Cum se activează virtualizarea în bios amd. Cum să activați virtualizarea hardware în BIOS

Cum să activați virtualizarea în BIOS - probabil că ați pus deja această întrebare. Este posibil ca alți utilizatori să fi auzit despre tehnologia de virtualizare, dar nu știu ce beneficii oferă și ce implică. Vom încerca să luăm în considerare aceste întrebări în acest articol.

În primul rând, ce înseamnă conceptul de virtualizare? Virtualizarea în tehnologia computerelor înseamnă modelarea hardware-ului folosind metode software. Folosind tehnologia de virtualizare, puteți crea mai multe computere virtuale, adică calculatoare simulate de software, folosind un singur computer fizic suficient de puternic.

Avantajele cheie ale virtualizării:

• Îmbunătățirea eficienței hardware-ului
• Reducerea costurilor materialelor
• Optimizarea alocării resurselor
• Siguranță sporită a muncii
• Administrare simplificată
• Fiabilitate crescută

Pentru a crea sisteme virtuale, se folosește un software special numit hypervisor. Cu toate acestea, din cauza unui număr de caracteristici ale procesoarelor cu arhitectură Intel mai vechi, hypervisorul nu a putut să folosească cât mai eficient puterea lor de calcul pentru a crea mașini virtuale.

Prin urmare, cei mai importanți dezvoltatori de procesoare pentru PC, Intel și AMD, au dezvoltat așa-numita tehnologie de virtualizare hardware, care optimizează performanța procesoarelor în așa fel încât să îmbunătățească semnificativ eficiența software-ului de virtualizare. Versiunea Intel a tehnologiei de suport pentru virtualizarea hardware se numește Intel-VT, iar versiunea AMD se numește AMD-V.

Suport pentru virtualizare

Întrucât tehnologia de virtualizare hardware este încorporată în procesorul central, pentru ca un utilizator să profite din plin de beneficiile oferite de virtualizare, este necesar ca computerul său să suporte această tehnologie la nivel de procesor. În plus, este necesar și suport tehnologic de la BIOS și sistemul de operare. În BIOS-urile care acceptă virtualizarea hardware, utilizatorul are capacitatea de a activa sau dezactiva suportul de virtualizare în BIOS Setup. Vă rugăm să rețineți că există chipset-uri pentru plăcile de bază bazate pe procesoare AMD în care suportul de virtualizare nu poate fi dezactivat.

Activarea virtualizării în BIOS

Deci, cum se activează virtualizarea în BIOS? Pentru a activa sau dezactiva virtualizarea în BIOS, există o opțiune specială Tehnologia de virtualizare. De obicei, puteți găsi această opțiune în secțiunile BIOS Chipset sau Procesor.

De obicei, setarea valorii la Activat vă permite să activați virtualizarea hardware, iar setarea valorii la Dezactivat o dezactivează. Trebuie reținut că activarea opțiunii afectează doar performanța mașinilor virtuale care rulează în hypervisor și nu afectează în niciun fel performanța programelor obișnuite ale sistemului de operare. Am discutat mai detaliat această opțiune în articolul corespunzător.

Concluzie

Virtualizarea este un instrument puternic care vă permite să extindeți capacitățile sistemelor informatice și să utilizați cât mai eficient hardware-ul existent. Majoritatea computerelor moderne au soluții încorporate în procesor care le pot îmbunătăți performanța atunci când folosesc mașini virtuale. În plus, majoritatea computerelor bazate pe procesoare Intel și AMD pot fi configurate pentru a suporta virtualizarea hardware.

Astăzi, un număr tot mai mare de sisteme informatice moderne își îndreaptă atenția către tehnologiile de virtualizare. Adevărat, nu toată lumea înțelege clar ce este, de ce este necesar și cum să rezolve problemele de includere sau utilizare practică. Acum ne vom uita la cum să activați virtualizarea în BIOS folosind cea mai simplă metodă. Să observăm imediat că această tehnică este aplicabilă absolut tuturor sistemelor existente, în special BIOS-ului și sistemului UEFI care a înlocuit-o.

Ce este virtualizarea și de ce este necesară?

Înainte de a începe să rezolvăm direct problema modului de activare a virtualizării în BIOS, să ne uităm la ce este această tehnologie și de ce este necesară.

Tehnologia în sine este destinată utilizării în orice sistem de operare al așa-numitelor mașini virtuale, care pot emula computere reale cu toate componentele lor hardware și software. Cu alte cuvinte, în sistemul principal puteți crea ceva cu o selecție de procesor, RAM, placă video și sunet, adaptor de rețea, hard disk, suporturi optice și Dumnezeu știe ce altceva, inclusiv instalarea unui „OS” invitat (copil). ”, care nu va fi nimic diferit de un computer real.

Tipuri de tehnologii

Dacă cineva nu știe, tehnologiile de virtualizare au fost create de producători de top de procesoare - corporațiile Intel și AMD, care nici astăzi nu pot împărtăși palma în acest domeniu. În zorii erei, hipervizorul creat (software pentru gestionarea mașinilor virtuale) de la Intel nu a îndeplinit toate cerințele de performanță, motiv pentru care a început dezvoltarea suportului pentru sisteme virtuale, care trebuiau „conectate” în cipurile procesorului. se.

Intel a numit această tehnologie Intel-VT-x, iar AMD a numit-o AMD-V. Astfel, suportul a optimizat performanța procesorului central fără a afecta sistemul principal.

Este de la sine înțeles că ar trebui să activați această opțiune în setările preliminare ale BIOS numai dacă intenționați să utilizați o mașină virtuală pe o mașină fizică, de exemplu, pentru a testa programe sau pentru a prezice comportamentul unui sistem informatic cu diverse componente „hardware” după instalarea unui anumit sistem de operare. În caz contrar, acest suport nu poate fi utilizat. În plus, în mod implicit este complet oprit și, după cum sa menționat deja, nu are absolut niciun efect asupra performanței sistemului principal.

Conectați-vă la BIOS

Cât despre sistemele BIOS sau UEFI, orice computer sau laptop le are, indiferent de complexitatea echipamentului instalat. BIOS-ul în sine de pe un computer este un mic cip de pe placa de bază, care este responsabil pentru testarea hardware-ului atunci când terminalul este pornit. În ea, în ciuda memoriei de numai aproximativ 1 MB, sunt salvate setările de bază și caracteristicile echipamentului.

În funcție de versiunea BIOS-ului sau de producător, autentificarea poate fi realizată folosind mai multe metode diferite. Cel mai obișnuit este să folosiți tasta Del imediat după pornirea computerului sau laptopului. Cu toate acestea, există și alte metode, de exemplu, tastele F2, F12 etc.

Cum să activezi virtualizarea în BIOS în cel mai simplu mod?

Acum să definim câțiva parametri și meniuri de bază. Plecăm de la faptul că ați intrat deja în BIOS-ul pe computer. Există mai multe secțiuni principale, dar în acest caz ne interesează tot ceea ce are legătură cu cipul procesorului.

De obicei, astfel de opțiuni sunt conținute în meniul Setări avansate sau în secțiunea Securitate. Ele pot fi, de asemenea, numite diferit, dar, de regulă, este ceva de genul Procesor sau BIOS Chipset (deși pot apărea și alte nume).

Deci, acum întrebarea cum să activați virtualizarea în BIOS poate fi luată în serios. În secțiunile de mai sus există o linie specială Tehnologia de virtualizare (în cazul Intel, numele corporației este adăugat la numele principal). Când intrați în meniul corespunzător, vor fi afișate două opțiuni disponibile: Activat și Dezactivat. După cum este deja clar, primul este modul de virtualizare activat, al doilea este o dezactivare completă.

Același lucru este valabil și pentru sistemul UEFI, în care activarea acestei opțiuni se face într-un mod complet similar.

Acum că BIOS-ul a fost setat la setarea modului activat, tot ce rămâne este să salvați modificările (F10 sau comanda Save & Exit Setup) și să apăsați tasta de confirmare Y, corespunzătoare cuvântului englez Da. Sistemul repornește cu parametrii nou salvați pornește automat.

Ce ar trebui să știi în afară de asta?

După cum puteți vedea, procedura de activare a virtualizării în BIOS este destul de simplă. Cu toate acestea, există câteva subtilități de luat în considerare aici cu privire la posibila dezactivare a acestei funcții. Cert este că atunci când utilizați mașini virtuale precum WMware Virtual Machine, Virtual PC, VirtualBox sau chiar modulul „nativ” Microsoft numit Hyper-V, această opțiune trebuie să fie activată chiar dacă suportul pentru componente Windows este activat direct în setările sistemului.

În cea mai mare parte, acest lucru se aplică modificărilor mai noi ale Windows, începând cu „șapte”. În „expish” sau „Vista” aceasta nu este o condiție prealabilă. Deși, dacă astfel de „OS-uri” sunt instalate pe cel mai recent hardware, poate fi necesară și activarea suportului. Cu toate acestea, este puțin probabil ca un utilizator de pe o astfel de mașină să instaleze un sistem de operare învechit, care nu îi va permite să „strângă” maximum din hardware-ul computerului de care este capabil. Deci, este mai bine să utilizați cele mai recente componente hardware în combinație nu numai cu cele mai recente versiuni de sisteme de operare, ci chiar și cu sisteme de diagnosticare și controale UEFI, care au înlocuit BIOS-ul care a funcționat atât de mult timp.

Tehnologia de virtualizare poate îmbunătăți performanța computerului dvs. și poate face Nox App Player să ruleze mai ușor și mai rapid.

1. Computerul dumneavoastră acceptă tehnologia de virtualizare (VT)?

Pentru a verifica dacă computerul dvs. poate suporta VT, pur și simplu descărcați LeoMoon CPU-V. Acest lucru nu va detecta numai dacă procesorul dumneavoastră poate suporta virtualizarea hardware, dar va detecta și dacă Virtualizarea hardware este activată în BIOS sau nu.

Dacă rezultatul scanării arată o bifă verde sub VT-x Supported, înseamnă că computerul acceptă virtualizarea. Dacă este un X roșu, atunci computerul nu acceptă VT, dar puteți instala Nox în conformitate cu cerințele de instalare.

1.Dacă rezultatul testului arată o bifă verde sub VT-x activat, atunci aceasta înseamnă că VT este deja activat în BIOS. Dacă este un X roșu, urmați acești pași pentru a-l activa.

2. Determinați tipul dvs. de BIOS: apăsați Win + R pentru a deschide fereastra „Run”, tastați „DXDiag” și faceți clic pe butonul „OK”. După aceasta, veți vedea informațiile BIOS așa cum se arată în imaginea de mai jos.

3. Apoi găsiți pe Google exact ce trebuie făcut pentru a activa VT pentru acest BIOS specific. De obicei, pentru a intra în BIOS, trebuie să apăsați o anumită tastă de mai multe ori când pornește computerul. Tasta atribuită poate fi orice tastă funcțională sau tasta ESC în funcție de marca computerului dvs. După ce ați intrat în modul BIOS, căutați VT-x, Intel Virtual Technology sau ceva similar care spune „Virtual” și activați-l. După aceea, opriți computerul, apoi porniți-l din nou. Acum virtualizarea este activată, iar performanța Nox App Player este și mai bună.

Atenţie!!!

1. Dacă rulați Windows 8 sau Windows 10, poate exista un conflict între tehnologia VT și Microsoft Hyper-V. Dezactivați Hyper-V urmând acești pași: Accesați Panou de control->Programe și caracteristici->Activați sau dezactivați funcțiile Windows> debifați Hyper-V.

• 2. Dacă VT este activat în BIOS, dar rezultatul scanării LeMoon arată în continuare o cruce roșie sub VT-x Enabled, atunci există o mare posibilitate ca antivirusul dvs. să blocheze această funcție. De exemplu, să luăm antivirusul Avast! Ce trebuie să faceți pentru a rezolva această problemă:

1) Deschideți Avast antivirus >> Setări >> Depanare

2) Debifați Activați virtualizarea cu hardware, apoi reporniți computerul.

Vizualizări ale postării: 108.339

Virtualizarea poate fi necesară pentru acei utilizatori care lucrează cu diverși emulatori și/sau mașini virtuale. Ambele pot funcționa destul de bine fără a activa acest parametru, totuși, dacă aveți nevoie de performanță ridicată în timp ce utilizați emulatorul, va trebui să îl activați.

Avertisment important

Inițial, este recomandabil să vă asigurați dacă computerul dvs. acceptă virtualizarea. Dacă nu este acolo, atunci riști să-ți pierzi pur și simplu timpul încercând să-l activezi prin BIOS. Mulți emulatori și mașini virtuale populare avertizează utilizatorul că computerul său acceptă virtualizarea și dacă activați acest parametru, sistemul va funcționa mult mai rapid.

Dacă nu primiți un astfel de mesaj la prima lansare a unui emulator/mașină virtuală, aceasta poate însemna următoarele:

• Virtualizarea este deja activată implicit (acest lucru se întâmplă rar);
• Computerul dumneavoastră nu acceptă această setare;
• Emulatorul nu este capabil să analizeze și să notifice utilizatorul despre posibilitatea conectării virtualizării.

Activați virtualizarea pe un procesor Intel

Folosind aceste instrucțiuni pas cu pas, puteți activa virtualizarea (relevant doar pentru computerele care rulează pe un procesor Intel):

Activarea virtualizării pe un procesor AMD

Instrucțiunile pas cu pas în acest caz arată similar:

Nu este dificil să activați virtualizarea pe computer, tot ce trebuie să faceți este să urmați instrucțiunile pas cu pas. Cu toate acestea, dacă BIOS-ul nu vă permite să activați această funcție, atunci nu ar trebui să încercați să faceți acest lucru folosind programe terțe, deoarece acest lucru nu va da niciun rezultat, dar poate înrăutăți performanța computerului.

Ne bucurăm că am putut să vă ajutăm să rezolvați problema.

Sondaj: v-a ajutat acest articol?

lumpics.ru

Virtual Secure Mode (VSM) în Windows 10 Enterprise

Windows 10 Enterprise (și numai această ediție) introduce o nouă componentă Hyper-V numită Virtual Secure Mode (VSM). VSM este un container protejat (mașină virtuală) care rulează pe un hypervisor și separat de gazda Windows 10 și kernel-ul acestuia. Componentele sistemului critic pentru securitate rulează în interiorul acestui container virtual securizat. Niciun cod terță parte nu poate fi executat în interiorul VSM, iar integritatea codului este verificată constant pentru modificare. Această arhitectură vă permite să protejați datele în VSM, chiar dacă kernel-ul gazdei Windows 10 este compromis, deoarece nici măcar kernel-ul nu are acces direct la VSM.

Containerul VSM nu poate fi conectat la rețea și nimeni nu poate obține privilegii administrative asupra acestuia. Cheile de criptare, datele de autorizare a utilizatorului și alte informații critice din punct de vedere al compromisului pot fi stocate în containerul Virtual Secure Mode. Astfel, un atacator nu va mai putea pătrunde în infrastructura corporativă folosind datele contului de utilizator de domeniu stocate local în cache.

Următoarele componente ale sistemului pot rula în interiorul VSM:

• LSASS (Local Security Subsystem Service) este o componentă responsabilă de autorizarea și izolarea utilizatorilor locali (astfel sistemul este protejat de atacurile „pass the hash” și de utilități precum mimikatz). Aceasta înseamnă că parolele (și/sau hashe-urile) utilizatorilor înregistrați în sistem nu pot fi obținute nici măcar de către un utilizator cu drepturi de administrator local.
• Virtual TPM (vTPM) este un dispozitiv TPM sintetic pentru mașinile invitate, necesar pentru criptarea conținutului discurilor
• Sistem de monitorizare a integrității codului de operare – protejează codul de sistem împotriva modificărilor

Pentru a putea folosi modul VSM, mediul trebuie să îndeplinească următoarele cerințe hardware:

• Suport UEFI, Secure Boot și Trusted Platform Module (TPM) pentru stocarea securizată a cheilor
• Suport de virtualizare hardware (cel puțin VT-x sau AMD-V)

Cum să activați modul securizat virtual (VSM) în Windows 10

Să ne uităm la cum să activați modul securizat virtual în Windows 10 (în exemplul nostru, Build 10130).

Verificarea funcționării VSM

Vă puteți asigura că modul VSM este activ prin prezența procesului Sistem securizat în managerul de activități.

Sau prin evenimentul „Credential Guard (Lsalso.exe) a fost pornit și va proteja acreditările LSA” din jurnalul de sistem.

Testare de securitate VSM

Deci, pe mașinile cu modul VSM activat, înregistrați-vă sub un cont de domeniu și rulați următoarea comandă mimikatz ca administrator local:

privilegiul mimikatz.exe::debug sekurlsa::logonpasswords ieșire

Vedem că LSA rulează într-un mediu izolat și nu pot fi obținute hash-urile parolei de utilizator.

Dacă aceeași operațiune este efectuată pe o mașină cu VSM dezactivat, obținem un hash NTLM al parolei utilizatorului, care poate fi folosit pentru atacuri „pass-the-hash”.

Dezvoltarea rapidă a pieței tehnologiei de virtualizare în ultimii ani s-a datorat în mare măsură creșterii capacității hardware, care a făcut posibilă crearea unor platforme de virtualizare cu adevărat eficiente atât pentru sistemele server, cât și pentru computerele desktop. Tehnologiile de virtualizare vă permit să rulați mai multe instanțe virtuale de sisteme de operare (OS invitat) pe un singur computer fizic (gazdă) pentru a asigura independența acestora față de platforma hardware și pentru a concentra mai multe mașini virtuale pe unul fizic. Virtualizarea oferă multe beneficii atât pentru infrastructura întreprinderii, cât și pentru utilizatorii finali. Virtualizarea oferă economii semnificative la hardware și întreținere, crește flexibilitatea infrastructurii IT și simplifică procedura de backup și recuperare după defecțiuni. Mașinile virtuale, fiind unități independente de hardware, pot fi distribuite ca șabloane preinstalate care pot fi rulate pe orice platformă hardware cu o arhitectură acceptată.

Până de curând, eforturile în virtualizarea sistemelor de operare s-au concentrat în primul rând în dezvoltarea de software. În 1998, VMware a conturat pentru prima dată serios perspectivele dezvoltării sistemelor virtuale prin brevetarea tehnicilor software de virtualizare. Datorită eforturilor VMware, precum și ale altor producători de platforme virtuale și ritmului tot mai mare de îmbunătățire a tehnologiei computerelor, utilizatorii corporativi și casnici au văzut avantajele și perspectivele noii tehnologii, iar piața instrumentelor de virtualizare a început să crească la un ritm rapid. Desigur, companii atât de mari precum Intel și AMD, care controlează cea mai mare parte a pieței procesoarelor, nu au putut ignora această tehnologie promițătoare. Intel a fost primul care a văzut în noua tehnologie o sursă de superioritate tehnologică față de concurenți și a început să lucreze la îmbunătățirea arhitecturii procesorului x86 pentru a sprijini platformele de virtualizare. În urma Intel, AMD s-a alăturat și dezvoltării suportului de virtualizare hardware în procesoare pentru a nu-și pierde poziția pe piață. În prezent, ambele companii oferă modele de procesoare care au un set extins de instrucțiuni și permit utilizarea directă a resurselor hardware în mașinile virtuale.

Dezvoltarea tehnicilor de virtualizare hardware

Ideea virtualizării hardware nu este nouă: a fost implementată pentru prima dată în 386 de procesoare și a fost numită modul V86. Acest mod de operare al procesorului 8086 a făcut posibilă rularea mai multor aplicații DOS în paralel. Acum, virtualizarea hardware vă permite să rulați mai multe mașini virtuale independente în secțiunile corespunzătoare ale spațiului hardware al computerului. Virtualizarea hardware este o continuare logică a evoluției nivelurilor de abstractizare ale platformelor software - de la multitasking la nivelul de virtualizare:

Avantajele virtualizării hardware față de software

Virtualizarea software prevalează în prezent asupra hardware-ului pe piața tehnologiei de virtualizare, datorită faptului că pentru o lungă perioadă de timp producătorii de procesoare nu au putut implementa corect suportul pentru virtualizare. Procesul de introducere a noii tehnologii în procesoare a necesitat o schimbare majoră în arhitectura acestora, introducerea de instrucțiuni suplimentare și moduri de operare a procesorului. Acest lucru a dat naștere la probleme de asigurare a compatibilității și stabilității, care au fost complet rezolvate în 2005-2006 în modelele noi de procesoare. În ciuda faptului că platformele software au avansat foarte mult în ceea ce privește performanța și furnizarea de instrumente de gestionare a mașinilor virtuale, tehnologia de virtualizare hardware are câteva avantaje incontestabile față de software:

• Simplificați dezvoltarea platformelor de virtualizare prin furnizarea de interfețe de management hardware și suport pentru oaspeții virtuali. Aceasta contribuie la apariția și dezvoltarea de noi platforme de virtualizare și instrumente de management, datorită reducerii intensității muncii și a timpului de dezvoltare a acestora.
• Capacitatea de a crește performanța platformelor de virtualizare. Deoarece oaspeții virtuali sunt gestionați direct de un mic strat de middleware (hypervisor), se așteaptă ca platformele de virtualizare bazate pe hardware să devină mai rapide în viitor.
• Abilitatea de a lansa independent mai multe platforme virtuale cu posibilitatea de a comuta între ele la nivel hardware. Mai multe mașini virtuale pot funcționa independent, fiecare în propriul spațiu de resurse hardware, ceea ce va elimina pierderile de performanță asociate cu menținerea platformei gazdă, precum și creșterea securității mașinilor virtuale datorită izolării lor totale.
• Decuplarea sistemului oaspete de arhitectura platformei gazdă și implementarea platformei de virtualizare. Folosind tehnologii de virtualizare hardware, este posibil să lansați sisteme guest pe 64 de biți din sisteme gazdă pe 32 de biți care rulează medii de virtualizare pe 32 de biți.

Cum funcționează virtualizarea hardware

Necesitatea de a sprijini virtualizarea hardware a forțat producătorii de procesoare să-și schimbe ușor arhitectura prin introducerea de instrucțiuni suplimentare pentru a oferi acces direct la resursele procesorului din sistemele invitate. Acest set de instrucțiuni suplimentare se numește Virtual Machine Extensions (VMX). VMX oferă următoarele instrucțiuni: VMPTRLD, VMPTRST, VMCLEAR, VMREAD, VMREAD, VMWRITE, VMCALL, VMLAUNCH, VMRESUME, VMXON și VMXOFF.

Un procesor cu suport de virtualizare poate funcționa în două moduri: operare root și operare non-root. În modul de operare rădăcină, rulează un software special, care este un strat „ușor” între sistemele de operare invitate și hardware - un monitor al mașinii virtuale (VMM), numit și hypervisor. Cuvântul „hypervisor” a apărut într-un mod interesant: cândva, cu foarte mult timp în urmă, sistemul de operare se numea „supervizor”, iar software-ul care era „sub supraveghere” se numea „hypervisor”.

Pentru a pune procesorul în modul de virtualizare, platforma de virtualizare trebuie să apeleze instrucțiunea VMXON și să transfere controlul către hypervisor, care lansează sistemul invitat virtual cu instrucțiunile VMLAUNCH și VMRESUME (punctele de intrare în mașina virtuală). Virtual Machine Monitor poate ieși din modul de virtualizare a procesorului apelând instrucțiunea VMXOFF.

Fiecare sistem de operare invitat rulează și funcționează independent de celelalte și este izolat în ceea ce privește resursele hardware și securitatea.

Diferența dintre virtualizarea hardware și software

Arhitectura clasică a virtualizării software presupune prezența unui sistem de operare gazdă, pe deasupra căruia rulează o platformă de virtualizare, emulând funcționarea componentelor hardware și gestionând resursele hardware în raport cu sistemul de operare invitat. Implementarea unei astfel de platforme este destul de complexă și consumatoare de timp există pierderi de performanță din cauza faptului că virtualizarea se realizează deasupra sistemului gazdă. Securitatea mașinilor virtuale este, de asemenea, în pericol, deoarece preluarea controlului asupra sistemului de operare gazdă înseamnă automat preluarea controlului asupra tuturor sistemelor invitate.

Spre deosebire de tehnologia software, cu ajutorul virtualizării hardware este posibil să se obțină sisteme guest izolate controlate direct de hypervisor. Această abordare poate oferi ușurință în implementare a unei platforme de virtualizare și poate crește fiabilitatea unei platforme cu mai multe sisteme invitate care rulează simultan, în timp ce nu există nicio penalizare de performanță pentru deservirea sistemului gazdă. Acest model va aduce performanța sistemelor guest mai aproape de cele reale și va reduce costurile de performanță ale menținerii platformei gazdă.

Dezavantajele virtualizării hardware

De asemenea, merită remarcat faptul că virtualizarea hardware poate aduce mai mult decât aspecte pozitive. Capacitatea de a gestiona sisteme oaspeți printr-un hypervisor și ușurința de a scrie o platformă de virtualizare folosind tehnici hardware fac posibilă dezvoltarea de software rău intenționat care, după ce a preluat controlul asupra sistemului de operare gazdă, îl virtualizează și realizează toate acțiunile în afara acestuia.

La începutul anului 2006, laboratoarele Microsoft Research au creat un rootkit cu numele de cod SubVirt, care infectează sistemele gazdă Windows și Linux și îi face prezența practic nedetectabilă. Principiul de funcționare al acestui rootkit a fost următorul:

1. Printr-una dintre vulnerabilitățile din sistemul de operare al computerului, software-ul rău intenționat obține acces administrativ.
2. După aceasta, rootkit-ul începe procedura de migrare a platformei fizice pe cea virtuală, după care platforma virtualizată este lansată prin hypervisor. În același timp, nu se schimbă nimic pentru utilizator, totul continuă să funcționeze ca înainte, iar toate instrumentele și serviciile necesare pentru a accesa hypervisorul din exterior (de exemplu, accesul la terminal) sunt situate în afara sistemului virtualizat.
3. Software-ul antivirus nu poate detecta codul rău intenționat după procedura de migrare, deoarece se află în afara sistemului virtualizat.

Din punct de vedere vizual, această procedură arată astfel:

Cu toate acestea, pericolul nu trebuie exagerat. Dezvoltarea unui program rău intenționat folosind tehnologii de virtualizare este încă mult mai dificilă decât utilizarea instrumentelor „tradiționale” care exploatează diverse vulnerabilități în sistemele de operare. În același timp, principala ipoteză făcută de cei care susțin că un astfel de malware este mai greu de detectat și, în plus, este posibil să nu exploateze „găurile” din sistemul de operare, acționând exclusiv „în cadrul regulilor”, este că sistemul de operare presupus virtualizat nu este capabil să detecteze că rulează pe o mașină virtuală, că există un mesaj inițial incorect. În consecință, software-ul antivirus are toate oportunitățile de a detecta infecția. Și, prin urmare, nu are rost să dezvoltăm un troian atât de complex și consumatoare de resurse, având în vedere disponibilitatea unor metode mult mai simple de intruziune.

Tehnologii de virtualizare de la Intel și AMD

Intel și AMD, ca producători de top de procesoare pentru platforme de server și desktop, au dezvoltat tehnici de virtualizare hardware pentru a fi utilizate în platformele de virtualizare. Aceste tehnici nu sunt direct compatibile, dar îndeplinesc în esență funcții similare. Ambii presupun un hypervisor care controlează sistemele oaspeți nemodificate și au capacitatea de a dezvolta platforme de virtualizare fără a fi nevoie de emulare hardware. Procesoarele ambelor companii care acceptă virtualizarea includ instrucțiuni suplimentare pentru ca hypervisorul să apeleze pentru a gestiona sisteme virtuale. Grupul care cercetează în prezent capacitățile tehnicilor de virtualizare hardware include AMD, Intel, Dell, Fujitsu Siemens, Hewlett-Packard, IBM, Sun Microsystems și VMware.

Virtualizare Intel

Intel a anunțat oficial lansarea tehnologiei de virtualizare la începutul anului 2005 la conferința Intel Developer Forum din primăvara anului 2005. Noua tehnologie a primit numele de cod Vanderpool și oficial Intel Virtualization Technology (abreviat Intel VT). Tehnologia Intel VT conține o serie de tehnologii de diferite clase care au numere de versiune VT-x, unde x este o literă care indică un subtip de tehnologie hardware. Suportul pentru noua tehnologie a fost anunțat în procesoarele Pentium 4, Pentium D, Xeon, Core Duo și Core 2 Duo. Intel a publicat și specificații pentru Intel VT pentru procesoarele bazate pe Itanium, unde tehnologia de virtualizare a apărut sub numele de cod „Silvervale” și versiunea VT-i. Cu toate acestea, din 2005, noile modele de procesoare Itanium nu acceptă instrucțiuni x86 în hardware, iar virtualizarea x86 poate fi utilizată doar pe arhitectura IA-64 prin emulare.

Pentru a activa tehnologia Intel VT în sistemele informatice, Intel a colaborat cu producătorii de plăci de bază, BIOS și periferice pentru a se asigura că Intel VT este compatibil cu sistemele existente. Pe multe sisteme informatice, tehnologia de virtualizare hardware poate fi dezactivată în BIOS. Specificațiile pentru Intel VT spun că pentru a suporta această tehnologie, nu este suficient doar să ai un procesor care o suportă, trebuie să ai și chipset-urile de placă de bază adecvate, BIOS-ul și software-ul care folosește Intel VT. Lista procesoarelor Intel VT acceptate este prezentată mai jos:

• Procesor Intel® 2 Core™ Duo Extreme X6800
• Procesor Intel® 2 Core™ Duo E6700
• Procesor Intel® 2 Core™ Duo E6600
• Procesor Intel® 2 Core™ Duo E6400 (E6420)
• Procesor Intel® 2 Core™ Duo E6300 (E6320)
• Procesor Intel® Core™ Duo T2600
• Procesor Intel® Core™ Duo T2500
• Procesor Intel® Core™ Duo T2400
• Procesor Intel® Core™ Duo L2300
• Procesor Intel® Pentium® Extreme Edition 965
• Procesor Intel® Pentium® Extreme Edition 955
• Procesor Intel® Pentium® D 960
• Procesor Intel® Pentium® D 950
• Procesor Intel® Pentium® D 940
• Procesor Intel® Pentium® D 930
• Procesor Intel® Pentium® D 920
• Procesor Intel® Pentium® 4 672
• Procesor Intel® Pentium® 4 662

Procesoare pentru laptop:

• Procesor Intel® 2 Core™ Duo T7600
• Procesor Intel® 2 Core™ Duo T7400
• Procesor Intel® 2 Core™ Duo T7200
• Procesor Intel® 2 Core™ Duo T5600
• Procesor Intel® 2 Core™ Duo L7400
• Procesor Intel® 2 Core™ Duo L7200
• Procesor Intel® 2 Core™ Duo L7600
• Procesor Intel® 2 Core™ Duo L7500

Procesoare pentru platforme server:

• procesor Intel® Xeon® 7041
• Procesor Intel® Xeon® 7040
• procesor Intel® Xeon® 7030
• Procesor Intel® Xeon® 7020
• procesor Intel® Xeon® 5080
• Procesor Intel® Xeon® 5063
• procesor Intel® Xeon® 5060
• Procesor Intel® Xeon® 5050
• Procesor Intel® Xeon® 5030
• procesor Intel® Xeon® 5110
• Procesor Intel® Xeon® 5120
• Procesor Intel® Xeon® 5130
• Procesor Intel® Xeon® 5140
• Procesor Intel® Xeon® 5148
• Procesor Intel® Xeon® 5150
• Procesor Intel® Xeon® 5160
• Procesor Intel® Xeon® E5310
• Procesor Intel® Xeon® E5320
• Procesor Intel® Xeon® E5335
• Procesor Intel® Xeon® E5345
• Procesor Intel® Xeon® X5355
• Procesor Intel® Xeon® L5310
• Procesor Intel® Xeon® L5320
• Procesor Intel® Xeon® 7140M
• Procesor Intel® Xeon® 7140N
• Procesor Intel® Xeon® 7130M
• Procesor Intel® Xeon® 7130N
• Procesor Intel® Xeon® 7120M
• Procesor Intel® Xeon® 7120N
• Procesor Intel® Xeon® 7110M
• Procesor Intel® Xeon® 7110N
• Procesor Intel® Xeon® X3220
• Procesor Intel® Xeon® X3210

Trebuie remarcat faptul că următoarele patru procesoare nu acceptă tehnologia Intel VT:

• Procesor Intel® 2 Core™ Duo E4300
• Procesor Intel® 2 Core™ Duo E4400
• Procesor Intel® 2 Core™ Duo T5500
• Procesor Intel® Pentium® D 9x5 (D945)

Intel intenționează, de asemenea, să dezvolte o tehnologie numită Virtualization for Directed I/O pentru Intel VT, care are o versiune VT-d. În acest moment, se știe că acestea sunt schimbări semnificative în arhitectura I/O, care vor îmbunătăți securitatea, robustețea și performanța platformelor virtuale folosind tehnici de virtualizare hardware.

Virtualizare AMD

AMD, ca și Intel, a început recent să perfecționeze arhitectura procesorului pentru a sprijini virtualizarea. În mai 2005, AMD a anunțat începutul introducerii suportului de virtualizare în procesoare. Numele oficial dat noii tehnologii este AMD Virtualization (abreviat ca AMD-V), iar numele său de cod intern este AMD Pacifica. Tehnologia AMD-V este o continuare logică a tehnologiei Direct Connect pentru procesoarele AMD64, care vizează creșterea performanței sistemelor informatice prin integrarea strânsă și directă a procesorului cu alte componente hardware.

Următoarea listă prezintă procesoarele care acceptă funcțiile de virtualizare hardware AMD-V. Suportul pentru aceste caracteristici ar trebui să funcționeze pe toate procesoarele desktop din seria AMD-V care rulează Socket AM2 începând cu pasul F. De asemenea, trebuie remarcat faptul că procesoarele Sempron nu acceptă virtualizarea hardware.

Procesoare desktop:

• Athlon™ 64 3800+
• Athlon™ 64 3500+
• Athlon™ 64 3200+
• Athlon™ 64 3000+
• Athlon™ 64 FX FX-62
• Athlon™ 64 FX FX-72
• Athlon™ 64 FX FX-74
• Athlon™ 64 X2 Dual-Core 6000+
• Athlon™ 64 X2 Dual-Core 5600+
• Athlon™ 64 X2 Dual-Core 5400+
• Athlon™ 64 X2 Dual-Core 5200+
• Athlon™ 64 X2 Dual-Core 5000+
• Athlon™ 64 X2 Dual-Core 4800+
• Athlon™ 64 X2 Dual-Core 4600+
• Athlon™ 64 X2 Dual-Core 4400+
• Athlon™ 64 X2 Dual-Core 4200+
• Athlon™ 64 X2 Dual-Core 4000+
• Athlon™ 64 X2 Dual-Core 3800+

Pentru laptopuri, procesoarele cu marca Turion 64 X2 sunt acceptate:

• Turion™ 64 X2 TL-60
• Turion™ 64 X2 TL-56
• Turion™ 64 X2 TL-52
• Turion™ 64 X2 TL-50

Următoarele procesoare Opteron sunt acceptate pentru platformele de server:

• Seria Opteron 1000
• Seria Opteron 2000
• Seria Opteron 8000

Software care acceptă virtualizarea hardware

În acest moment, marea majoritate a furnizorilor de platforme de software de virtualizare au anunțat suport pentru tehnologiile de virtualizare hardware de la Intel și AMD. Mașinile virtuale de pe aceste platforme pot fi rulate cu suport de virtualizare hardware. În plus, pe multe sisteme de operare care includ platforme software de paravirtualizare, cum ar fi Xen sau Virtual Iron, virtualizarea hardware va permite rularea sistemelor de operare invitate nemodificate. Deoarece paravirtualizarea este unul dintre tipurile de virtualizare care necesită modificarea sistemului de operare guest, implementarea suportului de virtualizare hardware în platformele de paravirtualizare este o soluție foarte acceptabilă pentru aceste platforme, din punctul de vedere al posibilității de a rula versiuni nemodificate de guest. sisteme. Următorul tabel listează principalele platforme de virtualizare și software populare care acceptă tehnologiile de virtualizare hardware:

Virtualizarea hardware astăzi

VMware, parte a Grupului de Cercetare în Virtualizare Hardware, a efectuat un studiu la sfârșitul anului 2006 privind propria virtualizare software în comparație cu tehnologiile Intel de virtualizare hardware. Documentul „A Comparison of Software and Hardware Techniques for x86 Virtualization” a documentat rezultatele acestui studiu (pe un procesor Intel Pentium 4 672 de 3,8 GHz cu tehnologia Hyper-Threading dezactivată). Unul dintre experimente a fost realizat folosind sistemele de testare SPECint2000 și SPECjbb2005, care sunt standardul de facto pentru evaluarea performanței sistemelor informatice. Sistemul de operare Red Hat Enterprise Linux 3, controlat de un hypervisor software și hardware, a fost folosit ca sistem invitat. Virtualizarea hardware era de așteptat să ofere un raport de performanță de aproximativ o sută la sută față de rularea sistemului de operare nativ. Cu toate acestea, rezultatele au fost destul de surprinzătoare: în timp ce un hypervisor software fără tehnici de virtualizare hardware a suferit o pierdere de performanță de 4% față de rularea nativă, un hypervisor hardware a suferit în general o pierdere de performanță de 5%. Rezultatele acestui test sunt prezentate în figura de mai jos:

Concluzii

Suportul pentru tehnologiile de virtualizare hardware în procesoare deschide perspective largi pentru utilizarea mașinilor virtuale ca instrumente fiabile, sigure și flexibile pentru creșterea eficienței infrastructurilor virtuale. Prezența suportului pentru tehnicile de virtualizare hardware în procesoarele nu numai ale sistemelor de server, ci și desktop indică seriozitatea intențiilor producătorilor de procesoare în raport cu toate segmentele pieței utilizatorilor de sisteme informatice. Utilizarea virtualizării hardware în viitor ar trebui să reducă pierderile de performanță atunci când rulați mai multe mașini virtuale pe un server fizic. Desigur, virtualizarea hardware va crește securitatea sistemelor virtuale din mediile corporative. În zilele noastre, ușurința dezvoltării platformelor de virtualizare folosind tehnici hardware a dus la apariția de noi jucători pe piața virtualizării. Furnizorii de sisteme de paravirtualizare folosesc pe scară largă virtualizarea hardware pentru a rula sisteme invitate nemodificate. Un avantaj suplimentar al tehnicilor de virtualizare bazate pe hardware este capacitatea de a rula invitați pe 64 de biți pe versiuni de 32 de biți ale platformelor de virtualizare (de exemplu, VMware ESX Server).

Nu ar trebui să luați rezultatele de performanță ca fiind singurele adevărate. Evaluarea obiectivă a performanței diverselor platforme hardware și software pentru virtualizare este o sarcină nebanală, grupul de lucru menționat din cadrul SPEC lucrează la crearea unui set de metode standard de evaluare a unor astfel de sisteme. Astăzi se poate observa că instrumentele de virtualizare de la AMD sunt mai avansate din punct de vedere tehnic decât cele implementate de Intel. Depinde mult de software-ul utilizat, de exemplu, spre deosebire de VMWare, există medii care sunt mult mai „responsive” la suportul hardware, de exemplu, Xen 3.0.