Virtualization-Based Security ausschalten in Kombination mit Windows Hello

The Overseer · Beitrag von **The Overseer** » 05.06.2025, 15:14

Hi,
ich habe folgendes Problem: Ich verwende Oracle VirtualBox, da gibt es aber massiver Probleme wenn man nicht Hyper-V und VBS deaktiviert.
Seit 2 Tagen habe ich nun herumgebastelt, bis es endlich klappte !
Allerdings geht jetzt WindowsHello nicht mehr

Das brauch ich aber um ins Firmennetz zu kommen.

Konkret hab ich in der Registry folgenden Eintrag:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\WindowsHello Enabled=0
Damit geht Hello Nicht, aber VBS ist deaktiviert und VirtualBox läuft.
Setze ich Enabled auf 1 ist es genau umgekehrt.

Hat jemand eine Idee, wie ich WindowsHello OHNE VBS zum laufen bringen könnte ?

System Dell Pro 14 Plus
Windows 11 Pro 10.0.26100

Beitrag von **Tante Google** » 05.06.2025, 15:14

Holgi · Beitrag von **Holgi** » 05.06.2025, 17:21

The Overseer hat geschrieben: 05.06.2025, 15:14 Ich verwende Oracle VirtualBox, da gibt es aber massiver Probleme wenn man nicht Hyper-V und VBS deaktiviert.

Heute selbst noch bei mir eine VM unter VirtualBox aufgesetzt und lief, obwohl Hyper-V ebenfalls installiert ist.
Daran kann es m.E. nicht liegen.
Ohne VBS wird der Eintrag DeviceGuard\Scenarios\WindowsHello automatisch auf Enabled=0 gesetzt, und Hello ist nicht verfügbar. Es gibt keine offizielle oder sichere Möglichkeit, Hello ohne VBS vollständig zu aktivieren.

DK2000 · Beitrag von **DK2000** » 05.06.2025, 18:03

Oracle selber empfiehlt, Hyper-V zu deaktivieren, da es zu Problemen kommen kann, besonders zu Performanceproblemen. Da Feature ist nach wie vor experimentell.

Ansonsten in der Windows Sicherheit "Kernelisolierung" deaktivieren. In der Registry geht das wohl über

Code: Alles auswählen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity]
"Enabled"=dword:00000000

Das sollte reichen. Ansonsten, wenn Hyper-V deaktiviert/deinstalliert ist, läuft VBS so ode so nicht. Hello funktioniert aber nach wie vor.

Holgi · Beitrag von **Holgi** » 05.06.2025, 20:09

@DK2000 hat natürlich Recht!:
meine Aussage bezog sich auf Hello for Business:
Für den vollen Funktionsumfang von Windows Hello for Business mit höchstem Schutzlevel ist VBS empfohlen oder erforderlich.

DK2000 · Beitrag von **DK2000** » 05.06.2025, 20:36

Ach so, ja, das kann sein. Hello for Business verwende ich da nicht. Wenn das allerdings VBS benötigt, dann wird das wohl nichts mit VirtualBox.

Gast · Beitrag von **Gast** » 05.06.2025, 20:39

Die Aussage ist so falsch.

Windows läuft grundsätzlich in einem von zwei Betriebsmodi:

"Normal": Windows läuft auf der realen Hardware des Computers und Software wie z.B. VirtualBox oder VMware kann ihrerseits ihren eigenen Hypervisor starten und unter diesem dann VMs laufen lassen. Da nichts virtualisiert ist, steht auf dem Host-System die volle Leistung zu Verfügung.
"Virtualisiert": Bereits beim Systemstart wird das komplette Windows System virtualisiert. Damit läuft sogar das Host-System immer in einer VM und auf virtueller Hardware (ganz großes Kino, wenn man z.B. Softwarelizenzen hat, die eine VM-Nutzung verbieten). Für Software wie z.B. VirtualBox oder VMware ist es dann unmöglich, selbst ihren Hypervisor zu starten, da Microsofts Hypervisor nur einen minimalen Funktionsumfang bietet und eine verschachtelte Virtualisierung nicht unterstützt. Die Leistung des Host-Systems leidet darunter erfreulicherweise nur minimal. (vergleichbar mit einer VM, die unter VirtualBox oder VMware auf realer Hardware läuft)

Die Virtualisierung ist immer aktiv, falls irgendeine der folgenden Komponenten aktiv ist:

Virtualisierungsbasierte Sicherheit
Kern-Isolierung
Hyper-V
Windows Subsystem für Linux
Container
Application Guard
Überwachter Host
VM-Plattform
Windows Hypervisor-Plattform
Windows-Sandbox

Dabei stellt "VM-Plattform" eine Schnittstelle bereit, die andere Virtualisierungssoftware (z.B. VirtualBox oder VMware) nutzen kann, um VMs zu starten. Diese erlaubt es allerdings nur VMs mit deutlichen Leistungseinbußen und reduzierten Features laufen zu lassen.

Ich kenne jetzt nicht die genauen Systemanforderungen für "Hello Business", aber möglicherweise wird dort auch automatisch die Virtualisierung aktiviert. In diesem Fall könntest du ebenfalls "VM-Plattform" aktivieren und damit (stark eingeschränkt) VirtualBox nutzen. Eine Alternative wäre natürlich auch die Erstellung benötigter VMs unter Hyper-V.

TheOverseer · Beitrag von **TheOverseer** » 06.06.2025, 07:44

Zum Thema Virtual Box hab ich wochenlang recherchiert, meine XP-VM läuft tatsächlich nicht mit Hyper-V bzw so langsam dass man nicht damit arbeiten kann.

Zum Thema Windows Hello - Auf meinem Hauptrechner (Desktop, gleiches Windows, allerdings wurde Hello nicht bei Installation des Rechners aktiviert, sondern erst nachträglich), läuft Hello ohne VBS. Da hab ich diesen Registry Eintrag
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\WindowsHello gar nicht.

Es muss also irgendeine Möglichkeit geben, das Hello so zu installieren wie auf dem Desktop, nur weiß ich nicht wie.
Kann man vielleicht Hello komplett deinstallieren und dann neu installieren ? Und zwar auf das System, wo ich das VBS schon deaktiviert habe ?