CPU aizsardzības gredzeni ir strukturāli slāņi, kas ierobežo mijiedarbību starp datorā instalētajām lietojumprogrammām un pamatprocesiem. Parasti tie svārstās no ārējā slāņa, kas ir gredzens 3, līdz iekšējam slānim, kas ir gredzens 0, ko dēvē arī par kodolu.

Gredzens 0 ir visu sistēmas procesu pamatā. Ikviens, kurš var kontrolēt kodolu, būtībā var kontrolēt visus datora aspektus. Lai novērstu šī kodola ļaunprātīgu izmantošanu, datorsistēmu arhitekti ierobežo mijiedarbību šajā zonā. Tādējādi lielākā daļa procesu, kuriem var piekļūt datora lietotājs, ir ierobežoti līdz 3. zvanam. Tātad, kā darbojas privilēģiju gredzeni?

Kā mijiedarbojas privilēģiju gredzeni

Zvana 0 procesi darbojas pārrauga režīmā, tāpēc tiem nav nepieciešama lietotāja ievade. To iejaukšanās var izraisīt lielas sistēmas kļūdas un neatrisināmas drošības problēmas. Tāpēc tie ir apzināti veidoti tā, lai tie nebūtu pieejami datoru lietotājiem.

Ņemsim par piemēru Windows: piekļuve Ring 0 ar Ring 3 procesiem ir ierobežota ar dažām datu instrukcijām. Lai piekļūtu kodolam, Ring 3 lietojumprogrammām ir jāizveido savienojums, ko apstrādā virtualizētā atmiņa. Pat tad ļoti maz lietojumprogrammu drīkst to darīt.

instagram viewer

Tie ietver pārlūkprogrammas, kurām nepieciešama piekļuve tīklam, un kameras, kurām nepieciešams izveidot tīkla savienojumu. Turklāt šie datu izsaukumi ir izolēti, lai novērstu tiešu iejaukšanos svarīgos sistēmas procesos.

Dažām iepriekšējām Windows versijām (piemēram, Windows 95/98) bija mazāk aizsargātības starp privilēģiju gredzeniem. Tas ir viens no galvenajiem iemesliem, kāpēc tie bija tik nestabili un pakļauti kļūdām. Mūsdienu sistēmās kodola atmiņas drošību pastiprina specializētas aparatūras mikroshēmas.

Pašreizējā Windows kodola atmiņas aizsardzība pret ielaušanos

Microsoft ieviesa milzīgu aizsardzību kodola atmiņai, sākot no Windows 10 versijas 1803.

Viens no ievērojamākajiem bija Kernel DMA aizsardzība; holistiskā funkcija tika izstrādāta, lai aizsargātu personālos datorus pret tiešās atmiņas piekļuves (DMA) uzbrukumiem, īpaši tiem, kas ieviesti, izmantojot PCI karstos spraudņus. Aizsardzības pārklājums tika paplašināts 1903. gada versijā, lai aptvertu iekšējos PCIe portus, piemēram, M.2 slotus.

Viens no galvenajiem iemesliem, kāpēc Microsoft izvēlējās nodrošināt papildu aizsardzību šīm nozarēm, ir tas, ka PCI ierīces jau ir aprīkotas ar DMA. Šī iespēja ļauj lasīt un rakstīt sistēmas atmiņā, neprasot sistēmas procesora atļaujas. Šis īpašums ir viens no galvenajiem iemesliem, kāpēc PCI ierīcēm ir augsta veiktspēja.

Saistīts: Kas ir aizsargātā kodola datori un kā tie aizsargā pret ļaunprātīgu programmatūru?

DMA aizsardzības procesu nianses

Windows izmanto ievades/izvades atmiņas pārvaldības vienības (IOMMU) protokolus, lai bloķētu neatļautas perifērijas ierīces no DMA darbību veikšanas. Tomēr noteikumam ir izņēmumi, ja to draiveri atbalsta atmiņas izolāciju, kas tiek izpildīta, izmantojot DMA pārveidošanu.

Tas nozīmē, ka joprojām ir nepieciešamas papildu atļaujas. Parasti OS administratoram tiks lūgts nodrošināt DMA atļauju. Lai turpinātu modificēt un automatizēt saistītos procesus, IT speciālisti var mainīt DmaGuard MDM politikas, lai noteiktu, kā tiks apstrādāti nesaderīgie DMA pārveidošanas draiveri.

Lai pārbaudītu, vai jūsu sistēmā ir ieviesta kodola DMA aizsardzība, izmantojiet drošības centru un sadaļā Atmiņas piekļuves aizsardzība skatiet iestatījumus sadaļā Core Isolation Details. Ir svarīgi atzīmēt, ka šī funkcija ir pieejama tikai operētājsistēmām, kas izlaistas vēlāk par Windows 10 versiju 1803.

Saistīts: Windows 11 ir daudz drošāks nekā Windows 10: lūk, kāpēc

Kāpēc CPU reti paļaujas uz 1. un 2. zvana privilēģijām

1. un 2. gredzenu lielākoties izmanto draiveri un viesu operētājsistēmas. Arī lielākā daļa koda šajos privilēģiju līmeņos ir daļēji atkārtoti izmantota. Tādējādi lielākā daļa mūsdienu Windows programmu darbojas tā, it kā sistēmai būtu tikai divi līmeņi — kodola un lietotāja līmeņi.

Tomēr virtualizācijas lietojumprogrammas, piemēram, VirtualBox un Virtual Machine, izmanto Ring 1, lai darbotos.

Pēdējais vārds par privilēģijām

Vairāku privilēģiju gredzenu dizains radās x86 sistēmas arhitektūras dēļ. Tomēr ir neērti visu laiku izmantot visus zvana privilēģiju līmeņus. Tas palielinātu latentuma un saderības problēmas.

DalītiesČivinātE-pasts
Kā atbrīvot RAM un samazināt RAM lietojumu operētājsistēmā Windows

Uzziniet, kā samazināt RAM lietojumu savā Windows datorā, izmantojot vairākas metodes, lai uzlabotu datora veiktspēju.

Lasiet Tālāk

Saistītās tēmas
  • Drošība
  • Paskaidrota tehnoloģija
  • Windows
  • Datoru drošība
  • Windows 10
Par autoru
Semjuels Gušs (Publicēti 20 raksti)

Samuels Gušs ir MakeUseOf tehnoloģiju rakstnieks. Ja jums ir kādi jautājumi, varat sazināties ar viņu pa e-pastu [email protected].

Vairāk no Semjuela Guša

Abonējiet mūsu biļetenu

Pievienojieties mūsu informatīvajam izdevumam, lai saņemtu tehniskos padomus, pārskatus, bezmaksas e-grāmatas un ekskluzīvus piedāvājumus!

Noklikšķiniet šeit, lai abonētu