Windows 11@Linux-kvm/libvirtd
Windows 11 lässt sich auch ohne Pfuschereien an der Registry virtualisiert auf älterer Hardware betreiben, der einzige unverhandelbare Punkt ist die CPU des Hosts, die darf nun wirklich nicht zu alt sein, ansonsten sind Funktionseinschränkungen in Windows 11 unvermeidlich. Im vorliegenden Fall störte sich Windows 11 nur am fehlenden TPM2 Modul, deshalb wirft man aber seine teure Serverhardware nicht weg! Was haben wir zur Verfügung:
- Supermicro X10SDV-16C-TLN... Mainboard mit Intel Xeon-D, das gehört noch lange nicht zum alten Eisen, leider eben nur mit einem TPM1.2 Modul.
- Ubuntu 20.04LTS mit aktuellem Patchstand
Linux wäre nicht Linux, wenn man damit nicht etwas anfangen könnte...
Vorarbeiten
Bei Ubuntu 20.04LTS gibt es kein offizielles Paket für swtpm, daher ist selbst compilieren angesagt. Zunächst werden die Tools und Bibliotheken libtpms und swtpm benötigt. Bei Letzterem muss abweichend von der Anleitung die Source-Code Konfiguration mit ./autogen.sh --with-openssl --with-gnutls --prefix=/usr vorgenommen werden, ansonsten kann KVM nichts damit anfangen. Ansonsten einfach den Anleitungen dieser Tools folgen. Wenn swtpm_cert --version einen gefunden wird und einen sinnvollen Output liefert, dann sollte der Verwendung in KVM nichts mehr im Wege stehen.
Damit Secure Boot verwendet werden kann, wird für KVM noch eine UEFI Implementierung benötigt, mit apt install ovmf lässt sich diese installieren.
Konfiguration
Am einfachsten geht die erstmalige Konfiguration mit dem virt-manager. Zunächst wird ein UEFI Boot (ms) benötigt.
Als Chipsatz passt Q35 sehr gut.
Mit einem "CRB" TPM2 ist Windows 11 "zufrieden".
Da Windows 11 zunächst keine Virtio Devices kennt, sollte man zunächst mit "konventionellen" Devices starten, also SATA Disk und e1000e Ethernet. Im Nachgang kann man das nach Installation der Windows Virtio Treiber umstellen.
Showtime
Jetzt lässt sich Windows 11 problemlos installieren, nach der Integration in Active Directory (Samba4 AD-DC) wurden über Gruppenrichtlinien sichere Einstellungen vorgenommen und die notwendige Software installiert.
Unter Windows ist das TPM2 Modul nun zu sehen.
Für Windows 11 ist nun alles im grünen Bereich.
Warum dieser Aufwand?
Auch in einem Linux affinen Unternehmen geht es manchmal nicht ohne Windows. Da gibt es Kunden, die einem MS-Office Dateien schicken oder solche Dateien bei Angeboten oder Präsentationen erwarten. Wird Windows nun in einen abgeschotteten Netz ohne Internet Zugang betrieben, dann ist das Risiko überschaubar. Malware kann ohne Kontakt zu seinem C&C Server meist nicht viel machen, oft killt sich die Malware in einem solchen Umfeld selbst.
Zu ordentlichen Tests von (Web) Anwendungen gehört es auch, die Anwendung unter Windows zu testen, immerhin soll der Nachweis erbracht werden, dass die Software wirklich auf allen Plattformen von Linux über Windows, Mac-OS und Android/iOS funktioniert.
Braucht man Windows 11?
Aus Anwendersicht sicherlich nicht, aber irgendwann gibt es keine Security-Updates mehr für die älteren Windows Versionen, dann muss man schon aus Gründen der IT-Sicherheit schon updaten - oder eben auf Linux migrieren. Aus Umweltschutzgründen erscheint Linux inzwischen auch die bessere Lösung zu sein, da muss man seine alte Hardware, die bei großzügiger Dimensinierung durchaus noch eine sehr gute Leistung hat, nicht ersetzen.
