A legtöbb új számítógépet a A Windows 64 bites verziója - Windows 7 és 8 egyaránt - évek óta. A Windows 64 bites verziói nem csupán a további memória kihasználását jelentik. Biztonságosabbak, mint a 32 bites verziók.
A 64 bites operációs rendszerek nem védettek a rosszindulatú programokkal szemben, de több biztonsági funkcióval rendelkeznek. Ezek egy része más operációs rendszerek, például a Linux 64 bites verzióira is vonatkozik. A Linux-felhasználók a váltással biztonsági előnyökre tesznek szert Linux disztribúciójuk 64 bites verziójára .
Címtér elrendezés véletlenszerűsítése
Az ASLR egy olyan biztonsági szolgáltatás, amely a program adatainak helyét véletlenszerűen rendezi a memóriába. Az ASLR előtt egy program adatainak helye a memóriában kiszámítható lehet, ami sokkal könnyebbé tette a program elleni támadásokat. Az ASLR használatával a támadónak kitalálnia kell a memória helyes helyét, amikor megpróbálja kihasználni a program sebezhetőségét. Helytelen találgatás a program összeomlásához vezethet, így a támadó nem tudja újra megpróbálni.
Ezt a biztonsági funkciót a Windows 32 bites verzióiban és más operációs rendszerekben is használják, de a Windows 64 bites verzióinál sokkal erősebb. A 64 bites rendszer sokkal nagyobb címterülettel rendelkezik, mint egy 32 bites, így az ASLR sokkal hatékonyabb.
Kötelező járművezetői aláírás
A Windows 64 bites verziója kikényszeríti az illesztőprogram kötelező aláírását. A rendszer összes illesztőprogram-kódjának rendelkeznie kell digitális aláírással. Ide tartoznak a rendszermag módú illesztőprogramok és a felhasználói módú illesztőprogramok, például a nyomtatóillesztők.
Az illesztőprogram kötelező aláírása megakadályozza, hogy a rosszindulatú programok által biztosított aláíratlan illesztőprogramok fussanak a rendszeren. A rosszindulatú programokat szerzőknek valamilyen módon meg kell kerülniük az aláírási folyamatot egy boot-time rootkit segítségével, vagy sikerül a fertőzött illesztőprogramokat egy érvényes illesztőprogram-fejlesztőtől ellopott érvényes tanúsítvánnyal aláírni. Ez megnehezíti a fertőzött illesztőprogramok futtatását a rendszeren.
Az illesztőprogram-aláírást a Windows 32 bites verzióin is érvényesíteni lehet, de nem - valószínűleg a régi 32 bites illesztőprogramokkal való folyamatos kompatibilitás miatt, amelyeket esetleg nem írtak alá.
Ha le szeretné tiltani az illesztőprogram-aláírást a fejlesztés során a Windows 64 bites kiadásain, akkor ezt meg kell tennie csatoljon egy kernel hibakeresőt vagy használjon egy speciális indítási lehetőséget, amely nem áll fenn a rendszer újraindításakor.
Kernel Patch Protection
A KPP, más néven PatchGuard, csak a Windows 64 bites verzióiban található biztonsági funkció. A PatchGuard megakadályozza, hogy a szoftverek, még a rendszermag-módban is futó illesztőprogramok is javítsák a Windows kernelt. Ezt mindig nem támogatták, de technikailag lehetséges a Windows 32 bites verzióin. Néhány 32 bites víruskereső program kernel javítással hajtotta végre víruskereső intézkedéseit.
A PatchGuard megakadályozza, hogy az eszközillesztők javítsák a kernelt. Például a PatchGuard megakadályozza, hogy a rootkitek módosítsák a Windows kernelt, hogy beágyazódjanak az operációs rendszerbe. Ha kísérletet észlelnek a kernel javítására, a Windows azonnal leáll egy kék képernyővel, vagy újraindítja.
Ez a védelem bevezethető lenne a Windows 32 bites verzióján, de még nem - valószínűleg a folyamatos kompatibilitás érdekében a régi 32 bites szoftverekkel, amelyek ettől a hozzáféréstől függenek.
Adatvégrehajtás védelme
A DEP lehetővé teszi az operációs rendszer számára, hogy az „NX bit” beállításával bizonyos memóriaterületeket „nem futtathatóként” jelöljön meg. Azok a memóriaterületek, amelyek állítólag csak adatokat tárolnak, nem futtathatók.
Például egy DEP nélküli rendszeren a támadó valamilyen puffertúlcsordulást használhat arra, hogy kódot írjon az alkalmazás memóriájának egy területére. Ezt a kódot végre lehet hajtani. A DEP segítségével a támadó kódot írhat az alkalmazás memóriájának egy területére - de ez a régió nem futtathatóként lenne megjelölve, és nem lehetne végrehajtani, ami megállítaná a támadást.
A 64 bites operációs rendszerek hardveralapú DEP-vel rendelkeznek. Bár ezt a Windows 32 bites verziói is támogatják, ha modern CPU-val rendelkezik, az alapértelmezett beállítások szigorúbbak, és a DEP mindig engedélyezve van a 64 bites programoknál, míg a 32 bites programok esetében kompatibilitási okokból alapértelmezés szerint le van tiltva.
A DEP konfigurációs párbeszédpanel a Windows-ban kissé félrevezető. Mint A Microsoft dokumentációja állítja, hogy a DEP-t mindig az összes 64 bites folyamathoz használják:
„A rendszer DEP konfigurációs beállításai csak a 32 bites alkalmazásokra és folyamatokra vonatkoznak, amikor a Windows 32 vagy 64 bites verzióin futnak. Ha a Windows 64 bites verzióin elérhető a hardver által kényszerített DEP, akkor azt mindig a 64 bites folyamatokra és a rendszermag memóriaterületeire alkalmazzák, és nincsenek rendszerkonfigurációs beállítások a letiltáshoz. "
WOW64
A Windows 64 bites verziói 32 bites Windows szoftvert futtatnak, de ezt a WOW64 néven ismert kompatibilitási rétegen keresztül hajtják végre (Windows 32 bites a 64 bites Windows rendszeren). Ez a kompatibilitási réteg bizonyos korlátozásokat érvényesít ezeken a 32 bites programokon, amelyek megakadályozhatják a 32 bites rosszindulatú programok megfelelő működését. A 32 bites rosszindulatú programok kernel módban sem lesznek képesek futtatni - 64 bites operációs rendszeren csak 64 bites programok képesek erre, így ez megakadályozhatja néhány régebbi, 32 bites kártevő megfelelő működését. Például, ha van egy régi audio CD, rajta a Sony rootkit, az nem lesz képes telepíteni magát a Windows 64 bites verziójára.
A Windows 64 bites verziói a régi 16 bites programok támogatását is elvetik. Amellett, hogy megakadályozza az ősi 16 bites vírusok futtatását, ez arra is rákényszeríti a vállalatokat, hogy frissítsék az ősi 16 bites programjaikat, amelyek sérülékenyek és javíthatatlanok lehetnek.
Tekintettel arra, hogy a Windows 64 bites verziói mennyire elterjedtek, az új rosszindulatú programok valószínűleg futtathatók a 64 bites Windows rendszeren. A kompatibilitás hiánya azonban segíthet megvédeni a vadon élő régi rosszindulatú programokat.
Ha nem használja a recsegő régi 16 bites programokat, az ősi hardvereket, amelyek csak 32 bites illesztőprogramokat kínálnak, vagy a számítógépet meglehetősen régi, 32 bites CPU-val, akkor a Windows 64 bites verzióját kell használnia. Ha nem biztos benne, hogy melyik verziót használja, de modern számítógépe van a Windows 7 vagy 8 rendszeren, akkor valószínűleg a 64 bites verziót használja.
Természetesen ezen biztonsági funkciók egyike sem bolondbiztos, és a Windows 64 bites verziója továbbra is sebezhető a rosszindulatú programok ellen. A Windows 64 bites verziói azonban mindenképpen biztonságosabbak.
Kép jóváírása: William Hook a Flickr-en
