#77

Дата выхода: 05.10.2021
Актуальная версия: 23H2 (22621.6345) / 24H2 (26100.7462) / 25H2 (26200.7462)

КРАТКОЕ ВВЕДЕНИЕ | ЗАГРУЗКА ОБРАЗОВ | ТРЕБОВАНИЯ К СИСТЕМЕ

Windows 11 — операционная система следующего поколения для персональных компьютеров и рабочих станций, разработанная корпорацией Microsoft в рамках семейства Windows NT, является наследницей Windows 10.

Это связано примерно никак. Особенно с видеокартой.

Agiliter, расскажи это товарищам с предыдущей страницы

Где вы там нашли оптимизации для видеокарты?

Если речь о режимах VBS+HCVI+KMHSP, то для максимальной совместимости и скорости, да, лучше выключать, или хотя бы не включать KMHSP((Kernel-mode Hardware-enforced Stack Protection). Проблема была в том, что как только вышла 24H2, до текущего момента ось была не готова, Eac драйвера например требовали обновления, и были до совсем недавнего времени в блэк листе.

Сейчас это всё добро работает с минимальном штрафом к производительности, на актуальном железе конечно и без особых проблем. учитывайте ещё то, что вышли совместимые CETCOMPAT драйвера для железа, которые подтянули безопасность и совместимость.

На текущий момент, если Пк современный, по умолчанию можно и нужно оставлять Secure Boot+TPM и VBS+HCVI в ос, если железо актуальное, и драйвера и По, в ос свежие. Пользователь ничего не теряет практически. Только на пользу.

А в чем польза?

Dimonas В защите от троянов и вирусов видимо , но VBS все же отьедает производительность в некоторых прилках , но не критично .

в основном в безопасности- помимо создания дополнительных трудностей для "развёртывания" малвари и компрометации системы , о чём упомянул TUMIK , в этом режиме например не получится извлечь NTLM хэш пароля пользователя.
А с точки зрения стабильности: часть процессов и компонентов Ос, работает в изолированном пользовательском режиме при включенном VBS, и помимо безопасности, это потенциально влияет на стабильность ос: такие процессы работают в своём пространстве памяти, без возможностей прямого доступа к ядру или оборудованию, и в случае их "падения" и каких то проблем, обычно всё ограничивается самим процессом и его пространством памяти..

Есть конечно накладные расходы при переключении контекста UM/KM. Но как я писал выше, чем новее оборудование, тем меньше штраф на эти накладные расходы. Плюс в системе отсекается работа множество узявимых, скомпроментированных драйверов, только то что в белом списке. Это подойдёт конечно не всем, включая заядлых геймеров и разные античит системы.

Включать никого не агитирую, потому что это требует тестирования конкретного набора По, и понимания зачем это нужно, но на данный момент, использование хотя бы с VBS, без KMHS - для меня выглядит, вполне себе актуально.

User и Kernel Mode не относятся прямо к виртуализации. Оно так всегда работало и работает.
https://learn.microsoft.com/en-us/windo ... ernel-mode
https://youtu.be/Zmtxl7LZwjQ

я не говорил что относится.
переключение между UM/KM в этих условиях с IUM/VBS, даёт больший штраф к производительности, чем обычно.

Потому что гипервизор, при переключении контекста между VTL0/1 IUM, системный вызов например из VTL1, обновляет CR3 (указатель на таблицу страниц) и сбрасывает TLB (Translation Lookaside Buffer).

Т.к страницы памяти между VTL0/1 изолированы, так же при каждом смене контекста происходит обновление таблицы SLAT гипервизором (слайды по первой ссылке). Это не единственные накладные расходы.

https://learn.microsoft.com/en-us/windo ... -processes -
https://docs.kernel.org/arch/x86/pti.html
https://blog.codingconfessions.com/p/co ... erformance

На цпу Интел, с Pcid, по моему Haswell или выше,и АМД с ASID, при обновлении CR3, можно не сбрасывать TLB целиком, а делать метку идентификатором, на конкретное адресное пространство.

Для актуальных цпу, в контексте обсуждения виртуализации, начиная с Intel 11+ и ZEN3+ и выше, ещё целый вагон аппаратных фишек для минимизации штрафов. На старых камнях само собой либо что-то будет не работать, либо будет медленнее.

На последних версиях фанконтрола используется драйвер pawnio.
На одной системе все ок, на другой пишет, что служба установлена, но не была запущена с ошибкой 5АА.
Что может быть? Проверки сфци дисм проходит, неполадок нет.
И да, предыдущий драйвер доступа Winring0 на обоих системах дефендер грохнул... Почему - хз

WinRing0.sys, уязвимый драйвер, с возможностью получения высочайших привилегий и доступа к регистрам цпу и оборудованию, он так и называется: Ring0.

Его использует как легитимное ПО системное, так и малваре и хактул инструменты -т.к через него можно делов наделать, тем более с учётом уязвимости)). По этому он попал в блэк лист, абсолютно заслужено. Большинство сторонних коммерческих АВ вендоров его то же не любят, т.к он потенциальная дыра в системе. Dr Web его выкидывает сразу, Касперский то же при определенных ситуациях, удалял при работе zentimings.

pawnio не могу сказать, причину, не работал с ним. Но по аналогии с anticheat.sys блэк листом ,при работе с KMHSP защитой(kernel mode hardware stack protection). Есть нюанс работы в win11

На данный момент если включить режим KMHSP дополнительно с "изоляций памяти" и "заинсталлить" игру с античитом EAC, или просто использовать VBS и HCVI без KMHSP, всё отлично работает.

Но если вручную выключить KMHSP потом - перезагрузится, а потом попытаться включить снова, то не получится, прилетит ворнинг в "безопасность windows" c указанием службы EAC и её версии.

Потому что блэк лист отрабатывает судя по всему, не по версии .sys античита, которая уже обновилась в этом случае, а по версии службы в системе, которую считают не совместимой. Может тут что-то похожее. Чинится это просто - удаляется служба с .sys, из командной строки и её регистрация в системе вместе с папкой:

cd C:\Program Files (x86)\EasyAntiCheat_EOS

EasyAntiCheat_EOS.exe qa-factory-reset

далее удаляем папку C:\Program Files (x86)\EasyAntiCheat_EOS directory;
,и при включенных механизмах безопасности, инсталлируем заново, запускаем проверку целостности игры которая изначально прописала туда античит, запускаем потом заново, она регистрирует и заново создает службу+.sys в папке.

В вашем случае может просто служба слетела, не знаю., думаю с autoruns утилитой от Руссиновича можно посмотреть где и как прописан pawnio -его служба и драйвер, включая ветки реестра, глянуть там как прописана служба ,если стандартные средства деинсталляции не решают вопрос, и удалив это всё добро, после рестарта, заново попробовать PawnIO_setup.exe

Логов в Ос по этой службе нету?, если полностью выключить функции безопасности в Ос, Device Guard,а так же гипервизор?, работает в этом случае?

p.s, самый быстрый вариант проверить на скорую руку, вырубить блэк лист+ Local Security Authority (LSA) (локальная защита безопасности)

#77

Вообще эти оптимизации винды полная чушь, вырезать что-то там, я раньше тоже таким занимался, потом сыпались в журнале ошибки DCOM 1084 и какие-то лаги в системе, потому что в виндоус обращался к приложения которые удалили, но которые ему по прежнему нужны...

это пробовал... И реестр чистил от следов там мало следов, что хорошо, и прочее все - не, новая установка все так же. Комп сына, там античитов полно, скорее всего, не проверял, т.к. он в онлайнах посиживает. Но изоляция вся отключена, включая неподписанные драйверы. Сейчас почистил винду, и даже накатил 25Н2 Иии нет.
защита на уровне ядра где отключается? В биос?
Изи античит покопаю потом, спасибо. Возможно, тут еще из-за относительной свежести драйвера павн может быть косяк со старыми системами - тут 10900к стоит.
Логи пока не посмотрел, девайсгард давно на этой системе отключал, чекну еще раз.

ошибки в журнале лечатся, они и без "оптимизации" присутствуют... про лаги ОС - вот это реально чушь!

Если изоляция отключена и девайс гуард, то и KMHSP защита ядра, не работает. В биосе виртуализацию не нужно имхо трогать(но в целях диагностики, это самый быстрый вариант, одной кнопкой всё проверить).
На пк гляньте msinfo32 в cmd от админа, что включено по безопасности.
можно быстро чекнуть в PS терминале от админа: (Get-CimInstance -ClassName Win32_ComputerSystem).HypervisorPresent и если False то не работает, если True,
в cmd, bcdedit /set hypervisorlaunchtype off

Чекнуть в каком статусе Device Guard, что включено или нет и что поддерживается машиной, можно командной в PS:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Далее сверяете с вашими результаты по этим табличкам:

https://learn.microsoft.com/ru-ru/windo ... s=security

Альтернатива запуску msinfo32,можно в консоле, в ps: Get-ComputerInfo

пробовал кто?

Что за лаги? Почему у меня такого нет

Ребята, подскажите, пожалуйста, а что за баг такой странный с верхней строкой в окнах «Управления компьютером»? По-умолчанию не так выглядит: колонки в меню разделены, нет этого странного выделения серым цветом.

По умолчанию именно так и выглядит. Просто ты свой монитор или драйверы видеокарты настроил для вывода правильной палитры.