Windows 11 & 10: Benchmarks zum VBS-Leistungsverlust inkl. HVCI

Jan-Frederik Timm
422 Kommentare
Windows 11 & 10: Benchmarks zum VBS-Leistungsverlust inkl. HVCI

Die von Microsoft deutlich angehobenen Systemanforderungen von Windows 11 sollen insbesondere die Sicherheit des neuen Betriebssystems erhöhen. Dafür sorgen neben dem geforderten TPM auch die in Windows integrierte Virtualization-based Security (VBS). UL Benchmarks sieht Leistungsverluste, ComputerBase hat nachgemessen.

Ab sofort verfügbar: Der Download von Windows 11 als ISO, Media Creation Tool und Installation Assistant.

Update 06.10.2021 11:29 Uhr

Der Artikel wurde um Testergebnisse mit einem AMD Ryzen 7 1800X, der von Windows 11 offiziell nicht unterstützt wird, weil er kein MBEC beherrscht, samt Radeon RX 6700 XT ergänzt.

VBS aus Windows 10 wird in Windows 11 ein Thema

Virtualization-based Security (VBS) ist bereits in Windows 10 integriert, dort aber standardmäßig deaktiviert. Bei Windows 11 will Microsoft offiziell mit OEMs jetzt dafür sorgen, dass VBS ab Werk aktiviert ist.

Laut UL Benchmarks, den Entwicklern hinter 3DMark oder PCMark, ist VBS auch dann aktiv, wenn Windows 11 nicht als Update von Windows 10, sondern auf einem leeren Laufwerk installiert wird – und würde damit auch viele Enthusiasten betreffen.

Die Redaktion hat das im Zuge umfassender Test zu Windows 11 inzwischen überprüft. UL Benchmarks Aussage ist nur dann zutreffend, wenn auf dem System alle Voraussetzungen für VBS erfüllt werden. Dann blieb VBS in Windows 10 noch aus und bleibt es beim Update auch, wird bei einer Neuinstallation von Windows 11 allerdings aktiviert – zumindest zum Teil. Und was sind die Voraussetzungen und was ist dieser Teil?

Die Voraussetzungen für aktives VBS

Microsofts eigene Angaben zu den Voraussetzung für die Aktivierung von VBS sind einmal mehr widersprüchlich: An einer Stelle wird von TPM 2.0 und aktivem Secure Boot gesprochen, an anderer TPM 2.0 explizit als optional und Secure Boot gar nicht erwähnt. Erforderlich sind:

  • Aktives Secure Boot (im BIOS)
  • Aktive CPU-Virtualisierung (im BIOS: AMD AMD-V/SVM / Intel: VT-x)
  • Windows-Installation als UEFI, nicht Legacy (im BIOS)
  • Kein Windows-Treiber darf dagegen sprechen

VBS ist nicht gleich VBS

VBS umfasst neben der so genannten „Kernisolation“ auch die Funktion „Speicherintegrität“ („Hypervisor-Protected Code Integrity“ (HVCI)). Sind alle Voraussetzungen erfüllt, ist in Windows 11 bei einer Neuinstallation nur Kernisolation aktiv. HVCI muss auch in Windows 11 noch manuell aktiviert werden, das geschieht über die Einstellungen, Datenschutz und Sicherheit, Windows Sicherheit, Gerätesicherheit und dort den Punkt Core Isolation (Kernisolation/Core Isolation). Erst nach einem Neustart ist auch HVCI aktiv. Das hat einen Grund: HVCI kostet potentiell Leistung.

Dass „Speicherintegrität“ auf CPUs, die kein Mode-based Execution Control (MBEC) unterstützen, sogar signifikant Leistung kosten kann, hat Microsoft zur expliziten Nennung von mit Windows 11 offiziell kompatiblen CPUs bewegt. VBS funktioniert grundsätzlich aber auch auf älteren CPUs und Windows 11 lässt sich über den USB-Stick-Weg auch auf diesen installieren. Möglich, dass UL Benchmarks in der Presseaussendung VBS und VBS mit zusätzlich aktivem HVCI synonym verwendet hat. In jedem Fall falsch ist, dass VBS mit HVCI automatisch aktiviert wird.

Microsoft plant lediglich, VBS inklusive HVCI ab dem kommenden Jahr bei OEMs zum Standard zu machen. Aktives Secure Boot, eine Grundvoraussetzungen, verlangt Microsoft von OEMs bereits seit dem Jahr 2013.

UL Benchmarks spricht von Leistungsverlusten durch VBS

Auch beim angesprochenen Leistungsverlust in den eigenen Benchmarks bleibt UL Benchmarks unkonkret, spricht lediglich von auf Basis der aktuellen Insider Preview beobachteten Leistungsrückgängen in den eigenen Benchmarks, wenn VBS auf dem System aktiv war. Damit bleibt unklar, ob die Entwickler nur VBS mit HVCI auf CPUs ohne MBEC im Fokus haben, auf denen sich Windows 11 über den Installationsweg USB-Stick auch problemlos installieren lässt, oder generell ein Thema sieht.

In our testing with pre-release builds of Windows 11, a feature called Virtualization-based Security (VBS) causes performance to drop. VBS is enabled by default after a clean install of Windows 11, but not when upgrading from Windows 10. This means the same system can get different benchmark scores depending on how Windows 11 was installed and whether VBS is enabled or not.

UL Benchmarks

UL Benchmarks plant, die eigenen Benchmarks wie den PCMark oder den 3DMark in Zukunft mit einer Routine auszustatten, die erkennt, ob VBS aktiv oder inaktiv ist und das dem Anwender mitteilt.

Die Redaktion wird versuchen, dem Thema in den kommenden Tagen näher auf den Grund zu gehen. Rückmeldungen aus der Community sind jederzeit gerne gesehen.

Erste Benchmarks zum Leistungsverlust

Benchmarks mit Ryzen Threadripper 3970X

Die Redaktion hat ein paar erste Benchmarks zum Thema erstellt. Getestet wurde mit dem Windows 11 Build 22000 (Insider Preview) auf einem Ryzen Threadripper 3970X mit GeForce RTX 3080 Ti sowohl mit deaktiviertem VBS als auch mit aktiviertem VBS (Kernisolation und Kernisolation zzgl. Speicherintegrität (HVCI)). Als Treiber kam der von Nvidia für das finale Build von Windows 11 vorgesehene GeForce 472.12 zum Einsatz. Der Ryzen Threadripper 3000 unterstützt MBEC, sollte wie alle von Microsoft offiziell für Windows 11 freigegebenen CPUs also vergleichsweise wenig Leistung unter Nutzung von HVCI einbüßen.

Nichtsdestoweniger zeigen durch das Hinzuschalten von HVCI teils deutliche Leistungsdifferenzen in den untersuchten Spielen und Anwendungen. Der 3DMark Time Spy fällt dabei mit 25 Prozent Leistungsrückgang (reproduzierbar) klar aus dem Rahmen, auch Windows 10 verliert hier fast 20 Prozent. In den Spielen sind es in der Regel weniger als zehn Prozent bei den FPS, nur F1 2020 und der 3DMark Time Spy fällt aus dem rahmen. Das Verhalten des 3DMark dürfte die Ursache für die Pressemeldung von UL Benchmarks sein. Auch Unter Windows 10 zeigt sich durch VBS inklusive HVCI im 3DMark und F1 2020 der größte Leistungsrückgang.

FHD, maximale Details
Spieleleistung FPS (FHD, maximale Details)
  • Death Stranding:
    • Windows 11, VBS aus
      153,1
    • Windows 11, VBS an
      153,0
    • Windows 10, VBS aus
      151,0
    • Windows 10, VBS inkl. HVCI an
      146,5
    • Windows 11, VBS inkl. HVCI an
      146,1
  • Doom Eternal:
    • Windows 11, VBS aus
      377,5
    • Windows 11, VBS an
      377,2
    • Windows 10, VBS aus
      365,1
    • Windows 11, VBS inkl. HVCI an
      359,1
    • Windows 10, VBS inkl. HVCI an
      357,6
  • F1 2020:
    • Windows 10, VBS aus
      237,2
    • Windows 11, VBS aus
      234,8
    • Windows 11, VBS an
      234,1
    • Windows 10, VBS inkl. HVCI an
      223,9
    • Windows 11, VBS inkl. HVCI an
      188,5
  • Horizon Zero Dawn:
    • Windows 10, VBS aus
      113,0
    • Windows 11, VBS aus
      112,2
    • Windows 11, VBS an
      112,2
    • Windows 10, VBS inkl. HVCI an
      109,2
    • Windows 11, VBS inkl. HVCI an
      108,9
  • Mafia Definitive Edition:
    • Windows 11, VBS an
      122,8
    • Windows 11, VBS aus
      121,9
    • Windows 10, VBS aus
      120,8
    • Windows 11, VBS inkl. HVCI an
      115,3
    • Windows 10, VBS inkl. HVCI an
      114,1
  • Shadow of the Tomb Raider:
    • Windows 10, VBS aus
      120,6
    • Windows 11, VBS aus
      119,1
    • Windows 11, VBS an
      119,1
    • Windows 10, VBS inkl. HVCI an
      115,8
    • Windows 11, VBS inkl. HVCI an
      114,6
  • 3DMark Time Spy:
    • Windows 10, VBS aus
      10.240,0
    • Windows 11, VBS an
      9.333,0
    • Windows 11, VBS aus
      9.266,0
    • Windows 10, VBS inkl. HVCI an
      8.376,0
    • Windows 11, VBS inkl. HVCI an
      6.999,0
    Einheit: Punkte

Im PCMark von UL Benchmarks zeigt sich auf dem Testsystem ein derartigert Malus nicht, dafür liegt auch die Leistung im Multi-Core-Render-Benchmark reproduzierbar leicht zurück.

Anwendungsleistung
  • Cinbench R20 Multi-Core:
    • Windows 11, VBS an
      16.494
    • Windows 10, VBS aus
      16.453
    • Windows 10, VBS inkl. HVCI an
      16.204
    • Windows 11, VBS aus
      16.152
    • Windows 11, VBS inkl. HVCI an
      15.821
    Einheit: Punkte
  • Cinbench R20 Single Core:
    • Windows 10, VBS aus
      504
    • Windows 10, VBS inkl. HVCI an
      501
    • Windows 11, VBS inkl. HVCI an
      500
    • Windows 11, VBS an
      499
    • Windows 11, VBS aus
      497
    Einheit: Punkte
  • Handbrake (Video-Konvertierung):
    • Windows 10, VBS aus
      44
    • Windows 10, VBS inkl. HVCI an
      44
    • Windows 11, VBS aus
      47
    • Windows 11, VBS inkl. HVCI an
      47
    • Windows 11, VBS an
      48
    Einheit: Sekunden
  • PCMark 10:
    • Windows 11, VBS aus
      7.158
    • Windows 11, VBS an
      7.120
    • Windows 10, VBS aus
      7.112
    • Windows 10, VBS inkl. HVCI an
      7.005
    • Windows 11, VBS inkl. HVCI an
      6.997
    Einheit: Punkte

Ebenfalls nicht von HVCI unbeeindruckt zeigt sich die Leistung der schnelle NVMe-SSD Seagate FireCuda 530 (Test), die als Systemlaufwerk fungierte: Bei wahlfreien Zugriffen (4K) über einen Thread sinkt die Leistung um bis zu 10 Prozent.

Windows 11 Build 22000 VBS aus
Windows 11 Build 22000 VBS aus
Windows 11 Build 22000 VBS an
Windows 11 Build 22000 VBS an
Windows 11 Build 22000 VBS inkl. HVCI an
Windows 11 Build 22000 VBS inkl. HVCI an

Dasselbe Verhalten zeigt auch Windows 10, der Leistungsverlust durch das Hinzuschalten von HVCI ist dort allerdings nicht ganz so groß. Dafür scheint Windows 11 Build 22000 bei wahlfreien 4K-Zugriffen mit langer Befehlswarteschlange wesentlich schneller zu agieren als Windows 10.

Windows 10: VBS an
Windows 10: VBS an
Windows 10: VBS inkl HVCI an
Windows 10: VBS inkl HVCI an

Benchmarks mit Ryzen 7 1800X

Neben dem von Windows 11 unterstützten Threadripper 3000 hat die Redaktion dieselben Tests auch noch mit einem nicht unterstützten Ryzen 7 1800X wiederholt. Im Durchschnitt fallen die Leistungsverluste in den Spielen bei aktiviertem VBS inklusive HCVI größer aus als mit dem Ryzen Threadripper 3000 aus, es sind eher an die zehn statt um die fünf Prozent weniger FPS. Bei den Anwendungen überrascht der Absturz des PCMark 10, der beim Threadripper nicht zu beobachten war, während der 3DMark wiederum nicht auf dem Ryzen 7 verliert.

Diagramme
Spieleleistung FPS (FHD, maximale Details)
  • Death Stranding:
    • Windows 11, VBS aus
      126,1
    • Windows 11, VBS inkl. HVCI an
      120,3
  • Doom Eternal:
    • Windows 11, VBS aus
      232,2
    • Windows 11, VBS inkl. HVCI an
      212,2
  • F1 2020:
    • Windows 11, VBS aus
      162,0
    • Windows 11, VBS inkl. HVCI an
      146,7
  • Horizon Zero Dawn:
    • Windows 11, VBS inkl. HVCI an
      72,1
    • Windows 11, VBS aus
      71,0
  • Mafia Definitive Edition:
    • Windows 11, VBS aus
      70,1
    • Windows 11, VBS inkl. HVCI an
      64,1
  • Shadow of the Tomb Raider:
    • Windows 11, VBS aus
      75,9
    • Windows 11, VBS inkl. HVCI an
      67,9
  • 3DMark Time Spy:
    • Windows 11, VBS inkl. HVCI an
      11.791,0
    • Windows 11, VBS aus
      11.735,0
    Einheit: Punkte

Abermals deutlich sind die Auswirkungen auf die Leistung des Systemlaufwerks: Die in diesem Fall genutzte Kingston A2000 verliert bei wahlfreien 4K-Zugriffen, beim Lesen über eine 32 Plätze lange Befehlskette wird die Leistung gar halbiert.

Ryzen 7 1800X mit Kingston A1000: VBS aus
Ryzen 7 1800X mit Kingston A1000: VBS aus
Ryzen 7 1800X mit Kingston A1000: VBS an
Ryzen 7 1800X mit Kingston A1000: VBS an

Ein zaghafter Anfang

Die Benchmarks der Redaktion auf einem alles andere als alltäglichen, aber am Donnerstagabend direkt mit Windows 11 verfügbaren Rechner sind nicht mehr als ein Auftakt, um das Thema VBS, das von Microsoft bei Windows 11 stärker in den Fokus gerückt wird, in seinen Auswirkungen auf die Leistung detaillierter zu ergründen. Neben weiteren Benchmarks der Redaktion können dazu auch Benchmarks aus der Community beitragen. Jeder Benchmark ist willkommen. Wie sich VBS inklusive HVCI unter Windows 11 aktivieren lässt, ist dem Artikel weiter oben zu entnehmen.

Für Spieler eher theoretischer Natur

VBS setzt aktives Secure Boot voraus und das ist für Windows 11 keine Pflicht, nur OEMs werden von Microsoft bereits seit 2013 dazu ab Werk verpflichtet. Weder VBS, noch das eh nur optionale HVCI (Speicherintegrität/Memory Integrity) müssen von privaten Endanwendern also für den Betrieb genutzt werden. Nichtsdestoweniger ist die Analyse der Auswirkungen auf die Leistungsfähigkeit interessant.

Ein Dank geht an Community-Mitglied cvzone für die Unterstützung bei der Einrichtung – seine Ratschläge sind bereits weiter oben in den Artikel eingeflossen.

Dieser Artikel war interessant, hilfreich oder beides? Die Redaktion freut sich über jede Unterstützung durch ComputerBase Pro und deaktivierte Werbeblocker. Mehr zum Thema Anzeigen auf ComputerBase.