist HVCI nur in der Theorie eine "Spielspaßbremse". Schließlich gibt es das optionale Feature nur, wenn man eine unterstützte CPU inklusive aktivierter Virtualisierungsfunktion und aktiviertem Secure Boot (im UEFI-BIOS) nutzt und kein installierter Treiber die Kernisolierung alias HVCI blockiert. Was steckt hinter HVCI und VBS, wie deaktiviert man das?
Auf dieser Seite
Was sind VBS und HVCI?
HVCI steht für Hypervisor-geschützte Codeintegrität und gehört neben TPM 2.0, der Firmwareunterstützung für Security Mitigation Table-Schutz und einigen optionalen UEFI-Features zur Virtualization-based Security - kurz VBS - unter Windows 11. Eigentlich sind VBS und HVCI ein alter Hut, denn diese Schutzmechanismen gibt es schon seit 2013 in Windows 8. Mit Windows 11 haben aber beide Begriffe an Bekanntheit gewonnen, denn HVCI und VBS sind Features, die vollständig erst von diesen CPU-Generationen unterstützt werden.
- AMD Ryzen ab 2000,
- Intel Core ab 7. Generation (empfohlen: ab 8. Generation),
- Qualcomm Snapdragon 850, 7c, 7cx, 8cx (alle Generationen)
Wem diese Prozessorliste bekannt vorkommt, der liegt richtig, denn es sind die Prozessoren, die Microsoft offiziell als kompatibel mit Windows 11 ansieht. VBS-Funktionen benötigen eine unterstützte CPU mit aktivierter Virtualisierungsfunktion. Zudem kommt es auf die installierten Treiber an, ob man überhaupt HVCI alias Kernisolierung aktivieren kann. Die Speicherintegrität auf CPUs kostet einiges an Leistung, sodass Microsoft beschlossen hat, nur CPUs für Windows 11 als kompatibel auszuweisen, die über genügend Leistung und den vollständigen VBS-Support verfügen.
Mit der virtualisierungsbasierten Sicherheit werden Hardwarevirtualisierungsfunktionen genutzt, um einen sicheren Speicherbereich vom normalen Betriebssystem zu erstellen und diesen zu isolieren. So sollen böswillige Exploits keine Chance mehr haben, Schaden am Betriebssystem anzurichten. Zu VBS gehört die Hypervisor-geschützte Codeintegrität, die auch als Speicherintegrität oder Kernisolierung bezeichnet wird. HVCI verhindert, dass nicht signierte Treiber oder Systemdateien in den Speicher geladen werden.
So (de)aktiviert man die Kernisolierung alias HVCI in Windows 11
Falls man von einem Windows-10-PC auf Windows 11 aktualisiert, ist HVCI deaktiviert. Lediglich bei Firmen-PCs kann es sein, dass VBS-Maßnahmen wie HVCI aktiviert sind. In der App Windows-Sicherheit nennt sich HVCI übrigens Kernisolation. Wer HVCI manuell aktivieren will oder überprüfen möchte, ob es auf seinem PC aktiviert ist, kann wie folgt vorgehen:
- Öffnen der Einstellungsapp und dort den Bereich Datenschutz & Sicherheit aufrufen.
- Nun klickt man auf die Windows-Sicherheit.
- Im neuen Fenster die Gerätesicherheit auswählen.
- Nun auf Kernisolierung klicken und dann "Details zur Kernisolierung" auswählen.
- Hier kann man die Kernisolierung aktivieren oder deaktivieren.
- Nach einem PC-Neustart ist die Kernisolation dauerhaft aktiviert oder deaktiviert.
Bildergalerie
Wer ganz auf Nummer sichergehen will, der kann mit folgendem Befehl in der Eingabeaufforderung von Windows alle VBS-Maßnahmen manuell und aktivieren anpassen:
- Aktivierung von VBS:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
- Aktivierung von VBS und sicherer Start als erforderlich (Wert1):
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f
Wichtig ist, dass man die Eingabeaufforderung von Windows 11 als Administrator aufruft. Microsoft soll - angeblich - planen, dass künftig Gerätehersteller bestimmte PCs mit VBS-Maßnahmen inklusive HVCI ausliefern. Wenn das der Nutzer nicht möchte, muss er selbst aktiv werden und die Kernisolierung alias HVCI manuell deaktivieren. Ob das jedoch wirklich dazu kommt, welche OEMs mitmachen und ob Spiele-PCs künftig mit HVCI ausgeliefert werden, ist noch unklar.
Ebenfalls lesenswert: Nicht kompatibel mit Windows 11: Nun erscheint die Update-Sperre auf PCs
Sammlung zu VBS und HVCI in Windows 11:
- Einige Tester berichten, dass unter Windows 11 PC-Spiele langsamer laufen, zumindest wenn HVCI aktiviert ist.
- In den meisten PCs ist HVCI alias Kernisolierung allerdings deaktiviert. Lediglich bei Firmen-PCs kann es sein, dass HVCI aktiv ist.
- HVCI steht für Hypervisor-geschützte Codeintegrität und gehört neben TPM 2.0, der Firmwareunterstützung für Security Mitigation Table-Schutz und einigen optionalen UEFI-Features zur Virtualization-based Security.
- So soll etwa Schadcode möglichst wenig dem Betriebssystem anhaben können. Allerdings kostet HVCI CPU-Leistung und ist erst ab Intel Core 8. Generation beziehungsweise ab AMD Ryzen 2000 vollständig nutzbar.
Reklame: Windows-Notebooks jetzt bei Amazon bestellen
Quellen: Microsoft (1), Microsoft (2)
[Ins Forum, um diesen Inhalt zu sehen]
Super erklärt und bebildert.
Viel Spaß.
Klasse, dass du es nochmal erklärt (und im Artikel ergänzt) hast
Vorraussetzung für die genannten Sicherheitsfeatures ist unter anderem:
Also muss dafür auch im UEFI eine weitere Funktion (die Virtualisierung) neben "Secure-Boot" aktiviert werden.
Ist diese nicht aktiv, dann ist auch "VBS" nicht aktiv und entsprechende Funktionen in der "Sicherheits-App" nicht sichtbar/verfügbar.
Die Kollegen von CB haben es mMn. etwas "einfacher" beschrieben, in ihrem Artikel, als die PCGH (no offense [Ins Forum, um diesen Inhalt zu sehen] )
[Ins Forum, um diesen Inhalt zu sehen]
MfG
Vorraussetzung für die genannten Sicherheitsfeatures ist unter anderem:
Also muss dafür auch im UEFI eine weitere Funktion (die Virtualisierung) neben "Secure-Boot" aktiviert werden.
Ist diese nicht aktiv, dann ist auch "VBS" nicht aktiv und entsprechende Funktionen in der "Sicherheits-App" nicht sichtbar/verfügbar.
Ich habe meinen Artikel entsprechend ergänzt.
Damit HVCI alias Kernisolierung (Speicher-Integrität) überhaupt in der Microsoft-App "Windows-Sicherheit" auftaucht müssen alle folgenden Punkte erfüllt sein:
Eine unterstützte CPU muss im PC verbaut sein, also AMD Ryzen ab 2000 oder Intel Core i ab 8000 oder Qualcomm Snapdragon 850 / 7c / 7cx / 8cx,
Im UEFI-BIOS:
Muss die Virtualisierungsfunktion der CPU aktiviert sein, z. B. HyperV.
Muss "Secure Boot" aktiviert sein.
Kein auf dem PC installierter Treiber darf HVCI blockieren. Manche Treiberversionen führen dazu, dass man keine "Kernisolierung" aktivieren kann.
Erst, wenn all diese Punkte aktiv sind, dann lässt sich in "Windows-Sicherheit" im Punkt "Gerätesicherheit" die "Kernisolierung" finden und jederzeit manuell aktivieren oder deaktivieren.
Wie ich schon im Artikel geschrieben habe, ist die VBS-Maßnahme HVCI nicht neu, sondern bereits seit 2013 in verschiedenen Windows-Versionen optional aktivierbar. Allerdings will Microsoft mit Windows 11 eben dafür sorgen, dass mehr PCs dazu in der Lage sind, HVCI nutzen zu können. Es ist aber einfach ein theoretisches "Problem", was ein werter Kollege ausgenutzt hat, um etwas Stimmung zu machen. So kam es zumindest bei mir an... In Wirklichkeit nutzt - sehr wahrscheinlich - kein normaler Nutzer bislang die Kernisolierung, weil diese standardmäßig immer deaktiviert ist. Nur bei Firmen-PCs kann es sein, dass HVCI aktiv ist...
Vorraussetzung für die genannten Sicherheitsfeatures ist unter anderem:
Aktive CPU-Virtualisierung (im BIOS: AMD AMD-V/SVM / Intel: VT-x)
Ist diese nicht aktiv, dann ist auch "VBS" nicht aktiv und entsprechende Funktionen in der "Sicherheits-App" nicht sichtbar/verfügbar.
Die Kollegen von CB haben es mMn. etwas "einfacher" beschrieben, in ihrem Artikel, als die PCGH (no offense [Ins Forum, um diesen Inhalt zu sehen] )
[Ins Forum, um diesen Inhalt zu sehen]