Zaščitni obroči CPU so strukturne plasti, ki omejujejo interakcijo med nameščenimi aplikacijami v računalniku in osrednjimi procesi. Običajno segajo od najbolj zunanje plasti, ki je obroč 3, do najbolj notranje plasti, ki je obroč 0, ki se imenuje tudi jedro.

Prstan 0 je jedro vseh sistemskih procesov. Vsakdo, ki lahko nadzoruje jedro, lahko v bistvu nadzoruje vse vidike računalnika. Da bi preprečili zlorabo tega jedra, arhitekti računalniških sistemov omejijo interakcijo na to območje. Tako je večina procesov, do katerih lahko dostopa uporabnik računalnika, omejena na Ring 3. Kako torej delujejo privilegijski obroči?

Kako delujejo privilegijski prstani

Procesi Ring 0 delujejo v nadzornem načinu in zato ne zahtevajo nobenega uporabniškega vnosa. Vmešavanje v njih lahko povzroči velike sistemske napake in nerešljive varnostne težave. Zato so namerno zasnovani tako, da so nedostopni uporabnikom računalnikov.

Vzemimo za primer Windows: dostop do procesov Ring 0 s procesi Ring 3 je omejen na nekaj podatkovnih navodil. Za dostop do jedra morajo aplikacije v Ring 3 vzpostaviti povezavo, ki jo upravlja virtualiziran pomnilnik. Tudi takrat je to dovoljeno zelo malo aplikacijam.

instagram viewer

Vključujejo brskalnike, ki zahtevajo dostop do omrežja, in kamere, ki morajo vzpostaviti omrežno povezavo. Poleg tega so ti podatkovni klici izolirani, da preprečijo neposredno vmešavanje v vitalne sistemske procese.

Nekatere prejšnje različice sistema Windows (na primer Windows 95/98) so imele manj zaščite med obročki privilegij. To je eden glavnih razlogov, zakaj so bili tako nestabilni in nagnjeni k napakam. V sodobnih sistemih je varnost pomnilnika jedra okrepljena s specializiranimi strojnimi čipi.

Trenutna zaščita pomnilnika jedra sistema Windows pred vdori

Microsoft je uvedel izjemne zaščite za pomnilnik jedra začenši z operacijskim sistemom Windows 10 različice 1803.

Med najbolj opaznimi je bila zaščita jedra DMA; holistična funkcija je bila zasnovana za zaščito osebnih računalnikov pred napadi z neposrednim dostopom do pomnilnika (DMA), zlasti tistimi, ki se izvajajo prek vročih vtičnic PCI. Pokritost zaščite je bila razširjena v gradnji 1903, da pokrije notranja vrata PCIe, kot so reže M.2.

Eden od glavnih razlogov, zakaj se je Microsoft odločil zagotoviti dodatno zaščito tem sektorjem, je ta, da so naprave PCI že iz škatle zmožne za DMA. Ta zmožnost jim omogoča branje in zapisovanje v sistemski pomnilnik, ne da bi za to potrebovali dovoljenja sistemskega procesorja. Ta lastnost je eden glavnih razlogov, zakaj imajo naprave PCI visoko zmogljivost.

Povezano: Kaj so osebni računalniki z varovanim jedrom in kako ščitijo pred zlonamerno programsko opremo?

Nianse zaščitnih procesov DMA

Windows uporablja protokole IOMMU (Input/Output Memory Management Unit) za blokiranje nepooblaščenih zunanjih naprav pri izvajanju operacij DMA. Vendar obstajajo izjeme od pravila, če njihovi gonilniki podpirajo izolacijo pomnilnika, ki se izvaja s preslikavo DMA.

Kljub temu so še vedno potrebna dodatna dovoljenja. Običajno bo skrbnik OS pozvan, da zagotovi pooblastilo DMA. Za nadaljnjo spremembo in avtomatizacijo povezanih procesov lahko IT strokovnjaki spremenijo pravilnike DmaGuard MDM, da določijo, kako bodo obravnavani nezdružljivi gonilniki za preslikavo DMA.

Če želite preveriti, ali ima vaš sistem nameščeno zaščito DMA jedra, uporabite Varnostni center in si oglejte nastavitve v Podrobnosti o izolaciji jedra pod Zaščita dostopa do pomnilnika. Pomembno je omeniti, da imajo to funkcijo samo operacijski sistemi, ki so bili izdani pozneje kot Windows 10 različice 1803.

Povezano: Windows 11 je veliko bolj varen kot Windows 10: Evo zakaj

Zakaj se procesorji redko zanašajo na privilegije Ring 1 in 2

Obroča 1 in 2 večinoma uporabljajo gonilniki in gostujoči operacijski sistemi. Večina kode na teh stopnjah privilegijev je bila tudi delno preoblikovana. Tako večina sodobnih programov Windows deluje, kot da ima sistem samo dve ravni – jedro in uporabniško raven.

Kljub temu aplikacije za virtualizacijo, kot sta VirtualBox in Virtual Machine, za delovanje uporabljajo Ring 1.

Zadnja beseda o privilegijih

Zasnova več privilegijskih obročev je nastala zaradi sistemske arhitekture x86. Vendar pa je neprimerno uporabljati vse ravni privilegijev Ring ves čas. To bi povzročilo povečano zamudo in težave z združljivostjo.

DelitiTweetE-naslov
Kako sprostiti RAM in zmanjšati porabo RAM-a v sistemu Windows

Naučite se zmanjšati porabo RAM-a v računalniku z operacijskim sistemom Windows z uporabo več metod za povečanje zmogljivosti računalnika.

Preberite Naprej

Sorodne teme
  • Varnost
  • Razložena tehnologija
  • Windows
  • Računalniška varnost
  • Windows 10
O avtorju
Samuel Gush (20 objavljenih člankov)

Samuel Gush je tehnološki pisatelj pri MakeUseOf. Za vsa vprašanja ga lahko kontaktirate po e-pošti na [email protected].

Več od Samuela Gusha

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e-knjige in ekskluzivne ponudbe!

Kliknite tukaj, da se naročite