CPU apsaugos žiedai yra struktūriniai sluoksniai, ribojantys kompiuteryje įdiegtų programų ir pagrindinių procesų sąveiką. Paprastai jie svyruoja nuo išorinio sluoksnio, kuris yra 3 žiedas, iki vidinio sluoksnio, kuris yra žiedas 0, dar vadinamo branduoliu.

Žiedas 0 yra visų sistemos procesų pagrindas. Kiekvienas, kuris gali valdyti branduolį, iš esmės gali valdyti visus kompiuterio aspektus. Kad būtų išvengta piktnaudžiavimo šia šerdimi, kompiuterių sistemų architektai riboja sąveiką šioje zonoje. Todėl dauguma procesų, kuriuos gali pasiekti kompiuterio vartotojas, apsiriboja 3 žiedu. Taigi, kaip veikia privilegijų žiedai?

Kaip sąveikauja privilegijų žiedai

„Ring 0“ procesai veikia prižiūrėtojo režimu, todėl jiems nereikia jokio vartotojo įvesties. Jų trukdymas gali sukelti didelių sistemos klaidų ir neišsprendžiamų saugos problemų. Štai kodėl jie yra sąmoningai sukurti taip, kad būtų nepasiekiami kompiuterių naudotojams.

Paimkime „Windows“ kaip pavyzdį: prieiga prie „Ring 0“, naudojant „Ring 3“ procesus, yra apribota keliomis duomenų instrukcijomis. Kad pasiektų branduolį, Ring 3 programos turi užmegzti ryšį, kurį tvarko virtualizuota atmintis. Net ir tada labai nedaug programų leidžiama tai padaryti.

instagram viewer

Tai apima naršykles, kurioms reikalinga prieiga prie tinklo, ir kameras, kurioms reikia prisijungti prie tinklo. Be to, šie duomenų skambučiai yra izoliuoti, kad jie tiesiogiai netrukdytų gyvybiškai svarbiems sistemos procesams.

Kai kurios ankstesnės „Windows“ versijos (pvz., „Windows 95/98“) turėjo mažiau ekranavimo tarp privilegijų žiedų. Tai yra viena iš pagrindinių priežasčių, kodėl jie buvo tokie nestabilūs ir linkę į klaidas. Šiuolaikinėse sistemose branduolio atminties saugumą sustiprina specializuoti aparatūros lustai.

Dabartinė „Windows“ branduolio atminties apsauga nuo įsibrovimų

„Microsoft“ pristatė didžiulę branduolio atminties apsaugą nuo „Windows 10“ 1803 versijos.

Tarp žymiausių buvo branduolio DMA apsauga; holistinė funkcija buvo sukurta siekiant apsaugoti asmeninius kompiuterius nuo tiesioginės atminties prieigos (DMA) atakų, ypač tų, kurios įgyvendinamos naudojant PCI karštuosius kištukus. Apsaugos aprėptis buvo išplėsta 1903 m. versijoje, kad apimtų vidinius PCIe prievadus, tokius kaip M.2 lizdai.

Viena iš pagrindinių priežasčių, dėl kurių „Microsoft“ pasirinko teikti papildomą apsaugą šiems sektoriams, yra ta, kad PCI įrenginiai jau gali naudoti DMA. Ši galimybė leidžia skaityti ir rašyti į sistemos atmintį nereikalaujant sistemos procesoriaus leidimų. Ši savybė yra viena iš pagrindinių priežasčių, kodėl PCI įrenginiai pasižymi dideliu našumu.

Susijęs: Kas yra apsaugoti kompiuteriai ir kaip jie apsaugo nuo kenkėjiškų programų?

DMA apsaugos procesų niuansai

„Windows“ naudoja įvesties / išvesties atminties valdymo bloko (IOMMU) protokolus, kad blokuotų neleistinus išorinius įrenginius, kad jie negalėtų atlikti DMA operacijų. Tačiau yra taisyklės išimčių, jei jų tvarkyklės palaiko atminties izoliavimą, vykdomą naudojant DMA pertvarkymą.

Tačiau vis tiek reikia papildomų leidimų. Paprastai OS administratorius bus paragintas pateikti DMA įgaliojimą. Norėdami toliau modifikuoti ir automatizuoti susijusius procesus, IT specialistai gali pakeisti DmaGuard MDM politiką, kad nustatytų, kaip bus tvarkomos nesuderinamos DMA pertvarkymo tvarkyklės.

Norėdami patikrinti, ar jūsų sistemoje įdiegta branduolio DMA apsauga, naudokite saugos centrą ir peržiūrėkite parametrus, esančius pagrindinės izoliacijos detalės dalyje, esančioje Atminties prieigos apsauga. Svarbu pažymėti, kad šią funkciją turi tik operacinės sistemos, išleistos vėliau nei Windows 10 versija 1803.

Susijęs: „Windows 11“ yra daug saugesnė nei „Windows 10“: štai kodėl

Kodėl CPU retai pasikliauja 1 ir 2 žiedo privilegijomis

1 ir 2 žiedus dažniausiai naudoja tvarkyklės ir svečių operacinės sistemos. Dauguma šių privilegijų lygių kodų taip pat buvo iš dalies pakeisti. Iš esmės dauguma šiuolaikinių „Windows“ programų veikia taip, tarsi sistema turėtų tik du lygius – branduolio ir vartotojo lygius.

Be to, virtualizacijos programos, tokios kaip „VirtualBox“ ir „Virtual Machine“, naudoja „Ring 1“, kad veiktų.

Paskutinis žodis apie privilegijas

Kelių privilegijų žiedų dizainas atsirado dėl x86 sistemos architektūros. Tačiau nepatogu visą laiką naudotis visais skambėjimo privilegijų lygiais. Dėl to padidėtų delsos ir suderinamumo problemos.

DalintisTviteryjeEl. paštas
Kaip atlaisvinti RAM ir sumažinti RAM naudojimą sistemoje „Windows“.

Sužinokite, kaip sumažinti RAM naudojimą „Windows“ kompiuteryje, naudodami kelis kompiuterio našumo padidinimo būdus.

Skaitykite toliau

Susijusios temos
  • Saugumas
  • Paaiškinta technologija
  • Windows
  • Kompiuterių apsauga
  • Windows 10
Apie autorių
Samuelis Gušas (Paskelbta 20 straipsnių)

Samuelis Gushas yra „MakeUseOf“ technologijų rašytojas. Jei turite klausimų, galite susisiekti su juo el. paštu [email protected].

Daugiau iš Samuelio Gušo

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. knygų ir išskirtinių pasiūlymų!

Spauskite čia norėdami užsiprenumeruoti