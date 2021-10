Windows 11 jsou na trhu teprve dva týdny, ale internetem již otřásají dvě kauzy, podle nichž je systém výrazně pomalejší než Windows 10. Resp. aplikace a hry v Desítkách běží na stejném hardwaru citelně rychleji. Recenze Windows 11. Microsoft nás opíjí rohlíkem a omezuje použitelnost Média oba problémy občas zaměňují, avšak týkají se jiných záležitostí. První z nich postihuje počítače s procesory od AMD, druhý pak teoreticky všechna PC. O co tedy jde? Chabá optimalizace pro AMD Když Jedenáctky vyšly, AMD veřejnost varovalo, že v novém systému může dojít k výkonnostnímu poklesu. Windows 11 neumí dobře pracovat s vyrovnávací pamětí třetí úrovně (L3 cache), a tak hry či aplikace citlivé na výkon paměťového subsystému mohou zaznamenat 3–5% zhoršení oproti Windows 10, u esportových her pak 10–15%. V systému také není plánovač optimalizovaný pro funkci UEFI CPPC2 (collaborative power and performance control), kterou AMD uvedlo spolu s architekturou Zen 2 a která se stará o to, aby náročné úlohy běžely na těch nejrychlejších jádrech. Ta totiž nejsou rovnocenná, některá mohou dosahovat vyšších maximálních i průměrných frekvencí než jiná.

Optimalizace pro AMD, které přišly ve Windows 10, zatím ve Windows 11 chybí (zdroj: AMD) AMD říká, že si uživatelé mohou všimnout zpomalení především u procesorů s osmi a více jádry, TDP nad 65 W a hlavně v aplikacích, které využijí jedno nebo jen málo vláken. To se opět týká hlavně her, které s paralelizací procesů neumí moc dobře pracovat. Microsoft už tento týden vydal opravu Windows 11, ale ta paradoxně výkon ještě zhoršila. S AMD už ale chystá definitivní záplatu, která problém s L3 cache i plánovačem vyřeší, k dispozici by měla být ještě v říjnu. Magazín Tom's Hardware mezitím otestoval počítač s Windows 10 a 11 (s čerstvou „opravou“) běžící na dvanáctijádrovém Ryzenu 9 5900X a zjistil, že latence L3 mohou být v Jedenáctkách až pětkrát vyšší a propustnost této paměti až dvanáctkrát nižší. V praxi takové poklesy nenaměřili, protože jsou výpočty závislé i na jiných okolnostech. Zaznamenali ale několik propadů ve snímkové frekvenci v řádu jednotek procent, nejvíce to bylo u závodní hry Project Cars 3, kde se výkon ve Windows 11 snížil o 7,3 %. Autoři měřeli hru v rozlišení 1080p na grafice GeForce RTX 3090, aby úzkým hrdlem nebylo GPU, ale právě procesor.

Extrémní příklad rozdílu výkonů mezi Windows 10 a 11. Jedenáctky měly ve hře Project Cars 3 o 7,3 % nižší snímkovou frekvenci u procesoru Ryzen 9 5900X (zdroj: Tom's Hardware) Nutno podotknout, že v některých hrách jako Shadow of the Tomb Raider nebo Red Dead Redemption 2 byl výkon ve Windows 11 naopak lehce vyšší. U konkurenčního procesoru Core i7-11700K nebyly výkyvy prakticky žádné. Na celé věci je paradoxní to, že v minulosti nevyužívaly potenciál procesorů od AMD ani Windows 10 (na rozdíl od Linuxu), ale později došlo k několika optimalizacím, které zvýšily výkon. A teď Microsoft tyto optimalizace nedokázal nebo zapomněl přenést do nového systému. Můžeme jen doufat, že to nebyl záměr. Brzy totiž mají přijít na trh nové procesory Intel Alder Lake, které si na Ryzeny brousí zuby a které už ve spolupráci s Microsoftem dostaly zvýšenou péči i na straně operačního systému. V soutěži „Miss CPU“ hraje roli každé procento a srovnávání výkonu Intelu a AMD na Windows 11 by za současné situace nebylo fér.

Vyšší bezpečnost na úkor výkonu V naší recenzi na Windows 11 jste si mohli přečíst, že Microsoft vyměnil použitelnost za hezký vzhled. Jenže v Jedenáctkách provedl i jeden „barter“, který ale není tolik vidět. Firma slibuje vyšší bezpečnost a odolnost systém, ale daní je snížený výkon. První testy ukázaly, že v novém systému může výkon klesnou až o čtvrtinu. Podle dalších je ale vliv nižší až žádný. A hlavně se ukázalo, že nejde o univerzální pravidlo. Microsoft dopředu avizoval, že ve Windows 11 může nepatrně klesnout výkon. Pak přišla společnost UL benchmarks vyvíjející testovací nástroje (mj. 3DMark nebo PCMark) s vyjádřením, že výkon opravdu může být nižší, takže naměřené výsledky nebudou vzájemně porovnatelné.

Herní výkon Windows 11 s aktivní technologií VBS klesá údajně až o čtvrtinu (zdroj: PC Gamer) Téma číslo jedna z toho udělal až prvotní test Jedenáctek provedený magazínem PC Gamer. Podle něj totiž Windows 11 se zapnutou ochranou zpomalily hry jako Shadow of the Tomb Raider, Metro Exodus nebo Horizon Zero Dawn v průměru o 25 %. To byly titulky! Realita ale může být jiná, viz další kapitoly.

Virtualization Based Security Za výrazný propad výkonu může technologie VBS, Virtualization Based Security. Windows obsahují ochranu využívající hardwarovou virtualizaci pomocí hypervizoru Hyper-V, který umí v paměti oddělit důležité systémové části od ostatních aplikací (typicky malwaru). Dosud tato ochrana bránila tomu, aby se navzájem ovlivňovaly dva a více virtuálních počítačů běžících na jednom fyzickém PC. VBS ale stejným způsobem izoluje procesy i na jednom systému. VBS vytváří kontejnerové prostředí zvané VSM (Virtual Secure Mode), v němž běží služby pro ochranu přihlašovacích údajů (LSA, Local Security Authority), integrity jádra (KMCI, kernel mode code integrity) a integrity hypervizoru (HVCI, hypervisor-protected code integrity).

VBS ve Windows 10/11 umí oddělit důležité sytémové části od ostatních aplikací (zdroj: Microsoft) Funkce HVCI, kterou Microsoft ve Windows označuje jako Integrita paměti (Memory Integrity) brání tomu, aby podvržený ovladač nebo zákeřná aplikace ohrozily jádro či důležité systémové procesy. Aktivní funkce by například měla zabránit ransomwaru v šifrování/uzamčení dat. A je to právě tato funkce, která je největším žroutem procesorového výkonu. Avšak nové procesory (Core 7. generace, Zen 2 a vybravené Snapdragony) přinesly rozšíření, která ono ověřování umí urychlit. V případě Intelu se jmenují MBEC (Mode-based execute control for EPT), u AMD je to GMET (Guest-mode execute trap for NPT a Qualcomm používá TTS2UXN (Translation table stage 2 Unprivileged Execute-never). Díky nim by zapnutí HVCI alias Integrity paměti mělo mít jen zanedbatelný efekt na výkon počítače. Je důležité pamatovat na to, že v systému může být aktivní VBS, ale nemusí být zapnutá funkce HVCI. Naopak HVCI bez VBS (logicky) nefunguje. Česká i zahraniční média v tom někdy dělají zmatek.

Ochrana není standardně aktivní VBS i HVCI byly součástí již Windows 10, avšak nebyly standardně aktivní, alespoň ne všude. Microsoft v roce 2019 řekl, že s OEM výrobci řeší, kde by funkce zapnul ve výchozí instalaci, podle všeho se tak stalo jen u vybraných počítačů s Windows 10 Enterprise. Ostatně na podnikové počítače, odkud by někdo mohl ukradnout citlivá data (či je smazat), je ochrana pomocí virtualizace cílená primárně. Sám Microsoft už ochranu zapíná na novějších Surfacech. Test Microsoft Surface Pro 7+: Stále dobře vypadá i funguje, ale už je to trochu nuda Ve Windows 11 by však počet počítačů s aktivními VBS a HVCI mohl citelně vzrůst. Microsoft totiž na blogu uvádí, že většina počítačů uvedených v příštím roce budou mít tuto ochranu aktivní. V dokumentaci pak píše, že HVCI (a logicky i VBS) budou standardně zapnuté u počítačů odpovídající těmto specifikacím: CPU: Intel Core 11. generace a novější, AMD Zen 2 a novější, Snapdragon 8180 a novější RAM: 8 GB a více úložiště: 64GB SSD a větší v BIOSU musí být zapnutá podpora virtualizace a všechny ovladače musí být kompatibilní s HVCI Firma však má i několik výjimek: Ochrana se nezapne u počítačů upgradovaných z Windows 10, které ji mají vypnutou, ale jen u čistých instalací. Na procesorech od Intelu je aktivace jen doporučená, rozhodnutí bude na výrobcích PC. V Číně a Koreji se funkce rovněž nebude zapínat, prý kvůli nekompatibilitě s anti-cheatovacími systémy ve hrách.

: Intel Core 11. generace a novější, AMD Zen 2 a novější, Snapdragon 8180 a novější RAM: 8 GB a více

8 GB a více úložiště: 64GB SSD a větší

64GB SSD a větší v BIOSU musí být zapnutá podpora virtualizace a všechny ovladače musí být kompatibilní s HVCI Firma však má i několik výjimek: Ochrana se nezapne u počítačů upgradovaných z Windows 10, které ji mají vypnutou, ale jen u čistých instalací.

Na procesorech od Intelu je aktivace jen doporučená, rozhodnutí bude na výrobcích PC.

V Číně a Koreji se funkce rovněž nebude zapínat, prý kvůli nekompatibilitě s anti-cheatovacími systémy ve hrách.

Microsoft navíc nechá na výrobcích i rozhodnutí, jestli HVCI (ale už ne VBS) vypnout u počítačů, u kterých je primární výkon. Jmenuje přitom zrovna herní mašiny. Výsledkem tedy je, že uživatele přecházející přímo z Desítek by nemělo čekat žádný nepříjemné překvapení. Ti s čistou instalací ale asi také mohou zůstat v klidu. Osobně mám plně kompatibilní počítač a ve Windows 11 se mi HVCI nezapnulo. A totéž potvrzují i zkušenosti ze světa. A i kdyby se funkce aktivovala, je možné ji zpětně vypnout. To ostatně budou lidé dělat i v případě, že chtějí používat virtuální počítače jako VMWare nebo VirtualBox. Tím, že si hypervizor uzurpuje přímo operační systém, se k němu už nedostanou jiné aplikace, a budou tak hlásit problém.

Jak poznat, jestli VBS a HVCI jsou aktivní? Ve Windows 10 nebo 11 stiskněte Win+R, zadejte msinfo32.exe a dejte Enter. Pokud v řádku Zabezpečení založené na virtualizaci máte Nepovolené, není aktivní VBS, a tím pádem ani HVCI. Je-li Povolené, budou v následujících řádcích uvedeny i služby, které VBS využívají. Tedy možná i HVCI. Pokud je HVCI aktivní, poznáte to i podle toho, že ve Startu vyhledáte a spustíte položku Izolace jádra a na stránce bude zapnutá funkce Integrita paměti. Přepínačem a následným restartem je možné HVCI vypnout, byť SVB zůstane nadále aktivní.

Aktivní Integrita paměti (HVCI) ve Windows 11 Pokud máte administrátorská práva, pak HVCI i VBS můžete vypnout v Editoru registru (Regedit.exe). HVCI se vypne v nastavení HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity , kde položce Enabled přiřadíte hodnotu 0.

VBS se pak nachází v nastavení HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard, kde položce EnableVirtualizationBasedSecurity přiřadíte hodnotu 0. Drastičtější metodou může být to, že rovnou zrušíte hypervizor Hyper-V. Stačí tuto položku odškrtnout v nastavení Zapnout nebo vypnout funkce systému Windows, k níž se dostanete přes Start. Ještě účinnější bude vypnout hardwarovou virtualizaci přímo v BIOSu počítače, stačí hledat a deaktivovat položky jako Intel VT-X nebo AMD-V, které se budou nacházet někde u nastavení procesoru. Ale tím se připravíte i o možnost používat jiné virtualizační nástroje jako třeba již zmíněný VirtualBox. Důležité odkazy na webu Microsoftu: Co je VBS? Co je HVCI? Nápověda k funkcím Izolace jádra (VBS) a Integrita paměti (HVCI)

Co je HVCI?

