VirtualBox 7 auf Lenovo X1 unter Windows11 Pro green turtle / grüne Schildkröte icon vorhanden

Allgemeine Diskussionen über den Einsatz von VirtualBox.
Post Reply
oradix
Posts: 6
Joined: 3. Mar 2023, 10:09

VirtualBox 7 auf Lenovo X1 unter Windows11 Pro green turtle / grüne Schildkröte icon vorhanden

Post by oradix »

Hallo zusammen,

ich habe ein Problem mit der Installation und sauberem Betrieb von VirtualBox auf einem neuen lenovo X1 Notebook.

Es wurden zwei neue Rechner angeschafft ein Fujitsu U7312 und ein Lenovo X1 Carbon Gen.10.
Beide sind relativ neu.
Beide haben Windows11 Pro (vom Werk aus). Version 10.0.222621 Build22621 (aus msinfo32 ausgelesen). An reinem Windows kann es also auch alleine nicht liegen.
VirtualBox ist auf Beiden 7.0.4.
Unterschied:
Processor bei beiden i7, jedoch in Lenovo i7-1265U und in Fujitsu i7-1270P. Denke nicht dass es an Prozessorarchitektur liegt, aber besser erwähnen!

Auf dem Fujitsu habe ich geschafft Hyper-V auszuschalten, Secure boot in BIOS aus und im Defender Kernisolierung Speicher-Integrietät auf aus gesetzt.
Mehr war nicht notwendig. Hat super geklappt. Grüne Kröte ist nach Reboot des Laptops und dem Start einer VM in VirtualBox nicht zu sehen.

(Nebenhergemerkt auf einem Lenovo X270 mit Win10 ist Secure Boot im BIOS enabled und trotzdem gibt es keine Kröte in VirtualBox)!

Jetzt das Problem auf dem nagelneuen Lenovo X1 Carbon Gen 10.

Hyper-V Sachen habe ich sofort nach dem Patchen disabled (und gefühlt noch mindestens 100 Mal danach).
Als Administrator in cmd folgendes gemacht:

Code: Select all

dism /Online /Disable-Feature /FeatureName:Microsoft-Hyper-V-All
dism /Online /Disable-Feature:Microsoft-Hyper-V
dism /Online /Disable-Feature:VM-Platform  

bcdedit /set hypervisorlaunchtype off
dism /Online /Disable-Feature:Microsoft-Hyper-V

In Programmen und Features gecheckt und es ist Hyper-V, Sandbox, VM-Platform, Hypervisor, Subsystem für Linux alles nicht angeklickt!

- Kernisolierung in Defender: Speicher-Integrität auf aus

- BIOS
-- Levovo VTT und VT-d sind enabled
-- Secure Boot ist disabled

- Ausschalten Defender Credential Guard sowohl im Tool als auh in regedit mehrmals durchgeführt.

Sogar das hier als Administrator durchgeführt wie es bei Microsoft unter "...credential-guard/credential-guard-manage" Seite zu lesen ist:

Code: Select all

mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d        
Die zwei habe ich auch manuell in regedit auf 0 gesetzt:

Code: Select all

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

Ich habe auch das als hier in Forum empfohlene Vorgehen als Administrator in cmd versucht:

Code: Select all

bcdedit /set hypervisorlaunchtype off
shutdown -s -t 2
Es hat nichts geholfen!


Letzter check aktueller Registry Inhalt:

Code: Select all

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\EnableVirtualizationBasedSecurity = 0

Das Schlimme in msinfo32 des Lenoov X1 steht, obwohl Hyper-V und Credential Guard aus ist, Folgendes drin:
Virtualisierungsbasierte Sicherheit Wird ausgeführt...
...
Es wurde ein Hypervisor erkannt. Features, die für Hyper-V erforderlich sind, werden nicht angezeigt.
während in Fujitsu Lifebook Folgendes steht
Virtualisierungsbasierte Sicherheit Nicht aktiviert
...

Hat jemand einen Rat.
Danke im Voraus!

:idea:
fth0
Volunteer
Posts: 5661
Joined: 14. Feb 2019, 03:06
Primary OS: Mac OS X other
VBox Version: PUEL
Guest OSses: Linux, Windows 10, ...
Location: Germany

Re: VirtualBox 7 auf Lenovo X1 unter Windows11 Pro green turtle / grüne Schildkröte icon vorhanden

Post by fth0 »

Du hast schon sehr vieles abgedeckt, auf Anhieb fällt mir da erstmal nichts Konkretes ein. Ein paar Anmerkungen:

Die Prozessorarchitektur ist für mich auch unverdächtig.

Secure Boot braucht meiner Meinung nach nicht abgeschaltet zu werden. Es ist zwar eine Voraussetzung für viele der VBS-Funktionen in Windows, dürfte aber keine der VBS-Funktionen selbst aktivieren.

Was Du glaube ich nicht genannt hast, sind die Gruppen-Policies unter Computer Configuration > Administrative Templates > System > Device Guard, da könntest Du noch nachschauen. In den Gruppen-Policies würden sich auch Einstellungen wiederfinden, die von firmenweiten IT-Management-Systemen eingerichtet werden.
oradix
Posts: 6
Joined: 3. Mar 2023, 10:09

Re: VirtualBox 7 auf Lenovo X1 unter Windows11 Pro green turtle / grüne Schildkröte icon vorhanden

Post by oradix »

Danke fth0,

die habe ich sowohl über Gruppenrichtlinientool, als auch mit manuellen Befehlen und Registryfummelei versucht auszuchalten.

In Gruppenrichtlinien steht:
- Windows Defender-Anwendungssteuerung bereitstellen: Nicht konfiguriert
- Virtualisierungsbasierte Sicherheit aktivieren: Deaktiviert
In der registry sind die jeweils auf 0 gesetzt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
:idea:
fth0
Volunteer
Posts: 5661
Joined: 14. Feb 2019, 03:06
Primary OS: Mac OS X other
VBox Version: PUEL
Guest OSses: Linux, Windows 10, ...
Location: Germany

Re: VirtualBox 7 auf Lenovo X1 unter Windows11 Pro green turtle / grüne Schildkröte icon vorhanden

Post by fth0 »

Noch ein paar Ideen:

Manche 3rd-party AV-Software verwendet Hyper-V, das ist ggfs. dann abschaltbar.

Lass msinfo32 mal mit Admin-Rechten laufen, ggfs. wird dann mehr zu VBS angezeigt.

Suche auf C: alle Dateien mit Namen setupact.log, insb. C:\Windows\Panther\setupact.log, und durchsuche sie nach "HVCI".

Im Windows Event Viewer könnten Informationen unter Applications and Service Logs\Microsoft\Windows\CodeIntegrity\Operational stehen (heißt im Deutschen teilweise anders).
oradix
Posts: 6
Joined: 3. Mar 2023, 10:09

Re: VirtualBox 7 auf Lenovo X1 unter Windows11 Pro green turtle / grüne Schildkröte icon vorhanden

Post by oradix »

Danke fth0 für die Ideen,

leider ist nicht viel zu sehen.


Das Einzige ist die Ereignisanzeige => Anwendungs- und Dienstprotokolle => Microsoft => Windows => Operational !
Da sind ein paar Einträge pro "Rebootvorgang" zu sehen. Ich kenne diesen Bereich nicht, werde aber versuchen mich da über Suchmaschinen reinzufuxen, ob es irgendwas bringt.
Aber wenn ich VBS ausgeschaltet habe (auf allen Wegen welche ich fand), wieso ist dann in diesem Protokoll noch was zu sehen?
Code Integrity determined that a process (\Device\HarddiskVolume3\Windows\System32\cmd.exe) attempted to load \Device\HarddiskVolume3\Windows\System32\wbem\WMIC.exe that did not meet the Enterprise signing level requirements or violated code integrity policy (Policy ID:{1283ac0f-fff1-49ae-ada1-8a933130cad6}). However, due to code integrity auditing policy, the image was allowed to load.

Code Integrity determined that a process (\Device\HarddiskVolume3\Windows\System32\cmd.exe) attempted to load \Device\HarddiskVolume3\Windows\System32\wbem\WMIC.exe that did not meet the Enterprise signing level requirements or violated code integrity policy (Policy ID:{1283ac0f-fff1-49ae-ada1-8a933130cad6}). However, due to code integrity auditing policy, the image was allowed to load.

Signature information for another event. Match using the Correlation Id.

Code Integrity determined that a process (\Device\HarddiskVolume3\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe) attempted to load \Device\HarddiskVolume3\Program Files\Microsoft Visual Studio\2022\Professional\MSBuild\Current\Bin\amd64\MSBuild.exe that did not meet the Enterprise signing level requirements or violated code integrity policy (Policy ID:{1283ac0f-fff1-49ae-ada1-8a933130cad6}). However, due to code integrity auditing policy, the image was allowed to load.

Error: Code Integrity determined that a process (\Device\HarddiskVolume3\ProgramData\Microsoft\Windows Defender\Platform\4.18.2301.6-0\MsMpEng.exe) attempted to load \Device\HarddiskVolume3\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX64\Microsoft Shared\OFFICE16\MSOXMLMF.DLL that did not meet the Custom 3 / Antimalware signing level requirements.

WARNING: Code Integrity was unable to load the Microsoft-Windows-Client-Features-WOW64-Package00~31bf3856ad364e35~amd64~~10.0.22621.4.cat catalog. Status 0xC0000428.

... usw ...
AV ist der Defender (lenovo installiert inzwischen keinen anderen).

in setupact.log ist wiederholt nur das zu sehen:
C:\Windows\panther\UnattendGC> setupact.log
2023-03-03 20:17:49, Info [svchost.exe] Enter WinReIsWimBootEnabled
2023-03-03 20:17:49, Info [svchost.exe] Parameters: pszWinDir: NULL
2023-03-03 20:17:49, Info [svchost.exe] Exit WinReIsWimBootEnabled returns 0 with last error: 0x2
nur in C:\Windows\System32\Sysprep\Panther\setupact.log sind 4 alte Einträge zu HVCI zu finden:
...
2023-02-22 00:16:26, Info SYSPRP HVCI: Enter Generalize
2023-02-22 00:16:26, Info SYSPRP HVCI: Exit Generalize
...
2022-05-25 12:09:32, Info SYSPRP HVCI: Enter Generalize
2022-05-25 12:09:32, Info SYSPRP HVCI: Exit Generalize
...
msinfo32 zeigt Folgendes, was eigentlich nicht sein sollte:
Betriebsystemname Microsoft Windows 11 Pro
Version 10.0.22621 Build 22621

Systemhersteller LENOVO
Systemmodell 21CBCTO1WW
Systemtyp x64-basierter PC
System-SKU LENOVO_MT_21CB_BU_Think_FM_ThinkPad X1 Carbon Gen 10
Prozessor 12th Gen Intel(R) Core(TM) i7-1265U, 1800 MHz, 10 Kern(e), 12 logische(r) Prozessor(en)
BIOS-Version/-Datum LENOVO N3AET71W (1.36 ), 31.01.2023
SMBIOS-Version 3.4
Version des eingebetteten Controllers 1.17
BIOS-Modus UEFI
BaseBoard-Hersteller LENOVO
BaseBoard-Produkt 21CBCTO1WW
BaseBoard-Version SDK0T76530 WIN
Plattformrolle Mobil
Sicherer Startzustand Aus
PCR7-Konfiguration Bindung nicht möglich
Windows-Verzeichnis C:\Windows
Systemverzeichnis C:\Windows\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "10.0.22621.819"

Zeitzone Mitteleuropäische Zeit

Kernel-DMA-Schutz Ein
Virtualisierungsbasierte Sicherheit Wird ausgeführt...
Virtualisierungsbasierte Sicherheit – erforderliche Sicherheitseigenschaften
Virtualisierungsbasierte Sicherheit – verfügbare Sicherheitseigenschaften Allgemeine Virtualisierungsunterstützung, DMA-Schutz, Sichere Speicherüberschreibung, UEFI-Code Readonly, SMM Security Mitigations 1.0, Modusbasierte Ausführungssteuerung, APIC-Virtualisierung
Virtualisierungsbasierte Sicherheit – konfigurierte Dienste Sicherer Start, SMM Firmware-Messung
Virtualisierungsbasierte Sicherheit – ausgeführte Dienste Sicherer Start, SMM Firmware-Messung
Windows Defender-Anwendungssteuerungsrichtlinie Erzwungen
Windows Defender-Anwendungssteuerungs-Richtlinie für den Benutzermodus Überwachung
Unterstützung der Geräteverschlüsselung Ursachen dafür, dass die automatische Geräteverschlüsselung nicht erfolgreich war: Die PCR7-Bindung wird nicht unterstützt., Unzulässige DMA-fähige Busse/Geräte erkannt
Es wurde ein Hypervisor erkannt. Features, die für Hyper-V erforderlich sind, werden nicht angezeigt.
Danke noch Mal für die Ideen!

:idea:
oradix
Posts: 6
Joined: 3. Mar 2023, 10:09

Re: VirtualBox 7 auf Lenovo X1 unter Windows11 Pro green turtle / grüne Schildkröte icon vorhanden

Post by oradix »

!!! SOLVED !!! GELÖST !!!

Habe das Problem am Ende gelöst.

Zuerst habe ich alle Keys in regedit einzeln per Hand gelöscht, welche bei Microsoft auf der Seite "Aktivieren Sie den virtualisierungsbasierten Schutz der Codeintegrität" erwähnt waren.
s.: https://learn.microsoft.com/de-de/windo ... -integrity
Das alleine hat jedoch noch nicht den gewünschten Effekt gebracht.

Danach habe ich "Kernisolierung" noch Mal aufgerufen und in der grafischen Maske noch Mal sowohl "Speicher-Integrität" als auch "Firmware-Schutz" ein und dann wieder ausgeschaltet, damit die Registry Keys dazu aufgefrischt werden.
Nach dem Reboot war green turtle (Schildkröte) weg! Es ist ein schönes weisses V auf bläulichem Hintergrund zu sehen.
VirtualBox geht wieder richtig und vagrant tut auch wieder und schmiert nicht wg. timeout ab!


:idea:
fth0
Volunteer
Posts: 5661
Joined: 14. Feb 2019, 03:06
Primary OS: Mac OS X other
VBox Version: PUEL
Guest OSses: Linux, Windows 10, ...
Location: Germany

Re: VirtualBox 7 auf Lenovo X1 unter Windows11 Pro green turtle / grüne Schildkröte icon vorhanden

Post by fth0 »

Danke für die Rückmeldung und Gratulation zum Erfolg! :)
Leclerke
Posts: 5
Joined: 20. Feb 2023, 12:01

Re: VirtualBox 7 auf Lenovo X1 unter Windows11 Pro green turtle / grüne Schildkröte icon vorhanden

Post by Leclerke »

Prima, das Ein- und Ausschalten scheint tatsächlich das Geheimnis zu sein um die Virtualisierung letztlich ganz zu deaktivieren!
Tatsächlich hat das Ausschalten von Hyper-V mein Problem aus einem anderen Post auch gelöst. Es ging darum, dass nach einem Rechnerumzug (und Umstellung auf Win11) meine VMs, im Speziellen die mit XP, nicht mehr liefen und sich auch kein neuer XP-Gast mehr installieren ließ viewtopic.php?f=5&t=108664. Ich hatte festgestellt, dass die neu installierten VMs auch immer nur mit Schildkröte liefen, so bin ich auf deinen Post gekommen.
Zum Beheben des Problems, muss man also bloß die ganzen Sicherheitseinstellungen von Windows 11 deaktivieren. Ganz schön hart. Und für ein Hobbyanwender auch nicht gerade Benutzerfreundlich.
Aber vielen Dank, dass ich es mit deiner Hilfe hinbekommen habe! Bin leider an einer Stelle immer noch auf Virtualbox (und XP) angewiesen.
Es scheinen aber nicht allzuviele Leute dieses Problem mit dem Hypervisor und Virtualbox zu haben...
fth0
Volunteer
Posts: 5661
Joined: 14. Feb 2019, 03:06
Primary OS: Mac OS X other
VBox Version: PUEL
Guest OSses: Linux, Windows 10, ...
Location: Germany

Re: VirtualBox 7 auf Lenovo X1 unter Windows11 Pro green turtle / grüne Schildkröte icon vorhanden

Post by fth0 »

Leclerke wrote:Es scheinen aber nicht allzuviele Leute dieses Problem mit dem Hypervisor und Virtualbox zu haben...
Welches Problem? Ich weiß gar nicht, ob der OP überhaupt von einem konkreten Problem gesprochen hat. ;)

In vielen Fällen hängt das übrigens von den Ansprüchen der User ab: Wenn VirtualBox unter Hyper-V läuft, können VMs deutlich langsamer sein, z. B. halb so schnell. Bei aktuellen Windows-Varianten (10, 11) fällt das ggfs. unangenehm auf. Windows XP dagegen stellt an heutige Hardware keine wirklichen Ansprüche, da stört ein "halb so schnell wie rasend schnell" nicht wirklich. Nur wenn echte Probleme auftreten (z. B. VM läuft nicht oder hängt), besteht Handlungsbedarf.
oradix
Posts: 6
Joined: 3. Mar 2023, 10:09

Re: VirtualBox 7 auf Lenovo X1 unter Windows11 Pro green turtle / grüne Schildkröte icon vorhanden

Post by oradix »

fth0 wrote:
Leclerke wrote:Es scheinen aber nicht allzuviele Leute dieses Problem mit dem Hypervisor und Virtualbox zu haben...
Welches Problem? Ich weiß gar nicht, ob der OP überhaupt von einem konkreten Problem gesprochen hat. ;)
Ja es gab (bzw. gibt) Probleme mit Vagrant, wenn die Schildkröte sichtbar ist.
Das "vagrant up" Befehl startet die VMs aus Vagrantfile nicht (zumindest nicht wenn man mehrere VMs hat), weil es wegen timeout aussteigt. Und die erste VM in vagrant braucht eine Ewigkeit, um gestartet zu werden.
winstonsmith
Posts: 1
Joined: 7. Sep 2023, 09:45

Re: VirtualBox 7 auf Lenovo X1 unter Windows11 Pro green turtle / grüne Schildkröte icon vorhanden

Post by winstonsmith »

Leclerke wrote: 22. Mar 2023, 16:23 Es scheinen aber nicht allzuviele Leute dieses Problem mit dem Hypervisor und Virtualbox zu haben...
Nun ja, wie mans nimmt. Menschen die VirtualBox unter Windows11 einsetzen sind sicher gemessen an der Zahl der Windows11 Installationen "nicht allzuviele".

Jeder der VirtualBox auf einem Windows11 Rechner installiert hat das Problem, auch wenn er es vielleicht nicht merkt, da ihm das icon mit der grünen Schildkröte nicht auffällt.

Ich habe zufällig die gleiche Konstellation wie der Erstposter, Lenovo ThinkPad X1 carbon Gen. 10 mit Windows11 professional.

Die Installation von VirtualBox verlief einwandfrei, die Einrichtung einer VM (Ubuntu 18.04) dagegen nicht. Die Installation brauchte > 24h , was sicher eher unüblich ist. Nachdem mir durch befragen von Google die Bedeutung der grünen Schildkröte klar wurde, habe ich das Problem mit Hilfe von Google lösen können: Unter Windows-Features alle Virtualisierungsoptionen abwählen und Ausführen des DG_Readiness_Tool mit dem Parameter -Disable.

Danach reboot und die grüne Schildkröte wich einem weißen "V" auf blauem Grund. Die Installation von Ubuntu war danach in etwa 14 min erledigt.

Es bleiben einige Fragen ungeklärt.

1. Da Microsoft angibt, daß die Virtualisierungsoptionen einen Sicherheitsmechanismus ermöglichen, der ohne diese wegfällt, stellt sich die Frage nach dem Sicherheitsrisiko.

2. Was passiert wenn andere Anwendungen (Microsoft oder 3rd Party) Zugriff auf die Virtualisierungsoptionen benötigen und Oracle VirtualBox parallel betrieben werden soll/muß ?

3. Um diesen Artikel zu finden, muß man die offizielle Bezeichnung "snail mode" ignorieren und stattdessen die icon Bezeichnung "grüne Schildkröte" verwenden. Es wäre schön, wenn jemand den Titel entsprechend ergänzen würde.
Post Reply