it-swarm.com.de

Warum deaktivieren Systeme die Virtualisierung in den BIOS-Einstellungen im Allgemeinen standardmäßig?

Ich habe noch kein System gesehen, dessen Standardkonfiguration MMU und gerichtete E/A-Virtualisierung) aktiviert. Oft ist ein Neustart und ein Aufrufen des BIOS erforderlich, um es zu aktivieren, wenn Sie beispielsweise 64-Bit-Unterstützung wünschen auf Ihren VMs.

Gibt es einen erheblichen Prozessor-Overhead, der auftritt, wenn dieser eingeschaltet ist und Sie keine Virtualisierung verwenden? Wenn nicht, was ist dann der Grund dafür, dass es standardmäßig deaktiviert ist?

83
John Feminella

Vor einiger Zeit gab es einige Proof-of-Concept-Rootkits wie Blue Pill , die ein System mit eingeschalteter VT besitzen könnten. Nach dieser Entdeckung begannen die meisten Anbieter als allgemeine Sicherheitsmaßnahme mit dem Versand ihrer Geräte mit deaktiviertem VT.

53
MDMarra

Für alle von uns gekauften Server Blades ist die Virtualisierung standardmäßig aktiviert. Dies kann daran liegen, dass unser Anbieter eine kommerzielle Entscheidung getroffen hat, um so viele Supportanrufe zu sparen.

Es ist nicht aufgrund eines Prozessortreffers deaktiviert, sondern hängt davon ab, wofür es verwendet wird. Es ist möglicherweise standardmäßig deaktiviert, da das Aktivieren dieser Funktionen den Zugriff auf Peripheriegeräte beeinträchtigen kann.

5
Sirch

Beachten Sie, dass es laut diesem anderen Thread auch einige Auswirkungen auf die Leistung zu haben scheint https://superuser.com/questions/545101/why-does-hp-recommend-that-i-keep-hardware-virtualization -off

Es scheint mir relevant zu sein, da reduzierte Anweisungen effizienter sind. Ich hätte einfach nicht gedacht, dass sich das Ändern einer BIOS-Option direkt darauf auswirken könnte.

Ich habe keine Ahnung, ob die Auswirkungen erheblich sind oder nicht, aber angesichts dieser und der potenziellen Sicherheitslücke scheint es mir eine gute Wahl zu sein, eine so selten verwendete Funktion standardmäßig zu deaktivieren.

2
Balmipour

ein weiterer Grund ist, dass die meisten Benutzer-Kernel-Funktionen (wie gettimeofday) in VDSO verschoben werden.

manchmal kann dieser schnelle Pfad unter Virtualisierung nicht aktiviert werden.

das System kann also nicht:

erhalten Sie die schnelle Ausführung dieser Funktionen

vermeiden Sie teure Wechsel vom Userland zum Kernel und kehren Sie zurück

1
Massimo

Zusätzlich zu den Sicherheitsbedenken, die in der Antwort von @MDMarra aufgeworfen wurden, sollten Sie zwei zusätzliche Punkte berücksichtigen:

  1. alle aktivierten, optionalen Funktionen haben eine geringe Wahrscheinlichkeit für unangenehme und unerwartete Interaktionen mit anderen Funktionen, die eine zusätzliche Validierung erfordern. PC-Anbieter Hass, um Ressourcen für selten verwendete Funktionen auszugeben, und clientseitige Virtualisierung ist eine davon.

  2. Ich vermute sehr, dass aufgrund von # 1 die Intel Basic Client Firmware/BIOS Blob VT deaktiviert hat. Daher muss jeder Anbieter, der einen VT-fähigen Client versendet, diese Option bei der Vorbereitung seiner Firmware anpassen.

Das heißt, wir sind jetzt im Jahr 2019; Ich sehe mehr Clients mit standardmäßig aktiviertem VT. Server sind eine ganz andere Sache: Ich fand VT nicht nur immer aktiviert, sondern VT-d ist auch oft aktiv.

0
shodanshok