Ochranné kroužky CPU jsou strukturální vrstvy, které omezují interakci mezi nainstalovanými aplikacemi v počítači a základními procesy. Obvykle se pohybují od vnější vrstvy, což je prstenec 3, po nejvnitřnější vrstvu, kterou je prstenec 0, také označovaný jako jádro.

Ring 0 je jádrem všech systémových procesů. Každý, kdo umí ovládat jádro, může v podstatě ovládat všechny aspekty počítače. Aby se zabránilo zneužití tohoto jádra, architekti počítačových systémů omezují interakci na tuto zónu. Většina procesů, ke kterým má uživatel počítače přístup, je omezena na Ring 3. Jak tedy privilegované prsteny fungují?

Jak na sebe působí prsteny Privilege

Procesy Ring 0 pracují v režimu dohledu, a proto nevyžadují žádný vstup uživatele. Zásah do nich by mohl způsobit velké systémové chyby a neřešitelné bezpečnostní problémy. To je důvod, proč jsou záměrně navrženy tak, aby byly pro uživatele počítačů nedostupné.

Vezměme si jako příklad Windows: přístup k procesům Ring 0 by Ring 3 je omezen na několik datových instrukcí. Pro přístup k jádru musí aplikace v Ring 3 vytvořit připojení, které je řízeno virtualizovanou pamětí. I tak to může dělat jen velmi málo aplikací.

instagram viewer

Zahrnují prohlížeče, které vyžadují přístup k síti, a kamery, které potřebují vytvořit připojení k síti. Tato datová volání jsou navíc izolována, aby se zabránilo jejich přímému zasahování do životně důležitých systémových procesů.

Některé dřívější verze Windows (jako Windows 95/98) měly menší stínění mezi vyzváněním oprávnění. To je jeden z hlavních důvodů, proč byly tak nestabilní a náchylné k chybám. V moderních systémech je zabezpečení paměti jádra posíleno specializovanými hardwarovými čipy.

Aktuální ochrana paměti jádra systému Windows proti narušení

Microsoft zavedl impozantní ochranu paměti jádra počínaje Windows 10 verze 1803.

Mezi nejpozoruhodnější patřila Kernel DMA Protection; tato holistická funkce byla navržena tak, aby chránila osobní počítače před útoky s přímým přístupem do paměti (DMA), zejména těmi, které jsou implementovány prostřednictvím PCI hot plugs. Pokrytí ochrany bylo rozšířeno v sestavení 1903, aby pokrylo interní porty PCIe, jako jsou sloty M.2.

Jedním z hlavních důvodů, proč se Microsoft rozhodl poskytnout dodatečnou ochranu těmto sektorům, je skutečnost, že zařízení PCI již po vybalení podporují DMA. Tato schopnost jim umožňuje číst a zapisovat do systémové paměti bez nutnosti oprávnění systémového procesoru. Tato vlastnost je jedním z hlavních důvodů, proč mají zařízení PCI vysoký výkon.

Příbuzný: Co jsou počítače se zabezpečeným jádrem a jak se chrání před malwarem?

Nuance procesů ochrany DMA

Systém Windows využívá protokoly IOMMU (Input/Output Memory Management Unit) k blokování neoprávněných periferií v provádění operací DMA. Existují však výjimky z pravidla, pokud jejich ovladače podporují izolaci paměti prováděnou pomocí přemapování DMA.

To znamená, že jsou stále vyžadována další oprávnění. Obvykle bude správce operačního systému vyzván, aby poskytl autorizaci DMA. Za účelem další úpravy a automatizace souvisejících procesů mohou IT specialisté změnit zásady DmaGuard MDM, aby určili, jak bude nakládáno s nekompatibilními ovladači DMA Remapping.

Chcete-li zkontrolovat, zda má váš systém ochranu DMA jádra, použijte Centrum zabezpečení a zobrazte nastavení v Podrobnosti o izolaci jádra v části Ochrana přístupu k paměti. Je důležité si uvědomit, že tuto funkci mají pouze operační systémy vydané později než Windows 10 verze 1803.

Příbuzný: Windows 11 je mnohem bezpečnější než Windows 10: Zde je důvod

Proč se CPU zřídka spoléhají na privilegia Ring 1 a 2

Kruhy 1 a 2 jsou z velké části využívány ovladači a hostovanými operačními systémy. Většina kódu v těchto úrovních oprávnění byla také částečně přepracována. Většina současných programů Windows jako taková funguje, jako by měl systém pouze dvě úrovně – úroveň jádra a úroveň uživatele.

To znamená, že virtualizační aplikace jako VirtualBox a Virtual Machine využívají k provozu Ring 1.

Poslední slovo o privilegiích

Návrh vícenásobných privilegovaných kruhů vznikl díky architektuře systému x86. Je však nepohodlné používat všechny úrovně oprávnění Ring neustále. To by vedlo ke zvýšené latenci a problémům s kompatibilitou.

PodíltweetE-mailem
Jak uvolnit RAM a snížit využití RAM v systému Windows

Naučte se, jak snížit využití paměti RAM v počítači se systémem Windows pomocí několika metod ke zvýšení výkonu počítače.

Přečtěte si další

Související témata
  • Bezpečnostní
  • Technologie vysvětlena
  • Okna
  • Počítačová bezpečnost
  • Windows 10
O autorovi
Samuel Gush (20 zveřejněných článků)

Samuel Gush je technický spisovatel ve společnosti MakeUseOf. V případě jakýchkoli dotazů ho můžete kontaktovat prostřednictvím e-mailu na adrese [email protected].

Více od Samuela Gushe

Přihlaste se k odběru našeho newsletteru

Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné e-knihy a exkluzivní nabídky!

Chcete-li se přihlásit k odběru, klikněte sem