Kodėl 64 bitų „Windows“ versija yra saugesnė
Dauguma naujų kompiuterių jau daugelį metų pristatomi su 64 bitų „Windows“ versija - „Windows 7“ ir „8“. 64 bitų „Windows“ versijos yra ne tik apie papildomos atminties naudojimą. Jie taip pat yra saugesni nei 32 bitų versijos.
64 bitų operacinės sistemos nėra apsaugotos nuo kenkėjiškų programų, tačiau jos turi daugiau saugumo funkcijų. Kai kurie iš jų taip pat taikomi 64-bitų kitų operacinių sistemų versijoms, pvz., „Linux“. „Linux“ naudotojai įgis saugumo privalumų perėję į 64 bitų „Linux“ platinimo versiją.
Adreso erdvės išdėstymas Atsitiktinė atranka
ASLR yra saugumo funkcija, dėl kurios programos duomenų vietos yra atsitiktinai išdėstytos atmintyje. Prieš ASLR programos atmintyje esančios duomenų vietos galėtų būti nuspėjamos, o dėl to daug lengviau atakuoti programą. Naudodamiesi ASLR, užpuolikas turi atspėti teisingą vietą atmintyje, bandydamas išnaudoti programos pažeidžiamumą. Neteisingas spėjimas gali lemti programos gedimą, todėl užpuolikas negalės bandyti dar kartą.
Ši saugumo funkcija taip pat naudojama 32 bitų „Windows“ ir kitų operacinių sistemų versijose, tačiau ji yra daug galingesnė 64 bitų „Windows“ versijose. 64 bitų sistema turi daug didesnę adresų erdvę nei 32 bitų sistema, todėl ASLR yra daug efektyvesnė.
Privalomas vairuotojo parašas
64 bitų „Windows“ versija užtikrina privalomą vairuotojo pasirašymą. Visi sistemos vairuotojo kodai turi turėti skaitmeninį parašą. Tai apima branduolio režimo įrenginių tvarkykles ir vartotojo režimo tvarkykles, pvz., Spausdintuvo tvarkykles.
Privalomas vairuotojo pasirašymas neleidžia sistemoje paleisti nepageidaujamų kenkėjiškų programų teikiamų tvarkyklių. Kenkėjiškų programų autoriai turės kažkaip apeiti pasirašymo procesą per „boot-time rootkit“ arba sugebėti pasirašyti užkrėstus vairuotojus su galiojančiu sertifikatu, pavogtu iš teisėto vairuotojo kūrėjo. Dėl to užkrėstiems vairuotojams sunkiau paleisti sistemą.
Vairuotojo pasirašymas taip pat galėtų būti vykdomas 32 bitų „Windows“ versijose, tačiau tai nėra - tikėtina, kad tęstinis suderinamumas su senais 32 bitų tvarkykliais, kurie galbūt nebuvo pasirašyti.
Jei norite neleisti vairuotojo parašo kūrimo metu 64 bitų „Windows“ leidimuose, turėtumėte pridėti branduolio derintuvą arba naudoti specialią paleidimo parinktį, kuri išlieka ne visos sistemos atkūrimo metu.
Apsauga nuo branduolio
KPP, taip pat žinomas kaip „PatchGuard“, yra tik 64 bitų „Windows“ versijose esanti saugumo priemonė. „PatchGuard“ neleidžia programinei įrangai, netgi tvarkyklėms, veikiančioms branduolio režimu, pataisyti „Windows“ branduolį. Tai visada buvo nepalaikoma, tačiau techniškai įmanoma 32 bitų „Windows“ versijose. Kai kurios 32 bitų antivirusinės programos įdiegė antivirusinės apsaugos priemones, naudodamos branduolio pataisymą.
„PatchGuard“ neleidžia įrenginio tvarkyklėms pataisyti branduolio. Pavyzdžiui, „PatchGuard“ neleidžia rootkit'ams modifikuoti „Windows“ branduolio, kad įsitvirtintų operacinėje sistemoje. Jei aptinkamas branduolio pataisymo bandymas, „Windows“ iš karto išsijungs su mėlynu ekranu arba iš naujo paleis.
Ši apsauga galėjo būti įdiegta 32 bitų „Windows“ versijoje, tačiau tai nebuvo - tikėtina, kad tęsis suderinamumas su senesnėmis 32 bitų programine įranga, kuri priklauso nuo šios prieigos.
Duomenų vykdymo apsauga
DEP leidžia operacinei sistemai pažymėti tam tikras atminties sritis kaip „neįvykdomas“ nustatant „NX bitą“. Atminties sritys, kuriose turėtų būti tik duomenys, nebus vykdomos.
Pavyzdžiui, sistemoje be DEP, užpuolikas gali naudoti tam tikrą buferio perpildymą, kad rašytų kodą į programos atminties regioną. Tada šis kodas gali būti įvykdytas. Naudojant DEP, užpuolikas gali įrašyti kodą į programos atminties regioną, tačiau šis regionas būtų pažymėtas kaip neįvykdomas ir negalėtų būti įvykdytas, o tai sustabdytų ataką.
64 bitų operacinės sistemos turi aparatinės įrangos DEP. Nors tai taip pat palaikoma 32 bitų „Windows“ versijose, jei turite šiuolaikinį procesorių, numatytieji nustatymai yra griežtesni ir 64 bitų programoms visada leidžiama naudoti DEP, o 32 bitų programoms pagal suderinamumo priežastis ji yra išjungta.
„Windows“ DEP konfigūracijos dialogas yra šiek tiek klaidinantis. Kaip nurodo „Microsoft“ dokumentacija, DEP visada naudojamas visuose 64 bitų procesuose:
„Sistemos DEP konfigūracijos nustatymai taikomi tik 32 bitų programoms ir procesams, kai naudojate 32 bitų arba 64 bitų„ Windows “versijas. 64 bitų „Windows“ versijose, jei yra įdiegta aparatinės įrangos įdiegta DEP, ji visada taikoma 64 bitų procesams ir branduolio atminties erdvėms ir nėra sistemos konfigūracijos nustatymų, kad jį išjungtumėte. “
WOW64
64 bitų „Windows“ versijos paleisti 32 bitų „Windows“ programinę įrangą, tačiau jos atliekamos per suderinamumo sluoksnį, vadinamą WOW64 („Windows“ 64 bitų „Windows“ 32 bitų). Šis suderinamumo sluoksnis įgyvendina kai kuriuos šių 32 bitų programų apribojimus, kurie gali trukdyti tinkamai veikti 32 bitų kenkėjiškoms programoms. 32 bitų kenkėjiškos programos taip pat negalės veikti branduolio režimu - tik 64 bitų programos gali tai padaryti 64 bitų OS sistemoje, todėl tai gali užkirsti kelią kai kuriems senesniems 32 bitų kenkėjiškų programų veikimui. Pavyzdžiui, jei turite seną garso kompaktinį diską su „Sony rootkit“, jis negalės įdiegti patys 64 bitų „Windows“ versijoje.
64 bitų „Windows“ versijos taip pat palaiko senųjų 16 bitų programas. Be to, kad būtų užkirstas kelias senovės 16 bitų virusų vykdymui, tai taip pat verčia įmones atnaujinti savo senovines 16 bitų programas, kurios gali būti pažeidžiamos ir nepatikrintos.
Atsižvelgiant į tai, kaip plačiai paplitę 64 bitų „Windows“ versijos, naujos kenkėjiškos programos gali veikti 64 bitų „Windows“. Tačiau suderinamumo stoka gali padėti apsaugoti nuo senų kenkėjiškų programų.
Jei nenaudojate senų 16 bitų programų, senovės aparatūros, kuri siūlo tik 32 bitų tvarkykles, arba kompiuterį su gana senu 32 bitų procesoriumi, turėtumėte naudoti 64 bitų „Windows“ versiją. Jei nesate tikri, kokia versija naudojate, bet jūs turite šiuolaikinį kompiuterį, kuriame veikia „Windows 7“ arba 8, tikriausiai naudojate 64 bitų leidimą.
Žinoma, nė viena iš šių saugumo funkcijų nėra patikima, o 64 bitų „Windows“ versija vis dar yra pažeidžiama kenkėjiškų programų atžvilgiu. Tačiau 64 bitų „Windows“ versijos tikrai yra saugesnės.
Vaizdo kreditas: „William Hook“ dėl „Flickr“