เหตุใด Windows เวอร์ชัน 64 บิตจึงมีความปลอดภัยมากกว่า

เนื้อหาที่ไม่ถูกแคช

พีซีใหม่ส่วนใหญ่ได้รับการจัดส่งพร้อมกับ Windows รุ่น 64 บิต - ทั้ง Windows 7 และ 8 - เป็นเวลาหลายปีแล้ว Windows เวอร์ชัน 64 บิตไม่ได้เป็นเพียงแค่การใช้ประโยชน์จากหน่วยความจำเพิ่มเติมเท่านั้น นอกจากนี้ยังมีความปลอดภัยมากกว่าเวอร์ชัน 32 บิตอีกด้วย

ระบบปฏิบัติการ 64 บิตไม่มีภูมิคุ้มกันต่อมัลแวร์ แต่มีคุณลักษณะด้านความปลอดภัยมากกว่า บางส่วนนี้ยังใช้กับระบบปฏิบัติการอื่น ๆ เวอร์ชัน 64 บิตเช่น Linux ผู้ใช้ Linux จะได้รับข้อได้เปรียบด้านความปลอดภัยโดยการสลับ เป็นเวอร์ชัน 64 บิตของการแจกจ่าย Linux .

การสุ่มเค้าโครงพื้นที่ที่อยู่

ASLR เป็นคุณลักษณะด้านความปลอดภัยที่ทำให้ตำแหน่งข้อมูลของโปรแกรมถูกจัดเรียงแบบสุ่มในหน่วยความจำ ก่อนหน้า ASLR ตำแหน่งข้อมูลของโปรแกรมในหน่วยความจำสามารถคาดเดาได้ซึ่งทำให้การโจมตีโปรแกรมง่ายขึ้นมาก ด้วย ASLR ผู้โจมตีต้องคาดเดาตำแหน่งที่ถูกต้องในหน่วยความจำเมื่อพยายามใช้ช่องโหว่ในโปรแกรม การคาดเดาที่ไม่ถูกต้องอาจส่งผลให้โปรแกรมหยุดทำงานดังนั้นผู้โจมตีจะไม่สามารถลองอีกครั้งได้

คุณลักษณะความปลอดภัยนี้ยังใช้กับ Windows เวอร์ชัน 32 บิตและระบบปฏิบัติการอื่น ๆ แต่จะมีประสิทธิภาพมากกว่าใน Windows เวอร์ชัน 64 บิต ระบบ 64 บิตมีพื้นที่แอดเดรสที่ใหญ่กว่าระบบ 32 บิตทำให้ ASLR มีประสิทธิภาพมากขึ้น

การลงนามไดรเวอร์บังคับ

Windows รุ่น 64 บิตบังคับใช้การลงนามไดรเวอร์ที่จำเป็น รหัสไดรเวอร์ทั้งหมดในระบบต้องมีลายเซ็นดิจิทัล ซึ่งรวมถึงไดรเวอร์อุปกรณ์ในโหมดเคอร์เนลและไดรเวอร์โหมดผู้ใช้เช่นไดรเวอร์เครื่องพิมพ์

การลงนามโปรแกรมควบคุมบังคับจะป้องกันไม่ให้ไดรเวอร์ที่ไม่ได้ลงนามที่มาจากมัลแวร์ทำงานบนระบบ ผู้เขียนมัลแวร์จะต้องข้ามขั้นตอนการลงนามผ่านรูทคิตเวลาบูตหรือจัดการลงนามไดรเวอร์ที่ติดไวรัสด้วยใบรับรองที่ถูกต้องซึ่งขโมยมาจากนักพัฒนาไดรเวอร์ที่ถูกต้อง ทำให้ไดรเวอร์ที่ติดไวรัสทำงานบนระบบได้ยากขึ้น

นอกจากนี้ยังสามารถบังคับใช้การลงนามไดรเวอร์ใน Windows เวอร์ชัน 32 บิต แต่ไม่น่าจะยังคงใช้งานร่วมกับไดรเวอร์ 32 บิตรุ่นเก่าที่อาจยังไม่ได้ลงนาม

หากต้องการปิดใช้งานการลงนามไดรเวอร์ระหว่างการพัฒนาบน Windows รุ่น 64 บิตคุณจะต้อง แนบเคอร์เนลดีบักเกอร์ หรือใช้ตัวเลือกการเริ่มต้นพิเศษที่ไม่คงอยู่ในการรีบูตระบบ

การป้องกันแพทช์เคอร์เนล

KPP หรือที่เรียกว่า PatchGuard เป็นคุณลักษณะด้านความปลอดภัยที่พบใน Windows เวอร์ชัน 64 บิตเท่านั้น PatchGuard ป้องกันไม่ให้ซอฟต์แวร์แม้กระทั่งไดรเวอร์ที่ทำงานในโหมดเคอร์เนลจากการแพตช์เคอร์เนลของ Windows สิ่งนี้ไม่ได้รับการสนับสนุนมาโดยตลอด แต่เป็นไปได้ทางเทคนิคใน Windows เวอร์ชัน 32 บิต โปรแกรมป้องกันไวรัส 32 บิตบางโปรแกรมได้ใช้มาตรการป้องกันไวรัสโดยใช้การแก้ไขเคอร์เนล

PatchGuard ป้องกันไม่ให้ไดรเวอร์อุปกรณ์แพตช์เคอร์เนล ตัวอย่างเช่น PatchGuard ป้องกันไม่ให้รูทคิทแก้ไขเคอร์เนลของ Windows เพื่อฝังตัวเองในระบบปฏิบัติการ หากตรวจพบความพยายามในการแก้ไขเคอร์เนล Windows จะปิดตัวลงทันทีด้วยหน้าจอสีน้ำเงินหรือรีบูต

การป้องกันนี้สามารถนำไปใช้กับ Windows รุ่น 32 บิตได้ แต่ยังไม่มี - มีแนวโน้มว่าจะยังคงใช้งานร่วมกับซอฟต์แวร์ 32 บิตเดิมที่ขึ้นอยู่กับการเข้าถึงนี้ได้

การป้องกันการดำเนินการข้อมูล

DEP อนุญาตให้ระบบปฏิบัติการทำเครื่องหมายพื้นที่บางส่วนของหน่วยความจำเป็น "ไม่สามารถเรียกใช้งานได้" โดยการตั้งค่า "บิต NX" พื้นที่หน่วยความจำที่ควรเก็บข้อมูลเท่านั้นจะไม่สามารถใช้งานได้

ตัวอย่างเช่นในระบบที่ไม่มี DEP ผู้โจมตีสามารถใช้บัฟเฟอร์ล้นบางประเภทเพื่อเขียนโค้ดลงในพื้นที่ของหน่วยความจำของแอปพลิเคชัน จากนั้นรหัสนี้สามารถเรียกใช้งานได้ ด้วย DEP ผู้โจมตีสามารถเขียนโค้ดลงในพื้นที่ของหน่วยความจำของแอปพลิเคชันได้ แต่พื้นที่นี้จะถูกทำเครื่องหมายว่าไม่สามารถปฏิบัติการได้และไม่สามารถดำเนินการได้ซึ่งจะหยุดการโจมตี

ระบบปฏิบัติการ 64 บิตมี DEP ที่ใช้ฮาร์ดแวร์ แม้ว่าจะรองรับ Windows เวอร์ชัน 32 บิตหากคุณมี CPU ที่ทันสมัย ​​แต่การตั้งค่าเริ่มต้นจะเข้มงวดกว่าและ DEP จะเปิดใช้งานสำหรับโปรแกรม 64 บิตเสมอในขณะที่ปิดใช้งานโดยค่าเริ่มต้นสำหรับโปรแกรม 32 บิตด้วยเหตุผลด้านความเข้ากันได้

กล่องโต้ตอบการกำหนดค่า DEP ใน Windows ทำให้เข้าใจผิดเล็กน้อย เช่น เอกสารของ Microsoft รัฐ DEP จะใช้สำหรับกระบวนการ 64 บิตทั้งหมดเสมอ:

“ การตั้งค่าการกำหนดค่า System DEP ใช้กับแอปพลิเคชันและกระบวนการ 32 บิตเมื่อทำงานบน Windows เวอร์ชัน 32 บิตหรือ 64 บิต ใน Windows เวอร์ชัน 64 บิตหากมี DEP ที่บังคับใช้ฮาร์ดแวร์จะใช้กับกระบวนการ 64 บิตและพื้นที่หน่วยความจำเคอร์เนลเสมอและไม่มีการตั้งค่าระบบที่จะปิดใช้งาน”

ว้าว 64

Windows รุ่น 64 บิตใช้ซอฟต์แวร์ Windows 32 บิต แต่ทำผ่านชั้นความเข้ากันได้ที่เรียกว่า WOW64 (Windows 32 บิตบน Windows 64 บิต) เลเยอร์ความเข้ากันได้นี้บังคับใช้ข้อ จำกัด บางประการในโปรแกรม 32 บิตเหล่านี้ซึ่งอาจป้องกันไม่ให้มัลแวร์ 32 บิตทำงานอย่างถูกต้อง นอกจากนี้มัลแวร์ 32 บิตจะไม่สามารถทำงานในโหมดเคอร์เนลได้ - มีเพียงโปรแกรม 64 บิตเท่านั้นที่สามารถทำได้บนระบบปฏิบัติการ 64 บิตดังนั้นจึงอาจป้องกันไม่ให้มัลแวร์ 32 บิตรุ่นเก่าบางตัวทำงานอย่างถูกต้อง ตัวอย่างเช่นหากคุณมีซีดีเพลงรุ่นเก่าที่มีรูทคิทของ Sony อยู่ก็จะไม่สามารถติดตั้งเองใน Windows เวอร์ชัน 64 บิตได้

Windows รุ่น 64 บิตยังยกเลิกการรองรับโปรแกรม 16 บิตเก่า นอกเหนือจากการป้องกันไวรัส 16 บิตโบราณไม่ให้ทำงานแล้วยังบังคับให้ บริษัท ต่างๆต้องอัปเกรดโปรแกรม 16 บิตโบราณที่อาจมีช่องโหว่และไม่ได้รับการแก้ไข

เมื่อพิจารณาถึงความแพร่หลายของ Windows เวอร์ชัน 64 บิตในขณะนี้มัลแวร์ใหม่น่าจะสามารถทำงานบน Windows 64 บิตได้ อย่างไรก็ตามการขาดความเข้ากันได้สามารถช่วยป้องกันมัลแวร์เก่าที่อยู่ในป่าได้

---

หากคุณไม่ใช้โปรแกรม 16 บิตเก่า ๆ ฮาร์ดแวร์โบราณที่มีเฉพาะไดรเวอร์ 32 บิตหรือคอมพิวเตอร์ที่มี CPU 32 บิตค่อนข้างเก่าคุณควรใช้ Windows เวอร์ชัน 64 บิต หากคุณไม่แน่ใจว่ากำลังใช้เวอร์ชันใด แต่คุณมีคอมพิวเตอร์รุ่นใหม่ที่ใช้ Windows 7 หรือ 8 คุณน่าจะใช้รุ่น 64 บิต

แน่นอนว่าคุณลักษณะด้านความปลอดภัยเหล่านี้ไม่สามารถป้องกันความผิดพลาดได้และ Windows เวอร์ชัน 64 บิตยังเสี่ยงต่อมัลแวร์ อย่างไรก็ตาม Windows เวอร์ชัน 64 บิตนั้นปลอดภัยกว่าแน่นอน

เครดิตรูปภาพ: William Hook บน Flickr