Режимы ядра и пользователя.

Два уровня привилегий CPU, обеспечиваемые современными ОС: режим ядра (supervisor, ring 0) с полным доступом к оборудованию и пользовательский режим (ring 3), ограниченный своим адресным пространством и непривилегированными инструкциями. Относится к категории Идентификация и доступ в кибербезопасности.

Два уровня привилегий CPU, обеспечиваемые современными ОС: режим ядра (supervisor, ring 0) с полным доступом к оборудованию и пользовательский режим (ring 3), ограниченный своим адресным пространством и непривилегированными инструкциями.

Современные CPU реализуют защитные кольца; x86 определяет четыре (0-3), но массовые ОС используют только ring 0 (ядро/supervisor) и ring 3 (пользователь). В режиме ядра процессор может исполнять привилегированные инструкции, изменять таблицы страниц, обращаться к портам ввода-вывода и управлять оборудованием. В пользовательском режиме код ограничен своим виртуальным адресным пространством и обращается к ядру через контролируемые шлюзы: системные вызовы (syscall/sysenter на x86_64, svc на ARM64) или аппаратные прерывания. Эта граница и обеспечивает устойчивость ОС: упавший браузер не может задеть ядро, а скомпрометированному процессу для попадания в ring 0 нужен эксплойт ядра. Гипервизоры добавляют ring -1 (VMX root), а SMM и ARM TrustZone дают ещё более привилегированные состояния. Понимание этой границы критично при размышлении об EDR, руткитах и eBPF.

Защита от Режимы ядра и пользователя обычно сочетает технические меры и операционные практики, как описано в определении выше.

Распространённые альтернативные названия: ring 0 и ring 3, supervisor и user mode.