De fleste nye pc'er har leveret med 64-bit version af Windows - både Windows 7 og 8 - i årevis nu. 64-bit versioner af Windows handler ikke kun om at udnytte ekstra hukommelse. De er også mere sikre end 32-bit versioner.
64-bit operativsystemer er ikke immune over for malware, men de har flere sikkerhedsfunktioner. Noget af dette gælder også for 64-bit versioner af andre operativsystemer, såsom Linux. Linux-brugere får sikkerhedsfordele ved at skifte til en 64-bit version af deres Linux-distribution .
Adresserum Layout Randomisering
ASLR er en sikkerhedsfunktion, der får et programs datalokationer til at blive ordnet tilfældigt i hukommelsen. Før ASLR kunne et programs datalokationer i hukommelsen være forudsigelige, hvilket gjorde angreb på et program meget lettere. Med ASLR skal en angriber gætte den rigtige placering i hukommelsen, når han prøver at udnytte en sårbarhed i et program. Et forkert gæt kan resultere i, at programmet går ned, så angriberen ikke kan prøve igen.
Denne sikkerhedsfunktion bruges også i 32-bit versioner af Windows og andre operativsystemer, men den er meget mere kraftfuld på 64-bit versioner af Windows. Et 64-bit system har et meget større adresseområde end et 32-bit system, hvilket gør ASLR meget mere effektiv.
Obligatorisk førersignering
64-bit versionen af Windows håndhæver obligatorisk driversignering. Al driverkode på systemet skal have en digital signatur. Dette inkluderer kerne-tilstand enhedsdrivere og bruger-tilstand drivere, såsom printerdrivere.
Obligatorisk driversignering forhindrer, at usignerede drivere leveret af malware kører på systemet. Malwareforfattere bliver på en eller anden måde nødt til at omgå signaturprocessen gennem et boot-time rootkit eller formå at underskrive de inficerede drivere med et gyldigt certifikat stjålet fra en legitim driverudvikler. Dette gør det vanskeligere for inficerede drivere at køre på systemet.
Driversignering kunne også håndhæves på 32-bit versioner af Windows, men det er ikke sandsynligt for fortsat kompatibilitet med gamle 32-bit drivere, der muligvis ikke er blevet underskrevet.
Hvis du vil deaktivere driversignering under udvikling på 64-bit-udgaver af Windows, skal du vedhæft en kernedebugger eller brug en speciel startmulighed, der ikke vedvarer på tværs af systemgenstarter.
Kernelappebeskyttelse
KPP, også kendt som PatchGuard, er en sikkerhedsfunktion, der kun findes i 64-bit versioner af Windows. PatchGuard forhindrer software, selv drivere, der kører i kernetilstand, fra at lappe Windows-kernen. Dette har altid været understøttet, men det er teknisk muligt på 32-bit versioner af Windows. Nogle 32-bit antivirusprogrammer har implementeret deres antivirusbeskyttelsesforanstaltninger ved hjælp af kernepatching.
PatchGuard forhindrer enhedsdrivere i at lappe kernen. For eksempel forhindrer PatchGuard rootkits i at ændre Windows-kernen for at integrere sig selv i operativsystemet. Hvis der opdages et forsøg på kernelapning, lukker Windows straks ned med en blå skærm eller genstarter.
Denne beskyttelse kunne placeres på 32-bit versionen af Windows, men det har det ikke været - sandsynligvis for fortsat kompatibilitet med ældre 32-bit software, der afhænger af denne adgang.
Beskyttelse af dataudførelse
DEP giver et operativsystem mulighed for at markere bestemte områder af hukommelsen som "ikke-eksekverbar" ved at indstille en "NX-bit." Hukommelsesområder, der kun skal indeholde data, kan ikke eksekveres.
For eksempel på et system uden DEP kan en angriber bruge en slags bufferoverløb til at skrive kode ind i et område i en applikations hukommelse. Denne kode kunne derefter udføres. Med DEP kunne angriberen skrive kode i en region i applikationens hukommelse - men denne region ville blive markeret som ikke-eksekverbar og kunne ikke udføres, hvilket ville stoppe angrebet.
64-bit operativsystemer har hardwarebaseret DEP. Selvom dette også understøttes på 32-bit versioner af Windows, hvis du har en moderne CPU, er standardindstillingerne strengere, og DEP er altid aktiveret til 64-bit-programmer, mens den er deaktiveret som standard af 32-bit-programmer af kompatibilitetsårsager.
DEP-konfigurationsdialogen i Windows er lidt vildledende. Som Microsofts dokumentation stater, DEP bruges altid til alle 64-bit processer:
“System DEP-konfigurationsindstillinger gælder kun for 32-bit applikationer og processer, når de kører på 32-bit eller 64-bit versioner af Windows. På 64-bit versioner af Windows, hvis hardware-håndhævet DEP er tilgængelig, anvendes det altid til 64-bit processer og kernehukommelsesrum, og der er ingen systemkonfigurationsindstillinger for at deaktivere det. ”
WOW64
64-bit versioner af Windows kører 32-bit Windows-software, men de gør det gennem et kompatibilitetslag kendt som WOW64 (Windows 32-bit på Windows 64-bit). Dette kompatibilitetslag håndhæver nogle begrænsninger for disse 32-bit programmer, som kan forhindre 32-bit malware i at fungere korrekt. 32-bit malware kan også ikke køres i kernetilstand - kun 64-bit programmer kan gøre det på et 64-bit OS - så dette kan forhindre, at ældre 32-bit malware fungerer korrekt. For eksempel, hvis du har en gammel lyd-cd med Sony rootkit på, kan den ikke installere sig selv på en 64-bit version af Windows.
64-bit versioner af Windows slipper også support til gamle 16-bit programmer. Ud over at forhindre, at gamle 16-bit-vira udføres, vil dette også tvinge virksomheder til at opgradere deres gamle 16-bit-programmer, der kan være sårbare og ikke-patchede.
I betragtning af hvor udbredte 64-bit versioner af Windows nu er, vil ny malware sandsynligvis være i stand til at køre på 64-bit Windows. Manglen på kompatibilitet kan dog hjælpe med at beskytte mod gammel malware i naturen.
Medmindre du bruger knirkende gamle 16-bit programmer, gammel hardware, der kun tilbyder 32-bit drivere eller en computer med en ret gammel 32-bit CPU, skal du bruge 64-bit versionen af Windows. Hvis du ikke er sikker på, hvilken version du bruger, men du har en moderne computer, der kører Windows 7 eller 8, bruger du sandsynligvis 64-bit-udgaven.
Selvfølgelig er ingen af disse sikkerhedsfunktioner idiotsikker, og en 64-bit version af Windows er stadig sårbar over for malware. 64-bit versioner af Windows er dog bestemt mere sikre.
Billedkredit: William Hook på Flickr
