CPU-beskyttelsesringer er strukturelle lag som begrenser interaksjonen mellom installerte applikasjoner på en datamaskin og kjerneprosesser. De spenner vanligvis fra det ytterste laget, som er Ring 3, til det innerste laget, som er Ring 0, også referert til som kjernen.

Ring 0 er kjernen i alle systemprosesser. Alle som kan kontrollere kjernen kan i utgangspunktet kontrollere alle aspekter av en datamaskin. For å forhindre misbruk av denne kjernen begrenser datasystemarkitekter interaksjon til denne sonen. Som sådan er de fleste prosesser som kan nås av en datamaskinbruker begrenset til Ring 3. Så hvordan fungerer privilegieringer?

Hvordan privilegiumringene samhandler

Ring 0-prosesser fungerer i supervisor-modus og krever derfor ingen brukerinndata. Å forstyrre dem kan forårsake store systemfeil og uløselige sikkerhetsproblemer. Dette er grunnen til at de bevisst er designet for å være utilgjengelige for databrukere.

La oss ta Windows som et eksempel: tilgang til Ring 0 av Ring 3-prosesser er begrenset til noen få datainstruksjoner. For å få tilgang til kjernen, må applikasjoner i Ring 3 opprette en tilkobling som håndteres av virtualisert minne. Selv da er det svært få applikasjoner som har lov til å gjøre dette.

instagram viewer

De inkluderer nettlesere som krever nettverkstilgang og kameraer som må opprette en nettverkstilkobling. I tillegg er disse dataanropene isolert for å forhindre at de direkte forstyrrer vitale systemprosesser.

Noen tidligere Windows-versjoner (som Windows 95/98) hadde mindre skjerming mellom privilegerte ringer. Dette er blant hovedårsakene til at de var så ustabile og utsatt for feil. I moderne systemer er kjerneminnesikkerhet forsterket av spesialiserte maskinvarebrikker.

Nåværende Windows-kjerneminnebeskyttelse mot inntrenging

Microsoft introduserte formidable beskyttelser til kjerneminne fra Windows 10 versjon 1803.

Blant de mest bemerkelsesverdige var Kernel DMA Protection; den holistiske funksjonen ble designet for å beskytte personlige datamaskiner mot DMA-angrep (Direct Memory Access), spesielt de implementert via PCI-hotplugger. Beskyttelsesdekningen ble utvidet i bygge 1903 for å dekke interne PCIe-porter som M.2-spor.

En av hovedgrunnene til at Microsoft valgte å gi ekstra beskyttelse til disse sektorene er fordi PCI-enheter allerede er DMA-kompatible ut av esken. Denne funksjonen lar dem lese og skrive til systemminnet uten å kreve systemprosessortillatelser. Denne egenskapen er blant hovedårsakene til at PCI-enheter har høy ytelse.

I slekt: Hva er sikrede kjerne-PCer og hvordan beskytter de mot skadelig programvare?

Nyansene til DMA-beskyttelsesprosesser

Windows bruker IOMMU-protokoller (Input/Output Memory Management Unit) for å blokkere uautoriserte eksterne enheter fra å utføre DMA-operasjoner. Det er imidlertid unntak fra regelen hvis driverne deres støtter minneisolering utført ved hjelp av DMA-omstilling.

Når det er sagt, kreves det fortsatt ytterligere tillatelser. Vanligvis vil OS-administratoren bli bedt om å gi DMA-autorisasjon. For ytterligere å modifisere og automatisere relaterte prosesser, kan DmaGuard MDM-policyer endres av IT-spesialister for å bestemme hvordan inkompatible DMA Remapping-drivere skal håndteres.

For å sjekke om systemet ditt har Kernel DMA Protection på plass, bruk Security Center og se innstillingene i Core Isolation Details under Memory Access Protection. Det er viktig å merke seg at bare operativsystemer utgitt senere enn Windows 10 versjon 1803 har denne funksjonen.

I slekt: Windows 11 er mye sikrere enn Windows 10: Her er hvorfor

Hvorfor CPUer sjelden stoler på Ring 1 og 2-privilegier

Ring 1 og 2 brukes i stor grad av drivere og gjesteoperativsystemer. Det meste av koden i disse privilegienivåene har også blitt delvis gjenbrukt. Som sådan fungerer flertallet av moderne Windows-programmer som om systemet bare har to nivåer - kjerne- og brukernivå.

Når det er sagt, bruker virtualiseringsapplikasjoner som VirtualBox og Virtual Machine Ring 1 til å fungere.

Et siste ord om privilegier

Designet med flere privilegieringer ble til på grunn av x86-systemarkitektur. Det er imidlertid upraktisk å bruke alle Ring-privilegiumsnivåer hele tiden. Dette vil føre til økt ventetid og kompatibilitetsproblemer.

DelekvitringE-post
Hvordan frigjøre RAM og redusere RAM-bruk på Windows

Lær hvordan du reduserer RAM-bruken på Windows-datamaskinen din, ved å bruke flere metoder for å øke PC-ens ytelse.

Les Neste

Relaterte temaer
  • Sikkerhet
  • Teknologi forklart
  • Windows
  • Datasikkerhet
  • Windows 10
Om forfatteren
Samuel Gush (20 artikler publisert)

Samuel Gush er en teknisk forfatter på MakeUseOf. For eventuelle spørsmål kan du kontakte ham via e-post på [email protected].

Mer fra Samuel Gush

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!

Klikk her for å abonnere