Більшість нових ПК постачаються разом з 64-розрядна версія Windows - як Windows 7, так і 8 - вже багато років. 64-розрядні версії Windows - це не лише використання переваг додаткової пам'яті. Вони також безпечніші, ніж 32-розрядні версії.
64-розрядні операційні системи не захищені від шкідливих програм, але вони мають більше функцій безпеки. Дещо з цього також стосується 64-розрядних версій інших операційних систем, таких як Linux. Користувачі Linux отримають переваги безпеки, переключившись до 64-розрядної версії їх дистрибутива Linux .
Рандомізація макета адресного простору
ASLR - це функція безпеки, яка забезпечує випадкове розташування даних програми в пам'яті. До ASLR розташування даних програми в пам'яті могло бути передбачуваним, що значно полегшило атаки на програму. За допомогою ASLR зловмисник повинен вгадати правильне місце в пам'яті, намагаючись використати вразливість у програмі. Неправильне припущення може призвести до збою програми, тому зловмисник не зможе повторити спробу.
Ця функція безпеки також використовується в 32-розрядних версіях Windows та інших операційних системах, але набагато потужніша в 64-розрядних версіях Windows. 64-розрядна система має набагато більший адресний простір, ніж 32-розрядна система, що робить ASLR набагато ефективнішим.
Обов’язковий підпис водія
64-розрядна версія Windows забезпечує обов’язкове підписання драйверів. Весь код драйвера в системі повинен мати цифровий підпис. Сюди входять драйвери пристроїв у режимі ядра та драйвери режиму користувача, наприклад драйвери принтерів.
Обов’язкове підписання драйверів перешкоджає запуску в системі непідписаних драйверів, які надає шкідливе програмне забезпечення. Авторам шкідливого програмного забезпечення доведеться якось обійти процес підписання через руткіт під час завантаження або встигнути підписати заражені драйвери дійсним сертифікатом, викраденим у законного розробника драйверів. Це ускладнює роботу заражених драйверів у системі.
Підписання драйверів також може бути застосовано в 32-розрядних версіях Windows, але це не так - ймовірно, для подальшої сумісності зі старими 32-розрядними драйверами, які, можливо, не були підписані.
Щоб вимкнути підписання драйверів під час розробки 64-розрядних версій Windows, вам доведеться приєднати налагоджувач ядра або скористайтеся спеціальною опцією запуску, яка не зберігається при перезавантаженні системи.
Захист патча ядра
KPP, також відомий як PatchGuard, - це функція безпеки, яку можна знайти лише в 64-розрядних версіях Windows. PatchGuard запобігає виправленню ядра Windows програмним забезпеченням, навіть драйверами, що працюють у режимі ядра. Це завжди не підтримувалось, але технічно це можливо в 32-розрядних версіях Windows. Деякі 32-розрядні антивірусні програми впровадили свої антивірусні засоби захисту за допомогою виправлення ядра.
PatchGuard заважає драйверам пристроїв виправляти ядро. Наприклад, PatchGuard забороняє руткітам модифікувати ядро Windows для вбудовування в операційну систему. Якщо буде виявлено спробу виправлення ядра, Windows негайно вимкнеться із синім екраном або перезавантажиться.
Цей захист може бути застосований до 32-розрядної версії Windows, але цього не було - ймовірно, для подальшої сумісності із застарілим 32-розрядним програмним забезпеченням, яке залежить від цього доступу.
Захист виконання даних
DEP дозволяє операційній системі позначати певні ділянки пам'яті як «невиконані», встановлюючи «біт NX». Області пам'яті, в яких передбачається зберігати лише дані, не можуть бути виконаними.
Наприклад, у системі без DEP зловмисник може використовувати якийсь переповнення буфера для запису коду в область пам'яті програми. Потім цей код можна виконати. За допомогою DEP зловмисник міг писати код у область пам'яті програми, але ця область буде позначена як невиконувана і не може бути виконана, що зупинить атаку.
64-розрядні операційні системи мають апаратний DEP. Хоча це також підтримується у 32-розрядних версіях Windows, якщо у вас сучасний центральний процесор, налаштування за замовчуванням є більш жорсткими, а функція DEP завжди ввімкнена для 64-розрядних програм, тоді як вона вимкнена за замовчуванням для 32-розрядних програм з міркувань сумісності.
Діалогове вікно налаштування DEP у Windows трохи вводить в оману. Як Документація Microsoft DEP завжди використовується для всіх 64-розрядних процесів:
“Налаштування конфігурації системи DEP застосовуються лише до 32-розрядних додатків та процесів під час роботи в 32-розрядної або 64-розрядної версії Windows. У 64-розрядних версіях Windows, якщо доступний апаратний пристрій DEP, він завжди застосовується до 64-розрядних процесів і просторів пам'яті ядра, і немає ніяких налаштувань конфігурації системи для його вимкнення.
WOW64
У 64-розрядних версіях Windows використовується 32-розрядна програма Windows, але вони роблять це за допомогою рівня сумісності, відомого як WOW64 (32-розрядна версія Windows у 64-розрядної версії Windows). Цей рівень сумісності застосовує деякі обмеження щодо цих 32-розрядних програм, що може перешкодити нормальній роботі 32-розрядної програми. 32-розрядна зловмисна програма також не зможе працювати в режимі ядра - лише 64-розрядні програми можуть робити це в 64-розрядної ОС - тому це може заважати деяким старим 32-розрядним зловмисним програмам працювати нормально. Наприклад, якщо у вас є старий аудіо компакт-диск із руткітом Sony, він не зможе встановити себе в 64-розрядної версії Windows.
64-розрядні версії Windows також припиняють підтримку старих 16-розрядних програм. На додаток до запобігання запуску давніх 16-розрядних вірусів, це також змусить компанії модернізувати свої стародавні 16-розрядні програми, які можуть бути вразливими та недоступними.
Враховуючи наскільки поширені зараз 64-розрядні версії Windows, нові шкідливі програми, ймовірно, зможуть працювати на 64-розрядної Windows. Однак відсутність сумісності може допомогти захистити від старої зловмисної програми в дикій природі.
Якщо ви не використовуєте скрипучі старі 16-розрядні програми, старовинне обладнання, яке пропонує лише 32-розрядні драйвери, або комп’ютер із досить старим 32-розрядним процесором, вам слід використовувати 64-розрядну версію Windows. Якщо ви не впевнені, яку версію використовуєте, але у вас сучасний комп’ютер під управлінням Windows 7 або 8, швидше за все, ви використовуєте 64-розрядну версію.
Звичайно, жодна з цих функцій безпеки не є надійною, і 64-розрядна версія Windows все ще вразлива до шкідливих програм. Однак 64-розрядні версії Windows, безумовно, є більш безпечними.
Кредит зображення: Вільям Хук на Flickr
