Zaštitni prstenovi CPU-a su strukturni slojevi koji ograničavaju interakciju između instaliranih aplikacija na računalu i osnovnih procesa. Obično se kreću od najudaljenijeg sloja, koji je prsten 3, do najunutarnjeg sloja, koji je prsten 0, koji se također naziva jezgrom.

Prsten 0 je srž svih procesa sustava. Svatko tko može kontrolirati kernel može u osnovi kontrolirati sve aspekte računala. Kako bi spriječili zlouporabu ove jezgre, arhitekti računalnog sustava ograničavaju interakciju na ovu zonu. Kao takvi, većina procesa kojima može pristupiti korisnik računala ograničena je na prsten 3. Dakle, kako funkcioniraju prstenovi privilegija?

Kako privilegijski prstenovi međusobno djeluju

Procesi prstena 0 rade u načinu nadzora i stoga ne zahtijevaju nikakav korisnički unos. Njihovo ometanje moglo bi uzrokovati velike pogreške sustava i neriješive sigurnosne probleme. Zbog toga su namjerno dizajnirani da budu nedostupni korisnicima računala.

Uzmimo Windows kao primjer: pristup Ring 0 procesima Ring 3 ograničen je na nekoliko podatkovnih uputa. Za pristup kernelu, aplikacije u Ringu 3 moraju uspostaviti vezu kojom upravlja virtualizirana memorija. Čak i tada, vrlo malo aplikacija to može učiniti.

instagram viewer

Oni uključuju preglednike koji zahtijevaju pristup mreži i kamere koje trebaju uspostaviti mrežnu vezu. Osim toga, ti su pozivi podataka izolirani kako bi se spriječilo njihovo izravno uplitanje u vitalne procese sustava.

Neke ranije verzije sustava Windows (kao što je Windows 95/98) imale su manje zaštite između prstenova privilegija. To je jedan od glavnih razloga zašto su bili tako nestabilni i skloni greškama. U modernim sustavima sigurnost memorije kernela pojačana je specijaliziranim hardverskim čipovima.

Trenutna zaštita memorije kernela sustava Windows od upada

Microsoft je uveo nevjerojatne zaštite u memoriju kernela počevši od Windows 10 verzije 1803.

Među najznačajnijim je bila Kernel DMA zaštita; holistička značajka osmišljena je za zaštitu osobnih računala od napada izravnog pristupa memoriji (DMA), osobito onih implementiranih putem PCI hot plug-ova. Pokrivenost zaštite proširena je u verziji 1903 kako bi pokrila interne PCIe portove kao što su M.2 priključci.

Jedan od glavnih razloga zašto je Microsoft odlučio pružiti dodatnu zaštitu ovim sektorima je taj što su PCI uređaji već izvan kutije sposobni za DMA. Ova im sposobnost omogućuje čitanje i pisanje u memoriju sustava bez potrebe za dopuštenjima procesora sustava. Ovo svojstvo jedan je od glavnih razloga zašto PCI uređaji imaju visoke performanse.

Povezano: Što su računala sa sigurnim jezgrom i kako se štite od zlonamjernog softvera?

Nijanse procesa zaštite DMA

Windows koristi protokole Input/Output Memory Management Unit (IOMMU) kako bi blokirao neovlaštene periferne uređaje u obavljanju DMA operacija. Međutim, postoje iznimke od pravila ako njihovi upravljački programi podržavaju izolaciju memorije koja se izvršava pomoću DMA remappinga.

Uz to, i dalje su potrebna dodatna dopuštenja. Obično će se od administratora OS-a tražiti da pruži DMA autorizaciju. Za daljnju izmjenu i automatizaciju povezanih procesa, IT stručnjaci mogu promijeniti DmaGuard MDM pravila kako bi odredili kako će se postupati s nekompatibilnim upravljačkim programima DMA Remapping.

Da biste provjerili ima li vaš sustav kernel DMA zaštitu, upotrijebite Centar za sigurnost i pogledajte postavke u pojedinostima izolacije jezgre pod Zaštita pristupa memoriji. Važno je napomenuti da samo operativni sustavi objavljeni kasnije od Windows 10 verzije 1803 imaju ovu značajku.

Povezano: Windows 11 je mnogo sigurniji od Windowsa 10: evo zašto

Zašto se procesori rijetko oslanjaju na privilegije prstena 1 i 2

Prstenove 1 i 2 uglavnom koriste upravljački programi i gostujući operativni sustavi. Većina koda na ovim razinama privilegija također je polunamijenjena. Kao takav, većina suvremenih Windows programa radi kao da sustav ima samo dvije razine — kernel i korisničku razinu.

Uz to, aplikacije za virtualizaciju kao što su VirtualBox i Virtual Machine koriste Ring 1 za rad.

Posljednja riječ o privilegijama

Dizajn višestrukih prstenova privilegija nastao je zahvaljujući arhitekturi sustava x86. Međutim, nezgodno je stalno koristiti sve razine privilegija Ringa. To bi dovelo do povećanog kašnjenja i problema s kompatibilnošću.

UdioCvrkutE-mail
Kako osloboditi RAM i smanjiti upotrebu RAM-a u sustavu Windows

Saznajte kako smanjiti upotrebu RAM-a na vašem Windows računalu, koristeći nekoliko metoda za poboljšanje performansi vašeg računala.

Pročitajte dalje

Povezane teme
  • Sigurnost
  • Objašnjena tehnologija
  • Windows
  • Računalna sigurnost
  • Windows 10
O autoru
Samuel Gush (Objavljeno 20 članaka)

Samuel Gush je tehnološki pisac u MakeUseOf-u. Za sve upite možete ga kontaktirati putem e-pošte na [email protected].

Više od Samuela Gusha

Pretplatite se na naše obavijesti

Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!

Kliknite ovdje za pretplatu