Windows 11: Microsoft dokumentiert Einfluss von Sicherheitsfunktionen auf die Leistung in Spielen

[DrWindows]

Windows 11: Microsoft dokumentiert Einfluss von Sicherheitsfunktionen auf die Leistung in Spielen
von Martin Geuß

Laut Microsoft ist Windows 11 das beste Windows aller Zeiten – logisch. Somit ist es auch das sicherste Windows und das beste Windows zum Spielen, doch diese beiden Superlative kommen sich unter Umständen gegenseitig ins Gehege. Microsoft hat Funktionen dokumentiert, die unter Umständen einen negativen Einfluss auf die Performance von Spielen haben können.

TheVerge ist über den entsprechenden Supportartikel gestolpert und hat das Thema aufgegriffen, nach dem Prinzip der stillen Post wird dann ganz schnell ein „diese Sicherheitsfeatures muss man für bessere Leistung abschalten“. Bullshit. Es ist ok, dass Microsoft solche Erkenntnisse mit seinen Kunden teilt. Ich wage aber die kühne Behauptung, dass man nur in Ausnahmefällen einen spürbaren Unterschied wird ausmachen können.

Der erwähnte Artikel dreht sich um eine Sicherheitsfunktion in Windows 11, die es auch schon in Windows 10 gab, die jetzt aber standardmäßig aktiv ist.

Es handelt sich hierbei um die Kernisolierung, die unter anderem verhindert, dass Schadcode in privilegierte Prozesse eingeschleust werden kann, weil deren Speicherbereiche durch Virtualisierung besonders geschützt sind. Die entsprechende Einstellung findet man in der App Windows-Sicherheit unter „Gerätesicherheit“, oder man gibt einfach „Kernisolierung“ in der Startmenü-Suche ein.



Die zweite in Microsofts Supportartikel erwähnte Funktion ist die Virtual Machine Plattform, in der deutschen Version von Windows 11 mit „VM Plattform“ abgekürzt. Diese lässt sich über die „Windows-Features aktivieren oder deaktivieren“ auffinden und dort ein- und ausschalten.



Die VM-Plattform ist per se kein Sicherheitsfeature, sie wird unter anderem auch von den Windows Subsystemen für Android und Linux genutzt. Interessanterweise funktionieren diese aber weiterhin, wenn man die VM-Plattform abschaltet.

Microsofts Rat lautet: Wenn man Probleme mit der Performance von Spielen hat, dann kann man diese Features testweise deaktivieren, um zu sehen, ob sich dadurch eine Verbesserung ergibt. Das dürfte wie schon erwähnt allerdings nur bei bestimmten Spielen einen Einfluss haben, bei modernen Prozessoren ist der Einfluss auf die Leistung aber in aller Regel vernachlässigbar gering.

+ alles anzeigen - weniger anzeigen

Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen

 

[tkmopped]

Der einzige Unterschied bei HVCI ist, das es in Windows 10 virtualisiert (Software) gelaufen ist und jetzt in Windows 11 hardwareunterstützt. Hardwareunterstützt nur, wenn ein "kompatibler Prozessor" im System befindlich ist. Möglicherweise ist es mit dieser Hardwareunterstützung doch nicht so weit her, wie MS das gerne öffentlich verkündet. Die reine Prozessorleistung kann da kaum einen Einfluß darauf haben, wenn man die gesamte Bandbreite der Leistungen an AMD- und Intel CPUs betrachtet.
Bei Deskmodder steht das auch im Blog und auch dort liest man ein "virtuelles Kopfschütteln" zwischen den Zeilen. Auch wenn das nur in wenigen Scenarien zutreffen sollte. Es kann doch nicht sein, das man den einzigen Grund, diese kompatiblen Prozessoren vorzuschreiben, deaktivieren soll, wenn man beim Spielen (wegen aktivem VBS) einen Leistungsverlust bemerken könnte.
PC starten > Funktionen abschalten > Neustart > Spielen > Spielen zu Ende > Funktionen wieder aktivieren > Neustart - Boah ey! Da fliegt mir doch das Blech weg, um mal deutsche Philosophen zu zitieren.
Das betrifft wohl eher Systeme mit ultimativer Gaminghardware und Darstellungen in wenigstens 4K und höher. Ich habe sowas nicht und ob das Spiel (alt oder neu) in WQHD mit 2 oder 4 Fps langsamer angezeigt wird wäre mir egal.

Wenn man aber von Microsoft geraten bekommt, HVCI zu deaktivieren, auch wenn das wirklich nur vereinzelt nötig sein sollte - dann stellt sich mir die Frage was HVCI überhaupt bewirken soll. Im engeren Sinne könnte, oder besser sollte man, ein System nach Wiederaktivierung als kompromittiert ansehen. Oder MS bleibt bei "halb so schlimm" - wozu soll HVCI dann gut sein? Besserer Schutz für Feiertage?

 

[mh0001]

Der einzige Unterschied bei HVCI ist, das es in Windows 10 virtualisiert (Software) gelaufen ist und jetzt in Windows 11 hardwareunterstützt. Hardwareunterstützt nur, wenn ein "kompatibler Prozessor" im System befindlich ist. Möglicherweise ist es mit dieser Hardwareunterstützung doch nicht so weit her, wie MS das gerne öffentlich verkündet. Die reine Prozessorleistung kann da kaum einen Einfluß darauf haben, wenn man die gesamte Bandbreite der Leistungen an AMD- und Intel CPUs betrachtet.

Das Feature lief schon immer wenn möglich hardwarebeschleunigt, auch unter Windows 10. Der Prozessor muss dafür ein Feature namens MBEC, Mode Based Execution Control unterstützen.
Nur wenn die CPU das kann, lässt sich HVCI mit verschwindend geringem, kaum messbaren Performanceverlust nutzen (auch schon unter Windows 10!). Kann die CPU kein MBEC, muss das in Software emuliert werden, wodurch man dann je nach Szenario schlimmstenfalls 20-30% Performance verlieren kann. Intel-CPUs können das ab Kaby Lake, d.h. die 7000er Core i5/i7.

Der Unterschied zwischen Windows 10 und 11 ist, dass für 11 die Mindestanforderung an die CPUs auf eine Generation hochgestuft wurde, die ganz sicher MBEC beherrscht. Das bedeutet, dass unter Windows 11 das HVCI eigtl. immer mit kaum messbarem Performanceverlust laufen kann, darum wird es im Gegensatz zu 10 standardmäßig aktiviert.
Größere Probleme damit haben vor allem dann die, welche die CPU-Mindestanforderung beim Setup umgehen um Windows 11 auch auf älteren CPUs zu nutzen, denn die können dann eben unter Umständen kein MBEC, und wenn da dann HVCI aktiviert wird, gibt es herbe Einbußen.

 

[tkmopped]

Das ist doch Unsinn, weil es auch Prozessoren auf den Kompatibilitätslisten für Windows11 gibt, die das in Hardware überhaupt nicht können.

die Mindestanforderung an die CPUs auf eine Generation gelegt wurde, die MBEC sicher beherrscht

Genauso wird dafür ein separierter Speicherbereich bereitgestellt, der nur funktioniert, wenn ein TPM im System aktiv ist. Wenn du HVCI in Windows 11 (Kernisolierung) in Hardware nutzen willst, muß deine CPU das Feature VBS (virtualisierungsbedingte Sicherheit) beherrschen. Ob man das als MBEC oder GMET bezeichnet ist egal. Auch ob es hardwareunterstützt läuft oder nicht.
Wenn das die 7000er schon könnten, warum stehen dann erst die 8000er in der Prozessorliste. Ich weiß auch nicht, wo du die 20 - 30% Performanceverlust herhaben willst. Mach einen PCMark10 Benchmark , einmal mit und einmal ohne. Dann vergleichst du. Wenn du dort 30% Differenz findest bekommst du von mir ein Herzileinsmiley.
Der einzige Leistungsunterschied beim Umstieg von Windows 10 zu 11, lag an den viel zu langen Zugriffszeiten (Latenzen) auf den Level3 Cache von Ryzen CPUs.
Bei AM4 Athlons könnte man etwas an weniger Leistung bemerken, bei Intel evtl bei deren Celerons oder ähnlichem. Spätestens bei Ryzen5 xxxx oder I5 xxxx verschwindet sowas im Bereich von Meßtoleranzen. Sichtbar aber nicht erlebbar.
Wenn ich mir einen R7 1800X der ersten Generation vorstelle, der 20% dafür aufwenden müßte, oder noch schlimmer einen der ersten Threadripper - das glaubst du doch selber nicht.

Zuerst lies du das : und dannkannst du dich durch diese Links mal durchklicken

Aktivieren der Speicherintegrität - Windows Security

In diesem Artikel werden die Schritte zum Aktivieren der Speicherintegrität auf Windows-Geräten erläutert.

learn.microsoft.com

Geräteschutz in Windows-Sicherheit - Microsoft-Support

Erfahren Sie, wie Sie auf Sicherheitseinstellungen für Windows-Geräte in Windows-Sicherheit zugreifen, um Ihr Gerät vor Schadsoftware zu schützen.

support.microsoft.com

Kernisolation - Microsoft-Support

support.microsoft.com

Das ändert aber alles nicht an der Aussage von MS - deaktivier doch einfach, halb so wild.

 

[NurEinUser]

Die VM-Plattform ist im Gegensatz zur Kernisolierung aber standardmäßig deaktiviert, oder? Bei mir ist das zumindest der Fall. Außer für Subsysteme wie Android- und Linux hat die VM-Funktion auch keinen großen Zweck, oder übersehe ich etwas?

Was die Kernisolierung angeht: Einen Performanceunterschied konnte ich tatsächlich nicht feststellen. Vielleicht ist der messbar, aber spüren konnte ich ihn nicht. Die zusätzliche Sicherheit ist mir an dem Punkt sowieso wichtiger, als vielleicht 1 oder 2 FPS mehr, wenn überhaupt.

 

[ntoskrnl]

Benchmarks bitte!
So bleibt das reine Theorie.
Weiterer Performance Tipp: Spectre... Workarounds abschalten, falls das bei 11 noch geht.