วงแหวนป้องกัน CPU เป็นชั้นโครงสร้างที่จำกัดการโต้ตอบระหว่างแอปพลิเคชันที่ติดตั้งบนคอมพิวเตอร์และกระบวนการหลัก โดยทั่วไปจะมีตั้งแต่ชั้นนอกสุด ซึ่งก็คือวงแหวน 3 ไปจนถึงชั้นในสุด ซึ่งก็คือวงแหวน 0 หรือเรียกอีกอย่างว่าเคอร์เนล
Ring 0 เป็นแกนหลักของกระบวนการระบบทั้งหมด ใครก็ตามที่สามารถควบคุมเคอร์เนลได้โดยทั่วไปจะสามารถควบคุมทุกด้านของคอมพิวเตอร์ได้ เพื่อป้องกันการละเมิดหลักนี้ สถาปนิกระบบคอมพิวเตอร์จำกัดการโต้ตอบกับโซนนี้ ดังนั้น กระบวนการส่วนใหญ่ที่ผู้ใช้คอมพิวเตอร์เข้าถึงได้จึงจำกัดอยู่ที่ Ring 3 แล้ววงแหวนของสิทธิพิเศษทำงานอย่างไร
การทำงานของ Privilege Rings
กระบวนการ Ring 0 ทำงานในโหมดผู้ควบคุม ดังนั้นจึงไม่จำเป็นต้องป้อนข้อมูลจากผู้ใช้ การรบกวนอาจทำให้เกิดข้อผิดพลาดของระบบที่สำคัญและปัญหาด้านความปลอดภัยที่ไม่สามารถแก้ไขได้ นี่คือเหตุผลที่ออกแบบมาโดยเจตนาให้ผู้ใช้คอมพิวเตอร์เข้าถึงไม่ได้
ลองใช้ Windows เป็นตัวอย่าง:การเข้าถึงกระบวนการ Ring 0 โดย Ring 3 ถูกจำกัดไว้สำหรับคำแนะนำข้อมูลบางส่วน ในการเข้าถึงเคอร์เนล แอปพลิเคชันใน Ring 3 ต้องทำการเชื่อมต่อที่จัดการโดยหน่วยความจำเสมือน ถึงอย่างนั้นก็มีแอปพลิเคชั่นน้อยมากที่สามารถทำได้
รวมถึงเบราว์เซอร์ที่ต้องการการเข้าถึงเครือข่ายและกล้องที่จำเป็นต้องทำการเชื่อมต่อเครือข่าย นอกจากนี้ การเรียกข้อมูลเหล่านี้ได้รับการหุ้มฉนวนเพื่อป้องกันไม่ให้รบกวนกระบวนการของระบบที่สำคัญโดยตรง
Windows รุ่นก่อนหน้าบางรุ่น (เช่น Windows 95/98) มีการป้องกันน้อยกว่าระหว่างริงของสิทธิพิเศษ นี่เป็นหนึ่งในสาเหตุหลักที่ทำให้ไม่เสถียรและมีแนวโน้มที่จะเกิดข้อผิดพลาด ในระบบสมัยใหม่ ความปลอดภัยของหน่วยความจำเคอร์เนลได้รับการเสริมด้วยชิปฮาร์ดแวร์เฉพาะ
การป้องกันหน่วยความจำเคอร์เนลของ Windows ปัจจุบันจากการบุกรุก
Microsoft เปิดตัวการป้องกันที่แข็งแกร่งสำหรับหน่วยความจำเคอร์เนลตั้งแต่ Windows 10 เวอร์ชัน 1803
สิ่งที่น่าสังเกตมากที่สุดคือ Kernel DMA Protection; คุณลักษณะแบบองค์รวมได้รับการออกแบบมาเพื่อปกป้องคอมพิวเตอร์ส่วนบุคคลจากการโจมตี Direct Memory Access (DMA) โดยเฉพาะอย่างยิ่งที่ดำเนินการผ่านฮอตปลั๊ก PCI ความคุ้มครองได้รับการขยายในรุ่น 1903 เพื่อให้ครอบคลุมพอร์ต PCIe ภายใน เช่น สล็อต M.2
สาเหตุหลักประการหนึ่งที่ Microsoft เลือกที่จะให้การป้องกันเพิ่มเติมกับภาคส่วนเหล่านี้เป็นเพราะอุปกรณ์ PCI นั้นมีความสามารถ DMA อยู่แล้วตั้งแต่แกะกล่อง ความสามารถนี้ช่วยให้พวกเขาอ่านและเขียนลงในหน่วยความจำระบบโดยไม่ต้องขออนุญาตตัวประมวลผลระบบ คุณสมบัตินี้เป็นหนึ่งในสาเหตุหลักที่ทำให้อุปกรณ์ PCI มีประสิทธิภาพสูง
ความแตกต่างของกระบวนการป้องกัน DMA
Windows ใช้โปรโตคอล Input/Output Memory Management Unit (IOMMU) เพื่อบล็อกอุปกรณ์ต่อพ่วงที่ไม่ได้รับอนุญาตจากการดำเนินการ DMA อย่างไรก็ตาม มีข้อยกเว้นสำหรับกฎหากไดรเวอร์รองรับการแยกหน่วยความจำที่เรียกใช้โดยใช้ DMA Remapping
ที่กล่าวว่ายังคงต้องมีการอนุญาตเพิ่มเติม โดยปกติ ผู้ดูแลระบบ OS จะได้รับแจ้งให้ให้สิทธิ์ DMA หากต้องการแก้ไขเพิ่มเติมและทำให้กระบวนการที่เกี่ยวข้องเป็นแบบอัตโนมัติ ผู้เชี่ยวชาญด้านไอทีสามารถเปลี่ยนนโยบาย DmaGuard MDM เพื่อกำหนดวิธีจัดการไดรเวอร์ DMA Remapping ที่เข้ากันไม่ได้
ในการตรวจสอบว่าระบบของคุณมี Kernel DMA Protection หรือไม่ ให้ใช้ Security Center และดูการตั้งค่าใน Core Isolation Details ภายใต้ Memory Access Protection สิ่งสำคัญที่ควรทราบคือเฉพาะระบบปฏิบัติการที่เปิดตัวช้ากว่า Windows 10 เวอร์ชัน 1803 เท่านั้นที่มีคุณสมบัตินี้
เหตุใด CPU จึงไม่ค่อยพึ่งพา Ring 1 และ 2 Privileges
วงแหวน 1 และ 2 ส่วนใหญ่จะใช้โดยไดรเวอร์และระบบปฏิบัติการของแขก รหัสส่วนใหญ่ในระดับสิทธิ์เหล่านี้ยังถูกนำไปใช้ใหม่กึ่งหนึ่งอีกด้วย ดังนั้น โปรแกรม Windows ในปัจจุบันส่วนใหญ่จึงทำงานราวกับว่าระบบมีเพียง 2 ระดับ คือระดับเคอร์เนลและระดับผู้ใช้
ที่กล่าวว่าแอปพลิเคชันเวอร์ชวลไลเซชัน เช่น VirtualBox และ Virtual Machine ใช้ Ring 1 เพื่อดำเนินการ
คำสุดท้ายเกี่ยวกับสิทธิ์
การออกแบบวงแหวนสิทธิพิเศษหลายรายการเกิดขึ้นเนื่องจากสถาปัตยกรรมระบบ x86 อย่างไรก็ตาม ไม่สะดวกที่จะใช้ระดับสิทธิ์ในการรับสายทั้งหมดตลอดเวลา ซึ่งจะนำไปสู่ปัญหาด้านเวลาในการตอบสนองและความเข้ากันได้ที่เพิ่มขึ้น
