Windows 11 und der Speicherschutz

[Kink Monk]

Speicherschutz ist eine Eigenschaft von Betriebssystemen den Arbeitsspeicher so aufzuteilen, das laufende Programme so voneinander zu trennen, somit keine Programmierfehler oder Abstürze entstehen und die Stabilität andere Programme oder des Gesamtsystems beeinträchtigen.
Aus Wiki.

Es gibt auch ECC Ram Speicher der das kann den ich verbaut habe.
Ich möchte gerne wissen wie der Speicherschutz als Funktion in Windows 11 aktiviert werden kann ohne ECC Speicher verwenden zu müssen. Durch den ECC Ram hatte ich schon seit Jahren keine Fehlermeldungen mehr, diese brauchten mich aber in Windows 7 regelmäßig zur Verzweiflung ohne ECC Ram.
https://www.google.com/search?q=Feh...7QvEDHXx6D4sQ_B16BAhPEAE#imgrc=pM9Qj4FfbXEZbM

Jetzt zu meiner Frage gibt es in Windows 11 eine ähnliche Funktion hab zwar viele Webseiten dazu gefunden, aber nicht wie ich diesen aktivieren werden kann und ob diese genauso gut ist wie die ECC Ram Funktion.

Grüße
Chris

 

[Robo32]

Das eine hat mit dem anderen nichts zu tun - also ja, man kann den Speicherschutz immer aktivieren.
Die Frage ist nur wozu das gut sein soll, ausser es laufen fremde VMs auf dem System.

 

[Graphixx]

Gib einfach im Startmenü Kernisolierung ein, dann kommst Du zum Speicherschutz bzw. zur Speicherintegrität. Das der Schutz aber etwas vollkommen anderes ist als ECC ist Dir bewusst ? ECC ist Fehlerkorrektur, Speicherschutz ist Trennung der Speicherbereiche ohne Korrektur.

Aber ich glaube Du meinst auch etwas anderes als die Speicherintegrität, das ist nochmal was anderes Der in der Wiki beschriebene Speicherschutz muss nicht aktiviert werden, das ist meines Wissens Standard.

Die Speicherintegrität ist das was in der Wiki als "In einer zweiten Bedeutung wird der Begriff Speicherschutz.." beschrieben wird wenn ich das richtig sehe.

MfG

 

[Hauro]

Zu Arbeitsspeicher mit Error Correcting Code: Was ist ECC-Speicher (Error Correcting Code)? | Crucial DE


Ist die Hypervisor-geschützte Codeintegrität gemeint?

Aktivierung von Hypervisor-geschützter Codeintegrität | Microsoft Docs

Hypervisorgeschützte Codeintegrität (HVCI) ist ein virtualisierungsbasiertes Sicherheitsfeature (VBS), das in Windows verfügbar ist. Im Windows Gerätesicherheitseinstellungen wird HVCI als Speicherintegrität bezeichnet.

HVCI und VBS verbessern das Bedrohungsmodell von Windows und bieten stärkere Schutz vor Schadsoftware, die versuchen, den Windows Kernel zu nutzen. VBS nutzt den Windows Hypervisor, um eine isolierte virtuelle Umgebung zu erstellen, die zum Stamm des Vertrauens des Betriebssystems wird, das davon ausgegangen wird, dass der Kernel kompromittiert werden kann. HVCI ist eine kritische Komponente, die diese virtuelle Umgebung schützt und schützt, indem Sie die Kernelmodus-Codeintegrität innerhalb dieser Umgebung ausführen und Kernelspeicherzuweisungen einschränken, die zum Kompromittieren des Systems verwendet werden können.

Weitere Informationen zu diesen Schutzfunktionen finden Sie unter Virtualisierungsbasierte Sicherheitssystemressourcenschutz.

Minimieren von Risiken mithilfe der Sicherheitsfeatures | Microsoft Docs

Siehe Tabelle 2 enthält die konfigurierbaren Gegenmaßnahmen von Windows10 zum Schutz gegen Arbeitsspeicher-Exploits.

Data Execution Prevention (DEP) und Address Space Layout Randomization (ASLR) ist aktiviert und kann z.B. im Proccess Explorer angezeigt werden - DEP Status und ASLR Enabled.

 

[Kink Monk]

Speicherschutz ist eine Eigenschaft von Betriebssystemen den Arbeitsspeicher so aufzuteilen, das laufende Programme so voneinander zu trennen, somit keine Programmierfehler oder Abstürze entstehen und die Stabilität andere Programme oder des Gesamtsystems beeinträchtigen.
Betriebssysteme mit vollem Speicherschutz

• Windows NT, Windows 2000, Windows XP, Windows Vista, Windows 7

https://de-academic.com/dic.nsf/dewiki/1309648

ECC Ram
Bei typischen Arbeitsplatz-Computern, wie Desktops oder Notebooks, kann auf ECC-RAM verzichtet werden. Aufgrund der geringeren Rechenlast, wird hier auch der Arbeitsspeicher weniger genutzt. Es treten weniger Fehler auf. Meist haben diese Fehler auch keine Auswirkung. Vielleicht bleibt das System hängen oder stürzt ab.
Systeme ohne ECC erschweren allerdings auch die Suche nach der Fehlerursache. Zum Beispiel defekte Speicherriegel. Bei ECC wird jeder Speicherfehler vom Betriebssystem protokolliert und kann später zu Diagnosezwecken ausgewertet werden.
Generell ist die Fehlerwahrscheinlichkeit in Prozessoren und Speicher gering. In der Regel hat man es nur mit Umgebungsstrahlung zu tun, die Fehler auslösen können. In Los Alamos sieht das natürlich ganz anders aus. Durch kleinere Halbleiterstrukturen hat die Empfindlichkeit insbesondere von Speicher, Caches und Registern zugenommen. Um Fehler abzufangen wird deshalb auf die Fehlerkorrektur per ECC gesetzt.
https://www.elektronik-kompendium.de/sites/com/1504141.htm

Beide Funktionen scheinen doch dazu da zu sein Windows vor Fehler im System zu schützen. Warum integriert man nicht beide Funktionen in Windows ?

 

[tRITON]

Weil ECC ein auf Hardware Ebene Bitfehler korrigieren kann, bis zu einem gewissen Maße und das ohne dazutun des Betriebssystems.

Das sind Äpfel und Birnen und kannst du nicht vergleichen.

Bonus: Erkläre mir, wie Du dir vorstellst ECC in Software zu lösen. Sag aber nicht Prüfsumme! Das gilt nicht

 

[Graphixx]

Weil ECC keine softwareseitige Lösung ist sondern eine hardwareseitige.

Die Speichermodule für ECC sind anders aufgebaut als "normale" und benötigen ebenso einen dafür geeigneten Speichercontroller. Den gibt es nun mal in Consumerboards und Desktop CPUs so gut wie nicht.

Außerdem ist ECC für den Otto-Normal-User nicht interessant, das ist was für spezielle Anwendungen und hauptsächlich im Serverbereich oder bei echten Workstations zu finden und auch eigentlich auch nur dort von echtem Nutzen.

MfG

 

[Bitopium]

diese brauchten mich aber in Windows 7 regelmäßig zur Verzweiflung ohne ECC Ram

Ich bezweifle stark dass die Ursache der Fehlermeldungen Bitflips im RAM waren...

 

[Hauro]

Warum integriert man nicht beide Funktionen in Windows ?

Ist doch gegeben:

Betriebssysteme mit vollem Speicherschutz

• Windows NT, Windows 2000, Windows XP, Windows Vista, Windows 7

Windows 8, 10 und 11 sind hier halt nicht mehr aufgeführt.


Arbeitsspeicher mit Error Correcting Code wird durch Windows unterstützt. Bisher war die Technik außerhalb von Servern nur High End Desktop (HEDT) vorbehalten. Erst mit Ryzen kam die Technik im Mainstream an. Die CPU, das Mainboard und der Arbeitsspeicher müssen ECC unterstützen. siehe z.B. Welche AMD Ryzen™ Prozessoren bieten Unterstützung für ECC | ASUS oder B550 Mainboards mit ECC-RAM Unterstützung | Geizhals.de - 161 von 245.

AMD Ryzen™ 5 5500

ECC Support: Yes (Requires mobo support)

Mainboard LGA1700 mit ECC-RAM Unterstützung - 1 von 180

 

[Kink Monk]

Zu Arbeitsspeicher mit Error Correcting Code: Was ist ECC-Speicher (Error Correcting Code)? | Crucial DE


Ist die Hypervisor-geschützte Codeintegrität gemeint?

Aktivierung von Hypervisor-geschützter Codeintegrität | Microsoft Docs



Minimieren von Risiken mithilfe der Sicherheitsfeatures | Microsoft Docs

Siehe Tabelle 2 enthält die konfigurierbaren Gegenmaßnahmen von Windows10 zum Schutz gegen Arbeitsspeicher-Exploits.

Data Execution Prevention (DEP) und Address Space Layout Randomization (ASLR) ist aktiviert und kann z.B. im Proccess Explorer angezeigt werden - DEP Status und ASLR Enabled.

Anhang anzeigen 1260634 Anhang anzeigen 1260637

Weil ECC keine softwareseitige Lösung ist sondern eine hardwareseitige.

Die Speichermodule für ECC sind anders aufgebaut als "normale" und benötigen ebenso einen dafür geeigneten Speichercontroller. Den gibt es nun mal in Consumerboards und Desktop CPUs so gut wie nicht.

Außerdem ist ECC für den Otto-Normal-User nicht interessant, das ist was für spezielle Anwendungen und hauptsächlich im Serverbereich oder bei echten Workstations zu finden und auch eigentlich auch nur dort von echtem Nutzen.

MfG

Sind beide Lösungen als Community Accepted Solution?

Dann hab ich meine Antwort und bin zufrieden.

Die Frage die sich jetzt noch stellt, welcher Schutz ist besser Hacker VS User. ECC vs Speicherschutz.

 

[Burki73]

Und warum erscheint beim Druck auf Ryzen 5500 das Bild vom Ryzen 5600?
Nicht, das es mir was ausmacht oder so. Aber Ryzen 5500 ist eben Ryzen 5500.

 

[Kink Monk]

Weil ECC ein auf Hardware Ebene Bitfehler korrigieren kann, bis zu einem gewissen Maße und das ohne dazutun des Betriebssystems.

Das sind Äpfel und Birnen und kannst du nicht vergleichen.

Bonus: Erkläre mir, wie Du dir vorstellst ECC in Software zu lösen. Sag aber nicht Prüfsumme! Das gilt nicht

Diese Frage stelle ich mir auch, Hardware oder Software. Bonus: Es gibt doch ein Programm, das direkt auf die Ram Riegel zugreifen kann, mehr sag ich nicht es sei denn du arbeitest für eine Firma die mir Eine Million Euro bezahlt.

 

[Hauro]

Die Frage die sich jetzt noch stellt, welcher Schutz ist besser Hacker VS User. ECC vs Speicherschutz.

Verschiedene Techniken für unterschiedliche Anforderungen - Fehler und Sicherheit.

ECC wird bei Servern benötigt, im privaten Bereich nur nice to have.

Speicherschutz, Data Execution Prevention (DEP) und Address Space Layout Randomization (ASLR) unterstützt Windows und ist aktiviert.

Hypervisor-geschützter Codeintegrität nutze ich persönlich nicht. Wer es nutzen möchte, sollte folgendes beachten:

Komponente	Detail
Prozessor	Intel 11. Core-Prozessoren und neuer (8. Generation oder höher ab Windows 11, Version 22H2) AMD Zen 2-Architektur und neuer Qualcomm Snapdragon 8180 und neuer
RAM	Mindestens 8 GB
Storage	SSD mit einer Mindestgröße von 64 GB
Treiber	HVCI-kompatible Treiber müssen installiert werden. Weitere Informationen zu Treibern finden Sie unter Hypervisor-Geschützte Codeintegrität (HVCI).
BIOS	Virtualisierung muss aktiviert sein

Es gibt Fälle, da lässt sich die Hypervisor-geschützter Codeintegrität wegen inkompatible Treiber nicht aktivieren.

Und warum erscheint beim Druck auf Ryzen 5500 das Bild vom Ryzen 5600?

Habe ich mich verschrieben.

 

[Kink Monk]

Ich bezweifle stark dass die Ursache der Fehlermeldungen Bitflips im RAM waren...

Sondern.

Ergänzung (15. September 2022)

ECC wird bei Servern benötigt, im privaten Bereich nur nice to have.

Speicherschutz, Data Execution Prevention (DEP) und Address Space Layout Randomization (ASLR) unterstützt Windows und ist aktiviert.

Hypervisor-geschützter Codeintegrität nutze ich persönlich nicht. Wer es nutzen möchte, sollte folgendes beachten:

Ich kann leider "Address Space Layout Randomization" (ASLR) nicht finde unter welche Einstellungen in Windows 11 muss ich nachschauen?

 

[Robo32]

Zumindest in Win 10 im Anwendungssteuerungsbereich vom Windows Defender.

 

[Hauro]

Ich kann leider "Address Space Layout Randomization" (ASLR) nicht finde unter welche Einstellungen in Windows 11 muss ich nachschauen?

Die Einstellungen sollten im Normalfall nicht verändert werden, näheres steht unter Tabelle 2 enthält die konfigurierbaren Gegenmaßnahmen von Windows10 zum Schutz gegen Arbeitsspeicher-Exploits

Risikominderung und entsprechende Bedrohung

Beschreibung

ASLR verringert Schadsoftware- Angriffe basierend auf erwarteten Speicherbereichen.

Zufallsgestaltung des Adressraumlayouts (Address Space Layout Randomization, ASLR) lädt DLLs zur Startzeit in zufällige Speicherbereiche. Dieses Laden – von bestimmten DLLs – hilft dabei, Schadsoftware zu mindern, die für den Angriff auf bestimmte Speicherspeicherorte entwickelt wurde. Weitere Informationen finden Sie unter: Zufallsgestaltung des Adressraumlayouts weiter unten in diesem Thema. Gruppenrichtlinie-Einstellungen: ASLR ist standardmäßig für 64-Bit-Anwendungen aktiviert. Sie können jedoch weitere ASLR-Schutzmaßnahmen konfigurieren, indem Sie die unter Optionen zur Außerkraftsetzung von Prozessminderungsoptionen beschriebenen Gruppenrichtlinie-Einstellungen verwenden, um app-bezogene Sicherheitsrichtlinien zu erzwingen.

ProcessMitigations Module | Microsoft Docs

The ProcessMitigations module (also known as the Process Mitigation Management Tool) provides functionalities to allow users to configure and audit exploit mitigations for increased process security or for converting existing Enhanced Mitigation Experience Toolkit (EMET) policy settings.

Ein Beispiel

PS C:\Users\*******> Get-ProcessMitigation -Id 2388

ProcessName                      : explorer
Source                           : Running Process
Id                               : 2388

DEP:
    Enable                             : ON
    EmulateAtlThunks                   : ON

ASLR:
    BottomUp                           : ON
    ForceRelocateImages                : OFF
    RequireInfo                        : OFF
    HighEntropy                        : OFF

StrictHandle:
    Enable                             : OFF

System Call:
    DisableWin32kSystemCalls           : OFF
    Audit                              : OFF

ExtensionPoint:
    DisableExtensionPoints             : OFF

DynamicCode:
    BlockDynamicCode                   : OFF
    AllowThreadsToOptOut               : OFF
    Audit                              : OFF

CFG:
    Enable                             : ON
    SuppressExports                    : OFF
    StrictControlFlowGuard             : OFF

BinarySignature:
    MicrosoftSignedOnly                : OFF
    AllowStoreSignedBinaries           : OFF
    AuditMicrosoftSignedOnly           : OFF
    AuditStoreSigned                   : OFF

FontDisable:
    DisableNonSystemFonts              : OFF
    Audit                              : OFF

ImageLoad:
    BlockRemoteImageLoads              : OFF
    AuditRemoteImageLoads              : OFF
    BlockLowLabelImageLoads            : OFF
    AuditLowLabelImageLoads            : OFF
    PreferSystem32                     : OFF
    AuditPreferSystem32                : OFF

Payload:
    EnableExportAddressFilter          : OFF
    AuditEnableExportAddressFilter     : OFF
    EnableExportAddressFilterPlus      : OFF
    AuditEnableExportAddressFilterPlus : OFF
    EnableImportAddressFilter          : OFF
    AuditEnableImportAddressFilter     : OFF
    EnableRopStackPivot                : OFF
    AuditEnableRopStackPivot           : OFF
    EnableRopCallerCheck               : OFF
    AuditEnableRopCallerCheck          : OFF
    EnableRopSimExec                   : OFF
    AuditEnableRopCallerCheck          : OFF

Child Process:
    DisallowChildProcessCreation       : OFF
    Audit                              : OFF

User Shadow Stack:
    UserShadowStack                    : OFF
    UserShadowStackStrictMode          : OFF
    AuditUserShadowStack               : OFF
    SetContextIpValidation             : OFF
    AuditSetContextIpValidation        : OFF
    BlockNonCetBinaries                : OFF
    BlockNonCetBinariesNonEhcont       : OFF
    AuditBlockNonCetBinaries           : OFF

 

[Bitopium]

Sondern.

Software Bugs

 

[Kink Monk]

Software Bugs

Tcha Programme dürfen eigentlich keinen Einfluss auf ein System haben, daher bin ich dankbar wenn es dafür Lösungen gibt...

Ergänzung (16. September 2022)

--So vermeidet man Vollzitate--

Ok danke!

Ergänzung (16. September 2022)

Was ist am besten?

https://docs.microsoft.com/de-de/tr.../performance/determine-hardware-dep-available

DataExecutionPrevention_SupportPolicy-Eigenschaftswert Richtlinienebene Beschreibung 2 OptIn (Standardkonfiguration) DeP wird nur Windows Systemkomponenten und -diensten angewendet 3 Optout DEP ist für alle Prozesse aktiviert. Administratoren können manuell eine Liste bestimmter Anwendungen erstellen, auf die DEP nicht angewendet wurde. 1 Alwayson DEP ist für alle Prozesse aktiviert 0 AlwaysOff DEP ist für keine Prozesse aktiviert

 

[Hauro]

Was ist am besten?

Würde die Standardkonfiguration belassen, da einige Anwendungen Kompatibilitätsprobleme mit DEP haben. Auch mit dieser Einstellung wird DEP verwendet - OptIn:

PS C:\Users\*******> Get-ProcessMitigation -ID 2308

ProcessName                      : firefox
Source                           : Running Process
Id                               : 2308

DEP:
    Enable                             : ON
    EmulateAtlThunks                   : ON

PS C:\Users\*******> Get-ProcessMitigation -ID 7084

ProcessName                      : RadeonSoftware
Source                           : Running Process
Id                               : 7084

DEP:
    Enable                             : ON
    EmulateAtlThunks                   : ON

Einfach den Data Execution Prevention Status (DEP-Status) und Address Space Layout Randomization aktiviert (ASLR Enabled) im Proccess Explorer anzeigen.

 

[Kink Monk]

Danke!