Οι δακτύλιοι προστασίας CPU είναι δομικά επίπεδα που περιορίζουν την αλληλεπίδραση μεταξύ εγκατεστημένων εφαρμογών σε έναν υπολογιστή και βασικών διεργασιών. Συνήθως κυμαίνονται από το εξωτερικό στρώμα, το οποίο είναι το Ring 3, έως το πιο εσωτερικό στρώμα, το οποίο είναι το Ring 0, που αναφέρεται επίσης ως ο πυρήνας.

Ο δακτύλιος 0 βρίσκεται στον πυρήνα όλων των διεργασιών του συστήματος. Όποιος μπορεί να ελέγξει τον πυρήνα μπορεί βασικά να ελέγξει όλες τις πτυχές ενός υπολογιστή. Για να αποφευχθεί η κατάχρηση αυτού του πυρήνα, οι αρχιτέκτονες συστημάτων υπολογιστών περιορίζουν την αλληλεπίδραση σε αυτήν τη ζώνη. Ως εκ τούτου, οι περισσότερες διαδικασίες στις οποίες μπορεί να έχει πρόσβαση ένας χρήστης υπολογιστή περιορίζονται στο Ring 3. Πώς λειτουργούν λοιπόν τα δαχτυλίδια προνομίων;

Πώς αλληλεπιδρούν τα Privilege Rings

Οι διεργασίες Ring 0 λειτουργούν σε λειτουργία επόπτη και επομένως δεν απαιτούν είσοδο από το χρήστη. Η παρέμβαση σε αυτά θα μπορούσε να προκαλέσει μεγάλα σφάλματα συστήματος και ανεπίλυτα ζητήματα ασφάλειας. Αυτός είναι ο λόγος για τον οποίο έχουν σχεδιαστεί εσκεμμένα ώστε να είναι απρόσιτα στους χρήστες υπολογιστών.

instagram viewer

Ας πάρουμε τα Windows ως παράδειγμα: η πρόσβαση στις διαδικασίες Ring 0 by Ring 3 περιορίζεται σε μερικές οδηγίες δεδομένων. Για να αποκτήσουν πρόσβαση στον πυρήνα, οι εφαρμογές στο Ring 3 πρέπει να δημιουργήσουν μια σύνδεση που διαχειρίζεται η εικονική μνήμη. Ακόμη και τότε, πολύ λίγες εφαρμογές επιτρέπεται να το κάνουν αυτό.

Περιλαμβάνουν προγράμματα περιήγησης που απαιτούν πρόσβαση στο δίκτυο και κάμερες που πρέπει να κάνουν σύνδεση δικτύου. Επιπλέον, αυτές οι κλήσεις δεδομένων είναι μονωμένες ώστε να αποτρέπονται από την άμεση παρέμβαση σε ζωτικές διαδικασίες του συστήματος.

Ορισμένες προηγούμενες εκδόσεις των Windows (όπως τα Windows 95/98) είχαν λιγότερη θωράκιση μεταξύ των δαχτυλιδιών προνομίων. Αυτός είναι ένας από τους κύριους λόγους για τους οποίους ήταν τόσο ασταθείς και επιρρεπείς σε λάθη. Στα σύγχρονα συστήματα, η ασφάλεια της μνήμης του πυρήνα ενισχύεται από εξειδικευμένα τσιπ υλικού.

Τρέχουσα προστασία μνήμης πυρήνα των Windows από εισβολές

Η Microsoft εισήγαγε τρομερές προστασίες στη μνήμη του πυρήνα ξεκινώντας από τα Windows 10 έκδοση 1803.

Μεταξύ των πιο αξιοσημείωτων ήταν το Kernel DMA Protection. το ολιστικό χαρακτηριστικό σχεδιάστηκε για να προστατεύει τους προσωπικούς υπολογιστές από επιθέσεις Άμεσης Πρόσβασης στη Μνήμη (DMA), ιδιαίτερα εκείνων που υλοποιούνται μέσω θερμών βυσμάτων PCI. Η κάλυψη προστασίας επεκτάθηκε στην έκδοση του 1903 για να καλύψει εσωτερικές θύρες PCIe όπως οι υποδοχές M.2.

Ένας από τους κύριους λόγους για τους οποίους η Microsoft επέλεξε να παρέχει πρόσθετες προστασίες σε αυτούς τους τομείς είναι επειδή οι συσκευές PCI έχουν ήδη δυνατότητα DMA out of the box. Αυτή η δυνατότητα τους επιτρέπει να διαβάζουν και να γράφουν στη μνήμη του συστήματος χωρίς να απαιτούν δικαιώματα επεξεργαστή συστήματος. Αυτή η ιδιότητα είναι ένας από τους κύριους λόγους για τους οποίους οι συσκευές PCI έχουν υψηλή απόδοση.

Σχετίζεται με: Τι είναι οι υπολογιστές ασφαλούς πυρήνα και πώς προστατεύονται από κακόβουλο λογισμικό;

Οι αποχρώσεις των διαδικασιών προστασίας DMA

Τα Windows χρησιμοποιούν πρωτόκολλα Input/Output Memory Management Unit (IOMMU) για να εμποδίζουν μη εξουσιοδοτημένα περιφερειακά να εκτελούν λειτουργίες DMA. Υπάρχουν, ωστόσο, εξαιρέσεις στον κανόνα, εάν τα προγράμματα οδήγησης υποστηρίζουν την απομόνωση μνήμης που εκτελείται με χρήση της επαναχαρτογράφησης DMA.

Τούτου λεχθέντος, απαιτούνται ακόμη πρόσθετες άδειες. Συνήθως, ο διαχειριστής του λειτουργικού συστήματος θα κληθεί να παράσχει εξουσιοδότηση DMA. Για περαιτέρω τροποποίηση και αυτοματοποίηση σχετικών διαδικασιών, οι πολιτικές του DmaGuard MDM μπορούν να αλλάξουν από ειδικούς IT για να καθορίσουν πώς θα χειρίζονται τα μη συμβατά προγράμματα οδήγησης DMA Remapping.

Για να ελέγξετε εάν το σύστημά σας διαθέτει προστασία Kernel DMA, χρησιμοποιήστε το Κέντρο ασφαλείας και προβάλετε τις ρυθμίσεις στο Core Isolation Details στην ενότητα Προστασία πρόσβασης στη μνήμη. Είναι σημαντικό να σημειωθεί ότι μόνο λειτουργικά συστήματα που κυκλοφόρησαν αργότερα από την έκδοση 1803 των Windows 10 διαθέτουν αυτήν τη δυνατότητα.

Σχετίζεται με: Τα Windows 11 είναι πολύ πιο ασφαλή από τα Windows 10: Να γιατί

Γιατί οι CPU σπάνια βασίζονται στα προνόμια Ring 1 και 2

Οι δακτύλιοι 1 και 2 χρησιμοποιούνται σε μεγάλο βαθμό από προγράμματα οδήγησης και επισκέπτη λειτουργικά συστήματα. Οι περισσότεροι από τον κώδικα σε αυτά τα επίπεδα προνομίων έχουν επίσης ημι-ανακατασκευαστεί. Ως εκ τούτου, η πλειονότητα των σύγχρονων προγραμμάτων των Windows λειτουργεί σαν το σύστημα να έχει μόνο δύο επίπεδα—το επίπεδο πυρήνα και χρήστη.

Τούτου λεχθέντος, οι εφαρμογές εικονικοποίησης όπως το VirtualBox και το Virtual Machine χρησιμοποιούν το Ring 1 για να λειτουργήσουν.

Μια τελευταία λέξη για τα προνόμια

Ο σχεδιασμός πολλαπλών δαχτυλιδιών προνομίων προέκυψε λόγω της αρχιτεκτονικής του συστήματος x86. Ωστόσο, δεν είναι βολικό να χρησιμοποιείτε συνεχώς όλα τα επίπεδα προνομίων Ring. Αυτό θα οδηγούσε σε αυξημένα προβλήματα καθυστέρησης και συμβατότητας.

ΜερίδιοΤιτίβισμαΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
Πώς να ελευθερώσετε τη μνήμη RAM και να μειώσετε τη χρήση της μνήμης RAM στα Windows

Μάθετε πώς να μειώσετε τη χρήση RAM στον υπολογιστή σας με Windows, χρησιμοποιώντας διάφορες μεθόδους για να ενισχύσετε την απόδοση του υπολογιστή σας.

Διαβάστε Επόμενο

Σχετικά θέματα
  • Ασφάλεια
  • Επεξήγηση τεχνολογίας
  • Windows
  • Ασφάλεια του υπολογιστή
  • Windows 10
Σχετικά με τον Συγγραφέα
Σάμιουελ Γκους (Δημοσιεύτηκαν 20 άρθρα)

Ο Samuel Gush είναι συγγραφέας τεχνολογίας στο MakeUseOf. Για οποιαδήποτε απορία μπορείτε να επικοινωνήσετε μαζί του μέσω email στο [email protected].

Περισσότερα από τον Samuel Gush

Εγγραφείτε στο ενημερωτικό μας δελτίο

Εγγραφείτε στο ενημερωτικό μας δελτίο για συμβουλές τεχνολογίας, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!

Κάντε κλικ εδώ για να εγγραφείτε