Kernisolierung an oder aus ?

[MSI-MATZE]

@BigCaos
Steht aber da, das es das selbe ist.

 

[BigCaos]

Stimmt, mein Irrtum. Mein Weg geht immer direkt über das Setup von einer ISO.

 

[MSI-MATZE]

@holdes
hier mal die analyse

 

[KnolleJupp]

"Virtualization firmware check failed."
Sicher das die Virtualisierung im BIOS eingeschaltet ist? Also wirklich sicher und überprüft?
Kannst du mal das ganze "Überblick"-Fenster von HWiNFO posten? Weil, da sieht man auch ob Virtualisierung an ist oder nicht.

 

[holdes]

Der meckert bei dir weil er gwmi nicht abfragen kann. Eventuell hast du eine Powershell Version die zu neu ist ($PSVersionTable). Alles neuer als 5 hat kein get-wmi mehr soweit ich weiß.

Ansonsten kannst du in die Powershell mal die Ausgabe von posten

Get-CimInstance Win32_Processor | Select-Object VMMonitorModeExtensions, VirtualizationFirmwareEnabled, SecondLevelAddressTranslationExtensions

Da muss schon mal überall True rauskommen.

 

[MSI-MATZE]

Ergänzung (Gestern um 19:00)

passt soweit oder

Ergänzung (Gestern um 19:07)

Was ist das ($PSVersionTable)

 

[holdes]

Ja das ist schon mal gut.

Mit $PSVersionTable kannst du dir anzeigen lassen welche Powershell Version du hast. Ich weiß zwar das es die 7er schon gibt aber nicht, dass sie die alte deinstalliert. In der 7er würde das dgreadyness Tool definitiv nicht mehr gehen.

 

[MSI-MATZE]

So folgendes hab die neue und die alte


Aber die hindert mir das Skript aus zu führen

Ergänzung (Gestern um 19:17)

Ergänzung (Gestern um 19:23)

 

[holdes]

Das ist korrekt, das kann man entsprechend einstellen. Die default Werte verhindern das ausführen von Skripts.

powershell.exe -ExecutionPolicy Bypass -File .\dein-script.ps1

 

[MSI-MATZE]

Habs hinbekommen, schau mal letztes Bild was ich noch angehängt habe

 

[holdes]

Was wirft die Powershell hier aus?

$(gwmi win32_operatingsystem).OSArchitecture

 

[MSI-MATZE]

64 bit mehr kommt nicht

 

[holdes]

Da muss exakt "64-Bit" rauskommen weil das Skript genau diesen Wert erwartet. Wenn dort Leerzeichen oder was anderes enthalten ist klappts nicht. Dann könnte man nur in der .ps1 Datei den Wert der bei dir rauskommt hinterlegen damit der Check durchläuft.

Das Skript von Microsoft ist schon ziemlich alt aber bei meinen Win11 Installationen lief es bisher immer.


Der eigentliche Befehl zum aktivieren wäre ansonsten:

.\DG_Readiness.ps1 -Enable -HVCI

Wenn das partout nicht will aber auch kein Beinbruch, dann muss man alles mal händisch abprüfen:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard | Select-Object *

 

[MSI-MATZE]

Da muss exakt "64-Bit" rauskommen

Ja genau das ist ausgekommen,
.\DG_Readiness.ps1 -Enable -HVCI
Mit dem würde kernisolierung wieder funktionieren

 

[holdes]

HVCI (Hypervisor-Protected Code Integrity) ist das, was bei uns im deutschen Speicherintegrität heißt und das wiederum läuft im Kontext von der Kernisolierung.

Dafür hat Microsoft viele und lange Artikel:
https://learn.microsoft.com/de-de/w...es/oem-hvci-enablement?source=recommendations

Falls das bei dir schon einmal irgendwann aktiv war, besteht die Möglichkeit, dass du einen Treiber/Gerät hast der nicht kompatibel mit der HVCI ist.
https://learn.microsoft.com/de-de/w...estref/driver-compatibility-with-device-guard

 

[MSI-MATZE]

Ja war mal aktiv, aber ein Treiber zeigt er mir nicht an komischer Weise was das hindern sollte.

Werde die beiden Befehle dann mal testen ob es funktioniert

Ergänzung (Gestern um 20:36)

Enabling Device Guard and Credential Guard
Setting RegKeys to enable DG/CG
Enabling Hyper-V and IOMMU
Enabling Hyper-V failed please check the log file
Please reboot the machine, for settings to be applied.
PS C:\WINDOWS\system32>

Ergänzung (Gestern um 20:41)

Ergänzung (Gestern um 21:00)

Ich glaube entweder komplette Neu Installation von Windows 11 was ich denke

oder einfach drauf verzichten, da eh nur ein reiner Gaming PC ohne Online Banking und Co
Rest wie Amazone, ebay wird eh mit Smartphone erledigt

 

[PC295]

oder einfach drauf verzichten, da eh nur ein reiner Gaming PC ohne Online Banking und Co
Rest wie Amazone, ebay wird eh mit Smartphone erledigt

Die Kernisolierung ist keine Sicherheitsfunktion die hierfür aktiviert sein muss oder sollte.
Sie schützt nicht vor Malware oder Schäden / Manipulationen am System durch Malware.

Gerade beim Gaming kann die Funktion zum Leistungsverlust führen:
https://www.computerbase.de/artikel/betriebssysteme/windows-11-vbs-hvci-spiele-benchmarks.83639/

 

[holdes]

Hattest du neugestartet nach dem Skript? Das bringt beim nächsten Boot eine Abfrage zwecks Aktivierung sofern möglich. Für den normalen PC ist es auch nicht zwingend nötig, das ist wahr.

Fürs Verständnis könnte ich mir nur vorstellen, dass neben dem SVM Mode im UEFI auch IOMMU nicht aktiv ist. Was das Skript unter anderem aktiv setzt, ist der Hypervisorlaunch im BCDEDIT. Fehlt das, werden auch einige Komponenten nicht geladen.

Sollte es an Treibern liegen werden die in der Regel in den Windows Einstellungen unter den jeweiligen Punkten angezeigt. Also entweder Gerätesicherheit, Kernisolierung oder Speicherintegrität.

 

[qiller]

der Hypervisorlaunch im BCDEDIT

Genau damit hatte ich in der Vergangenheit halt schon mal Probleme, wenn Secureboot aktiv war. Das wurde dann als Manipulation erkannt und einfach wieder zurückgesetzt. Führte dann halt dazu, dass nachm Reboot Kernisolierung deaktiviert blieb.

 

[MSI-MATZE]

SVM Mode im UEFI auch IOMMU nicht aktiv

also im BIOS selbst ist IOMMU wirklich bei mir deaktiviert