So funktionieren isolierte Prozesse und Treiber in Windows 10/11
Mit Erscheinen von Windows 10 führte Microsoft die "Virtualization-based Security" (VBS) ein. Diese trennt laufende Prozesse untereinander, sodass Malware nur noch wenig Schaden anrichten kann.
Virtualization-based Security (VBS) trennt laufende Prozesse und Treiber voneinander, sodass Viren und Malware nicht auf andere Prozesse zugreifen und von dort Daten stehlen können. Jeder einzelne Treiber, jeder einzelne Prozess und jeder einzelne Dienst läuft in einer vom Rest der Welt isolierten, virtuellen Maschine. Diese Funktion der virtualisierungsbasierten Sicherheit ist die Grundlage für eine Reihe von sicherheitsrelevanten Features in Windows 10 und 11.
Schauen Sie sich dazu die Einstellungen unter "Datenschutz und Sicherheit - Windows-Sicherheit - Gerätesicherheit" in dem Punkt "Kernisolierung" an. Bei den "Details zur Kernisolierung" erreichen Sie die Funktionen "Speicher-Integrität" sowie "Microsoft Defender Credential Guard".
Die Speicher-Integrität wird in der Windows-Dokumentation als "Hypervisor Protected Code Integrity" bezeichnet, abgekürzt als HVCI. Diese Funktion soll bei der Ausführung von Gerätetreibern für zusätzliche Sicherheit sorgen. Mithilfe einer Virtualisierungsfunktion des Prozessors wird eine virtuelle Umgebung eingerichtet, damit der Datenaustausch zwischen Hardware und Treiber gegen Manipulationen von außen geschützt wird.
Sobald der Schalter der "Speicher-Integrität" ausgeschaltet ist, heißt dies in der Regel, dass Windows mindestens einen inkompatiblen Treiber gefunden hat. Wenn nun testweise dieser Schalter auf "Ein" gestellt wird, erscheint eine weitere Option "Inkompatible Treiber überprüfen". Aus der Angabe des Herstellers oder des Dateinamens der dort aufgelisteten Treiber können meist Rückschlüsse auf das jeweilige Gerät und den Treiber geschlossen werden. Nun sollte man prüfen, ob für die Treibersoftware ein Update verfügbar ist, welches die Virtualisierungsfunktion unterstützt.
Sie sollten jedoch keineswegs versuchen, die als inkompatibel angezeigten Treiber zu löschen! Dies kann dazu führen, dass das Windows-Betriebssystem anschließend nicht mehr funktionsfähig ist. Inkompatibel bedeutet hier nicht, dass der jeweilige Treiber nicht lauffähig wäre. Er kann nur nicht in einer sicheren virtualisierten Umgebung ausgeführt werden.
HVCI gehört neben TPM 2.0 und einigen UEFI-Features zur VBS unter Windows 11. Im Grunde sind diese Techniken nichts Neues, denn diese Schutzmechanismen gab es bereits in Windows 8. Mit der aktuellen Windows-Version haben VBS und HVCI jedoch an Bekanntheit gewonnen, denn es handelt sich um Features, welche erst von neueren CPU-Generationen wie dem AMD Ryzen ab 2000 und dem Intel Core ab Version 8 vollständig unterstützt werden.
Die Funktion "Microsoft Defender Credential Guard" erzeugt ebenfalls eine virtuelle Umgebung. Diese dient u. a. dazu, die Übermittlung von Login-Daten vor dem Ausspähen von Hackern zu schützen, die versuchen, über das Netzwerk Zugang zum System zu erlangen.
Auf manchen Systemen und unter bestimmten Voraussetzungen taucht im Bereich "Kernisolierung" auch die Option "Microsoft-Sperrliste gefährdeter Treiber" auf. Diese bewirkt, dass bekannte Treiber, die Sicherheitslücken in sich bergen, blockiert werden. Diese Funktion hat jedoch nichts mit der VBS-Virtualisierung zu tun, sondern ist lediglich ein weiteres Sicherheits-Feature.