CPU-beskyttelsesringe er strukturelle lag, der begrænser interaktion mellem installerede applikationer på en computer og kerneprocesser. De spænder typisk fra det yderste lag, som er Ring 3, til det inderste lag, som er Ring 0, også kaldet kernen.

Ring 0 er kernen i alle systemprocesser. Enhver, der kan styre kernen, kan stort set kontrollere alle aspekter af en computer. For at forhindre misbrug af denne kerne begrænser computersystemarkitekter interaktion til denne zone. Som sådan er de fleste processer, der kan tilgås af en computerbruger, begrænset til Ring 3. Så hvordan fungerer privilegerede ringe?

Hvordan privilegiumringene interagerer

Ring 0-processer fungerer i supervisor-tilstand og kræver derfor ingen brugerinput. At forstyrre dem kan forårsage store systemfejl og uløselige sikkerhedsproblemer. Dette er grunden til, at de bevidst er designet til at være utilgængelige for computerbrugere.

Lad os tage Windows som et eksempel: adgang til Ring 0 af Ring 3-processer er begrænset til nogle få datainstruktioner. For at få adgang til kernen skal applikationer i Ring 3 oprette en forbindelse, der håndteres af virtualiseret hukommelse. Selv da har meget få applikationer lov til at gøre dette.

instagram viewer

De omfatter browsere, der kræver netværksadgang og kameraer, der skal oprette en netværksforbindelse. Derudover er disse dataopkald isoleret for at forhindre dem i direkte at forstyrre vitale systemprocesser.

Nogle tidligere Windows-versioner (som Windows 95/98) havde mindre afskærmning mellem privilegerede ringe. Dette er blandt hovedårsagerne til, at de var så ustabile og tilbøjelige til fejl. I moderne systemer er kernehukommelsessikkerheden forstærket af specialiserede hardwarechips.

Nuværende Windows-kernehukommelsesbeskyttelse mod indtrængen

Microsoft introducerede formidable beskyttelser til kernehukommelsen fra Windows 10 version 1803.

Blandt de mest bemærkelsesværdige var Kernel DMA Protection; den holistiske funktion er designet til at beskytte personlige computere mod Direct Memory Access (DMA) angreb, især dem, der er implementeret via PCI hot plugs. Beskyttelsesdækningen blev udvidet i build 1903 til at dække interne PCIe-porte såsom M.2-slots.

En af hovedårsagerne til, at Microsoft valgte at give yderligere beskyttelse til disse sektorer, er, at PCI-enheder allerede er DMA-kompatible ud af boksen. Denne funktion giver dem mulighed for at læse og skrive til systemhukommelsen uden at kræve systemprocessortilladelser. Denne egenskab er blandt hovedårsagerne til, at PCI-enheder har en høj ydeevne.

Relaterede: Hvad er Secured-Core-pc'er, og hvordan beskytter de mod malware?

Nuancerne i DMA-beskyttelsesprocesser

Windows bruger IOMMU-protokoller (Input/Output Memory Management Unit) til at blokere uautoriserede eksterne enheder i at udføre DMA-handlinger. Der er dog undtagelser fra reglen, hvis deres drivere understøtter hukommelsesisolering udført ved hjælp af DMA-omdannelse.

Når det er sagt, kræves der stadig yderligere tilladelser. Typisk vil OS-administratoren blive bedt om at give DMA-autorisation. For yderligere at modificere og automatisere relaterede processer, kan DmaGuard MDM-politikker ændres af it-specialister for at bestemme, hvordan inkompatible DMA Remapping-drivere vil blive håndteret.

For at kontrollere, om dit system har Kernel DMA Protection på plads, skal du bruge Security Center og se indstillingerne i Core Isolation Details under Memory Access Protection. Det er vigtigt at bemærke, at kun operativsystemer udgivet senere end Windows 10 version 1803 har denne funktion.

Relaterede: Windows 11 er meget mere sikkert end Windows 10: Her er hvorfor

Hvorfor CPU'er sjældent er afhængige af Ring 1 og 2-privilegier

Ringe 1 og 2 bruges i vid udstrækning af drivere og gæsteoperativsystemer. Det meste af koden i disse privilegieniveauer er også blevet delvis genbrugt. Som sådan fungerer størstedelen af ​​moderne Windows-programmer, som om systemet kun har to niveauer - kerne- og brugerniveauet.

Når det er sagt, bruger virtualiseringsapplikationer som VirtualBox og Virtual Machine Ring 1 til at fungere.

Et sidste ord om privilegier

Designet med flere privilegerede ringe kom til på grund af x86-systemarkitekturen. Det er dog ubelejligt at bruge alle Ring-privilegieniveauer hele tiden. Dette ville føre til øget latenstid og kompatibilitetsproblemer.

DelTweetE-mail
Sådan frigøres RAM og reducere RAM-forbruget på Windows

Lær, hvordan du reducerer RAM-forbruget på din Windows-computer ved at bruge flere metoder til at øge din pc's ydeevne.

Læs Næste

Relaterede emner
  • Sikkerhed
  • Teknologi forklaret
  • Windows
  • Computersikkerhed
  • Windows 10
Om forfatteren
Samuel Gush (20 artikler udgivet)

Samuel Gush er teknisk forfatter hos MakeUseOf. For eventuelle forespørgsler kan du kontakte ham via e-mail på [email protected].

Mere fra Samuel Gush

Abonner på vores nyhedsbrev

Tilmeld dig vores nyhedsbrev for tekniske tips, anmeldelser, gratis e-bøger og eksklusive tilbud!

Klik her for at abonnere