Fenster zur Seele

Windows-Kernel im Überblick

Windows-Kernel im Überblick

Der Kernel-Modus dagegen läuft "versteckt" im Hintergrund ab, denn als Benutzer merkt man davon erstmal nichts. Aber so ganz lässt sich der Kernel-Modus nicht verbergen, er tritt vor allem bei Problemen in Erscheinung. So kann ein amoklaufender Treiber, berüchtigt sind vor allem TV-Karten- Treiber, im Kernel-Modus das komplette System zum Absturz bringen. Als Benutzer sieht man dann selbst unter Vista noch den bekannten Bluescreen.

Im Kernel befinden sich also jede Menge Treiber. Daneben nimmt die Datei ntoskrnl.exe eine zentrale Rolle ein. Sie lässt sich zum besseren Verständnis nach Funktionen wieder zweiteilen, in Kernel- Schicht und Ausführungsschicht.

Die Kernel-Schicht arbeitet als Verbindungsglied zwischen Benutzer- und Kernel- Modus. Ihre Hauptaufgabe ist das CPU-Scheduling, also die Zuteilung von Prozessor-Zeit zu einzelnen Programmen.

Die Ausführungsschicht dagegen ist für Systemdienste etwa für Plug-and-Play zuständig.

Am tiefsten im System sitzt die Hardware-Abstraktionsschicht (Hardware Abstraction Layer, HAL). Sie stellt den darüber liegenden Schichten des Betriebssystems Dienste bereit, die sie dann auf die tatsächlich verbauten Geräte umsetzt. So ist es etwa der Kernel-Schicht egal, ob sich ein AMD- oder Intel-Prozessor im Computer befindet, wenn die Rechenzeit auf verschiedene Programme verteilt wird. Ohne HAL müsste man für jeden Rechner ein angepasstes Windows verwenden.

Windows-Sicherheit ganz unten

Windows-Kernel unter der Lupe

© Jörg Knitter

Damit Sicherheits-Tools wie die Windows-Firewall funktionieren, ist eine gute Zusammenarbeit mit den passenden Kernel-Funktionen Pflicht.

Damit sich Programme nicht von Angreifern manipulieren lassen, ist ein ausgefeiltes Prozess- Management nötig, und das ist eine typische Kernel-Aufgabe. Vista hat extra für den Schutz von Multimedia-Dateien das Prozess-Modell aufgebohrt und einen neuen Typ von Prozessen definiert, so genannte geschützte Prozesse.

Unter Windows werden über die Win32-API Prozesse gestartet und verwaltet. Guckt man in den Kernel, dann erledigt das die NTOS Ausführungsschicht. Verbindung und Zugriff auf die Kernel-Objekte eines Prozesses sind dann die Aufgaben der so genannten Handles. Prozesse dürfen unter Windows wieder neue Prozesse starten.

So kann beispielsweise Word (Prozess 1) ein neues Dokument (Prozess 2) öffnen. Jetzt ist es "normal", dass Word das neue Dokument auch wieder löschen oder verändern kann. Sprich, ein Prozess hat in der Regel die volle Kontrolle über Prozesse, die er selbst gestartet hat. Der Haken an der Sache: Es gibt ein Sicherheitsproblem.

Bei Standardprozessen besteht die Möglichkeit, das Zugriffsmodell auszuhebeln. Möglich macht das die Berechtigung Debuggen von Programmen. Sie erlaubt einem Administrator vollständigen Zugriff auf einen Prozess. So kann man den Adressraum des Prozesses und die im Prozess genutzten Daten auslesen oder ändern.

Angreifer könnten auf diese Art auch neue Threads (Prozessoranweisungen) in den Prozess einfügen. Bei geschützten Prozessen ist das nicht mehr so. Geschützte Prozesse schränken den Zugriff auf die Prozessverwaltung stark ein. Der Kernel stellt zwar auch Diagnoseinformationen für geschützte Prozesse bereit, Direktzugriff gibt es aber nicht.

Aber wie kann etwa ein Codec in den geschützten Prozess geladen werden, der für das Abspielen eines Films nötig ist? Ganz einfach, der komplette ausführbare Code muss vorher digital signiert werden. Geschützte Prozesse sind ein Paradebeispiel dafür, wie sich die angestaubte Windows-Architektur auch für aktuelle Probleme anpassen lässt.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
image.jpg
Windows 7 und 8

Wer Windows 7 oder 8 im langsameren IDE-Modus installiert hat, kann seine Festplatte mit Tricks nachträglich auf den AHCI-Modus umstellen.
Daten löschen - Datenmüll (Symbolbild)
Temp-Ordner

Die Datenträgerbereinigung von Windows 7/8/10 entfernt nicht allen Datenmüll. So können Sie die Dateien im Temp-Ordner selbst löschen.
Windows Energieeinstellungen optimieren
Die besten Tipps

Die Energieeinstellungen in Windows lassen sich flexibel anpassen. Wir zeigen Ihnen, wie Sie Ihren eigenen Energiesparplan optimieren.
Windows 10 - Erste Schritte
Startmenü, Edge & Co.

Zum Ende der Gratis-Update-Phase von Windows 10 gibt es noch einmal einen Schwung neuer Nutzer. Wir führen durch Funktionen, Apps und Einstellungen.