![](https://www.io-tech.fi/wp-content/uploads/2023/03/microsoft-windows-vbs-toms-hardware-20230315.jpg)
Windows 11 pääsi heti julkaisunsa jälkeen otsikoihin tietoturvaominaisuuksiensa vuoksi niin hyvässä kuin pahassa. Uudet ominaisuudet paransivat kyllä tietoturvaa, mutta erityisesti Virtualization Based Security (VBS) ja siihen vahvasti liittyvä HyperVisor-Enforced Code Integrity (HVCI) satuttivat suorituskykyä.
Tom’s Hardware on huomannut hiljattain, että ainakin sivuston testikoneeseen asentunut Windows-päivitys on kytkenyt aiemmin pois päältä otetun VBS:n takaisin päälle. Sama ominaisuus löytyy myös Windows 10:stä ja ainakin sivuston päätoimittaja Avram Piltchin kesällä asentamassa Home-versiossa se oli myös päällä, vaikkei Piltch sitä ollut itse kytkenyt päälle eikä se ole aina ollut oletuksena päällä 10:ssä.
Koska ominaisuus oli tahattomasti kytkeytynyt päälle, sivusto päätti testata suorituskykyä sen kanssa ja ilman pitkän tauon jälkeen uudelleen. Windows 11:n julkaisun tienoilla suorituskykytiputus oli Intelin prosessoreilla VBS päällä 4,9-5 % ja sekä HVCI että VBS päällä 5,6-5,7 %, kun AMD:lla vastaavat luvut olivat 4-4,1 ja 3,3-4,1 %. AMD:ta koski lisäksi alkumetreillä bugi, joka saattoi pahimmillaan laskea suorituskykyä jopa 15 %, mutta se on korjattu.
Pitkä tauko, lukuisat Windows-päivitykset ja tehokkaampi rauta ei näytä sivuston testien mukaan tuoneen mukanaan parannusta tuloksiin. Yhtiö ajoi Core i9-13900K:lla ja GeForce RTX 4090 -näytönohjaimella läpi 15 pelin testipatteriston. Keskimäärin VBS:n pois kytkeminen paransi suorituskykyä 1080p Medium -asetuksilla 5,3 %, 1080p Ultra -asetuksilla 5 %, 1440p Ultra -asetuksilla 4,3 % ja 4K Ultra -asetuksilla 2,1 %. Alimman prosentin keskimääräinen FPS parani pois kytkemällä samoin asetuksin 6 %, 8,1 %, 8,7 % ja 4,9 %. Tuloksista on nähtävissä selvästi trendi, jossa pullonkaulan siirtyessä näytönohjaimen suuntaan myös VBS:n suorituskykytappio pienenee. Valitettavasti mukana ei ollut vertailuja erikseen HVCI päällä ja pois.
¨Lähde: Tom’s Hardware
Itse vaihdoin testimielessä äskettäin 11:een, mutten vilkaissutkaan perusversion suuntaan. Sen sijaan valkkasin tuunatun Ghost Spectre -version, missä kehittäjän omien lupausten mukaan on kytketty pois päältä vakoilu ynnä muut häiritsevät ominaisuudet, ja suorituskyky on paremmalla tolalla. Tämäkään asetus ei ollut päällä. En nyt suoraan lähtisi tätä kaikille suosittelemaan lyhyen testausjakson perusteella, mutta varteenotettava vaihtoehto.
Ainakin omassa win pro versiossa tuo vbs ominaisuus ei ole koskaan ollut käytössä oletuksena.
Onneksi löytyy nLite ohjelma mitä saa muokattu osan turhista ohjelmista pois ja sädetty windows asennuksen paremmaksi.
Vaatii hieman perehdytystä mutta ei ole mitään kovin vaikea oppia ja videoita löytyy aihe siitä muistakseni tech yes city youtube kanava oli jokunen viiikko sitten sitä neuvomassa.
Itse käytin nLite ohjeman windows xp aikana että sai servie pack ja tietoturvakorjaukset mukaan valmiiksi.
5 % yksittäisestä asiasta, jonka saa pois nappia painamalla, on erittäin paljon. Ja jos tuo sama mentaliteetti koskee vielä monia muitakin asioita, niin se "5 %" on jo hyvin nopeasti 25 % tai enemmänkin.
Olettaako joku että virtualisointikerroksen lisääminen ei vaikuttaisi suorituskykyyn? Omaan korvaan yhden numeron erot ovat todella pieniä ja 3% alkaa haukkua kohinaan.
Huomaisitko eron ilman Afterburneria? Jos et, ero on yhdentekevä.
Itselläni se on pois päältä, en itseasiassa ole siihen koskaan kiinnittänyt huomiota.
Pääsee kyllä katsomaan asetuksista ihan normaalisti.
katso liitettä 1063141
Täällä Windows 11 Pro ja samat "oireet". VBS not enabled ja core isolation – sivua ei saatavilla. Vaikuttaneekohan tähän se, että Hyper-V – Virtualization Enabled "No", koska jos virtualisointi pois käytöstä, ei varmaankaan pysty säätämään virtualisoinnin suojaustakaan?
Nuo valmiiksi customoidut Windowsit on vaan hieman kyseenalaisia tietoturvan kannalta. Lisäksi ei tarkalleen oikein tiedä mitä muutoksia sinne on tehty. En ainakaan itse uskaltaisi asentaa muuta kuin testimielessä virtuaalikoneeseen.
data-unfurl="true" data-result-id="438643" data-url="https://support.microsoft.com/en-us/topic/a255f612-2949-4373-a566-ff6f3f474613" data-host="support.microsoft.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Options to Optimize Gaming Performance in Windows 11 – Microsoft Support
support.microsoft.com
Tuo!
Se, että itse kytkee tietoturvajuttuja pois päältä (väliaikaisesti) on vielä ihan ok, jos haluaa säätää, mutta jonkun muun "virittämä" käyttöjärjestelmä (jos sitä ei ole mitenkään validoitu) on sen tason tietoturvariski, että oksat pois!
"Ka, tässähän on sisäänrakennettu keyloggeri ja kaikki muu tarpeellinen vakoilu / haitakesofta…"
VBS rampauttaa vmwaren ainakin itsellä aivan täysin. Noin 30min käytön jälkeen virtuaalikone on ihan juntturassa ja näppäinpainallukset tulevat noin 5 sekunnin viiveellä.
Tottakai, koska se käyttää Hyper-V:tä, asiasta mainittu VMWaren dokumentaatiossa ja muistaakseni MS:lläkin. Jos mielii käyttää virtuaalikoneita (Hyper-V:llä) niin tuo pois päältä.
Kyllähän tuolla windowsin suojausasetuksissa on yhtä jos toista härpäkettä.
Meni tovi, että sain kytkettyä gpeditin kautta kaikki suojasasetukset pois päältä lukuunottamatta palomuuria.
Opettajamme sanoi koulussa, että jos tietää vähääkään mitä tekee, ovat kaikki muut suojausasetukset turhia palomuuria lukuunottamatta.
Yli kaksikymmentä kohdetta piti täpätä. En yhtään ihmettele, miksi windows -kokemus on nykyään ”RASKAS” monella käyttäjällä. Täytyypi tarkistaa tietyin väliajoin, ettei windows laita noita väkisin päälle.
Kiitos vinkistä! pitääkin kokeilla tuota nLiteä, kun pitäisi tänään laittaa winukka uudelleen koneeseen. Ei tulisi heti mieleen ladata jonkun randomin tekemää custom-imagea, kun tosiaan tiedä mitä niissä voi olla vakiona mukana.
Palomuurissa on sitten vakiona nykyään ihan olennainen asia, tai ehkä kaikista olennaisin, koska kaikki on nykyään joka tapauksessa NATin takana 99% todennäköisyydellä, väärin, eli kaikki ulos lähtevä liikenne on sallittu. Se pitää olla estetty ellei erikseen sallita.
Syitä tälle on parikin, ensinnäkin tavan käyttäjää ärsyttäis popupit tai se, että selain ja päivitykset pitää (kerran) sallia manuaalisesti, mentaliteetti 20 vuoden takaa yms.
Mutta noinhan kaikki haitakkeet toimii nykyään, ei idea ole laittaa pasianssipopupia vaan soittaa kotiin ja varastaa tiedot tai aloittaa se yhteys, joka on sallittu, ja näin hyökkääjä pääsee koneelle. Ja kotiin yrittää soittaa käytännössä kaikki, avaten näin ylimääräisiä reikiä.
Se ensimmäisenä kuntoon. Windowsin palomuurin säätäminen sen omilla työkaluilla tunnetusti on mitä on, eli makunsa mukaan sitten joko kolmannen osapuolen tietoturvaohjelmaa, joka tohon pureutuu tai sisältää täysin oman palomuurin.
Sä varmaan typotit tuossa "Hyper-V:llä" ja sen pitäisi olla joku VMware Workstation? Tai jos et, niin en ymmärrä mitä tarkoitat?
Mikäs vika Hyper-V:ssä on?
Tiuskin mitään mutta viestissä mihin oli vastattu puhuttiin vmwaren virtuaali koneista
Ei mitään, en vain ymmärrä hänen lausetta jos tuossa kohtaan on Hyper-V ja sen kanssa pitäisi ottaa VBS pois päältä.
Typotin ja hieman meni logiikka sekaisin. Ajatus oli siinä, että tuo VPS varaa VT-x:n ilmeisesti kokonaan ja silloin ei onnistu muiden VT-x:ää käyttävien softien käyttö ja nykyinen VMWare taitaa vaatimalla vaatia VT-x:n, eikä enää onnistu pelkkä softalla ajo ilman tuota tukea kuten muinoin.
Ja itseasiassa ihan tuollaisenaankin lainaamasi lauseeni on paikkansapitävä, eihän se Hyper-V, MS:n virtuaalikonesofta sekään toimi, kun VPS varaa VT-x:n.
Tosin Hyper-V omii myös VT-x:n ja sitten ei muita ilmeisesti käytetä, eli se vika siinä ainakin on.
Kuten huomaa on menny jokunen hetki siitä kun noiden kanssa on enemmän tullu leikittyä.
Huomaan kyllä. Kenenkään ei pitäisi ottaa totena noita sinun väitteitä tässä.
Tuo ongelma VBS:n kanssa oli tosiaan olemassa, joskin siitä on aikaa joo.
Saa niitä juttuja sitten korjaillakin pelkän oneliner nälvimisen sijaan.
Tietysti jos ei tee, eikä sano mitään, niin ei tee virheitäkään. Kieltämättä oli vanhentuneita juttuja ulkomuistista joo, pitäis varmaan keskittyä vaan muiden nälvimiseen onelinereillä ilman sanaakaan itse asiasta niin olisi aina oikeassa?
data-unfurl="true" data-result-id="439601" data-url="https://communities.vmware.com/t5/VMware-vSphere-Discussions/Virtualization-Based-Security-VBS-No-Longer-Working-vSphere-6/td-p/494393" data-host="communities.vmware.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Virtualization Based Security (VBS) – No Longer Working (vSphere 6.7U1) – Windows Server 2016 hangs on boot
communities.vmware.com
data-unfurl="true" data-result-id="439608" data-url="https://superuser.com/questions/1208850/why-cant-virtualbox-or-vmware-run-with-hyper-v-enabled-on-windows-10" data-host="superuser.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Why can't VirtualBox or VMware run with Hyper-V enabled on Windows 10
superuser.com
Kuten totesinkin, niin on se korjattu joo ja mulla oli vanhentunutta tietoa. Toki rajoituksia on edelleen.
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
https://docs.vmware.com/en/VMware-Workstation-Player-for-Windows/17.0/com.vmware.player.win.using.doc/GUID-FF4870F3-8166-4EB4-842B-6F94DBA70758.html
Voi kuulostaa pikkujutulta, mutta pitkin maailmaa on varmasti käytössä runsaasti vanhoja virtuaalikoneita, jotka ei välttämättä nyt toimikaan mikäli tuo on päällä. Eihän tuo iso vaiva ole jos noiden kanssa vaan leikkii tai jos niitä tekee ihan leipätyökseen ja seuraa koko ajan, mutta kaikille siinä välissä voi ollakin.
Kaikenlaisia vanhentuneita softia on käytössä pienyrityksissä, jotka pyörii virtuaalikoneissa ja niiden käyttäjin käsitys tietotekniikasta on yleensä kaukainen, eivätkä varmasti seuraa mitään Vmwaren dokumentaatiota koko ajan.
Siihen en sitten ota kantaa kuinka merkittävää turvaa tuo VBS tuo tai ei tuo.
Kommentoi uutista tai artikkelia foorumilla (Kommentointi sivuston puolella toistakseksi pois käytöstä)
Lähetä palautetta / raportoi kirjoitusvirheestä