טבעות הגנה למעבד הן שכבות מבניות המגבילות אינטראקציה בין יישומים מותקנים במחשב ותהליכי ליבה. הם נעים בדרך כלל מהשכבה החיצונית ביותר, שהיא טבעת 3, לשכבה הפנימית ביותר, שהיא טבעת 0, המכונה גם הקרנל.

טבעת 0 היא הליבה של כל תהליכי המערכת. כל מי שיכול לשלוט בקרנל יכול בעצם לשלוט בכל ההיבטים של המחשב. כדי למנוע שימוש לרעה בליבה זו, ארכיטקטי מערכות מחשב מגבילים את האינטראקציה לאזור זה. ככזה, רוב התהליכים שניתן לגשת אליהם על ידי משתמש מחשב מוגבלים לרינג 3. אז איך עובדות טבעות פריבילגיה?

איך טבעות הפריבילגיה מתקשרות

תהליכי טבעת 0 פועלים במצב מפקח ולכן אינם דורשים קלט משתמש כלשהו. התערבות בהם עלולה לגרום לשגיאות מערכת גדולות ולבעיות אבטחה בלתי פתירות. זו הסיבה שהם תוכננו בכוונה כך שלא יהיו נגישים למשתמשי מחשב.

ניקח את Windows כדוגמה: הגישה ל-Ring 0 על ידי תהליכי Ring 3 מוגבלת למספר הוראות נתונים. כדי לגשת לליבה, יישומים ב-Ring 3 צריכים ליצור חיבור המטופל על ידי זיכרון וירטואלי. גם אז, מעט מאוד יישומים מורשים לעשות זאת.

הם כוללים דפדפנים הדורשים גישה לרשת ומצלמות שצריכות ליצור חיבור לרשת. בנוסף, שיחות נתונים אלו מבודדות כדי למנוע מהן להפריע ישירות לתהליכי מערכת חיוניים.

instagram viewer

בחלק מהגרסאות הקודמות של Windows (כמו Windows 95/98) היה פחות מיגון בין טבעות הרשאות. זו בין הסיבות העיקריות לכך שהם היו כל כך לא יציבים ונוטים לשגיאות. במערכות מודרניות, אבטחת זיכרון הליבה מתחזקת על ידי שבבי חומרה מיוחדים.

הגנות נוכחיות של זיכרון ליבת Windows מפני פריצות

מיקרוסופט הציגה הגנות אדירות לזיכרון הליבה החל מ-Windows 10 גרסה 1803.

בין הבולטים ביותר היה קרnel DMA Protection; התכונה ההוליסטית תוכננה כדי להגן על מחשבים אישיים מפני התקפות של גישה ישירה לזיכרון (DMA), במיוחד אלו המיושמות באמצעות PCI Hot Plugs. כיסוי ההגנה הורחב ב-build 1903 כדי לכסות יציאות PCIe פנימיות כגון חריצי M.2.

אחת הסיבות העיקריות שבגללן בחרה מיקרוסופט לספק הגנות נוספות למגזרים אלה היא משום שהתקני PCI כבר מותאמים ל-DMA מחוץ לקופסה. יכולת זו מאפשרת להם לקרוא ולכתוב בזיכרון המערכת מבלי לדרוש הרשאות מעבד מערכת. מאפיין זה הוא בין הסיבות העיקריות לכך שלמכשירי PCI יש ביצועים גבוהים.

קָשׁוּר: מהם מחשבי Secured-Core ואיך הם מגנים מפני תוכנות זדוניות?

הניואנסים של תהליכי הגנת DMA

Windows משתמש בפרוטוקולי Input/Output Memory Management Unit (IOMMU) כדי לחסום ציוד היקפי לא מורשים לבצע פעולות DMA. עם זאת, ישנם חריגים לכלל אם הדרייברים שלהם תומכים בבידוד זיכרון המבוצע באמצעות DMA Remapping.

עם זאת, עדיין נדרשות הרשאות נוספות. בדרך כלל, מנהל מערכת ההפעלה יתבקש לספק הרשאת DMA. כדי לשנות ולהפוך תהליכים קשורים לאוטומטיים, מדיניות MDM של DmaGuard יכולה להשתנות על ידי מומחי IT כדי לקבוע כיצד יטופלו מנהלי התקנים של DMA Remapping שאינם תואמים.

כדי לבדוק אם למערכת שלך יש הגנת DMA ליבה, השתמש במרכז האבטחה והצג את ההגדרות בפרטי בידוד ליבה תחת הגנת גישה לזיכרון. חשוב לציין שרק מערכות הפעלה שיצאו מאוחר יותר מגרסה 1803 של Windows 10 כוללות תכונה זו.

קָשׁוּר: Windows 11 מאובטח הרבה יותר מ-Windows 10: הנה הסיבה

מדוע מעבדים מסתמכים לעתים רחוקות על הרשאות טבעת 1 ו-2

הטבעות 1 ו-2 משמשות בעיקר מנהלי התקנים ומערכות הפעלה אורחות. רוב הקוד ברמות ההרשאות הללו עבר גם שימוש למחצה מחדש. ככזה, רוב תוכניות Windows העכשוויות פועלות כאילו למערכת יש רק שתי רמות - רמת הליבה והמשתמש.

עם זאת, יישומי וירטואליזציה כגון VirtualBox ו-Virtual Machine מנצלים את Ring 1 כדי לפעול.

מילה אחרונה על הרשאות

עיצוב טבעות מרובות הרשאות נוצר עקב ארכיטקטורת מערכת x86. עם זאת, זה לא נוח להשתמש בכל רמות הרשאות צלצול כל הזמן. זה יוביל לבעיות אחזור ותאימות מוגברת.

לַחֲלוֹקצִיוּץאימייל
כיצד לפנות RAM ולהפחית את השימוש ב-RAM ב-Windows

למד כיצד להפחית את השימוש ב-RAM במחשב Windows שלך, באמצעות מספר שיטות לשיפור ביצועי המחשב.

קרא הבא

נושאים קשורים
  • בִּטָחוֹן
  • טכנולוגיה מוסברת
  • חלונות
  • אבטחת מחשב
  • חלונות 10
על הסופר
שמואל גוש (20 מאמרים שפורסמו)

סמואל גוש הוא סופר טכנולוגי ב-MakeUseOf. לכל פניה ניתן ליצור עמו קשר במייל בכתובת [email protected].

עוד משמואל גוש

הירשם לניוזלטר שלנו

הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!

לחץ כאן כדי להירשם