Protsessori kaitserõngad on struktuurikihid, mis piiravad arvutisse installitud rakenduste ja põhiprotsesside vahelist koostoimet. Tavaliselt ulatuvad need välimisest kihist, milleks on ring 3, kuni sisemise kihini, milleks on ring 0, mida nimetatakse ka tuumaks.

Ring 0 on kõigi süsteemiprotsesside keskmes. Igaüks, kes suudab tuuma juhtida, saab põhimõtteliselt juhtida kõiki arvuti aspekte. Selle tuuma kuritarvitamise vältimiseks piiravad arvutisüsteemi arhitektid suhtlust selle tsooniga. Seetõttu on enamik protsesse, millele arvutikasutaja juurde pääseb, ainult Ring 3-ga. Niisiis, kuidas privileegrõngad töötavad?

Kuidas privileegrõngad suhtlevad

Ring 0 protsessid töötavad juhendaja režiimis ja seega ei nõua kasutaja sisestust. Nende sekkumine võib põhjustada suuri süsteemivigu ja lahendamatuid turvaprobleeme. Seetõttu on need sihilikult loodud arvutikasutajatele kättesaamatuks.

Võtame näiteks Windowsi: juurdepääs Ring 0 protsessidele Ring 3 poolt on piiratud mõne andmejuhisega. Kernelile juurdepääsuks peavad Ring 3 rakendused looma ühenduse, mida haldab virtualiseeritud mälu. Isegi siis on väga vähestel rakendustel lubatud seda teha.

instagram viewer

Nende hulka kuuluvad brauserid, mis nõuavad juurdepääsu võrgule, ja kaamerad, mis peavad looma võrguühenduse. Lisaks on need andmekõned isoleeritud, et vältida nende otsest sekkumist olulistesse süsteemiprotsessidesse.

Mõnel varasemal Windowsi versioonil (nt Windows 95/98) oli privileegrõngaste vahel väiksem varjestus. See on üks peamisi põhjuseid, miks need olid nii ebastabiilsed ja altid vigadele. Kaasaegsetes süsteemides tugevdavad kerneli mälu turvalisust spetsiaalsed riistvarakiibid.

Praegused Windowsi tuumamälu kaitsed sissetungimise vastu

Microsoft tutvustas alates Windows 10 versioonist 1803 kerneli mälule tohutuid kaitsemeetmeid.

Üks tähelepanuväärsemaid oli Kerneli DMA kaitse; terviklik funktsioon loodi personaalarvutite kaitsmiseks otsemälujuurdepääsu (DMA) rünnakute eest, eriti nende eest, mida rakendatakse PCI hot-pistikute kaudu. Kaitseala laiendati 1903. aasta versioonis, et katta sisemised PCIe-pordid, nagu M.2-pesad.

Üks peamisi põhjusi, miks Microsoft otsustas nendele sektoritele lisakaitset pakkuda, on see, et PCI-seadmed on juba karbist väljas DMA-võimelised. See võimalus võimaldab neil lugeda ja kirjutada süsteemimällu, ilma et oleks vaja süsteemiprotsessori õigusi. See omadus on üks peamisi põhjuseid, miks PCI-seadmetel on kõrge jõudlus.

Seotud: Mis on kaitstud tuumaga arvutid ja kuidas need kaitsevad pahavara eest?

DMA kaitseprotsesside nüansid

Windows kasutab sisend-/väljundmälu haldusüksuse (IOMMU) protokolle, et blokeerida volitamata välisseadmetel DMA toiminguid. Siiski on reeglist erandeid, kui nende draiverid toetavad DMA ümberkujundamise abil teostatavat mälu isoleerimist.

Sellegipoolest on vaja täiendavaid õigusi. Tavaliselt palutakse OS-i administraatoril esitada DMA-volitus. Seotud protsesside edasiseks muutmiseks ja automatiseerimiseks saavad IT-spetsialistid muuta DmaGuardi MDM-i eeskirju, et määrata, kuidas ühildumatuid DMA ümberkujundamise draivereid käsitletakse.

Kontrollimaks, kas teie süsteemil on Kerneli DMA kaitse paigas, kasutage turvakeskust ja vaadake sätteid jaotises Memory Access Protection jaotises Core Isolation Details. Oluline on märkida, et see funktsioon on ainult operatsioonisüsteemidel, mis on välja antud hiljem kui Windows 10 versioon 1803.

Seotud: Windows 11 on palju turvalisem kui Windows 10: siin on põhjus

Miks CPU-d harva loodavad Ring 1 ja 2 privileegidele?

Rõngaid 1 ja 2 kasutavad suures osas draiverid ja külaliste operatsioonisüsteemid. Suurem osa nende privileegtasemete koodidest on samuti osaliselt taaskasutatavad. Seetõttu töötab enamik kaasaegseid Windowsi programme nii, nagu oleks süsteemil ainult kaks taset – kerneli ja kasutajatase.

Sellegipoolest kasutavad virtualiseerimisrakendused, nagu VirtualBox ja Virtual Machine, töötamiseks Ring 1.

Viimane sõna privileegide kohta

Mitme privileegrõnga kujundus tekkis tänu x86 süsteemiarhitektuurile. Siiski on ebamugav kasutada kogu aeg kõiki helina privileegide tasemeid. See tooks kaasa suurema latentsusaja ja ühilduvusprobleemid.

JagaSäutsMeil
RAM-i vabastamine ja RAM-i kasutuse vähendamine Windowsis

Siit saate teada, kuidas oma Windowsi arvutis RAM-i kasutamist vähendada, kasutades arvuti jõudluse suurendamiseks mitmeid meetodeid.

Loe edasi

Seotud teemad
  • Turvalisus
  • Tehnoloogia selgitus
  • Windows
  • Arvuti turvalisus
  • Windows 10
Autori kohta
Samuel Gush (20 avaldatud artiklit)

Samuel Gush on MakeUseOfi tehnikakirjanik. Küsimuste korral võite temaga ühendust võtta e-posti teel aadressil [email protected].

Veel Samuel Gushilt

Liituge meie uudiskirjaga

Liituge meie uudiskirjaga tehniliste näpunäidete, arvustuste, tasuta e-raamatute ja eksklusiivsete pakkumiste saamiseks!

Tellimiseks klõpsake siin