Suurin osa uusista tietokoneista on toimitettu 64-bittinen Windows-versio - sekä Windows 7 että 8 - jo vuosia. Windowsin 64-bittiset versiot eivät tarkoita vain lisämuistin hyödyntämistä. Ne ovat myös turvallisempia kuin 32-bittiset versiot.
64-bittiset käyttöjärjestelmät eivät ole immuuneja haittaohjelmille, mutta niillä on enemmän suojausominaisuuksia. Osa tästä koskee myös muiden käyttöjärjestelmien, kuten Linux, 64-bittisiä versioita. Linux-käyttäjät saavat turvallisuusetuja vaihtamalla Linux-jakelun 64-bittiseen versioon .
Osoiteavaruusasettelun satunnaistaminen
ASLR on suojausominaisuus, joka saa ohjelman datapaikat järjestymään satunnaisesti muistiin. Ennen ASLR: ää ohjelman tietojen sijainti muistissa voi olla ennakoitavissa, mikä helpotti hyökkäyksiä ohjelmaan. ASLR: n avulla hyökkääjän on arvattava oikea sijainti muistissa yrittäessään hyödyntää ohjelman haavoittuvuutta. Väärä arvaus voi johtaa ohjelman kaatumiseen, joten hyökkääjä ei voi yrittää uudelleen.
Tätä suojausominaisuutta käytetään myös 32-bittisissä Windows-versioissa ja muissa käyttöjärjestelmissä, mutta se on paljon tehokkaampi 64-bittisissä Windows-versioissa. 64-bittisessä järjestelmässä on paljon suurempi osoitetila kuin 32-bittisessä järjestelmässä, mikä tekee ASLR: stä paljon tehokkaamman.
Kuljettajan pakollinen allekirjoittaminen
Windowsin 64-bittinen versio pakottaa ajurin pakollisen allekirjoittamisen. Kaikilla järjestelmän ohjainkoodeilla on oltava digitaalinen allekirjoitus. Tämä sisältää ytintilan laiteohjaimet ja käyttäjätilan ohjaimet, kuten tulostinohjaimet.
Pakollinen ohjaimen allekirjoitus estää haittaohjelmien tarjoamat allekirjoittamattomat ohjaimet suorittamasta järjestelmää. Haittaohjelmien kirjoittajien on jotenkin ohitettava allekirjoitusprosessi käynnistysajan rootkitin avulla tai onnistuttava allekirjoittamaan tartunnan saaneet ohjaimet laillisella ohjainkehittäjältä varastetulla voimassa olevalla varmenteella. Tämä vaikeuttaa tartunnan saaneiden kuljettajien suorittamista järjestelmässä.
Ohjainten allekirjoittaminen voidaan myös pakottaa 32-bittisissä Windows-versioissa, mutta ei - todennäköisesti jatkuvan yhteensopivuuden vanhojen 32-bittisten ohjainten kanssa, joita ei ehkä ole allekirjoitettu.
Voit poistaa ohjaimen allekirjoittamisen käytöstä kehityksen aikana 64-bittisissä Windows-versioissa liitä ytimen virheenkorjaus tai käytä erityistä käynnistysvaihtoehtoa, joka ei jatku järjestelmän uudelleenkäynnistyksen aikana.
Kernel Patch Protection
KPP, joka tunnetaan myös nimellä PatchGuard, on suojausominaisuus, joka löytyy vain Windowsin 64-bittisistä versioista. PatchGuard estää ohjelmistoja, jopa ytintilassa olevia ajureita, korjaamasta Windows-ydintä. Tätä ei ole aina tuettu, mutta se on teknisesti mahdollista 32-bittisissä Windows-versioissa. Jotkut 32-bittiset virustentorjuntaohjelmat ovat toteuttaneet virustentorjuntatoimenpiteensä ytimen korjaustiedoston avulla.
PatchGuard estää laiteohjaimia korjaamasta ydintä. Esimerkiksi PatchGuard estää rootkit-ohjelmia muokkaamasta Windows-ydintä upottamaan itsensä käyttöjärjestelmään. Jos ytimen korjausyritys havaitaan, Windows sammuu välittömästi sinisellä näytöllä tai käynnistyy uudelleen.
Tämä suojaus voidaan ottaa käyttöön 32-bittisessä Windows-versiossa, mutta se ei ole ollut - todennäköisesti jatkuvan yhteensopivuuden vanhojen 32-bittisten ohjelmistojen kanssa, jotka riippuvat tästä pääsystä.
Tietojen suorittamisen suojaus
DEP sallii käyttöjärjestelmän merkitä tietyt muistialueet "ei-suoritettaviksi" asettamalla "NX-bitin". Muistialueita, joiden oletetaan pitävän vain tietoja, ei voida suorittaa.
Esimerkiksi järjestelmässä, jossa ei ole DEP: tä, hyökkääjä voi käyttää jonkinlaista puskurin ylivuotoa kirjoittaa koodin sovelluksen muistialueelle. Tämä koodi voidaan sitten suorittaa. DEP: n avulla hyökkääjä voi kirjoittaa koodin sovelluksen muistialueelle - mutta tämä alue merkitään ei-suoritettavaksi eikä sitä voida suorittaa, mikä lopettaa hyökkäyksen.
64-bittisissä käyttöjärjestelmissä on laitteistopohjainen DEP. Vaikka tätä tuetaan myös Windowsin 32-bittisissä versioissa, jos sinulla on moderni CPU, oletusasetukset ovat tiukemmat ja DEP on aina käytössä 64-bittisissä ohjelmissa, kun taas se on oletusarvoisesti pois käytöstä 32-bittisissä ohjelmissa yhteensopivuussyistä.
Windowsin DEP-määritysikkuna on hieman harhaanjohtava. Kuten Microsoftin ohjeet DEP: tä käytetään aina kaikkiin 64-bittisiin prosesseihin:
”Järjestelmän DEP-kokoonpanoasetukset koskevat vain 32-bittisiä sovelluksia ja prosesseja, kun ne suoritetaan 32- tai 64-bittisissä Windows-versioissa. Windows-64-bittisissä versioissa, jos laitteistopohjainen DEP on käytettävissä, sitä käytetään aina 64-bittisiin prosesseihin ja ytimen muistitiloihin, eikä järjestelmän poistamiseen ole järjestelmän kokoonpanoasetuksia. "
WOW64
Windowsin 64-bittiset versiot käyttävät 32-bittistä Windows-ohjelmistoa, mutta ne tekevät sen yhteensopivuuskerroksen kautta, joka tunnetaan nimellä WOW64 (Windows 32-bittinen Windows 64-bittisessä). Tämä yhteensopivuuskerros pakottaa joitain rajoituksia näille 32-bittisille ohjelmille, mikä saattaa estää 32-bittisen haittaohjelman toiminnan oikein. 32-bittinen haittaohjelma ei myöskään voi toimia ytintilassa - vain 64-bittiset ohjelmat voivat tehdä sen 64-bittisessä käyttöjärjestelmässä - joten tämä saattaa estää joitain vanhempia 32-bittisiä haittaohjelmia toimimasta kunnolla. Jos sinulla on esimerkiksi vanha ääni-CD, jossa on Sony rootkit, se ei pysty asentamaan itseään 64-bittiseen Windows-versioon.
Windowsin 64-bittiset versiot myös hylkäävät vanhojen 16-bittisten ohjelmien tuen. Muiden 16-bittisten virusten suorittamisen estämisen lisäksi tämä pakottaa yritykset päivittämään muinaiset 16-bittiset ohjelmansa, jotka voivat olla haavoittuvia ja korjaamattomia.
Ottaen huomioon kuinka laajalle levinneet 64-bittiset Windows-versiot ovat nyt, uusi haittaohjelma todennäköisesti toimii 64-bittisessä Windowsissa. Yhteensopivuuden puute voi kuitenkin auttaa suojautumaan vanhalta haittaohjelmalta luonnossa.
Ellet käytä vanhoja 16-bittisiä ohjelmia, vanhaa laitteistoa, joka tarjoaa vain 32-bittisiä ohjaimia, tai tietokonetta, jossa on melko vanha 32-bittinen suoritin, sinun tulisi käyttää 64-bittistä Windows-versiota. Jos et ole varma käyttämästäsi versiosta, mutta sinulla on moderni tietokone, jossa on Windows 7 tai 8, käytät todennäköisesti 64-bittistä versiota.
Mikään näistä tietoturvaominaisuuksista ei tietenkään ole hämmentävä, ja Windowsin 64-bittinen versio on edelleen haavoittuva haittaohjelmille. 64-bittiset Windows-versiot ovat kuitenkin varmasti turvallisempia.
Kuvahyvitys: William Hook Flickrissä
