CPU-skyddsringar är strukturella lager som begränsar interaktionen mellan installerade applikationer på en dator och kärnprocesser. De sträcker sig vanligtvis från det yttersta lagret, som är Ring 3, till det innersta lagret, som är Ring 0, även kallat kärnan.

Ring 0 är kärnan i alla systemprocesser. Alla som kan styra kärnan kan i princip kontrollera alla aspekter av en dator. För att förhindra missbruk av denna kärna begränsar datorsystemarkitekter interaktion till denna zon. Som sådan är de flesta processer som kan nås av en datoranvändare begränsade till Ring 3. Så hur fungerar privilegieringar?

Hur Privilege Rings interagerar

Ring 0-processer fungerar i övervakarläge och kräver därför ingen användarinmatning. Att störa dem kan orsaka stora systemfel och olösbara säkerhetsproblem. Det är därför de medvetet är utformade för att vara otillgängliga för datoranvändare.

Låt oss ta Windows som ett exempel: åtkomst till Ring 0 av Ring 3-processer är begränsad till ett fåtal datainstruktioner. För att komma åt kärnan måste applikationer i Ring 3 göra en anslutning som hanteras av virtualiserat minne. Även då är det väldigt få applikationer som tillåts göra detta.

instagram viewer

De inkluderar webbläsare som kräver nätverksåtkomst och kameror som behöver göra en nätverksanslutning. Dessutom är dessa datasamtal isolerade för att förhindra att de direkt stör viktiga systemprocesser.

Vissa tidigare Windows-versioner (som Windows 95/98) hade mindre skärmning mellan privilegieringar. Detta är bland huvudorsakerna till att de var så instabila och benägna att göra fel. I moderna system förstärks kärnminnessäkerheten av specialiserade hårdvaruchips.

Aktuellt Windows-kärnminnesskydd mot intrång

Microsoft introducerade enorma skydd för kärnminnet från och med Windows 10 version 1803.

Bland de mest anmärkningsvärda var Kernel DMA Protection; den holistiska funktionen har utformats för att skydda persondatorer mot DMA-attacker (Direct Memory Access), särskilt de som implementeras via PCI hot plugs. Skyddstäckningen utökades i build 1903 för att täcka interna PCIe-portar som M.2-platser.

En av de främsta anledningarna till att Microsoft valde att tillhandahålla ytterligare skydd till dessa sektorer är att PCI-enheter redan är DMA-kompatibla direkt från förpackningen. Denna funktion tillåter dem att läsa och skriva till systemminnet utan att kräva systemprocessorbehörigheter. Denna egenskap är bland de främsta anledningarna till att PCI-enheter har en hög prestanda.

Relaterad: Vad är Secured-Core-datorer och hur skyddar de sig mot skadlig programvara?

Nyanserna i DMA-skyddsprocesser

Windows använder IOMMU-protokoll (Input/Output Memory Management Unit) för att blockera obehörig kringutrustning från att utföra DMA-operationer. Det finns dock undantag från regeln om deras drivrutiner stöder minnesisolering som exekveras med DMA-ommappning.

Som sagt, ytterligare behörigheter krävs fortfarande. Vanligtvis kommer OS-administratören att uppmanas att ge DMA-auktorisering. För att ytterligare modifiera och automatisera relaterade processer kan DmaGuard MDM-policyer ändras av IT-specialister för att avgöra hur inkompatibla DMA Remapping-drivrutiner kommer att hanteras.

För att kontrollera om ditt system har Kernel DMA-skydd på plats, använd Säkerhetscenter och se inställningarna i Core Isolation Details under Memory Access Protection. Det är viktigt att notera att endast operativsystem som släppts senare än Windows 10 version 1803 har denna funktion.

Relaterad: Windows 11 är mycket säkrare än Windows 10: Här är varför

Varför processorer sällan förlitar sig på Ring 1 och 2-privilegier

Ringar 1 och 2 används till stor del av drivrutiner och gästoperativsystem. Det mesta av koden i dessa behörighetsnivåer har också delvis återupprättats. Som sådan fungerar majoriteten av samtida Windows-program som om systemet bara har två nivåer - kärnan och användarnivån.

Som sagt, virtualiseringsapplikationer som VirtualBox och Virtual Machine använder Ring 1 för att fungera.

Ett sista ord om privilegier

Designen med flera privilegieringar kom till på grund av x86-systemarkitekturen. Det är dock obekvämt att använda alla Ring-privilegienivåer hela tiden. Detta skulle leda till ökad latens och kompatibilitetsproblem.

Dela med sigTweetE-post
Hur man frigör RAM och minskar RAM-användning på Windows

Lär dig hur du minskar RAM-användningen på din Windows-dator genom att använda flera metoder för att öka din dators prestanda.

Läs Nästa

Relaterade ämnen
  • säkerhet
  • Teknik förklaras
  • Windows
  • Datorsäkerhet
  • Windows 10
Om författaren
Samuel Gush (20 artiklar publicerade)

Samuel Gush är en teknisk skribent på MakeUseOf. För eventuella frågor kan du kontakta honom via e-post på [email protected].

Mer från Samuel Gush

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!

Klicka här för att prenumerera