Zgodnie z wcześniejszą obietnicą firma Red Hat już w bieżącym roku przedstawiła testową wersję Embedded IT Software 3.0. Chodzi tu o narzędzia, za pomocą których komputery z procesorami Intela mogą być bezpieczniejsze, gdy zainstalowany jest jako właściwy system operacyjny Windows (XP od SP2 albo Vista). W scenariuszu tym system nie ma bezpośredniego dostępu do sieci LAN. Zamiast tego Windows może jedynie porozumiewać się ze zwirtualizowanym interfejsem sieciowym. Ruch sieciowy będzie z kolei filtrowany. Ponadto maszyna wirtualna (VM) zawiera skaner antywirusowy Symanteca. Tego typu wirtualne aplikacje są określane przez Intela i Red Hata mianem Embedded IT (EIT).

Dzięki sprzętowej obsłudze wirtualizacji w procesorze Intela (VT-x), jak również w chipsecie (Q35 z technologią LaGrande, ewentualnie z Trusted Execution Technology, TXT) aplikacje windowsowe, a więc również wirusy i trojany, nie będą mogły wyłamywać się poza swoją macierzystą maszynę wirtualną. Założeniem Embedded IT Software 3.0 jest więc kompletny komputer, który zbudowano według intelowskich wytycznych vPro-2. Tego typu systemy są dostarczane przez wszystkich dużych (i wielu mniejszych) producentów komputerów w ramach serii produkcyjnych dla klientów firmowych.

Wygłoszony podczas Xen Summit Fall 2007 (prezentacja w formacie PDF) wykład wyjaśnia skomplikowaną koncepcję EIT. Dowiadujemy się z niego, że BIOS udostępnia ukrytą partycję dyskową, która może być widoczna jedynie dla Xena i EIT. Ponadto są też osobne obszary adresowe w pamięci, które otrzymuje hipervisor dla swojej uprzywilejowanej domeny Dom0 oraz partycja serwisowa (Service OS, SOS). Obydwie domeny startują tylko wówczas, jeśli moduł TPM (Trusted Platform Module) dokona poprawnej walidacji ich kodu (Verified Launch). W ten sposób mają one być chronione przez manipulacjami. Koncepcja ta przypomina zresztą pierwotne plany Microsoftu związane z Palladium/NGSCB.

Xen wirtualizuje po starcie systemu zintegrowany w chipsecie interfejs LAN, jak również TPM. Do obydwu komponentów system operacyjny (w tym wypadku Windows; określany jako User OS, UOS) dostaje jedynie ograniczony dostęp. Z pozostałymi interfejsami (USB, SATA, zintegrowany układ graficzny czy też porty PCI Express) system operacyjny komunikuje się niemal bezpośrednio za pomocą własnych sterowników. Hipervisor zajmuje się też zarządzaniem energią (Power Management, PM), ponieważ komputery desktopowe z wirtualizowanym systemem Windows również będą miały możliwość korzystania z funkcji oszczędności energii. Kto zna problemy z ACPI i windowsowym zarządzaniem energią, będzie z pewnością ostrożny w ich stosowaniu. Tak czy inaczej Intel chce wirtualizować windowsową Power Management Policy. System operacyjny steruje w tym wypadku urządzeniami, do których ma dostęp przez własne sterowniki, a Service OS troszczy się o resztę. Pozostaje mieć nadzieję, że pecety spełniające kryteria vPro-2 nie będą oszczędzać jedynie wirtualnej energii. Zarówno AMD, jak i Intel zapowiedziały już, że w przyszłości funkcje oszczędzania energii będą w większym zakresie sterowane sprzętowo.

Intelowi chodzi przede wszystkim o to, aby możliwie dobrze zabezpieczyć zdalny dostęp do komputerów – firma chce w końcu również mniejszym firmom i ich klientom zaoferować produkty vPro z technologią AMT (Active Management Technology). Dzięki usłudze Multi Site Director również mniejsi dystrybutorzy komputerów będą mogli zaoferować swoim klientom zdalny nadzór sprzętu przez Internet. Nie jest jednak jasne, jak skutecznie metoda Verified Launch chroni przed koncepcjami ataków typu Blue Bill. Funkcje wirtualizacyjne obecnych procesorów AMD i Intela (AMD-V/SVM, VT-x/VMX) mogą być w każdym razie wyłączone w wielu wersjach BIOS-u.

Intel udostępnił również narzędzie System Defense Utility, które ma ułatwiać zdalne zarządzanie pecetami v-Pro. Do tej pory firma opublikowała jeden SDK (Software Development Kit) i inne narzędzia dla programistów tworzących oprogramowanie do zdalnej konserwacji systemów.

Poza Red Hatem i Xenem Intel współpracuje również z innymi firmami, w tym z Parallels i Phoeniksem. AMD planuje z kolei odpowiedzieć na intelowską koncepcję vPro i wprowadzić własny standard – Trinity. W tym wypadku rolę odgrywać mają sieciowe moduły firmy Broadcom, które wspomagają funkcje zdalnej konserwacji ASF i DASH, a ponadto częściowo zawierają też moduły TPM.

(kso)