Frage Warum deaktivieren Systeme die Virtualisierung standardmäßig in BIOS-Einstellungen?


Ich muss noch ein System sehen, dessen Standardkonfiguration MMU und gerichtete I / O-Virtualisierung ermöglicht. Dies erfordert oft einen Neustart und den Zugriff auf das BIOS, um es zu aktivieren, wenn Sie z. B. 64-Bit-Unterstützung für Ihre VMs wünschen.

Gibt es einen erheblichen Prozessor-Overhead, der auftritt, wenn dieser eingeschaltet ist und Sie keine Virtualisierung verwenden? Wenn nicht, warum ist es dann standardmäßig deaktiviert?


73
2018-05-17 13:16


Ursprung




Antworten:


Es gab einige Proof-of-Concept-Rootkits wie Blue Pill vor einiger Zeit, die ein System mit VT on besitzen könnten. Nach dieser Entdeckung begannen die meisten Anbieter, ihre Einheiten mit deaktivierter VT als allgemeine Sicherheitsvorkehrung zu versenden.


48
2018-05-17 13:27



+1 Personen, die VT auf einem Desktop / Laptop verwenden, sind die Ausnahme. Diese Maschine ist anfällig für Viren und ist die Regel. - Chris S
Ich habe plötzlich Gedanken über diese glänzende, neue, leistungsstarke Dev-Maschine, die ich gebaut habe, die eine Reihe von VMs mit aktivierter Hardware-Virtualisierung ausführt. Ich nicht brauchen Virtualisierung, aber ich denke, es würde mir auf lange Sicht Zeit sparen, da ich es nicht alle paar Monate neu putzen müsste. Wie groß ist das Problem? - Paperjam
Praktisch nicht existent (ab diesem Kommentar). Blue Pill war ein Beweis für das Konzept. Ich weiß nichts dergleichen in der Wildnis. - MDMarra
Hier ist die Microsoft-Bewertung des Sicherheitsproblems, einschließlich der Empfehlung, VT auf Client-Rollensystemen standardmäßig zu deaktivieren: msdn.microsoft.com/en-us/windows/hardware/gg463498.aspx - Jpsy
Microsofts Paper ist nicht mehr auf ihrer Website verfügbar, aber Sie können es auf der Website lesen Internetarchiv Wenn du möchtest. - Josh Kelley


Bei allen von uns gekauften Blades ist die Virtualisierung standardmäßig aktiviert, da der Anbieter eine kommerzielle Entscheidung getroffen hat, um so viele Supportanrufe zu sparen.

Es ist nicht aufgrund eines Prozessortreffers deaktiviert, aber abhängig davon, wofür es verwendet wird, ist der Grund, dass es standardmäßig deaktiviert ist, dass das Aktivieren dieser Features den peripheren Zugriff beeinflussen kann.


5
2018-05-17 13:24



Welcher periphere Zugang kann sich darauf auswirken? Das habe ich noch nie gehört. - MDMarra
Sprichst du von VT-d, wenn du den peripheren Zugang erwähnst? - Zoredache
Nein, es war MMU ... Ich erinnere mich, dass jemand kürzlich darüber gesprochen hat. Etwas mit Rasberry Pi zu tun. - Sirch


Beachten Sie, dass es laut diesem anderen Thread auch einen gewissen Einfluss auf die Leistung hat https://superuser.com/questions/545101/why-does-hp-recommend-that-i-keep-hardware-virtualization-off

Es scheint mir relevant zu sein, da ein reduzierter Satz von Anweisungen effizienter ist. Ich hätte einfach nicht gedacht, dass das Ändern einer BIOS-Option dies direkt beeinflussen könnte.

Ich habe keine Ahnung, ob die Auswirkung signifikant ist oder nicht, aber in Anbetracht dieser und der möglichen Sicherheitslücke erscheint mir eine solche selten genutzte Funktion standardmäßig als eine gute Wahl.


2
2017-07-22 09:52



Der Effizienzwinkel aus der verknüpften Antwort ergibt keinen Sinn. Der Befehlscache enthält Anweisungen eines Softwareprogramms. Wenn das Programm keine Virtualisierungsanweisungen verwendet, hat dies keine Auswirkung auf diesen Cache. Außerdem gibt es keinen Bericht, dass es eine separate Ausführungseinheit gibt, die Virtualisierung handhabt, noch einen Teil des Befehlsdekoders, der umgangen werden kann, so dass es keinen Effizienzunterschied in beiden Richtungen geben sollte. - Nimrod


Ein weiterer Grund ist, dass die meisten Kernelfunktionen (wie gettimeofday) in VDSO verschoben werden.

manchmal unter Virtualisierung kann dieser schnelle Pfad nicht aktiviert werden.

also kann das System nicht:

Erlange die schnelle Ausführung dieser Funktionen

Vermeiden Sie den teuren Wechsel von Userland zu Kernel und Return


1
2017-08-27 12:36



bert-hubert.blogspot.com/2017/03/... - Massimo