VBS в Windows 11 2025: Почему это убивает ваш FPS и как вернуть производительность 🎮🔥

Если ваш игровой компьютер с топовой видеокартой выдаёт меньше кадров, чем ожидалось, возможно, проблема не в «железе», а в одной скрытой функции Windows 11. Виртуализация на основе безопасности (VBS — Virtualization-Based Security) включена по умолчанию в новых установках системы и может «съедать» от 5% до 20% производительности в играх. Разработчики жалуются на падение минимальных FPS на 35%, а обычные пользователи недоумевают, куда пропали обещанные производителями кадры.

Сегодня разберёмся, что такое VBS на уровне гипервизора, почему Microsoft навязывает эту технологию и как грамотно отключить её без риска превратить систему в решето для вредоносного ПО ⚡

❤️ Канал существует исключительно за счёт поддержки сообщества. Если наши материалы были для Вас полезны, любая добровольная поддержка очень помогает продолжать работу 🙏

💰ПОДДЕРЖАТЬ КАНАЛ МОЖНО ТУТ ( ОТ 50 РУБЛЕЙ )💰

Или сделать любой перевод по ССЫЛКЕ или QR-коду через СБП. Быстро, безопасно и без комиссии. ( Александр Г. ) "Т.Е.Х.Н.О Windows & Linux".

Что такое VBS и зачем Microsoft встроила гипервизор в Windows 🤔

Virtualization-Based Security — это не просто очередная галочка в настройках безопасности. Это полноценный слой виртуализации, который загружается раньше операционной системы и создаёт изолированную среду выполнения для критически важных компонентов Windows. Представьте, что ваш компьютер запускает одновременно две операционные системы: обычную Windows в «ненадёжном» режиме (VTL0) и минималистичное безопасное ядро в привилегированном режиме (VTL1).​​

Microsoft внедряла VBS начиная с Windows 10, но в Windows 11 эта функция стала обязательной по умолчанию для всех новых установок, начиная с версии 22H2. В актуальной Windows 11 24H2 (выпущенной в конце 2024 года) VBS включается автоматически при чистой установке, и простое отключение «Целостности памяти» (Memory Integrity) часто не помогает — система оставляет гипервизор активным из-за зависимостей Windows Hello, Credential Guard и функции Hotpatching.​

Архитектура на уровне гипервизора: VTL0 vs VTL1

«Под капотом» VBS работает миниатюрный гипервизор на базе ядра Hyper-V, использующий аппаратные расширения виртуализации процессора (Intel VT-x или AMD-V) и Second Level Address Translation (SLAT). SLAT — это специальная таблица трансляции адресов на уровне процессора, позволяющая гипервизору контролировать доступ к физической памяти. Intel называет свою реализацию Extended Page Tables (EPT), а AMD — Nested Page Tables (NPT).​

Когда Windows загружается с VBS, система разделяется на два виртуальных уровня доверия (Virtual Trust Levels):​

• VTL0 (Normal World) — здесь работает стандартное ядро Windows (ntoskrnl.exe), все пользовательские приложения, игры, драйверы и даже антивирусы. Этот уровень считается потенциально скомпрометированным, поэтому ему запрещён прямой доступ к защищённой памяти 🛡️
• VTL1 (Secure World) — изолированная среда, где выполняется Secure Kernel (securekernel.exe) и доверенные процессы в режиме Isolated User Mode (IUM). Здесь хранятся учётные данные (Credential Guard), политики целостности кода (HVCI), ключи шифрования и критические структуры данных Windows.​

Гипервизор управляет переключением между VTL через механизм VMCS (Virtual Machine Control Structure) на процессорах Intel. При каждом переходе из VTL0 в VTL1 процессор очищает регистры, чтобы предотвратить утечку данных из защищённой среды в ненадёжную.​

Ключевые компоненты VBS и их назначение 🔐

VBS — это не монолитная технология, а набор взаимосвязанных механизмов защиты. Разберём каждый из них подробнее.

HVCI (Hypervisor-Enforced Code Integrity) — Memory Integrity

HVCI, известный в интерфейсе «Безопасность Windows» как «Целостность памяти», работает в изолированной VTL1 и проверяет цифровые подписи всех драйверов до их загрузки в ядро. Без HVCI подписанный, но уязвимый драйвер может изменить таблицы страниц памяти (PTE) и выполнить произвольный код. С HVCI гипервизор контролирует второй уровень трансляции адресов (EPT/NPT), и даже если злоумышленник получит контроль над ядром Windows, он не сможет сделать страницу одновременно записываемой и исполняемой (W^X protection).​

Проблема в том, что HVCI добавляет накладные расходы на каждую операцию с памятью в режиме ядра. Процессору приходится синхронизировать две таблицы трансляции адресов — системную (PTE) и гипервизорную (EPT). На старых процессорах без аппаратной поддержки MBEC это вызывает падение производительности до 40%.​

MBEC (Mode Based Execution Control) — аппаратный ускоритель для HVCI

Mode Based Execution Control — это расширение набора команд процессора, позволяющее гипервизору различать исполнение кода в режиме ядра и пользовательском режиме на уровне EPT. До появления MBEC гипервизору приходилось эмулировать эту функцию, что создавало огромные накладные расходы.​

MBEC появился в процессорах Intel 7-го поколения (Kaby Lake) и AMD Zen 2. У AMD эта технология называется GMET (Guest Mode Execute Trap). Microsoft установила жёсткие требования к «железу» для Windows 11 именно из-за MBEC — на процессорах Intel 8-го поколения и новее (а также AMD Zen 2+) HVCI работает с умеренным влиянием на производительность (около 4–5%), тогда как на старых ЦП потери катастрофичны.​

В официальном списке поддерживаемых процессоров для Windows 11 24H2 по-прежнему отсутствуют Intel 7-го поколения (за редким исключением), хотя они технически поддерживают MBEC. Сообщество энтузиастов видит в этом маркетинговый ход для стимулирования продаж новых ПК 🤷‍♂️

Credential Guard — защита от атак Pass-the-Hash

Credential Guard изолирует процесс LSASS (Local Security Authority Subsystem Service), хранящий хеши паролей NTLM и билеты Kerberos. В обычной Windows злоумышленник с правами администратора может сделать дамп памяти LSASS утилитой вроде Mimikatz и извлечь учётные данные.​

С Credential Guard процесс LSASS разделяется: обычный lsass.exe остаётся в VTL0, а изолированный LSAIso.exe (LSA Isolated) работает в VTL1. Даже имея права SYSTEM, злоумышленник физически не может прочитать память LSAIso — гипервизор блокирует доступ на уровне SLAT.​

В версии 24H2 Credential Guard не использует UEFI Lock по умолчанию, что позволяет администраторам отключать его через реестр без физического присутствия у консоли, но он по-прежнему активируется автоматически на поддерживаемом оборудовании.​

Kernel Data Protection (KDP) — память «только для чтения»

KDP предоставляет API для драйверов, позволяя помечать участки памяти ядра как read-only и защищать их через VTL1. Например, структуры политик Code Integrity хранятся в защищённой памяти, и даже подписанный драйвер с уязвимостью не сможет их модифицировать. Любая попытка записи в защищённую страницу перехватывается гипервизором и блокируется.​

Application Guard — изоляция браузера и Office

Microsoft Defender Application Guard запускает Edge (или приложения Office 365) в отдельном легковесном контейнере Hyper-V. Если пользователь открывает вредоносный сайт или документ, весь код исполняется внутри «песочницы». Даже успешная эксплуатация 0-day уязвимости не приведёт к компрометации основной системы. Это решение ориентировано в первую очередь на корпоративный сектор.​​

Почему VBS убивает производительность в играх 🎮💔

Бенчмарки не лгут. Тесты на RTX 4090 в связке с Intel Core i9-13900K и i9-14900K зафиксировали падение производительности до 10% по среднему FPS и до 15% по редким событиям (1% lows) при включённом VBS. Самые пострадавшие проекты — Microsoft Flight Simulator (–10% avg, –15% lows), Far Cry 6, Cyberpunk 2077.​

Другие источники сообщают о потерях от 5% до 25% в зависимости от игры и конфигурации. В соревновательных шутерах, таких как Counter-Strike 2 и Rainbow Six Siege, падение отзывчивости системы ощущается острее всего.​​

Почему так происходит?

1. Накладные расходы гипервизора. Даже современные процессоры тратят такты на переключение контекста (World Switch) между VTL0 и VTL1.
2. Снижение утилизации GPU. Исследователи обнаружили, что при активном VBS видеокарты часто недогружены, так как ожидают данных от центрального процессора, занятого обслуживанием виртуализации.​
3. Падение минимальных FPS. VBS сильнее всего бьёт по стабильности фреймтайма. В моменты пиковой нагрузки на CPU (физика, AI) гипервизор может выполнять проверки целостности, вызывая микрофризы (stuttering).​​

Конкретные примеры на разных видеокартах

На видеокартах среднего сегмента, таких как RTX 4070 или RX 7800 XT, разница в процентах может быть даже заметнее, так как упор в производительность процессора (CPU bottleneck) наступает раньше.​

Для AMD Radeon RX 7900 XTX ситуация аналогична: в сценариях, зависимых от процессора, VBS «съедает» 5–10%. Процессоры AMD Ryzen с 3D V-Cache (5800X3D, 7800X3D, 9800X3D) показывают лучшие результаты благодаря огромному L3-кэшу, который частично нивелирует задержки доступа к памяти, но влияние VBS всё равно сохраняется.​

Отключение VBS критически важно для мониторов с высокой частотой обновления (144 Гц, 240 Гц, 360 Гц), где каждый кадр на счету ⚡

Канал «Каморка Программиста» — это простые разборы программирования, языков, фреймворков и веб-дизайна. Всё для новичков и профессионалов.

Присоединяйся прямо сейчас.

Пошаговая инструкция по отключению VBS ⚙️

Отключение VBS — это многоступенчатый процесс. Microsoft разбила функцию на несколько компонентов, и простого тумблера «Выкл» часто недостаточно.

Шаг 1: Проверка текущего статуса VBS 🔎

1. Нажмите Win + R, введите msinfo32 и нажмите Enter.
2. Прокрутите список до строки «Безопасность на основе виртуализации» (Virtualization-based security).
3. Если указано «Выполняется» (Running), значит, VBS активен.​

Также можно проверить через PowerShell (от администратора):

Get-WmiObject -Namespace root\Microsoft\Windows\DeviceGuard -Class Win32_DeviceGuard

Если VirtualizationBasedSecurityStatus равен 2, защита включена.​

Шаг 2: Отключение Целостности памяти (HVCI) 🛠️

1. Откройте Параметры → Конфиденциальность и защита → Безопасность Windows.
2. Перейдите в раздел Безопасность устройства → Сведения об изоляции ядра.
3. Переключите Целостность памяти в положение Выкл.
4. Перезагрузите ПК и снова проверьте msinfo32.​​

Если статус всё ещё «Выполняется», переходим к «тяжёлой артиллерии».

Шаг 3: Редактирование реестра 📝

Windows 11 24H2 удерживает VBS активным ради Credential Guard и Windows Hello.

• Нажмите Win + R, введите regedit.
• Перейдите по пути:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
• Найдите параметр EnableVirtualizationBasedSecurity, установите значение 0.​​
• Там же установите RequirePlatformSecurityFeatures в 0.
• Перейдите в:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
• Установите Enabled в 0.​
• Для отключения зависимостей Windows Hello перейдите в:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard
• И установите Enabled в 0.​

Шаг 4: Команда bcdedit — отключаем гипервизор 🚀

Самый действенный метод — запретить загрузку гипервизора на уровне загрузчика.

1. Запустите Командную строку или PowerShell от имени администратора.
2. Введите команду: bcdedit /set hypervisorlaunchtype off Эта команда отключает Hyper-V и все зависимые технологии (VBS, WSL2, Windows Sandbox).​
3. Перезагрузите компьютер.
4. Проверьте msinfo32. Теперь статус должен быть «Не включено» (Not enabled).​

⚠️ Внимание: После выполнения этой команды перестанут работать WSL2 (Linux внутри Windows), Docker Desktop (на бэкенде WSL2), эмуляторы Android и песочница Windows Sandbox.

Шаг 5: Отключение компонентов Windows (опционально) 🔧

1. Откройте Панель управления → Программы и компоненты → Включение или отключение компонентов Windows.
2. Снимите галочки с:
3. Платформа виртуальной машины (Virtual Machine Platform)
4. Платформа низкоуровневой оболочки Windows (Windows Hypervisor Platform)
5. Microsoft Defender Application Guard
6. Нажмите ОК и перезагрузитесь.​

Шаг 6: Настройки BIOS/UEFI (крайняя мера) 🖥️

Если программные методы не помогли, можно отключить виртуализацию аппаратно.

1. Зайдите в BIOS (F2/Del при загрузке).
2. Найдите раздел CPU Configuration / Advanced.
3. Отключите Intel Virtualization Technology (VT-x) или AMD SVM Mode.
4. Сохраните настройки.

⚠️ Осторожно: Это сделает невозможным запуск любых виртуальных машин (VirtualBox, VMware) даже в 32-битном режиме на некоторых системах. Рекомендуется использовать программный метод через bcdedit.​​

Как восстановить VBS при необходимости 🔄

Если вам потребуется вернуть защиту (например, для работы корпоративного софта), это делается просто.

Быстрый метод через bcdedit:

1. Запустите CMD от администратора.
2. Введите:textbcdedit /set hypervisorlaunchtype auto
3. Перезагрузите ПК.
4. Включите «Целостность памяти» в настройках безопасности.​

Риски и безопасность: что вы теряете 🛡️⚠️

VBS — это не маркетинг, а реальная защита. Отключая её, вы принимаете на себя определённые риски.

1. Уязвимость к атакам Pass-the-Hash. Без Credential Guard вредоносное ПО с правами админа может извлечь хеши паролей из памяти и использовать их для доступа к другим ресурсам сети.​
2. Драйверы с уязвимостями (BYOVD). Без HVCI злоумышленники могут использовать легальные, но дырявые драйверы (например, от старых античитов) для загрузки кода в ядро системы.​
3. Вредоносное ПО в анклавах. Парадоксально, но исследователи находили способы использовать сами механизмы VBS для скрытия малвари, однако Microsoft оперативно закрывает такие дыры (например, CVE-2024-49706).​
4. Hotpatching. В Windows 11 Enterprise 24H2 функция установки обновлений без перезагрузки работает только при включённом VBS.​

Юридический аспект (РФ):

Для организаций, подпадающих под действие 187-ФЗ (КИИ) или работающих с персональными данными, отключение встроенных механизмов защиты может привести к несоответствию требованиям регуляторов (ФСТЭК). Если это ваш рабочий ПК, проконсультируйтесь с ИБ-отделом 🏛️.

Контрмеры и альтернативы 🛡️💡

Если вы всё же решили отключить VBS ради FPS:

• Используйте Smart App Control (SAC) или WDAC. Эти технологии контролируют запуск приложений на основе репутации и политик, работая даже без гипервизора (хотя с ним надёжнее).​
• Скрипт переключения. Создайте два .bat файла для переключения режима перед игрой:
• GameMode.bat: bcdedit /set hypervisorlaunchtype off + shutdown /r /t 0
• WorkMode.bat: bcdedit /set hypervisorlaunchtype auto + shutdown /r /t 0
• Да, нужна перезагрузка, но это лучший компромисс ⚖️.
• Гигиена ПО. Не качайте пиратский софт и драйверы из сомнительных источников. Обновляйте систему.

Типичные ошибки и диагностика 🐛🔍

• Ошибка: «Не удаётся открыть хранилище данных конфигурации загрузки» при вводе bcdedit.
• Решение: Вы забыли запустить CMD от имени администратора.​
• Ошибка: VMware/VirtualBox не запускает 64-битные машины.
• Решение: Вы отключили гипервизор. В настройках виртуальной машины включите использование программной виртуализации или верните гипервизор в режим auto.​
• Ошибка: Перестал работать PIN-код или отпечаток пальца.
• Решение: Windows Hello тесно связан с VBS. Вам придётся перенастроить PIN-код после отключения защиты или сбросить биометрию.​

Производительность: конкретные цифры 📊🎯

Сводные данные на конец 2025 года:

• Counter-Strike 2: +18% средний FPS, +13% редкие события (1% lows).​
• Microsoft Flight Simulator: +10–12% производительности, значительное уменьшение статтеров.​
• Rainbow Six Siege: Прирост до 20% (со 144 до 175+ кадров).​​
• Cyberpunk 2077: +5% в среднем, но интерфейс и меню становятся отзывчивее.​

Вывод: Если вы играете в разрешении 1080p/1440p на мониторе с высокой частотой обновления, отключение VBS даст ощутимый буст. В 4K на ультра-настройках разница будет минимальной (1–3%), так как «бутылочным горлышком» станет видеокарта 🎯.

Чек-лист перед отключением ✅

1. Создайте точку восстановления системы.
2. Убедитесь, что вам не нужны прямо сейчас: WSL2, Docker, Sandbox, Hyper-V.
3. Проверьте, что у вас есть права администратора.
4. Вы готовы пожертвовать безопасностью Credential Guard ради FPS.
5. Скачали свежие драйверы на видеокарту с официального сайта.

FAQ — Часто задаваемые вопросы 💬

Вопрос 1: Влияет ли VBS на SSD?

Прямого влияния на скорость линейного чтения нет, но на случайные операции (4K random read/write) может быть незначительное влияние из-за накладных расходов CPU на обработку прерываний.

Вопрос 2: Мой антивирус ругается, что изоляция ядра отключена.

Это нормально. Антивирус предупреждает о снижении уровня безопасности. Если вы осознанно это сделали — игнорируйте предупреждение.

Вопрос 3: Windows 11 сама включит VBS обратно?

Крупные обновления (например, 25H2 или feature updates) могут сбросить настройки bcdedit и реестра. Рекомендуется проверять статус VBS после апдейтов системы 📦.

Вопрос 4: Работает ли это на Windows 10?

Да, механика VBS в Windows 10 идентична, но там она реже включена по умолчанию. Инструкции по отключению полностью подходят.

Вопрос 5: Что насчёт античитов (EAC, BattlEye)?

Большинство современных античитов нормально работают как с VBS, так и без него. Однако некоторые старые версии могут конфликтовать с HVCI. В таком случае отключение VBS даже обязательно для запуска игры 🎮.

Заключение 🎬

Virtualization-Based Security — это мощный шаг вперёд в безопасности ОС. Концепция Secured-core PC реально усложняет жизнь хакерам. Но для геймеров и энтузиастов, борющихся за каждый кадр и миллисекунду задержки, VBS остаётся «тормозом» прогресса.​

Выбор за вами: абсолютная безопасность или максимальная производительность. Windows 11 даёт инструменты для управления этим — пользуйтесь ими с умом 🧠💡.

Подписывайтесь на T.E.X.H.O Windows & Linux, чтобы не пропустить новые гайды по оптимизации, разборы Windows Internals и секреты DevOps. Мы держим руку на пульсе технологий! 🚀🔥

#Windows11 #VBS #VirtualizationBasedSecurity #HVCI #MemoryIntegrity #CredentialGuard #FPSBoost #ОптимизацияИгр #WindowsOptimization #TechGuide #DevOps #SysAdmin #PCGaming #CyberSecurity #HyperV #Windows24H2 #Microsoft #Hardware #PerformanceTweak #ОтключениеVBS #WindowsInternals #ITCommunity #Руководство #НастройкаПК #TexhoWindowsLinux #Гейминг #Безопасность #Софт #Железо #Технологии2025