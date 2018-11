¯ Auf meinem Windows-10-PC mit AMD-Ryzen-Prozessor will ich die AMD-Software „Ryzen Master“ zum Übertakten installieren. Das scheitert mit einem Hinweis auf „Virtualization-Based Security“ (VBS), die ich abschalten soll. Wie geht das? Und sollte ich das wirklich machen?

Hinter den Windows-10-Funktionen Kernisolierung und Speicher-Integrität verbirgt sich virtualisierungsbasierte Sicherheit alias VBS.

¯ Seit dem Spring Creators Update für Windows 10 (1803) lässt sich VBS bei vielen Editionen von Windows 10 freischalten. Beim deutschsprachigen Windows 10 spricht Microsoft von „Virtualisierungsbasierter Sicherheit“ und zeigt in den Systeminformationen (msinfo32.exe) auch an, ob die Funktion aktiv ist. Bei einer frischen Installation aktiviert Windows 10 VBS anscheinend sogar automatisch, wenn einige Voraussetzungen erfüllt sind – es ist aber nicht genau klar, welche. Auf jeden Fall müssen die Virtualisierungsfunktionen der CPU im BIOS-Setup eingeschaltet sein, also AMD-V oder Intel VT-x. Microsoft empfiehlt für VBS auch, dass das System im UEFI-Modus mit Secure Boot starten soll und dass ein Trusted Platform Module (TPM 2.0) vorhanden ist. Beides scheinen aber keine zwingenden Voraussetzungen für VBS zu sein.

Einen klar bezeichneten Ein- und Ausschalter für VBS gibt es in Windows 10 nicht; VBS umfasst nämlich mehrere Funktionen, die je nach Hardware und Windows-10-Edition nutzbar sind. Die Installation von AMD Ryzen Master scheitert jedenfalls an der VBS-Funktion „Speicher-Integrität“ (engl. memory integrity), eine Unterfunktion von „Kernisolierung“ (core isolation). Eine Schaltfläche zum Abschalten der Speicher-Integrität finden Sie unter „Windows-Einstellungen, Update und Sicherheit, Windows-Sicherheit, Gerätesicherheit, Details zur Kernisolierung“. Nach einem Neustart sollte sich die AMD-Software aufspielen lassen.

Bei manchen Systemen lässt sich die Speicher-Integrität nicht per Schaltfläche abschalten. Hier klappt es angeblich, indem man den Registry-Wert HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity\Enabled auf „0“ setzt und neu startet.

Der Begriff „Gerätesicherheit“ ist die Übersetzung von Windows Defender Device Guard und die Speicher-Integrität nennt Microsoft im Englischen auch Hypervisor-enforced Code Integrity (HVCI). Um mit HVCI zu funktionieren, müssen Treiber bestimmte Anforderungen erfüllen; vermutlich scheitert das Ryzen Master Tool bisher daran – künftige Versionen sind dann möglicherweise HVCI-kompatibel.

Da VBS den Schutz von Windows 10 gegen bestimmte Malware-Angriffe verstärkt, sollten Sie die Funktion möglichst nicht abschalten. Wenn Ihnen die Nutzung von AMD Ryzen Master wichtig ist, haben Sie bisher aber keine andere Wahl. Auch bestimmte Virtualisierungssoftware verträgt sich nicht mit VBS, siehe c’t 22/2018 ab Seite 178. (ciw@ct.de)