Xen-Virtualisierung für Windows-Bürocomputer mit Intel-Prozessoren

Wie versprochen, hat Red Hat noch in diesem Jahr eine Vorab-Version der "Embedded IT Software 3.0" vorgestellt. Dabei handelt es sich um Software-Tools, mit deren Hilfe Intel Bürocomputer sicherer und leichter per Netz fernwartbar machen will: Das als eigentliches Nutz-Betriebssystem installierte Windows (XP ab SP2 oder Vista) bekommt keinen direkten Zugriff mehr aufs LAN. Stattdessen darf Windows nur noch mit einer virtualisierten Netzwerkschnittstelle sprechen. Der Netzwerkverkehr lässt sich anschließend auch noch filtern, wozu neben der Virtuellen Maschine (VM) mit dem Windows eine Linux-VM laufen kann, die wiederum einen (Symantec-)Virenscanner enthält. Solche virtuellen Appliances nennen Intel und Red Hat auch Embedded IT (EIT).

Dank Hardware-Virtualisierungsunterstützung im Prozessor (VT-x) sowie im Chipsatz (Q35 mit LaGrande beziehungsweise Trusted Execution Technology, TXT) sollen Windows-Applikationen, also auch Viren oder Trojaner, nicht aus ihrer VM ausbrechen können. Voraussetzung für Embedded IT Software 3.0 ist also ein Komplettrechner, der nach Intels vPro-2-Vorgaben aufgebaut ist. Solche Systeme liefern alle großen (und viele kleinere) PC-Hersteller im Rahmen ihrer Produktserien für Firmenkunden.

Ein Vortrag anlässlich des Xen Summit Fall 2007 (PDF-Präsentation hier) erklärt das recht komplexe EIT-Konzept. Demnach stellt das BIOS eine versteckte Partition der Festplatte zur Verfügung, die nur Xen und die EIT ansprechen können. Außerdem erhalten der Hypervisor für seine privilegierte Domäne Dom0 sowie eine Service-Partition (Service OS, SOS) jeweils abgeschottete Adressbereiche im Hauptspeicher. Beide Domänen starten nur, wenn das Trusted Platform Module (TPM) ihren Code validiert (Verified Launch); so sollen sie sicher vor Manipulationen sein. Dieses Konzept erinnert übrigens stark an die ursprünglichen Palladium-/NGSCB-Pläne von Microsoft.

Xen virtualisiert nach dem Start die im Chipsatz integrierte GBit-LAN-Schnittstelle sowie das TPM. Auf beide erhält das (Windows-)Betriebssystem (User OS, UOS) nur genau dosierten Zugriff. Auf die restlichen Schnittstellen (USB, SATA, integrierte Grafik oder PCI Express-Ports) greift das UOS aber direkt mit eigenen Treibern zu.

Auch um die Energieverwaltung (Power Management, PM) kümmert sich der Hypervisor; schließlich soll auch ein Büro-PC mit virtualisiertem Windows Stromsparfunktionen nutzen können. Wer die Probleme mit ACPI und der Windows-Energieveraltung kennt, wird aber den Plan für die Umsetzung eines funktionierenden Power Managements für ein gewagtes Projekt mit ungewissem Ausgang halten. Intel will jedenfalls die Power Management Policy des UOS – sprich: von Windows – virtualisieren. Das UOS steuert dabei die Geräte, auf die es mit eigenen Treibern zugreift, das SOS kümmert sich um den Rest. Bleibt zu hoffen, dass vPro-2-PCs dann nicht bloß virtuell Leistung sparen. Sowohl AMD als auch Intel haben aber bereits angekündigt, Energiesparfunktionen in Zukunft stärker von der Hardware selbst steuern lassen zu wollen, statt nur auf OSPM per ACPI zu vertrauen.

Vor allem geht es Intel aber darum, den Fernzugriff auf die Bürocomputer möglichst gut zu sichern. Schließlich will Intel die vPro-Produkte mit ihrer Fernwartungstechnik Active Management Technology (AMT) auch kleineren Systemhäusern und deren Kunden schmackhaft machen. Mit dem Multi-Site-Director sollen auch kleinere PC-Händler ihren Kunden Fernwartung per Internet als Dienstleistung anbieten können. Wie gut Verified Launch vor Angriffskonzepten wie Blue Pill schützt, ist unklar. Die Virtualisierungsfunktionen der aktuellen AMD- und Intel-Prozessoren (AMD-V/SVM, VT-x/VMX) lassen sich jedenfalls in vielen BIOS-Setups abschalten.

Unterdessen hat Intel mit dem System Defense Utility auch ein angeblich leicht nutzbares Utility zur Fernwartung von vPro-PCs bereitgestellt. Bisher hatte Intel nur ein SDK und andere Tools für Entwickler von Fernwartungs-Software veröffentlicht.

Außer mit Red Hat und Xen kooperiert Intel in Bezug auf die vPro/AMT-Virtualisierung auch mit anderen Firmen, darunter Parallels und Phoenix. AMD will übrigens das vPro-Konzept mit Trinity kontern. Dabei spielen Netzwerk-Chips von Broadcom eine Rolle, die ASF- und DASH-Fernwartungsfunktionen unterstützen und teilweise auch TPMs enthalten. (ciw)