CPU-suojarenkaat ovat rakenteellisia kerroksia, jotka rajoittavat tietokoneeseen asennettujen sovellusten ja ydinprosessien välistä vuorovaikutusta. Ne vaihtelevat tyypillisesti uloimmasta kerroksesta, joka on rengas 3, sisimpään kerrokseen, joka on rengas 0, jota kutsutaan myös ytimeksi.

Rengas 0 on kaikkien järjestelmäprosessien ydin. Jokainen, joka pystyy hallitsemaan ydintä, voi periaatteessa hallita kaikkia tietokoneen ominaisuuksia. Tämän ytimen väärinkäytön estämiseksi tietokonejärjestelmäarkkitehdit rajoittavat vuorovaikutuksen tälle alueelle. Sellaisenaan useimmat prosessit, joita tietokoneen käyttäjä voi käyttää, rajoittuvat renkaaseen 3. Joten miten etuoikeusrenkaat toimivat?

Kuinka etuoikeusrenkaat ovat vuorovaikutuksessa

Ring 0 -prosessit toimivat valvojatilassa, joten ne eivät vaadi käyttäjän syöttöä. Niiden häiritseminen voi aiheuttaa suuria järjestelmävirheitä ja ratkaisemattomia tietoturvaongelmia. Tästä syystä ne on tarkoituksella suunniteltu olemaan tietokoneen käyttäjien ulottumattomissa.

instagram viewer

Otetaan esimerkkinä Windows: pääsy Ring 0 -prosesseihin Ring 3 -prosesseilla on rajoitettu muutamiin dataohjeisiin. Ytimen käyttöä varten Ring 3:n sovellusten on muodostettava yhteys, jota käsittelee virtualisoitu muisti. Silloinkin vain harvat sovellukset voivat tehdä tämän.

Niihin kuuluvat selaimet, jotka vaativat pääsyn verkkoon, ja kamerat, jotka tarvitsevat verkkoyhteyden. Lisäksi nämä datapuhelut on eristetty, jotta ne eivät häiritse suoraan järjestelmän tärkeitä prosesseja.

Joissakin aiemmissa Windows-versioissa (kuten Windows 95/98) oli vähemmän suojausta etuoikeusrenkaiden välillä. Tämä on yksi tärkeimmistä syistä, miksi ne olivat niin epävakaita ja alttiita virheille. Nykyaikaisissa järjestelmissä ytimen muistin suojausta vahvistavat erikoistuneet laitteistosirut.

Nykyiset Windows-ytimen muistin suojaukset tunkeutumiselta

Microsoft esitteli valtavia suojauksia ytimen muistiin Windows 10 -versiosta 1803 alkaen.

Yksi merkittävimmistä oli Kernel DMA Protection; kokonaisvaltainen ominaisuus on suunniteltu suojaamaan henkilökohtaisia ​​tietokoneita DMA (Direct Memory Access) -hyökkäyksiltä, ​​erityisesti niiltä, ​​jotka toteutetaan PCI-hot plugin kautta. Suojauksen kattavuutta laajennettiin versiossa 1903 kattamaan sisäiset PCIe-portit, kuten M.2-paikat.

Yksi tärkeimmistä syistä, miksi Microsoft päätti tarjota lisäsuojauksia näille sektoreille, on se, että PCI-laitteet ovat jo valmiina DMA-yhteensopivia. Tämän ominaisuuden avulla he voivat lukea ja kirjoittaa järjestelmämuistiin ilman järjestelmäprosessorin käyttöoikeuksia. Tämä ominaisuus on yksi tärkeimmistä syistä, miksi PCI-laitteilla on korkea suorituskyky.

Aiheeseen liittyvä: Mitä ovat suojatut ydintietokoneet ja kuinka ne suojaavat haittaohjelmilta?

DMA-suojausprosessien vivahteet

Windows käyttää Input/Output Memory Management Unit (IOMMU) -protokollia estääkseen luvattomia oheislaitteita suorittamasta DMA-toimintoja. Sääntöön on kuitenkin poikkeuksia, jos niiden ohjaimet tukevat muistin eristämistä, joka suoritetaan DMA Remapping -toiminnolla.

Lisälupia tarvitaan kuitenkin edelleen. Yleensä käyttöjärjestelmän järjestelmänvalvojaa pyydetään antamaan DMA-valtuutus. IT-asiantuntijat voivat muuttaa ja automatisoida liittyviä prosesseja edelleen DmaGuard MDM -käytäntöjä määrittääkseen, kuinka yhteensopimattomia DMA Remapping -ajureita käsitellään.

Voit tarkistaa, onko järjestelmässäsi ytimen DMA-suojaus käytössä, käyttämällä Security Centeriä ja tarkastelemalla asetuksia Muistin käyttösuojauksen kohdassa Core Isolation Details. On tärkeää huomata, että tämä ominaisuus on vain Windows 10 -versiota 1803 uudemmin julkaistuissa käyttöjärjestelmissä.

Aiheeseen liittyvä: Windows 11 on paljon turvallisempi kuin Windows 10: tässä miksi

Miksi prosessorit luottavat harvoin renkaan 1 ja 2 oikeuksiin

Renkaat 1 ja 2 ovat suurelta osin ajureiden ja vieraskäyttöjärjestelmien käytössä. Suurin osa näiden etuoikeustasojen koodista on myös osittain uudelleen käytetty. Sellaisenaan suurin osa nykyaikaisista Windows-ohjelmista toimii ikään kuin järjestelmässä olisi vain kaksi tasoa - ydin ja käyttäjätaso.

Kuitenkin virtualisointisovellukset, kuten VirtualBox ja Virtual Machine, käyttävät Ring 1:tä toimiakseen.

Viimeinen sana etuoikeuksista

Useiden etuoikeusrenkaiden suunnittelu syntyi x86-järjestelmäarkkitehtuurin ansiosta. On kuitenkin hankalaa käyttää kaikkia Ring-käyttöoikeustasoja jatkuvasti. Tämä johtaisi lisääntyneeseen latenssi- ja yhteensopivuusongelmiin.

JaaTweetSähköposti
Kuinka vapauttaa RAM-muistia ja vähentää sen käyttöä Windowsissa

Opi vähentämään RAM-muistin käyttöä Windows-tietokoneellasi käyttämällä useita menetelmiä parantaaksesi tietokoneesi suorituskykyä.

Lue Seuraava

Liittyvät aiheet
  • Turvallisuus
  • Tekniikka selitetty
  • Windows
  • Tietokoneturva
  • Windows 10
Kirjailijasta
Samuel Gush (20 artikkelia julkaistu)

Samuel Gush on tekninen kirjoittaja MakeUseOfissa. Jos sinulla on kysyttävää, voit ottaa häneen yhteyttä sähköpostitse osoitteeseen [email protected].

Lisää Samuel Gushilta

tilaa uutiskirjeemme

Liity uutiskirjeemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e-kirjoja ja eksklusiivisia tarjouksia!

Klikkaa tästä tilataksesi