vPro Zwo
Mit dem Q35-Chipsatz bringt Intel die zweite Auflage der vPro-Plattform, die außer mehr Fernwartungsfunktionen auch La Grande alias Trusted Execution Technology bringt.
Fast ist Intels Chipsatz-„Serie 3“ komplett: Nach P35, P31, G33 und G31 stellt Intel jetzt den Q35 für vPro-Bürocomputer mit Virtualisierungs-, Fernwartungs- und „Sicherheits“funktionen vor, außerdem kommt die im Vergleich zum Q35 abgespeckte Version Q33. Auch zum grafikfähigen G35-Chipsatz, der für Heim- und Wohnzimmerrechner gedacht ist und mit kommenden Treibern unter Windows Vista Direct3D 10 unterstützen soll, sind auf Intels Webseite bereits Datenblätter aufgetaucht. Noch im September wird Intels „Technologieträger“ für Workstations und High-End-Gaming-Rechner erwartet: Der X38 soll DDR3-1333/PC3-10600-Speicher und als erster Chipsatz überhaupt die kommenden PCI-Express-2.0-Grafikkarten unterstützen.
Q35 und Q33 lösen Q965 und Q963 ab und sind Intels aktuelle Chipsatz-Offerte für länger lieferbare Business-PCs (Stable Image Platform Program, SIPP). Alleine schon deshalb dürfte vor allem der Q35 weite Verbreitung finden - die großen PC-Hersteller nutzen ihn für ihre Profi-PCs, die sie in Millionenstückzahlen bauen.
Der Q35 ist das Herzstück der vPro-Generation 2007. Gemäß Intels Vorgaben besteht die neue vPro-Plattform aus der Q35-Northbridge, einem Core 2 Duo mit FSB1333 (das sind die E6x50-Typen), der Southbridge ICH9DO (Digital Office), einem Trusted Platform Module (TPM 1.2), dem GBit-LAN-Adapter 82566DM sowie einem SPI-Flash-Speicherchip, in dem außer dem Mainboard-BIOS und der Firmware des LAN-Adapters auch Code für eine Management Engine (ME) steckt. Diese ME nutzt den LAN-Adapter mit und bietet Administratoren Zugriff etwa auch auf abgestürzte oder im Standby-Modus schlafende Rechner.
Trusted Execution
Die bisher erwähnten Funktionen beherrschte schon die erste vPro-Generation, sie wurden aber überarbeitet - dazu unten mehr. Ganz neu sind die Trusted Execution Technology (TXT) sowie DMA Remapping, womit sich beispielsweise Netzwerkadapter bestimmten virtuellen Maschinen (VMs) fest zuordnen lassen sollen. DMA Remapping gehört zu Intels „Virtualization for Directed I/O“ (VT-d) und setzt voraus, dass ein VT-d-tauglicher Virtual Machine Manager (VMM) beziehungsweise Hypervisor läuft. Dieser kann auch TXT nutzen, um virtuelle Maschinen (VMs) in gegeneinander abgeschottete Speicher-Adressbereiche einzusperren. Der Code, den die einzelnen VMs ausführen, soll sich durch Rückgriff auf den Endorsement Key und die kryptografischen Fähigkeiten des TPM gegen Manipulationen absichern lassen.
Intels Konzept für sicherere und besser gegen Angriffe aus dem Internet geschützte Bürocomputer sieht vor, dass das eigentliche Betriebssystem in einer abgeschotteten VM läuft und keinen direkten Zugriff auf den Netzwerkchip bekommt. Stattdessen stellt eine parallel zum Betriebssystem laufende und von dort aus unsichtbare „Service-VM“ oder Virtual Appliance einen virtuellen LAN-Port bereit. Die Virtual Appliance kann dann den Netzwerkverkehr überwachen, also beispielsweise Firewall und Virenscanner enthalten. Infizieren Trojaner oder Viren das Nutzsystem, kann die Virtual Appliance das anhand auffälliger Netzwerkzugriffe erkennen und das System vom Netz trennen (Isolation). Weil die Service-VMs und die im Chipsatz integrierte Management Engine weiter am Netz hängen, soll sich der infizierte Rechner aus der Ferne desinfizieren lassen.
Mangels Software dürfte es noch ein Weilchen dauern, bis diese Funktionen nutzbar werden. Symantec hatte schon 2006 eine Virtual Security Solution (VSS) für vPro-Systeme vorstellen wollen, scheiterte nach eigenen Angaben aber an Lizenzproblemen mit dem als VM-Betriebssystem vorgesehenen Windows CE. Bis 2008 soll nun Red Hat einen (Xen-basierten) Virtual Machine Manager (VMM) sowie eine spezielle Linux-Variante und ein Software Development Kit (SDK) für Virtual Appliances liefern - erst danach soll dann die Symantec-VSS kommen.
Fernwartung
Auch andere Teile der vPro-Plattform sind auf Software Dritter angewiesen, nämlich das Fernwartungssystem Active Management Technology (AMT), das wir in [1] im Detail vorgestellt hatten. AMT debütierte bereits vor zwei Jahren mit dem 945G beziehungsweise dem Intel-Netzwerkchip 82573E. Der Q965 brachte AMT 2.0 mit einer eingebauten ME und der Notebook-Chipsatz GM965 AMT 2.5, wobei auch einige Funktionen per WLAN nutzbar sind.
Mit dem Q35 kommen nun AMT 3.0 und die Kompatibilität mit der offenen Spezifikation Desktop and Mobile Architecture for System Hardware (DASH). AMT-3.0-taugliche Rechner sollen sich also mit Software-Tools fernwarten lassen, die DASH unterstützen - der Standard soll breite Anwendung finden, auch AMD plant in Kooperation mit Broadcom DASH-kompatible Plattformen. Für Kleinfirmen bringt das aber erst dann Vorteile, wenn bezahlbare und leicht nutzbare DASH-Tools erscheinen - die „großen“ Remote-Management-Pakete wie IBM Tivoli, HP OpenView, Altiris oder LANDesk erfordern spezielle (Windows-)Server im Netz und sind recht teuer.
Der Q35 bringt noch einige Detailverbesserungen, etwa eine Verschlüsselung aller Daten der ME sowie die Unterstützung von Core-Prozessoren mit 45-Nanometer-Strukturen (also für die Kerne Wolfdale und Yorkfield aus der „Penryn“-Generation). Letzteres ist auch bei den anderen Chipsätzen der „Bearlake“-Familie oder „Serie 3“ der Fall. Doch anders als bei P35, G33 und X38 ist bei Q35 (und auch G35) der Einsatz von DDR3-SDRAM-Hauptspeicher nicht vorgesehen. Kurioserweise koppelt Intel übrigens den G35 noch mit der älteren Southbridge ICH8 - was das für Vorteile bringen soll, ist unklar.
Q35-Rechner dürften alle Hersteller professioneller Bürocomputer in den nächsten Wochen einführen. Zu den ersten Anbietern gehören etwa Dell (OptiPlex 755), Fujitsu Siemens Computers (Esprimo E/P5925) und Transtec (Senyo 820). Einige Anbieter heben auch den niedrigeren Energiebedarf ihrer Q35-Rechner hervor, die die aktuellen Energy-Star-4.0-Richtlinien deutlich unterbieten können.
Literatur
[1] Christof Windeck, Wartungsschacht, Fernwartungstechnik für Bürocomputer, c't 16/07, S. 134
| Intels Grafikkerne | |||||
| Chipsatz | Grafikkern | Direct3D | Shader Model/OpenGL | TDP (idle/max.) | max. RAM |
| G35 | GMA X3500 | Direct3D 101 | 4.0 / 2.0 | 11 W / 28 W | 384 MByte |
| GM965 | GMA X3100 | Direct3D 101 | 4.0 / 1.5 | k. A. / 13,5 W | 384 MByte |
| G965 | GMA X3000 | DirectX 9 | 3.0 / 1.5 | 13 W / 28 W | 384 MByte |
| Q35, Q33 | GMA 3100 | DirectX 9 | 2.0 / 1.4 | 5,5 W / 13 W2 | 256 MByte |
| G33 | GMA 3100 | DirectX 9 | 2.0 / 1.4 | 5,8 W / 14,5 W2 | 256 MByte |
| G31 | GMA 3100 | DirectX 9 | 2.0 / 1.4 | 7,4 W / 15,5 W2 | 256 MByte |
| Q965 | GMA 3000 | DirectX 9 | 2.0 / 1.4 | 13 W / 28 W | 256 MByte |
| Q963 | GMA 3000 | DirectX 9 | 2.0 / 1.4 | 11 W / 28 W | 256 MByte |
| 946GZ | GMA 3000 | DirectX 9 | 2.0 / 1.4 | 9,1 W / 26 W | 256 MByte |
| 945G | GMA 950 | DirectX 9 | 2.0 / 1.4 | k. A. / 22 W | 256 MByte |
| 945GT | GMA 950 | DirectX 9 | 2.0 / 1.4 | k. A. / 15 W | 256 MByte |
| 945GM | GMA 950 | DirectX 9 | 2.0 / 1.4 | k. A. / 7 W | 256 MByte |
| 1 Direct3D-10-Funktionen sollen erst spätere Treiber-Updates bringen | |||||
| 2 beim Einsatz einer PCIe-Grafikkarte erreicht die TDP wie beim P35 16 Watt | |||||
(ciw)
