Kumusta sa lahat Sa iyong motherboard BIOS maaari kang makahanap ng isang bagay tulad ng Intel Virtualization Technology at pagkatapos ay magkakaroon ka kaagad ng mga katanungan, kung paganahin ito o hindi? Ano ang tunay na responsable para sa, ano ang impiyerno, at kung i-on mo ito, kung gayon marahil ang computer ay gagana nang mas mahusay? Oo, maaaring maraming iniisip, noong nagha-hack ako sa computer, pinag-aaralan ang lahat, marami ring iniisip, tulad ng, kung ano ang mangyayari kung...

Sa madaling salita, sasabihin ko kaagad na alam ko kung ano ang Intel Virtualization Technology, ngunit sasabihin ko rin na sa karamihan ng mga kaso hindi mo kailangang paganahin ito. Ikaw o ang iyong mga kaibigan, mabuti, may nagsasabi sa akin na hindi mo talaga kailangan ang teknolohiyang ito. Bakit mo ito iniisip? Okay, sasabihin ko sa iyo. Nangangahulugan ito na ang Intel Virtualization Technology ay isang virtualization na teknolohiya upang ang ilang software ay maaaring gumana nang direkta sa processor, wika nga.

Marahil ay nagtatanong ka, ano pang software? Narito ang ibig kong sabihin ay mga programa sa virtualization ng computer, sa simpleng mga termino ito ay mga virtual machine, ang pinakasikat sa ngayon ay ang bayad na VMware Workstation (nga pala, mayroong isang libreng opsyon - VMware Player) at ganap na libreng VirtualBox. Sinasabi nila na ang una ay isang virtual machine, at ang pangalawa ay isang emulator. Ngunit hindi ko talaga maintindihan ang pagkakaiba

Narito kung ano ang hitsura ng pagpipiliang ito sa BIOS mismo:

Kaya, ang mga ordinaryong gumagamit ay hindi nangangailangan ng Intel Virtualization Technology para sa wala, wala itong ginagawa, hindi ito nagdaragdag ng anumang kapangyarihan. Maaaring nagtataka ka kung ano ang isang virtual machine, ano ito? Ito ay isang program na ginagaya ang isang computer, ngunit ito ay virtual. Dito maaari mong i-install ang Windows dito, magdagdag o mag-alis ng hard drive, itakda ang bilang ng mga core ng processor, at tukuyin ang dami ng RAM. naiintindihan mo ba Ngunit para gumana nang mabilis ang isang virtual na computer, kailangan mo ng ilang uri ng virtual na pag-access sa processor, at para maibigay ang access na ito, kailangan ng Intel Virtualization Technology.

Tulad ng naiintindihan mo na, ang teknolohiyang ito ay matatagpuan sa mga processor ng Intel, ngunit ang AMD ay mayroon ding sarili nito, ito ay tinatawag na AMD-V at ito ay halos kapareho ng sa Intel. Ang mga virtual machine na walang teknolohiyang ito ay gagana nang napakabagal. Sa pangkalahatan, ang Intel Virtualization Technology ay nahahati sa dalawang bahagi, ito ay VT-x at VT-d, iyon ay, kung nakikita mo ang mga naturang pagtatalaga, ngayon alam mo kung ano ito. Nagsulat na ako tungkol sa kung ano ang VT-x at VT-d dito, kaya malugod kang magbasa.

Ang mabilis na pag-unlad ng merkado ng teknolohiya ng virtualization sa nakalipas na ilang taon ay higit sa lahat ay dahil sa pagtaas ng kapasidad ng hardware, na naging posible upang lumikha ng tunay na epektibong mga platform ng virtualization para sa parehong mga sistema ng server at mga desktop computer. Binibigyang-daan ka ng mga teknolohiya ng virtualization na magpatakbo ng ilang virtual na pagkakataon ng mga operating system (guest OS) sa isang pisikal na computer (host) upang matiyak ang kanilang kalayaan mula sa hardware platform at pag-concentrate ang ilang virtual machine sa isang pisikal na computer. Ang virtualization ay nagbibigay ng maraming benepisyo para sa parehong enterprise infrastructure at end user. Ang virtualization ay nagbibigay ng makabuluhang pagtitipid sa hardware at maintenance, pinatataas ang flexibility ng IT infrastructure, at pinapasimple ang pamamaraan para sa backup at recovery pagkatapos ng mga pagkabigo. Ang mga virtual machine, bilang mga hardware-independent na unit, ay maaaring ipamahagi bilang mga paunang naka-install na template na maaaring patakbuhin sa anumang hardware platform ng isang suportadong arkitektura.

Hanggang kamakailan lamang, ang mga pagsisikap sa virtualization ng operating system ay pangunahing nakatuon sa pagbuo ng software. Noong 1998, seryosong binalangkas ng VMware sa unang pagkakataon ang mga prospect para sa pagbuo ng mga virtual system sa pamamagitan ng pag-patent ng mga virtualization software techniques. Salamat sa mga pagsisikap ng VMware, pati na rin ang iba pang mga tagagawa ng mga virtual na platform, at ang pagtaas ng bilis ng pagpapabuti sa teknolohiya ng computer, nakita ng mga corporate at home user ang mga pakinabang at prospect ng bagong teknolohiya, at ang merkado para sa mga tool sa virtualization ay nagsimulang lumago sa isang mabilis na bilis. Siyempre, ang mga malalaking kumpanya tulad ng Intel at AMD, na kumokontrol sa karamihan ng merkado ng processor, ay hindi maaaring balewalain ang maaasahang teknolohiyang ito. Ang Intel ang unang nakakita sa bagong teknolohiya ng pinagmumulan ng teknolohikal na kahusayan sa mga kakumpitensya at nagsimulang magtrabaho sa pagpapabuti ng x86 processor architecture upang suportahan ang mga virtualization platform. Kasunod ng Intel, sumali rin ang AMD sa pagbuo ng suporta sa virtualization ng hardware sa mga processor upang hindi mawala ang posisyon nito sa merkado. Sa kasalukuyan, ang parehong kumpanya ay nag-aalok ng mga modelo ng processor na may pinalawak na hanay ng mga tagubilin at pinapayagan ang direktang paggamit ng mga mapagkukunan ng hardware sa mga virtual machine.

Pag-unlad ng mga diskarte sa virtualization ng hardware

Ang ideya ng virtualization ng hardware ay hindi bago: una itong ipinatupad sa 386 na mga processor at tinawag na V86 mode. Ang mode na ito ng pagpapatakbo ng 8086 processor ay naging posible na magpatakbo ng ilang mga aplikasyon ng DOS nang magkatulad. Ngayon, pinapayagan ka ng virtualization ng hardware na magpatakbo ng maraming independiyenteng virtual machine sa naaangkop na mga seksyon ng espasyo ng hardware ng computer. Ang virtualization ng hardware ay isang lohikal na pagpapatuloy ng ebolusyon ng mga antas ng abstraction ng mga platform ng software - mula sa multitasking hanggang sa antas ng virtualization:

Mga kalamangan ng virtualization ng hardware kaysa sa software

Ang software virtualization ay kasalukuyang nangingibabaw sa hardware sa virtualization technology market dahil sa ang katunayan na sa mahabang panahon ang mga tagagawa ng processor ay hindi maayos na maipatupad ang suporta sa virtualization. Ang proseso ng pagpapakilala ng bagong teknolohiya sa mga processor ay nangangailangan ng malaking pagbabago sa kanilang arkitektura, ang pagpapakilala ng mga karagdagang tagubilin at mga mode ng pagpapatakbo ng processor. Nagdulot ito ng mga problema sa pagtiyak ng pagiging tugma at katatagan, na ganap na nalutas noong 2005-2006 sa mga bagong modelo ng processor. Sa kabila ng katotohanan na ang mga platform ng software ay lubos na sumulong sa mga tuntunin ng pagganap at pagkakaloob ng mga tool sa pamamahala ng virtual machine, ang teknolohiya ng virtualization ng hardware ay may ilang hindi maikakaila na mga pakinabang sa software:

• Pasimplehin ang pagbuo ng mga virtualization platform sa pamamagitan ng pagbibigay ng mga interface sa pamamahala ng hardware at suporta para sa mga virtual na bisita. Nag-aambag ito sa paglitaw at pag-unlad ng mga bagong virtualization platform at mga tool sa pamamahala, dahil sa pagbawas sa intensity ng paggawa at oras ng kanilang pag-unlad.
• Ang kakayahang pataasin ang pagganap ng mga virtualization platform. Dahil ang mga virtual na bisita ay direktang pinamamahalaan ng isang maliit na layer ng middleware (ang hypervisor), ang mga virtualization platform na nakabatay sa hardware ay inaasahang magiging mas mabilis sa hinaharap.
• Ang kakayahang mag-isa na maglunsad ng ilang virtual na platform na may kakayahang lumipat sa pagitan ng mga ito sa antas ng hardware. Maraming virtual machine ang maaaring gumana nang nakapag-iisa, bawat isa sa sarili nitong espasyo ng mga mapagkukunan ng hardware, na mag-aalis ng mga pagkalugi sa pagganap na nauugnay sa pagpapanatili ng host platform, pati na rin ang pagtaas ng seguridad ng mga virtual machine dahil sa kanilang kumpletong paghihiwalay.
• Pag-decoupling ng guest system mula sa arkitektura ng host platform at pagpapatupad ng virtualization platform. Gamit ang mga teknolohiya ng virtualization ng hardware, posibleng maglunsad ng 64-bit na mga guest system mula sa 32-bit host system na nagpapatakbo ng 32-bit na virtualization environment.

Paano gumagana ang virtualization ng hardware

Ang pangangailangang suportahan ang virtualization ng hardware ay nagpilit sa mga tagagawa ng processor na bahagyang baguhin ang kanilang arkitektura sa pamamagitan ng pagpapakilala ng mga karagdagang tagubilin upang magbigay ng direktang access sa mga mapagkukunan ng processor mula sa mga guest system. Ang hanay ng mga karagdagang tagubilin na ito ay tinatawag na Virtual Machine Extensions (VMX). Nagbibigay ang VMX ng mga sumusunod na tagubilin: VMPTRLD, VMPTRST, VMCLEAR, VMREAD, VMREAD, VMWRITE, VMCALL, VMLAUNCH, VMRESUME, VMXON, at VMXOFF.

Ang isang processor na may suporta sa virtualization ay maaaring gumana sa dalawang mode: root operation at non-root operation. Sa root operation mode, tumatakbo ang espesyal na software, na isang "magaan" na layer sa pagitan ng mga operating system ng bisita at hardware - isang virtual machine monitor (VMM), na tinatawag ding hypervisor. Ang salitang "hypervisor" ay lumitaw sa isang kawili-wiling paraan: noong unang panahon, isang napakatagal na panahon ang nakalipas, ang operating system ay tinawag na "supervisor", at ang software na "sa ilalim ng pangangasiwa" ay tinawag na "hypervisor".

Upang ilagay ang processor sa virtualization mode, dapat tawagan ng virtualization platform ang VMXON instruction at ilipat ang control sa hypervisor, na magsisimula sa virtual na bisita gamit ang VMLAUNCH at VMRESUME na mga tagubilin (ang mga entry point sa virtual machine). Maaaring lumabas ang Virtual Machine Monitor sa processor virtualization mode sa pamamagitan ng pagtawag sa VMXOFF na pagtuturo.

Ang bawat guest operating system ay tumatakbo at nagpapatakbo nang hiwalay sa iba at nakahiwalay sa mga tuntunin ng mga mapagkukunan ng hardware at seguridad.

Ang pagkakaiba sa pagitan ng hardware virtualization at software

Ang klasikong arkitektura ng software virtualization ay nagsasangkot ng pagkakaroon ng isang host operating system, kung saan tumatakbo ang isang virtualization platform, na ginagaya ang pagpapatakbo ng mga bahagi ng hardware at pamamahala ng mga mapagkukunan ng hardware na may kaugnayan sa guest operating system. Ang pagpapatupad ng naturang platform ay medyo kumplikado at labor-intensive may mga pagkalugi sa pagganap dahil sa ang katunayan na ang virtualization ay ginanap sa tuktok ng host system. Ang seguridad ng mga virtual machine ay nasa panganib din dahil ang pagkuha ng kontrol sa host operating system ay awtomatikong nangangahulugan ng pagkuha ng kontrol sa lahat ng mga guest system.

Hindi tulad ng teknolohiya ng software, sa tulong ng hardware virtualization posible na makakuha ng mga nakahiwalay na guest system na direktang kontrolado ng hypervisor. Ang diskarte na ito ay maaaring magbigay ng kadalian ng pagpapatupad ng isang virtualization platform at dagdagan ang pagiging maaasahan ng isang platform na may maramihang sabay-sabay na tumatakbong mga sistema ng panauhin, habang walang performance penalty para sa pagseserbisyo sa host system. Ang modelong ito ay magdadala sa pagganap ng mga guest system na mas malapit sa mga tunay at mababawasan ang mga gastos sa pagganap ng pagpapanatili ng host platform.

Mga Disadvantages ng Hardware Virtualization

Kapansin-pansin din na ang virtualization ng hardware ay potensyal na nagdadala ng higit pa sa mga positibong aspeto. Ang kakayahang pamahalaan ang mga sistema ng panauhin sa pamamagitan ng hypervisor at ang kadalian ng pagsulat ng isang virtualization platform gamit ang mga diskarte sa hardware ay ginagawang posible na makabuo ng malisyosong software na, pagkatapos makuha ang kontrol ng host operating system, i-virtualize ito at isagawa ang lahat ng mga aksyon sa labas nito.

Noong unang bahagi ng 2006, ang mga laboratoryo ng Microsoft Research ay lumikha ng rootkit na may codenaming SubVirt, na nakakahawa sa Windows at Linux host system at ginagawang halos hindi matukoy ang presensya nito. Ang prinsipyo ng pagpapatakbo ng rootkit na ito ay ang mga sumusunod:

1. Sa pamamagitan ng isa sa mga kahinaan sa operating system ng computer, nakakakuha ng administratibong access ang nakakahamak na software.
2. Pagkatapos nito, sisimulan ng rootkit ang pamamaraan ng paglipat ng pisikal na platform sa virtual na isa, pagkatapos kung saan ang virtualized na platform ay inilunsad sa pamamagitan ng hypervisor. Kasabay nito, walang nagbabago para sa gumagamit, ang lahat ay patuloy na gumagana tulad ng dati, at lahat ng mga tool at serbisyo na kinakailangan upang ma-access ang hypervisor mula sa labas (halimbawa, terminal access) ay matatagpuan sa labas ng virtualized system.
3. Hindi matukoy ng antivirus software ang malisyosong code pagkatapos ng pamamaraan ng paglipat dahil ito ay matatagpuan sa labas ng virtualized system.

Biswal, ang pamamaraang ito ay ganito ang hitsura:

Gayunpaman, ang panganib ay hindi dapat palakihin. Mas mahirap pa ring bumuo ng isang nakakahamak na programa gamit ang mga teknolohiya ng virtualization kaysa sa paggamit ng "tradisyonal" na mga tool na nagsasamantala sa iba't ibang mga kahinaan sa mga operating system. Kasabay nito, ang pangunahing pagpapalagay na ginawa ng mga nag-aangkin na ang naturang malware ay mas mahirap matukoy at, bukod dito, ay hindi maaaring pagsamantalahan ang "mga butas" sa OS, na kumikilos nang eksklusibo "sa loob ng mga patakaran", ay ang diumano'y virtualized na operating system. ay hindi nakakakita na ito ay tumatakbo sa isang virtual machine, na mayroong isang maling mensahe sa simula. Alinsunod dito, ang software ng anti-virus ay may bawat pagkakataon na makita ang katotohanan ng impeksyon. At, samakatuwid, walang punto sa pagbuo ng tulad ng isang mapagkukunan-intensive at kumplikadong Trojan, dahil sa pagkakaroon ng mas simpleng paraan ng panghihimasok.

Mga teknolohiya ng virtualization mula sa Intel at AMD

Ang Intel at AMD, bilang mga nangungunang tagagawa ng mga processor para sa mga platform ng server at desktop, ay nakabuo ng mga diskarte sa virtualization ng hardware para magamit sa mga platform ng virtualization. Ang mga diskarteng ito ay hindi direktang tugma, ngunit gumaganap ng mahalagang katulad na mga function. Pareho silang nagpapalagay ng hypervisor na nagpapatakbo ng hindi binagong mga guest system, at may kakayahang bumuo ng mga virtualization platform nang hindi nangangailangan ng hardware emulation. Kasama sa mga processor ng parehong kumpanya na sumusuporta sa virtualization ang mga karagdagang tagubilin para tumawag ang hypervisor upang pamahalaan ang mga virtual system. Ang pangkat na kasalukuyang nagsasaliksik sa mga kakayahan ng mga diskarte sa virtualization ng hardware ay kinabibilangan ng AMD, Intel, Dell, Fujitsu Siemens, Hewlett-Packard, IBM, Sun Microsystems at VMware.

Intel Virtualization

Opisyal na inihayag ng Intel ang paglulunsad ng teknolohiyang virtualization noong unang bahagi ng 2005 sa kumperensya ng Intel Developer Forum Spring 2005 Ang bagong teknolohiya ay tinawag na Vanderpool at opisyal na Intel Virtualization Technology (pinaikling tawag sa Intel VT). Ang teknolohiya ng Intel VT ay naglalaman ng isang bilang ng mga teknolohiya ng iba't ibang klase na may mga numero ng bersyon na VT-x, kung saan ang x ay isang titik na nagpapahiwatig ng isang subtype ng teknolohiya ng hardware. Ang suporta para sa bagong teknolohiya ay inihayag sa mga processor ng Pentium 4, Pentium D, Xeon, Core Duo at Core 2 Duo. Nag-publish din ang Intel ng mga detalye para sa Intel VT para sa mga processor na nakabatay sa Itanium, kung saan lumabas ang teknolohiya ng virtualization sa ilalim ng code name na "Silvervale" at bersyong VT-i. Gayunpaman, mula noong 2005, hindi sinusuportahan ng mga bagong modelo ng processor ng Itanium ang x86 na mga tagubilin sa hardware, at ang x86 virtualization ay magagamit lamang sa arkitektura ng IA-64 sa pamamagitan ng pagtulad.

Upang paganahin ang teknolohiya ng Intel VT sa mga computer system, nakipagtulungan ang Intel sa motherboard, BIOS, at mga peripheral na manufacturer upang matiyak na ang Intel VT ay tugma sa mga kasalukuyang system. Sa maraming mga computer system, ang teknolohiya ng virtualization ng hardware ay maaaring hindi paganahin sa BIOS. Ang mga pagtutukoy para sa Intel VT ay nagsasabi na upang suportahan ang teknolohiyang ito, hindi sapat na magkaroon lamang ng isang processor na sumusuporta dito kailangan mo ring magkaroon ng naaangkop na mga motherboard chipset, BIOS at software na gumagamit ng Intel VT. Ang listahan ng mga sinusuportahang Intel VT processor ay ibinigay sa ibaba:

• Intel® 2 Core™ Duo Extreme processor na X6800
• Intel® 2 Core™ Duo processor E6700
• Intel® 2 Core™ Duo processor E6600
• Intel® 2 Core™ Duo processor E6400 (E6420)
• Intel® 2 Core™ Duo processor E6300 (E6320)
• Intel® Core™ Duo processor T2600
• Intel® Core™ Duo processor T2500
• Intel® Core™ Duo processor T2400
• Intel® Core™ Duo processor L2300
• Intel® Pentium® processor Extreme Edition 965
• Intel® Pentium® processor Extreme Edition 955
• Intel® Pentium® D processor 960
• Intel® Pentium® D processor 950
• Intel® Pentium® D processor 940
• Intel® Pentium® D processor 930
• Intel® Pentium® D processor 920
• Intel® Pentium® 4 processor 672
• Intel® Pentium® 4 processor 662

Mga processor ng laptop:

• Intel® 2 Core™ Duo processor T7600
• Intel® 2 Core™ Duo processor T7400
• Intel® 2 Core™ Duo processor T7200
• Intel® 2 Core™ Duo processor T5600
• Intel® 2 Core™ Duo processor L7400
• Intel® 2 Core™ Duo processor L7200
• Intel® 2 Core™ Duo processor L7600
• Intel® 2 Core™ Duo processor L7500

Mga processor para sa mga platform ng server:

• Intel® Xeon® processor 7041
• Intel® Xeon® processor 7040
• Intel® Xeon® processor 7030
• Intel® Xeon® processor 7020
• Intel® Xeon® processor 5080
• Intel® Xeon® processor 5063
• Intel® Xeon® processor 5060
• Intel® Xeon® processor 5050
• Intel® Xeon® processor 5030
• Intel® Xeon® processor 5110
• Intel® Xeon® processor 5120
• Intel® Xeon® processor 5130
• Intel® Xeon® processor 5140
• Intel® Xeon® processor 5148
• Intel® Xeon® processor 5150
• Intel® Xeon® processor 5160
• Intel® Xeon® processor E5310
• Intel® Xeon® processor E5320
• Intel® Xeon® processor E5335
• Intel® Xeon® processor E5345
• Intel® Xeon® processor X5355
• Intel® Xeon® processor L5310
• Intel® Xeon® processor L5320
• Intel® Xeon® processor 7140M
• Intel® Xeon® processor 7140N
• Intel® Xeon® processor 7130M
• Intel® Xeon® processor 7130N
• Intel® Xeon® processor 7120M
• Intel® Xeon® processor 7120N
• Intel® Xeon® processor 7110M
• Intel® Xeon® processor 7110N
• Intel® Xeon® processor X3220
• Intel® Xeon® processor X3210

Dapat tandaan na ang sumusunod na apat na processor ay hindi sumusuporta sa teknolohiya ng Intel VT:

• Intel® 2 Core™ Duo processor E4300
• Intel® 2 Core™ Duo processor E4400
• Intel® 2 Core™ Duo processor T5500
• Intel® Pentium® D processor 9x5 (D945)

Plano din ng Intel na bumuo ng teknolohiyang tinatawag na Virtualization for Directed I/O para sa Intel VT, na may bersyong VT-d. Sa ngayon, alam na ang mga ito ay makabuluhang pagbabago sa arkitektura ng I/O, na magpapahusay sa seguridad, katatagan at pagganap ng mga virtual na platform gamit ang mga diskarte sa virtualization ng hardware.

AMD Virtualization

Ang AMD, tulad ng Intel, ay nagsimula kamakailan sa pagpino ng arkitektura ng processor upang suportahan ang virtualization. Noong Mayo 2005, inihayag ng AMD ang simula ng pagpapakilala ng suporta sa virtualization sa mga processor. Ang opisyal na pangalan na ibinigay sa bagong teknolohiya ay AMD Virtualization (pinaikling AMD-V), at ang panloob na pangalan ng code ay AMD Pacifica. Ang teknolohiya ng AMD-V ay isang lohikal na pagpapatuloy ng teknolohiyang Direct Connect para sa mga processor ng AMD64, na naglalayong pataasin ang pagganap ng mga computer system sa pamamagitan ng mahigpit, direktang pagsasama ng processor sa iba pang mga bahagi ng hardware.

Ang sumusunod na listahan ay nagpapakita ng mga processor na sumusuporta sa AMD-V hardware virtualization features. Ang suporta para sa mga feature na ito ay dapat gumana sa lahat ng AMD-V series desktop processor na tumatakbo sa Socket AM2 simula sa stepping F. Dapat ding tandaan na hindi sinusuportahan ng mga processor ng Sempron ang virtualization ng hardware.

Mga desktop processor:

• Athlon™ 64 3800+
• Athlon™ 64 3500+
• Athlon™ 64 3200+
• Athlon™ 64 3000+
• Athlon™ 64 FX FX-62
• Athlon™ 64 FX FX-72
• Athlon™ 64 FX FX-74
• Athlon™ 64 X2 Dual-Core 6000+
• Athlon™ 64 X2 Dual-Core 5600+
• Athlon™ 64 X2 Dual-Core 5400+
• Athlon™ 64 X2 Dual-Core 5200+
• Athlon™ 64 X2 Dual-Core 5000+
• Athlon™ 64 X2 Dual-Core 4800+
• Athlon™ 64 X2 Dual-Core 4600+
• Athlon™ 64 X2 Dual-Core 4400+
• Athlon™ 64 X2 Dual-Core 4200+
• Athlon™ 64 X2 Dual-Core 4000+
• Athlon™ 64 X2 Dual-Core 3800+

Para sa mga laptop, sinusuportahan ang mga processor na may tatak na Turion 64 X2:

• Turion™ 64 X2 TL-60
• Turion™ 64 X2 TL-56
• Turion™ 64 X2 TL-52
• Turion™ 64 X2 TL-50

Ang mga sumusunod na Opteron processor ay suportado para sa mga platform ng server:

• Opteron 1000 Series
• Opteron 2000 Series
• Opteron 8000 Series

Software na sumusuporta sa virtualization ng hardware

Sa ngayon, ang karamihan sa mga vendor ng virtualization software platform ay nag-anunsyo ng suporta para sa mga teknolohiya ng virtualization ng hardware mula sa Intel at AMD. Maaaring patakbuhin ang mga virtual machine sa mga platform na ito gamit ang suporta sa virtualization ng hardware. Bukod pa rito, sa maraming operating system na may kasamang paravirtualization software platform gaya ng Xen o Virtual Iron, ang virtualization ng hardware ay magbibigay-daan sa hindi nabagong guest operating system na tumakbo. Dahil ang paravirtualization ay isa sa mga uri ng virtualization na nangangailangan ng pagbabago ng guest operating system, ang pagpapatupad ng hardware virtualization support sa paravirtualization platform ay isang napaka-katanggap-tanggap na solusyon para sa mga platform na ito, mula sa punto ng view ng kakayahang magpatakbo ng mga hindi binagong bersyon ng guest mga sistema. Inililista ng sumusunod na talahanayan ang mga pangunahing sikat na platform ng virtualization at software na sumusuporta sa mga teknolohiya ng virtualization ng hardware:

Hardware virtualization ngayon

Ang VMware, bahagi ng Hardware Virtualization Research Group, ay nagsagawa ng pag-aaral noong huling bahagi ng 2006 ng sarili nitong software virtualization kumpara sa mga teknolohiya ng hardware virtualization ng Intel. Ang dokumentong "A Comparison of Software and Hardware Techniques para sa x86 Virtualization" ay nagdokumento ng mga resulta ng pag-aaral na ito (sa isang 3.8 GHz Intel Pentium 4 672 processor na may teknolohiyang Hyper-Threading na hindi pinagana). Ang isa sa mga eksperimento ay isinagawa gamit ang SPECint2000 at SPECjbb2005 na mga sistema ng pagsubok, na siyang de facto na pamantayan para sa pagtatasa ng pagganap ng mga sistema ng computer. Ang guest system na ginamit ay Red Hat Enterprise Linux 3, na kinokontrol ng isang software at hardware hypervisor. Ang virtualization ng hardware ay inaasahang magbibigay ng performance ratio na humigit-kumulang isang daang porsyento na may kaugnayan sa pagpapatakbo ng operating system nang natively. Gayunpaman, ang mga resulta ay medyo nakakagulat: habang ang isang software hypervisor na walang hardware virtualization techniques ay dumanas ng 4 na porsyentong pagkawala ng pagganap kumpara sa native running, ang isang hardware hypervisor sa pangkalahatan ay dumanas ng 5 porsyento na pagkawala ng pagganap. Ang mga resulta ng pagsusulit na ito ay ipinapakita sa figure sa ibaba:

Mga konklusyon

Ang suporta para sa mga teknolohiya ng virtualization ng hardware sa mga processor ay nagbubukas ng malawak na mga prospect para sa paggamit ng mga virtual machine bilang maaasahan, secure at flexible na mga tool para sa pagtaas ng kahusayan ng mga virtual na imprastraktura. Ang pagkakaroon ng suporta para sa mga diskarte sa virtualization ng hardware sa mga processor ng hindi lamang server kundi pati na rin ang mga desktop system ay nagpapahiwatig ng kabigatan ng mga intensyon ng mga tagagawa ng processor na may kaugnayan sa lahat ng mga segment ng merkado ng gumagamit ng computer system. Ang paggamit ng hardware virtualization sa hinaharap ay dapat mabawasan ang mga pagkalugi sa pagganap kapag nagpapatakbo ng ilang virtual machine sa isang pisikal na server. Siyempre, ang virtualization ng hardware ay tataas ang seguridad ng mga virtual system sa mga corporate environment. Sa ngayon, ang kadalian ng pagbuo ng mga platform ng virtualization gamit ang mga diskarte sa hardware ay humantong sa paglitaw ng mga bagong manlalaro sa merkado ng virtualization. Ang mga vendor ng paravirtualization system ay malawakang gumagamit ng hardware virtualization upang patakbuhin ang hindi binagong mga guest system. Ang karagdagang benepisyo ng mga diskarte sa virtualization na nakabatay sa hardware ay ang kakayahang magpatakbo ng mga 64-bit na bisita sa 32-bit na bersyon ng mga virtualization platform (halimbawa, VMware ESX Server).

Hindi mo dapat kunin ang mga resulta ng pagganap bilang ang tanging totoo. Ang Objective na pagtatasa sa pagganap ng iba't ibang mga platform ng hardware at software para sa virtualization ay isang hindi maliit na gawain, ang nabanggit na grupo ng nagtatrabaho sa loob ng SPEC ay nagtatrabaho upang lumikha ng isang hanay ng mga karaniwang pamamaraan para sa pagsusuri ng mga naturang sistema. Ngayon ay mapapansin na ang mga tool sa virtualization mula sa AMD ay teknikal na mas advanced kaysa sa mga ipinatupad ng Intel. Malaki ang nakasalalay sa software na ginamit, halimbawa, hindi tulad ng VMWare, may mga kapaligiran na mas "tumutugon" sa suporta sa hardware, halimbawa, Xen 3.0.

Ngayon, dumaraming bilang ng mga modernong computer system ang ibinaling ang kanilang atensyon sa mga teknolohiya ng virtualization. Totoo, hindi lahat ay malinaw na nauunawaan kung ano ito, kung bakit ito kinakailangan at kung paano lutasin ang mga isyu sa pagsasama o praktikal na paggamit nito. Ngayon ay titingnan natin kung paano paganahin ang virtualization sa BIOS gamit ang pinakasimpleng paraan. Tandaan natin kaagad na ang diskarteng ito ay naaangkop sa ganap na lahat ng umiiral na mga sistema, partikular sa BIOS at ang UEFI system na pumalit dito.

Ano ang virtualization at bakit ito kailangan?

Bago natin simulan ang direktang lutasin ang problema kung paano paganahin ang virtualization sa BIOS, tingnan natin kung ano ang teknolohiyang ito at kung bakit ito kinakailangan.

Ang teknolohiya mismo ay inilaan para sa paggamit sa anumang operating system ng tinatawag na mga virtual machine, na maaaring tularan ang mga tunay na computer sa lahat ng kanilang mga bahagi ng hardware at software. Sa madaling salita, sa pangunahing sistema maaari kang lumikha ng isang bagay na may isang seleksyon ng processor, RAM, video at sound card, network adapter, hard drive, optical media at alam ng Diyos kung ano pa, kabilang ang pag-install ng isang panauhin (bata) "OS ”, na hindi naiiba sa isang tunay na terminal ng computer.

Mga uri ng teknolohiya

Kung sinuman ang hindi nakakaalam, ang mga teknolohiya ng virtualization ay nilikha ng mga nangungunang tagagawa ng processor - mga korporasyon ng Intel at AMD, na kahit ngayon ay hindi maaaring ibahagi ang palad sa lugar na ito. Sa bukang-liwayway ng panahon, ang nilikha na hypervisor (software para sa pamamahala ng mga virtual machine) mula sa Intel ay hindi nakakatugon sa lahat ng mga kinakailangan sa pagganap, kung kaya't nagsimula ang pagbuo ng suporta para sa mga virtual system, na kailangang "hardwired" sa mga chips ng processor kanilang sarili.

Tinawag ng Intel ang teknolohiyang ito na Intel-VT-x, at tinawag itong AMD-V. Kaya, na-optimize ng suporta ang pagganap ng gitnang processor nang hindi naaapektuhan ang pangunahing sistema.

Hindi sinasabi na dapat mong paganahin ang pagpipiliang ito sa paunang mga setting ng BIOS kung balak mong gumamit ng isang virtual machine sa isang pisikal na makina, halimbawa, upang subukan ang mga programa o hulaan ang pag-uugali ng isang computer system na may iba't ibang mga bahagi ng "hardware" pagkatapos pag-install ng isang partikular na operating system. Kung hindi, maaaring hindi gamitin ang naturang suporta. Bilang karagdagan, sa pamamagitan ng default ito ay ganap na naka-off at, tulad ng nabanggit na, ay ganap na walang epekto sa pagganap ng pangunahing sistema.

Mag-login sa BIOS

Tulad ng para sa mga sistema ng BIOS o UEFI, mayroon ang anumang computer o laptop, anuman ang pagiging kumplikado ng naka-install na kagamitan. Ang BIOS mismo sa isang computer ay isang maliit na chip sa motherboard, na responsable para sa pagsubok ng hardware kapag naka-on ang terminal. Sa loob nito, sa kabila ng memorya ng halos 1 MB, ang mga pangunahing setting at katangian ng kagamitan ay nai-save.

Depende sa bersyon ng BIOS o tagagawa, maaaring magawa ang pag-login gamit ang iba't ibang paraan. Ang pinakakaraniwan ay ang paggamit ng Del key kaagad pagkatapos i-on ang computer o laptop. Gayunpaman, may iba pang mga pamamaraan, halimbawa, ang mga key na F2, F12, atbp.

Paano paganahin ang virtualization sa BIOS sa pinakasimpleng paraan?

Ngayon ay tukuyin natin ang ilang pangunahing mga parameter at menu. Nagsisimula kami mula sa katotohanan na naipasok mo na ang BIOS sa computer. Mayroong ilang mga pangunahing seksyon, ngunit sa kasong ito kami ay interesado sa lahat ng bagay na nauugnay sa processor chip.

Karaniwan, ang mga ganitong opsyon ay nasa menu ng Advanced na mga setting o sa seksyong Seguridad. Maaari din silang tawaging naiiba, ngunit, bilang isang panuntunan, ito ay isang bagay tulad ng Processor o BIOS Chipset (bagaman ang iba pang mga pangalan ay maaaring mangyari din).

Kaya, ngayon ang tanong kung paano paganahin ang virtualization sa BIOS ay maaaring seryosohin. Sa mga seksyon sa itaas mayroong isang espesyal na linya ng Virtualization Technology (sa kaso ng Intel, ang pangalan ng korporasyon ay idinagdag sa pangunahing pangalan). Kapag pumasok ka sa kaukulang menu, dalawang available na opsyon ang ipapakita: Enabled at Disabled. Tulad ng malinaw na, ang una ay ang pinaganang virtualization mode, ang pangalawa ay kumpletong hindi pagpapagana.

Ang parehong naaangkop sa UEFI system, kung saan ang pagpapagana sa opsyong ito ay ginagawa sa isang ganap na katulad na paraan.

Ngayon na ang BIOS ay naitakda na sa enabled mode parameter, ang natitira na lang ay i-save ang mga pagbabago (F10 o ang Save & Exit Setup command) at pindutin ang confirmation key Y, na tumutugma sa salitang Ingles na Oo. Ang system ay nagre-reboot gamit ang mga bagong na-save na parameter ay awtomatikong magsisimula.

Ano ang dapat mong malaman bukod dito?

Tulad ng nakikita mo, ang pamamaraan para sa pagpapagana ng virtualization sa BIOS ay medyo simple. Gayunpaman, mayroong ilang mga subtleties na dapat isaalang-alang dito tungkol sa posibleng hindi pagpapagana ng function na ito. Ang katotohanan ay kapag gumagamit ng mga virtual machine tulad ng WMware Virtual Machine, Virtual PC, VirtualBox, o kahit na ang "katutubong" Microsoft module na tinatawag na Hyper-V, ang pagpipiliang ito ay dapat paganahin kahit na ang suporta para sa mga bahagi ng Windows ay direktang pinagana sa mga setting ng system.

Para sa karamihan, nalalapat ito sa mga mas bagong pagbabago ng Windows, simula sa "pito". Sa "expish" o "Vista" hindi ito kinakailangan. Bagama't kung naka-install ang mga naturang "OS" sa pinakabagong hardware, maaaring kailanganin din ang pagpapagana ng suporta. Gayunpaman, hindi malamang na ang isang gumagamit sa naturang makina ay mag-install ng isang hindi na ginagamit na operating system, na hindi magpapahintulot sa kanya na "pisilin" ang maximum sa hardware ng computer na kaya nito. Kaya't mas mahusay na gamitin ang pinakabagong mga bahagi ng hardware sa kumbinasyon hindi lamang sa mga pinakabagong bersyon ng mga operating system, ngunit kahit na sa mga diagnostic system at mga kontrol ng UEFI, na pinalitan ang BIOS na nagsilbi nang napakatagal.

Iba pang magkaparehong pangalan ng opsyon: Teknolohiya ng Vanderpool, Teknolohiya ng VT.

Ang pagpipiliang Virtualization Technology ay idinisenyo upang paganahin ang suporta ng processor para sa teknolohiya ng virtualization ng hardware. Ang pagpipiliang ito ay maaaring tumagal lamang ng dalawang halaga - Pinagana at Hindi Pinagana.

Ano ba talaga ang ibig sabihin ng terminong "virtualization"? Ang teknolohiya ng virtualization ay nagpapahintulot sa isang user na magkaroon ng maraming virtual na computer sa isang pisikal na computer. Naturally, ang pamamaraang ito ay madalas na may maraming mga pakinabang kumpara sa pagkakaroon ng maraming pisikal na mga computer, lalo na sa mga tuntunin ng pagbabawas ng mga gastos sa hardware at pagbabawas ng pagkonsumo ng enerhiya.

Upang lumikha ng mga virtual na computer, kinakailangan ang espesyal na software. Ang pinakakilalang virtualization software ay VMWare at Microsoft Virtual PC.

Ang puso ng anumang virtualization system ay isang teknolohiyang tinatawag na Virtual Machine Monitor (VMM). Ang teknolohiyang ito ay nagbibigay ng matibay na pundasyon para sa pamamahala ng virtualization. Ang function ng virtual machine manager (tinatawag ding hypervisor) ay upang pamahalaan ang mga mapagkukunan ng computer sa real time at ipamahagi ang mga ito sa pagitan ng mga virtual system. Ang hypervisor ay maaaring maglipat ng data sa pagitan ng mga system at lumikha ng mga virtual na disk.

Binibigyang-daan ka ng Virtual Machine Manager na magpatakbo ng alinman sa maramihang operating system (karaniwang tinatawag na guest operating system) o maraming kopya ng parehong operating system sa isang computer. Kasama rin sa mga gawain nito ang pamamahala ng memorya, processor, at mga mapagkukunan ng input/output device upang maipamahagi ang mga ito sa iba't ibang virtual na computer. Sa ganitong paraan, maaaring payagan ng hypervisor ang maraming operating system na magbahagi ng parehong processor, na ginagawa itong mas mahusay.

Gayunpaman, sa loob ng mahabang panahon, ang teknolohiya ng virtualization ay batay lamang sa mga pamamaraan ng software, at halos walang suporta para dito sa antas ng hardware, lalo na dahil sa kakulangan ng malinaw na mga pamantayan. Bagaman ang isa sa mga unang pagpapatupad ng virtualization ng hardware ay suporta para sa virtual operating mode ng Intel 8086 processor, na binuo sa 80386 processor at mga kasunod na Intel processor (maaari kang matuto nang higit pa tungkol sa mga processor), gayunpaman, ang mga kakayahan ng teknolohiyang ito ay limitado. . Ngayon, ang mga nangungunang tagagawa ng processor, ang Intel at AMD, ay nag-aalok ng kanilang sariling mga teknolohiya sa virtualization na idinisenyo para sa protektadong mode ng pagpapatakbo ng processor.

Ang bersyon ng Intel ng virtualization na teknolohiya ay tinatawag na VT-x. Lumitaw ito noong 2005. Ang teknolohiyang ito ay nagpakilala ng ilang mga pagpapabuti sa mga platform ng server at kliyente na nagbibigay ng suporta para sa virtualization software. Binibigyang-daan ng teknolohiya ng VT-x ang iba't ibang operating system at application na tumakbo sa mga independiyenteng partisyon at maaaring gawing set ng virtual operating system ang isang computer.

Ang teknolohiya ng virtualization ng AMD ay tinatawag na AMD-V. Una itong lumitaw sa mga processor ng Athlon 64 noong 2006. Binibigyang-daan ka ng teknolohiyang ito na sakupin ang ilan sa mga gawain na ginagawa ng hypervisor sa software at pasimplehin ang mga ito salamat sa pinahusay na set ng pagtuturo na binuo sa mga processor ng AMD.

Kung ikukumpara sa pamamaraan ng virtualization ng software, ang virtualization ng hardware ay may isang bilang ng mga pakinabang. Ang katotohanan ay ang mga operating system na idinisenyo para sa Intel platform ay binuo sa paraang ang operating system ay kailangang magkaroon ng direktang access sa mga mapagkukunan ng hardware ng computer. Ginaya ng software virtualization ang kinakailangang hardware, at pinahintulutan ng mga teknolohiya ng virtualization ng hardware ang operating system na direktang ma-access ang mga mapagkukunan ng hardware, na iniiwasan ang anumang pagtulad.

Nag-aalok ang mga extension ng virtualization ng processor ng mga bagong diskarte sa pamamahala ng virtualization. Sa madaling sabi, ang kakanyahan ng mga pagpapabuti ay maaaring ilarawan bilang mga sumusunod. Ang mga operating system ay nagbibigay ng iba't ibang antas ng pag-access sa mga mapagkukunan, na tinatawag na mga proteksyon na ring. Ang mga singsing na ito ay kumakatawan sa isang hierarchy ng mga pribilehiyo sa loob ng isang computer system architecture. Ang pinaka-pribilehiyo na antas ay karaniwang zero. Ang layer na ito ay maaari ding direktang mag-access ng mga mapagkukunan.

Sa tradisyunal na arkitektura ng Intel x86, ang kernel ng operating system ay maaaring direktang ma-access ang processor sa antas 0. Gayunpaman, sa isang kapaligiran ng virtualization ng software, ang guest operating system ay hindi maaaring gumanap sa antas 0 dahil ito ay inookupahan ng hypervisor. Samakatuwid, ang operating system ng bisita ay maaari lamang tumakbo sa antas 1.

Ngunit mayroong isang catch - ang ilang mga tagubilin sa processor ay maaari lamang isagawa sa antas 0. Ang problemang ito ay maaaring malutas sa maraming paraan, ngunit wala sa kanila ang kasiya-siya. Halimbawa, maaaring i-recompile ang operating system upang maiwasan ang mga ganitong sitwasyon, ngunit magagawa lang ito kung available ang source code para sa operating system. Ang pamamaraang ito ay minsan ginagamit at tinatawag na paravirtualization.

Ngunit sa mga kaso kung saan ang paravirtualization ay hindi posible, isa pang solusyon ang karaniwang ginagamit. Hinaharang lang ng virtual machine manager ang mga kinakailangang tagubilin mula sa guest operating system at pinapalitan ang mga ito ng mga ligtas. Hindi sinasabi na ang diskarte na ito ay humahantong sa isang makabuluhang pagbaba sa pagganap. Alinsunod dito, ang mga virtual machine ng software ay kadalasang mas mabagal kaysa sa kanilang mga tunay na katapat.

Samakatuwid, ang mga teknolohiya ng virtualization ng hardware mula sa Intel at AMD ay hindi lamang naglalaman ng mga bagong tagubilin ng processor, ngunit din, mahalaga, pinapayagan ang paggamit ng isang bagong antas ng mga pribilehiyo. Ngayon ang hypervisor ay maaaring gumana sa isang antas na mas mababa kaysa sa antas ng zero (ito ay maaaring tukuyin bilang -1), habang ang guest operating system ay binibigyan ng ganap na kontrol sa antas ng zero. Kaya, ang hypervisor ay naligtas sa hindi kinakailangang maingat na trabaho, at ang pagganap ng mga virtual machine ay tumaas nang malaki.

Ang mga teknolohiya ng Intel at AMD ay hindi magkapareho sa lahat ng paraan, ngunit nag-aalok ang mga ito ng magkatulad na mga benepisyo at functionality. Bilang karagdagan sa pagtaas ng pagganap ng mga virtual machine, pinapayagan ka nitong dagdagan ang bilang ng mga virtual machine sa isang pisikal na sistema, pati na rin dagdagan ang bilang ng mga gumagamit ng virtual machine.

Dapat ko bang isama ito?

Ang pagpipiliang Virtualization Technology (minsan ay tinatawag na simpleng Virtualization) ay nagpapahintulot sa gumagamit ng computer na gumana sa antas ng CPU. Ang pagpili sa Enabled ay nagbibigay-daan sa suportang ito, at ang pagpili sa Disabled ay hindi ito pinapagana.

Ang pagpipiliang Virtualization Technology ay dapat lamang paganahin kung ginagamit mo ang iyong computer upang magpatakbo ng mga virtual machine. Ang pagpapagana ng suporta sa hardware para sa mga virtual machine ay maaaring makabuluhang mapabuti ang kanilang pagganap. Gayunpaman, kung ang mga virtual machine ay hindi ginagamit, ang pagpapagana sa opsyon ay hindi makakaapekto sa pagganap ng computer sa anumang paraan.

Maaaring kailanganin ang virtualization para sa mga user na nagtatrabaho sa iba't ibang emulator at/o virtual machine. Pareho silang maaaring gumana nang maayos nang hindi pinapagana ang parameter na ito, gayunpaman, kung kailangan mo ng mataas na pagganap habang ginagamit ang emulator, kakailanganin mong paganahin ito.

Mahalagang Babala

Sa una, ipinapayong tiyakin kung sinusuportahan ng iyong computer ang virtualization. Kung wala ito roon, ipagsapalaran mo lamang ang pag-aaksaya ng iyong oras sa pagsisikap na i-activate ito sa pamamagitan ng BIOS. Maraming sikat na emulator at virtual machine ang nagbabala sa user na sinusuportahan ng kanyang computer ang virtualization at kung paganahin mo ang parameter na ito, gagana nang mas mabilis ang system.

Kung hindi ka nakatanggap ng ganoong mensahe noong una kang naglunsad ng emulator/virtual machine, maaaring ang ibig sabihin nito ay ang sumusunod:

• Ang virtualization ay pinagana na bilang default (ito ay bihirang mangyari);
• Hindi sinusuportahan ng iyong computer ang setting na ito;
• Ang emulator ay hindi makapag-analyze at maabisuhan ang user tungkol sa posibilidad ng pagkonekta ng virtualization.

Paganahin ang virtualization sa isang Intel processor

Gamit ang sunud-sunod na mga tagubiling ito, maaari mong i-activate ang virtualization (may kaugnayan lamang para sa mga computer na tumatakbo sa isang Intel processor):

Paganahin ang virtualization sa isang AMD processor

Ang mga sunud-sunod na tagubilin sa kasong ito ay mukhang magkatulad:

Hindi mahirap paganahin ang virtualization sa iyong computer ang kailangan mo lang gawin ay sundin ang mga sunud-sunod na tagubilin. Gayunpaman, kung hindi ka pinapayagan ng BIOS na paganahin ang function na ito, hindi mo dapat subukang gawin ito gamit ang mga third-party na programa, dahil hindi ito magbibigay ng anumang resulta, ngunit maaaring lumala ang pagganap ng computer.

Natutuwa kaming natulungan ka naming malutas ang problema.

Poll: nakatulong ba sa iyo ang artikulong ito?

lumpics.ru

Virtual Secure Mode (VSM) sa Windows 10 Enterprise

Ang Windows 10 Enterprise (at ang edisyong ito lamang) ay nagpapakilala ng bagong bahagi ng Hyper-V na tinatawag na Virtual Secure Mode (VSM). Ang VSM ay isang protektadong lalagyan (virtual machine) na tumatakbo sa isang hypervisor at hiwalay sa host Windows 10 at sa kernel nito. Ang mga bahagi ng system na kritikal sa seguridad ay tumatakbo sa loob ng secure na virtual na lalagyan na ito. Walang third party na code ang maaaring isagawa sa loob ng VSM, at ang integridad ng code ay patuloy na sinusuri para sa pagbabago. Ang arkitektura na ito ay nagpapahintulot sa iyo na protektahan ang data sa VSM, kahit na ang kernel ng host Windows 10 ay nakompromiso, dahil kahit na ang kernel ay walang direktang access sa VSM.

Ang lalagyan ng VSM ay hindi maaaring konektado sa network, at walang sinuman ang makakakuha ng mga pribilehiyong pang-administratibo dito. Ang mga susi sa pag-encrypt, data ng awtorisasyon ng user at iba pang impormasyong kritikal mula sa punto ng view ng kompromiso ay maaaring maimbak sa loob ng lalagyan ng Virtual Secure Mode. Kaya, hindi na makakapasok ang isang attacker sa corporate infrastructure gamit ang locally cached domain user account data.

Ang mga sumusunod na bahagi ng system ay maaaring tumakbo sa loob ng VSM:

• Ang LSASS (Local Security Subsystem Service) ay isang bahagi na responsable para sa awtorisasyon at paghihiwalay ng mga lokal na user (sa gayon ang system ay protektado mula sa "ipasa ang hash" na mga pag-atake at mga utility tulad ng mimikatz). Nangangahulugan ito na ang mga password (at/o mga hash) ng mga user na nakarehistro sa system ay hindi makukuha kahit ng isang user na may mga lokal na karapatan ng administrator.
• Ang Virtual TPM (vTPM) ay isang synthetic TPM device para sa mga guest machine, na kinakailangan para sa pag-encrypt ng mga nilalaman ng mga disk.
• OS code integrity monitoring system – pinoprotektahan ang system code mula sa pagbabago

Upang magamit ang VSM mode, dapat matugunan ng kapaligiran ang mga sumusunod na kinakailangan sa hardware:

• Suporta ng UEFI, Secure Boot at Trusted Platform Module (TPM) para sa secure na storage ng key
• Suporta sa virtualization ng hardware (hindi bababa sa VT-x o AMD-V)

Paano paganahin ang Virtual Secure Mode (VSM) sa Windows 10

Tingnan natin kung paano paganahin ang Virtual Secure Mode sa Windows 10 (sa aming halimbawa, Build 10130).

Sinusuri ang pagpapatakbo ng VSM

Maaari mong tiyakin na ang VSM mode ay aktibo sa pamamagitan ng pagkakaroon ng proseso ng Secure System sa task manager.

O sa pamamagitan ng kaganapan na "Credential Guard (Lsalso.exe) ay sinimulan at poprotektahan ang LSA credential" sa log ng system.

Pagsubok sa Seguridad ng VSM

Kaya, sa mga makina na naka-enable ang VSM mode, magparehistro sa ilalim ng isang domain account at patakbuhin ang sumusunod na mimikatz command bilang isang lokal na administrator:

mimikatz.exe privilege::debug sekurlsa::logonpasswords exit

Nakita namin na ang LSA ay tumatakbo sa isang nakahiwalay na kapaligiran at hindi makukuha ang mga hash ng password ng user.

Kung ang parehong operasyon ay ginawa sa isang makina na may VSM na hindi pinagana, kukuha kami ng NTLM hash ng password ng user, na magagamit para sa "pass-the-hash" na pag-atake.