Windows 11: Der Marketing-Nebel lichtet sich
Verfasst: 20.11.2021, 12:32
In der Fachpresse kann man endlich lesen, was Microsoft bewegt hat, die Systemvoraussetzungen für Windows 11 so hoch anzusetzen.
- Microsoft möchte die erweiterten Sicherheitsfunktionen (Secure Boot, Bitlocker, Hello, Virtualisation Based Security (VBS) und Hypervisor Protected Code Integrity (HVCI)) möglichst sofort nach der Installation aktivieren. Diese Features gibt es auch schon unter Windows 10 und nichts davon ist neu - neu ist nur, dass sie jetzt aktiviert sein sollen.
- Damit die aktivierten Sicherheitsfunktionen die (CPU-)Leistung möglichst wenig beeinflussen, ist die HVCI von der Software in Zusammenarbeit mit den Prozessorherstellern in die Hardware gewandert: "Mode-based execute control for EPT" (MBEC/Intel), "Guest-mode execute trap for NPT" (GMET/AMD) oder "Translation table stage 2 unprivileged execute-never" (TTS2UXN/ARM).
ABER:
- Die automatische Aktivierung von HVCI erfordert noch neuere Prozessoren als die vorausgesetzten (!).
- Es ist noch unklar, wie sicherheitsrelevante Dritthersteller-Software mit HVCI zurecht kommt.
- Nach den Messungen der c't mit einem Core i3 8100 ist Windows 11 mit den aktivierten Sicherheitsfunktionen messbar langsamer als Windows 10 mit den gleichen aktivierten Sicherheitsfunktionen - was der Grund für die Nicht-Aktivierung von HVCI auf solchen Prozessoren sein dürfte.
Weiterlesen:
iX 12/21 S. 110 ff.
c't 24/21 S. 50 ff.
Microsoft: HVCI in Windows 10
Microsoft: HVCI-Enablement in Windows 11
- Microsoft möchte die erweiterten Sicherheitsfunktionen (Secure Boot, Bitlocker, Hello, Virtualisation Based Security (VBS) und Hypervisor Protected Code Integrity (HVCI)) möglichst sofort nach der Installation aktivieren. Diese Features gibt es auch schon unter Windows 10 und nichts davon ist neu - neu ist nur, dass sie jetzt aktiviert sein sollen.
- Damit die aktivierten Sicherheitsfunktionen die (CPU-)Leistung möglichst wenig beeinflussen, ist die HVCI von der Software in Zusammenarbeit mit den Prozessorherstellern in die Hardware gewandert: "Mode-based execute control for EPT" (MBEC/Intel), "Guest-mode execute trap for NPT" (GMET/AMD) oder "Translation table stage 2 unprivileged execute-never" (TTS2UXN/ARM).
ABER:
- Die automatische Aktivierung von HVCI erfordert noch neuere Prozessoren als die vorausgesetzten (!).
- Es ist noch unklar, wie sicherheitsrelevante Dritthersteller-Software mit HVCI zurecht kommt.
- Nach den Messungen der c't mit einem Core i3 8100 ist Windows 11 mit den aktivierten Sicherheitsfunktionen messbar langsamer als Windows 10 mit den gleichen aktivierten Sicherheitsfunktionen - was der Grund für die Nicht-Aktivierung von HVCI auf solchen Prozessoren sein dürfte.
Weiterlesen:
iX 12/21 S. 110 ff.
c't 24/21 S. 50 ff.
Microsoft: HVCI in Windows 10
Microsoft: HVCI-Enablement in Windows 11