Tom's Hardware: Windowsin VBS-tietoturvaominaisuus syö edelleen suorituskykyä

[Kaotik]

Kaotik kirjoitti uutisen/artikkelin:
Windows 11 pääsi heti julkaisunsa jälkeen otsikoihin tietoturvaominaisuuksiensa vuoksi niin hyvässä kuin pahassa. Uudet ominaisuudet paransivat kyllä tietoturvaa, mutta erityisesti Virtualization Based Security (VBS) ja siihen vahvasti liittyvä HyperVisor-Enforced Code Integrity (HVCI) satuttivat suorituskykyä.

Tom’s Hardware on huomannut hiljattain, että ainakin sivuston testikoneeseen asentunut Windows-päivitys on kytkenyt aiemmin pois päältä otetun VBS:n takaisin päälle. Sama ominaisuus löytyy myös Windows 10:stä ja ainakin sivuston päätoimittaja Avram Piltchin kesällä asentamassa Home-versiossa se oli myös päällä, vaikkei Piltch sitä ollut itse kytkenyt päälle eikä se ole aina ollut oletuksena päällä 10:ssä.



Koska ominaisuus oli tahattomasti kytkeytynyt päälle, sivusto päätti testata suorituskykyä sen kanssa ja ilman pitkän tauon jälkeen uudelleen. Windows 11:n julkaisun tienoilla suorituskykytiputus oli Intelin prosessoreilla VBS päällä 4,9-5 % ja sekä HVCI että VBS päällä 5,6-5,7 %, kun AMD:lla vastaavat luvut olivat 4-4,1 ja 3,3-4,1 %. AMD:ta koski lisäksi alkumetreillä bugi, joka saattoi pahimmillaan laskea suorituskykyä jopa 15 %, mutta se on korjattu.

[gallery link="file" columns="2" size="medium" ids="85410,85409"]

Pitkä tauko, lukuisat Windows-päivitykset ja tehokkaampi rauta ei näytä sivuston testien mukaan tuoneen mukanaan parannusta tuloksiin. Yhtiö ajoi Core i9-13900K:lla ja GeForce RTX 4090 -näytönohjaimella läpi 15 pelin testipatteriston. Keskimäärin VBS:n pois kytkeminen paransi suorituskykyä 1080p Medium -asetuksilla 5,3 %, 1080p Ultra -asetuksilla 5 %, 1440p Ultra -asetuksilla 4,3 % ja 4K Ultra -asetuksilla 2,1 %. Alimman prosentin keskimääräinen FPS parani pois kytkemällä samoin asetuksin 6 %, 8,1 %, 8,7 % ja 4,9 %. Tuloksista on nähtävissä selvästi trendi, jossa pullonkaulan siirtyessä näytönohjaimen suuntaan myös VBS:n suorituskykytappio pienenee. Valitettavasti mukana ei ollut vertailuja erikseen HVCI päällä ja pois.

¨Lähde: Tom's Hardware

Linkki alkuperäiseen juttuun

 

[BongisKhan]

Tuo on kyllä ihan saatanan ärsyttävää, että vaikka kuinka yrität kliksutella Windowsista kaikki vammaiset paskaominaisuudet pois päältä, niin vähän väliä jossakin päivityksessä ne "vahingossa" palaututuvat niihin oletuspaska-arvoihin. Olisin ollut Linux-käyttäjä varmaan jo vuosia, jos pelaaminen ei olisi sillä puolella ns. paskaa.

 

[Mete]

Itse vaihdoin testimielessä äskettäin 11:een, mutten vilkaissutkaan perusversion suuntaan. Sen sijaan valkkasin tuunatun Ghost Spectre -version, missä kehittäjän omien lupausten mukaan on kytketty pois päältä vakoilu ynnä muut häiritsevät ominaisuudet, ja suorituskyky on paremmalla tolalla. Tämäkään asetus ei ollut päällä. En nyt suoraan lähtisi tätä kaikille suosittelemaan lyhyen testausjakson perusteella, mutta varteenotettava vaihtoehto.

 

[Marti77]

Ainakin omassa win pro versiossa tuo vbs ominaisuus ei ole koskaan ollut käytössä oletuksena.

Onneksi löytyy nLite ohjelma mitä saa muokattu osan turhista ohjelmista pois ja sädetty windows asennuksen paremmaksi.
Vaatii hieman perehdytystä mutta ei ole mitään kovin vaikea oppia ja videoita löytyy aihe siitä muistakseni tech yes city youtube kanava oli jokunen viiikko sitten sitä neuvomassa.
Itse käytin nLite ohjeman windows xp aikana että sai servie pack ja tietoturvakorjaukset mukaan valmiiksi.

 

[Heseman]

Kokeilin tuota päälle ja pois, kun vuodenvaihteessa vaihdoin Windows yhteentoista. Cyberpunkissa en huomannut merkittävää eroa kumpaankaan suuntaan, joten jätin sen päälle. Viisi prosenttia nyt on muutenkin hyvin yhdentekevä ero, mistä johtuen itku tästä ominaisuudesta ylittää ymmärryskykyni. Tuollaisessa 15% sen voisi vielä käsittää. Näin esimerkkinä, 5% 200 FPS:stä on 10 FPS, mitä eroa ei varmasti edes huomaa ellei ole Afterburner päällä.

 

[Cuthalu]

Kokeilin tuota päälle ja pois, kun vuodenvaihteessa vaihdoin Windows yhteentoista. Cyberpunkissa en huomannut merkittävää eroa kumpaankaan suuntaan, joten jätin sen päälle. Viisi prosenttia nyt on muutenkin hyvin yhdentekevä ero, mistä johtuen itku tästä ominaisuudesta ylittää ymmärryskykyni. Tuollaisessa 15% sen voisi vielä käsittää. Näin esimerkkinä, 5% 200 FPS:stä on 10 FPS, mitä eroa ei varmasti edes huomaa ellei ole Afterburner päällä.

5 % yksittäisestä asiasta, jonka saa pois nappia painamalla, on erittäin paljon. Ja jos tuo sama mentaliteetti koskee vielä monia muitakin asioita, niin se "5 %" on jo hyvin nopeasti 25 % tai enemmänkin.

 

[jive]

Olettaako joku että virtualisointikerroksen lisääminen ei vaikuttaisi suorituskykyyn? Omaan korvaan yhden numeron erot ovat todella pieniä ja 3% alkaa hukkua kohinaan.

 

[Heseman]

5 % yksittäisestä asiasta, jonka saa pois nappia painamalla, on erittäin paljon. Ja jos tuo sama mentaliteetti koskee vielä monia muitakin asioita, niin se "5 %" on jo hyvin nopeasti 25 % tai enemmänkin.

Huomaisitko eron ilman Afterburneria? Jos et, ero on yhdentekevä.

 

[Wolffis]

Itsellä juuri asennetussa Windows 11 Homessa VBS on "Not enabled" -tilassa. Jos yritän päästä "Core isolation" -sivulle, niin tulee "Page not available" eli olen ilmeisesti turvassa hidastuksilta.

 

[Juhanator]

Itsellä juuri asennetussa Windows 11 Homessa VBS on "Not enabled" -tilassa. Jos yritän päästä "Core isolation" -sivulle, niin tulee "Page not available" eli olen ilmeisesti turvassa hidastuksilta.

Itselläni se on pois päältä, en itseasiassa ole siihen koskaan kiinnittänyt huomiota.
Pääsee kyllä katsomaan asetuksista ihan normaalisti.

 

[Heikki_H]

Itsellä juuri asennetussa Windows 11 Homessa VBS on "Not enabled" -tilassa. Jos yritän päästä "Core isolation" -sivulle, niin tulee "Page not available" eli olen ilmeisesti turvassa hidastuksilta.

Täällä Windows 11 Pro ja samat "oireet". VBS not enabled ja core isolation - sivua ei saatavilla. Vaikuttaneekohan tähän se, että Hyper-V - Virtualization Enabled "No", koska jos virtualisointi pois käytöstä, ei varmaankaan pysty säätämään virtualisoinnin suojaustakaan?

EDIT: No siitäpä hyvinkin

 

[Desgorr]

Itse vaihdoin testimielessä äskettäin 11:een, mutten vilkaissutkaan perusversion suuntaan. Sen sijaan valkkasin tuunatun Ghost Spectre -version, missä kehittäjän omien lupausten mukaan on kytketty pois päältä vakoilu ynnä muut häiritsevät ominaisuudet, ja suorituskyky on paremmalla tolalla. Tämäkään asetus ei ollut päällä. En nyt suoraan lähtisi tätä kaikille suosittelemaan lyhyen testausjakson perusteella, mutta varteenotettava vaihtoehto.

Nuo valmiiksi customoidut Windowsit on vaan hieman kyseenalaisia tietoturvan kannalta. Eikä tarkalleen oikein tiedä mitä muutoksia sinne on tehty. En ainakaan itse uskaltaisi asentaa muuta kuin testimielessä virtuaalikoneeseen.

 

[Infy]

Microsoftilla on viralliset ohjeet pelisuorituskyvyn optimointiin Windows 11, missä kyseinen ominaisuus otetaan pois päältä:

Options to optimize gaming performance in Windows 11 - Microsoft Support

Directions for turning off memory integrity and the Virtual Machine Platform to improve gaming performance, and the risks of doing so.

support.microsoft.com

 

[Hannibal]

Nuo valmiiksi customoidut Windowsit on vaan hieman kyseenalaisia tietoturvan kannalta. Eikä tarkalleen oikein tiedä mitä muutoksia sinne on tehty. En ainakaan itse uskaltaisi asentaa muuta kuin testimielessä virtuaalikoneeseen.

Tuo!
Se, että itse kytkee tietoturvajuttuja pois päältä (väliaikaisesti) on vielä ihan ok, jos haluaa säätää, mutta jonkun muun "virittämä" käyttöjärjestelmä (jos sitä ei ole mitenkään validoitu) on sen tason tietoturvariski, että oksat pois!

"Ka, tässähän on sisäänrakennettu keyloggeri ja kaikki muu tarpeellinen vakoilu / haitakesofta..."

 

[Teabag Shakur]

VBS rampauttaa vmwaren ainakin itsellä aivan täysin. Noin 30min käytön jälkeen virtuaalikone on ihan juntturassa ja näppäinpainallukset tulevat noin 5 sekunnin viiveellä.

 

[TimeKillerX]

VBS rampauttaa vmwaren ainakin itsellä aivan täysin. Noin 30min käytön jälkeen virtuaalikone on ihan juntturassa ja näppäinpainallukset tulevat noin 5 sekunnin viiveellä.

Tottakai, koska se käyttää Hyper-V:tä, asiasta mainittu VMWaren dokumentaatiossa ja muistaakseni MS:lläkin. Jos mielii käyttää virtuaalikoneita (Hyper-V:llä) niin tuo pois päältä.

Itse vaihdoin testimielessä äskettäin 11:een, mutten vilkaissutkaan perusversion suuntaan. Sen sijaan valkkasin tuunatun Ghost Spectre -version, missä kehittäjän omien lupausten mukaan on kytketty pois päältä vakoilu ynnä muut häiritsevät ominaisuudet, ja suorituskyky on paremmalla tolalla. Tämäkään asetus ei ollut päällä. En nyt suoraan lähtisi tätä kaikille suosittelemaan lyhyen testausjakson perusteella, mutta varteenotettava vaihtoehto.

Kuten yllä mainittu niin ei missään nimessä näitä ties kenen ties mitä "tuunauksia", yksikään noista valmiista modifikaatioista ei ole varteenotettava vaihtoehto paitsi tietoturvariskinä. Saatettu tuunata ties millä haitakkeilla, en näe oikein mitään katetta noiden lupauksille enkä mitään syytä miksi tekisivät noita muutakun haitakkeiden levittämisen näkökulmasta.
Ja kuten yllä mainittu, saman voi tehdä itsekin melko helposti, tosin nLite on tosiaan XP:n aikaisia juttuja, hieman eri nimellä kulkee työkalut nykyisin ja jopa MS tarjoaa niitä, hieman karkeita toki. Tai sama sitten tehdä vaikka käsin ja ottaa snapshotit ym, mutta tommosia ihme versioita lataillessa siirrät sitten kaiken luottamuksen nimimerkin takaa toimivaan hämärään toimijaan vailla kykyä varmentaa mitä on tehty tai selvää motiivia toiminnalle, paitsi se arvattavissa oleva eli haitakkeiden levittäminen.

 

[Ekipekka]

Kyllähän tuolla windowsin suojausasetuksissa on yhtä jos toista härpäkettä.

Meni tovi, että sain kytkettyä gpeditin kautta kaikki suojasasetukset pois päältä lukuunottamatta palomuuria.

Opettajamme sanoi koulussa, että jos tietää vähääkään mitä tekee, ovat kaikki muut suojausasetukset turhia palomuuria lukuunottamatta.

Yli kaksikymmentä kohdetta piti täpätä. En yhtään ihmettele, miksi windows -kokemus on nykyään "RASKAS" monella käyttäjällä. Täytyypi tarkistaa tietyin väliajoin, ettei windows laita noita väkisin päälle.

 

[Sherrypie]

Ainakin omassa win pro versiossa tuo vbs ominaisuus ei ole koskaan ollut käytössä oletuksena.

Onneksi löytyy nLite ohjelma mitä saa muokattu osan turhista ohjelmista pois ja sädetty windows asennuksen paremmaksi.
Vaatii hieman perehdytystä mutta ei ole mitään kovin vaikea oppia ja videoita löytyy aihe siitä muistakseni tech yes city youtube kanava oli jokunen viiikko sitten sitä neuvomassa.
Itse käytin nLite ohjeman windows xp aikana että sai servie pack ja tietoturvakorjaukset mukaan valmiiksi.

Kiitos vinkistä! pitääkin kokeilla tuota nLiteä, kun pitäisi tänään laittaa winukka uudelleen koneeseen. Ei tulisi heti mieleen ladata jonkun randomin tekemää custom-imagea, kun tosiaan tiedä mitä niissä voi olla vakiona mukana.

 

[TimeKillerX]

Meni tovi, että sain kytkettyä gpeditin kautta kaikki suojasasetukset pois päältä lukuunottamatta palomuuria.

Opettajamme sanoi koulussa, että jos tietää vähääkään mitä tekee, ovat kaikki muut suojausasetukset turhia palomuuria lukuunottamatta.

Palomuurissa on sitten vakiona nykyään ihan olennainen asia, tai ehkä kaikista olennaisin, koska kaikki on nykyään joka tapauksessa NATin takana 99% todennäköisyydellä, väärin, eli kaikki ulos lähtevä liikenne on sallittu. Se pitää olla estetty ellei erikseen sallita.

Syitä tälle on parikin, ensinnäkin tavan käyttäjää ärsyttäis popupit tai se, että selain ja päivitykset pitää (kerran) sallia manuaalisesti, mentaliteetti 20 vuoden takaa yms.
Mutta noinhan kaikki haitakkeet toimii nykyään, ei idea ole laittaa pasianssipopupia vaan soittaa kotiin ja varastaa tiedot tai aloittaa se yhteys, joka on sallittu, ja näin hyökkääjä pääsee koneelle. Ja kotiin yrittää soittaa käytännössä kaikki, avaten näin ylimääräisiä reikiä.

Se ensimmäisenä kuntoon. Windowsin palomuurin säätäminen sen omilla työkaluilla tunnetusti on mitä on, eli makunsa mukaan sitten joko kolmannen osapuolen tietoturvaohjelmaa, joka tohon pureutuu tai sisältää täysin oman palomuurin.

 

[zxcv]

...Jos mielii käyttää virtuaalikoneita (Hyper-V:llä) niin tuo pois päältä.

Sä varmaan typotit tuossa "Hyper-V:llä" ja sen pitäisi olla joku VMware Workstation? Tai jos et, niin en ymmärrä mitä tarkoitat?

 

[Kaotik]

Sä varmaan typotit tuossa "Hyper-V:llä" ja sen pitäisi olla joku VMware Workstation? Tai jos et, niin en ymmärrä mitä tarkoitat?

Mikäs vika Hyper-V:ssä on?

 

[Emeron]

Mikäs vika Hyper-V:ssä on?

Tuskin mitään mutta viestissä mihin oli vastattu puhuttiin vmwaren virtuaali koneista

 

[zxcv]

Mikäs vika Hyper-V:ssä on?

Ei mitään, en vain ymmärrä hänen lausetta jos tuossa kohtaan on Hyper-V ja sen kanssa pitäisi ottaa VBS pois päältä.

 

[zxcv]

Microsoftilla on viralliset ohjeet pelisuorituskyvyn optimointiin Windows 11, missä kyseinen ominaisuus otetaan pois päältä:

Options to optimize gaming performance in Windows 11 - Microsoft Support

Directions for turning off memory integrity and the Virtual Machine Platform to improve gaming performance, and the risks of doing so.

support.microsoft.com

Olisit voinut mainita että heidän mielestä nuo pitäisi laittaa takaisin päälle pelaamisen jälkeen, ja silloinkin pelaamisen aikana on riski haavoittuvuuksista.

 

[TimeKillerX]

Sä varmaan typotit tuossa "Hyper-V:llä" ja sen pitäisi olla joku VMware Workstation? Tai jos et, niin en ymmärrä mitä tarkoitat?

Typotin ja hieman meni logiikka sekaisin. Ajatus oli siinä, että tuo VPS varaa VT-x:n ilmeisesti kokonaan ja silloin ei onnistu muiden VT-x:ää käyttävien softien käyttö ja nykyinen VMWare taitaa vaatimalla vaatia VT-x:n, eikä enää onnistu pelkkä softalla ajo ilman tuota tukea kuten muinoin.
Ja itseasiassa ihan tuollaisenaankin lainaamasi lauseeni on paikkansapitävä, eihän se Hyper-V, MS:n virtuaalikonesofta sekään toimi, kun VPS varaa VT-x:n.

Mikäs vika Hyper-V:ssä on?

Tosin Hyper-V omii myös VT-x:n ja sitten ei muita ilmeisesti käytetä, eli se vika siinä ainakin on.

Kuten huomaa on menny jokunen hetki siitä kun noiden kanssa on enemmän tullu leikittyä.

 

[zxcv]

Typotin ja hieman meni logiikka sekaisin. Ajatus oli siinä, että tuo VPS varaa VT-x:n ilmeisesti kokonaan ja silloin ei onnistu muiden VT-x:ää käyttävien softien käyttö ja nykyinen VMWare taitaa vaatimalla vaatia VT-x:n, eikä enää onnistu pelkkä softalla ajo ilman tuota tukea kuten muinoin.
Ja itseasiassa ihan tuollaisenaankin lainaamasi lauseeni on paikkansapitävä, eihän se Hyper-V, MS:n virtuaalikonesofta sekään toimi, kun VPS varaa VT-x:n.

Tosin Hyper-V omii myös VT-x:n ja sitten ei muita ilmeisesti käytetä, eli se vika siinä ainakin on.

Kuten huomaa on menny jokunen hetki siitä kun noiden kanssa on enemmän tullu leikittyä.

Huomaan kyllä. Kenenkään ei pitäisi ottaa totena noita sinun väitteitä tässä.

 

[TimeKillerX]

Huomaan kyllä. Kenenkään ei pitäisi ottaa totena noita sinun väitteitä tässä.

Tuo ongelma VBS:n kanssa oli tosiaan olemassa, joskin siitä on aikaa joo.
Saa niitä juttuja sitten korjaillakin pelkän oneliner nälvimisen sijaan.
Tietysti jos ei tee, eikä sano mitään, niin ei tee virheitäkään. Kieltämättä oli vanhentuneita juttuja ulkomuistista joo, pitäis varmaan keskittyä vaan muiden nälvimiseen onelinereillä ilman sanaakaan itse asiasta niin olisi aina oikeassa?

https://kb.vmware.com/s/article/2146361

Virtualization Based Security (VBS) - No Longer Working (vSphere 6.7U1) - Windows Server 2016 hangs on boot

I have several Windows Server 2016 VMs (hardware version 14) with VBS up and running properly : For some reason after a proprer shutdown one of the VM hangs at the Windows flag during the next boot (several reset of the vm give the same result). The only way to boot this VM is to disable VBS...

communities.vmware.com

Why can't VirtualBox or VMware run with Hyper-V enabled on Windows 10

I am running Windows 10 Pro 64 bit with Hyper-V and Intel VT-x virtualization technology enabled. When I try to run VirtualBox 64bit, Windows goes into a BSOD. When I run VMware it shows an error. ...

superuser.com

 

[zxcv]

Tuo ongelma VBS:n kanssa oli tosiaan olemassa, joskin siitä on aikaa joo.
Saa niitä juttuja sitten korjaillakin pelkän oneliner nälvimisen sijaan.
Tietysti jos ei tee, eikä sano mitään, niin ei tee virheitäkään. Kieltämättä oli vanhentuneita juttuja ulkomuistista joo, pitäis varmaan keskittyä vaan muiden nälvimiseen onelinereillä ilman sanaakaan itse asiasta niin olisi aina oikeassa?

https://kb.vmware.com/s/article/2146361

Virtualization Based Security (VBS) - No Longer Working (vSphere 6.7U1) - Windows Server 2016 hangs on boot

I have several Windows Server 2016 VMs (hardware version 14) with VBS up and running properly : For some reason after a proprer shutdown one of the VM hangs at the Windows flag during the next boot (several reset of the vm give the same result). The only way to boot this VM is to disable VBS...

communities.vmware.com

Why can't VirtualBox or VMware run with Hyper-V enabled on Windows 10

I am running Windows 10 Pro 64 bit with Hyper-V and Intel VT-x virtualization technology enabled. When I try to run VirtualBox 64bit, Windows goes into a BSOD. When I run VMware it shows an error. ...

superuser.com

Tästä voit aloittaa https://docs.vmware.com/en/VMware-W...UID-177F1E77-BFFD-485F-90BB-2E45B6B88678.html

 

[TimeKillerX]

Tästä voit aloittaa https://docs.vmware.com/en/VMware-W...UID-177F1E77-BFFD-485F-90BB-2E45B6B88678.html

Kuten totesinkin, niin on se korjattu joo ja mulla oli vanhentunutta tietoa. Toki rajoituksia on edelleen.

https://docs.vmware.com/en/VMware-Workstation-Player-for-Windows/17.0/com.vmware.player.win.using.doc/GUID-FF4870F3-8166-4EB4-842B-6F94DBA70758.html

attempting to resume suspended VMs or snapshots that were initially created on previous versions of Workstation Player may fail

Voi kuulostaa pikkujutulta, mutta pitkin maailmaa on varmasti käytössä runsaasti vanhoja virtuaalikoneita, jotka ei välttämättä nyt toimikaan mikäli tuo on päällä. Eihän tuo iso vaiva ole jos noiden kanssa vaan leikkii tai jos niitä tekee ihan leipätyökseen ja seuraa koko ajan, mutta kaikille siinä välissä voi ollakin.
Kaikenlaisia vanhentuneita softia on käytössä pienyrityksissä, jotka pyörii virtuaalikoneissa ja niiden käyttäjin käsitys tietotekniikasta on yleensä kaukainen, eivätkä varmasti seuraa mitään Vmwaren dokumentaatiota koko ajan.

Siihen en sitten ota kantaa kuinka merkittävää turvaa tuo VBS tuo tai ei tuo.