Ochranné krúžky CPU sú štrukturálne vrstvy, ktoré obmedzujú interakciu medzi nainštalovanými aplikáciami v počítači a základnými procesmi. Typicky sa pohybujú od vonkajšej vrstvy, ktorou je Prsteň 3, po najvnútornejšiu vrstvu, ktorou je Prsteň 0, označovaný aj ako jadro.

Prsteň 0 je jadrom všetkých systémových procesov. Každý, kto dokáže ovládať jadro, môže v podstate ovládať všetky aspekty počítača. Aby sa zabránilo zneužitiu tohto jadra, architekti počítačových systémov obmedzujú interakciu na túto zónu. Väčšina procesov, ku ktorým má počítač prístup, je obmedzená na Ring 3. Ako teda fungujú privilegované prstene?

Ako interagujú prstene Privilege

Procesy Ring 0 fungujú v režime supervízora, a preto nevyžadujú žiadny vstup používateľa. Zasahovanie do nich môže spôsobiť veľké systémové chyby a neriešiteľné bezpečnostné problémy. To je dôvod, prečo sú zámerne navrhnuté tak, aby boli pre používateľov počítačov nedostupné.

Vezmime si Windows ako príklad: prístup k procesom Ring 0 by Ring 3 je obmedzený na niekoľko údajových inštrukcií. Na prístup k jadru musia aplikácie v Ring 3 nadviazať spojenie, ktoré spravuje virtualizovaná pamäť. Dokonca aj vtedy to má povolené len veľmi málo aplikácií.

instagram viewer

Zahŕňajú prehliadače, ktoré vyžadujú prístup k sieti a kamery, ktoré potrebujú vytvoriť sieťové pripojenie. Okrem toho sú tieto dátové volania izolované, aby sa zabránilo priamemu zasahovaniu do dôležitých systémových procesov.

Niektoré staršie verzie Windows (ako Windows 95/98) mali menšie tienenie medzi privilegovanými zvoneniami. Toto je jeden z hlavných dôvodov, prečo boli také nestabilné a náchylné na chyby. V moderných systémoch je bezpečnosť pamäte jadra posilnená špecializovanými hardvérovými čipmi.

Súčasná ochrana pamäte jadra systému Windows proti prienikom

Spoločnosť Microsoft zaviedla impozantnú ochranu pamäte jadra počnúc systémom Windows 10 verzie 1803.

Medzi najvýznamnejšie patrila ochrana DMA jadra; holistická funkcia bola navrhnutá tak, aby chránila osobné počítače pred útokmi s priamym prístupom do pamäte (DMA), najmä tými, ktoré sú implementované prostredníctvom hot plugs PCI. Pokrytie ochrany bolo rozšírené v zostave 1903, aby pokrylo interné porty PCIe, ako sú sloty M.2.

Jedným z hlavných dôvodov, prečo sa spoločnosť Microsoft rozhodla poskytnúť dodatočnú ochranu týmto sektorom, je skutočnosť, že zariadenia PCI už po vybalení podporujú DMA. Táto schopnosť im umožňuje čítať a zapisovať do systémovej pamäte bez toho, aby vyžadovali povolenia systémového procesora. Táto vlastnosť patrí medzi hlavné dôvody, prečo majú PCI zariadenia vysoký výkon.

Súvisiace: Čo sú počítače so zabezpečeným jadrom a ako sa chránia pred škodlivým softvérom?

Nuansy procesov ochrany DMA

Systém Windows využíva protokoly IOMMU (Input/Output Memory Management Unit) na blokovanie neautorizovaných periférnych zariadení vo vykonávaní operácií DMA. Existujú však výnimky z pravidla, ak ich ovládače podporujú izoláciu pamäte vykonanú pomocou premapovania DMA.

To znamená, že sú stále potrebné ďalšie povolenia. Správca OS bude zvyčajne vyzvaný, aby poskytol autorizáciu DMA. Na ďalšiu úpravu a automatizáciu súvisiacich procesov môžu IT špecialisti zmeniť zásady DmaGuard MDM, aby určili, ako sa bude zaobchádzať s nekompatibilnými ovládačmi DMA Remapping.

Ak chcete skontrolovať, či je vo vašom systéme nainštalovaná ochrana DMA jadra, použite Centrum zabezpečenia a zobrazte nastavenia v časti Podrobnosti izolácie jadra v časti Ochrana prístupu k pamäti. Je dôležité poznamenať, že túto funkciu majú iba operačné systémy vydané neskôr ako Windows 10 verzie 1803.

Súvisiace: Windows 11 je oveľa bezpečnejší ako Windows 10: Tu je dôvod

Prečo sa CPU zriedka spoliehajú na privilégiá Ring 1 a 2

Prstene 1 a 2 vo veľkej miere využívajú ovládače a hosťujúce operačné systémy. Väčšina kódu v týchto úrovniach privilégií bola tiež čiastočne prepracovaná. Väčšina súčasných programov Windows funguje tak, ako keby mal systém iba dve úrovne – úroveň jadra a používateľa.

To znamená, že virtualizačné aplikácie ako VirtualBox a Virtual Machine využívajú na prevádzku Ring 1.

Posledné slovo o privilégiách

Dizajn viacerých privilegovaných kruhov vznikol vďaka architektúre systému x86. Je však nepohodlné neustále používať všetky úrovne privilégií Ring. To by viedlo k zvýšeniu latencie a problémom s kompatibilitou.

zdieľamTweetujteEmail
Ako uvoľniť RAM a znížiť využitie RAM v systéme Windows

Zistite, ako znížiť využitie pamäte RAM v počítači so systémom Windows pomocou niekoľkých metód na zvýšenie výkonu počítača.

Prečítajte si ďalej

Súvisiace témy
  • Bezpečnosť
  • Technológia vysvetlená
  • Windows
  • Počítačová bezpečnosť
  • Windows 10
O autorovi
Samuel Gush (20 publikovaných článkov)

Samuel Gush je technický spisovateľ v MakeUseOf. V prípade akýchkoľvek otázok ho môžete kontaktovať prostredníctvom e-mailu na adrese [email protected].

Viac od Samuela Gusha

prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné e-knihy a exkluzívne ponuky!

Ak sa chcete prihlásiť na odber, kliknite sem