Защо 64-битовата версия на Windows е по-сигурна

Повечето нови компютри се доставят с 64-битова версия на Windows — както Windows 7, така и 8 — от години. 64-битовите версии на Windows не са само за използване на допълнителна памет. Те също така са по-сигурни от 32-битовите версии.

64-битовите операционни системи не са имунизирани срещу зловреден софтуер, но имат повече функции за сигурност. Част от това се отнася и за 64-битови версии на други операционни системи, като Linux. Потребителите на Linux ще получат предимства за сигурност чрез превключване до 64-битова версия на тяхната Linux дистрибуция .

Рандомизиране на оформлението на адресното пространство

ASLR е функция за сигурност, която кара местоположенията на данните на програмата да бъдат произволно подредени в паметта. Преди ASLR местоположенията на данните на програмата в паметта можеха да бъдат предвидими, което правеше атаките срещу програма много по-лесни. С ASLR нападателят трябва да отгатне правилното място в паметта, когато се опитва да използва уязвимост в програма. Неправилно предположение може да доведе до срив на програмата, така че нападателят няма да може да опита отново.

Тази функция за сигурност се използва и в 32-битови версии на Windows и други операционни системи, но е много по-мощна при 64-битови версии на Windows. 64-битовата система има много по-голямо адресно пространство от 32-битовата система, което прави ASLR много по-ефективен.

Задължително подписване на водача

64-битовата версия на Windows налага задължително подписване на драйвери. Всички кодове на драйвери в системата трябва да имат цифров подпис. Това включва драйвери за устройства в режим на ядрото и драйвери за потребителски режим, като драйвери за принтер.

Задължителното подписване на драйвери не позволява на неподписаните драйвери, предоставени от зловреден софтуер, да се изпълняват в системата. Авторите на злонамерен софтуер ще трябва по някакъв начин да заобиколят процеса на подписване чрез руткит по време на зареждане или да успеят да подпишат заразените драйвери с валиден сертификат, откраднат от легитимен разработчик на драйвери. Това затруднява работата на заразените драйвери в системата.

Подписването на драйвери също може да бъде наложено на 32-битови версии на Windows, но не е - вероятно за продължителна съвместимост със стари 32-битови драйвери, които може да не са подписани.

За да деактивирате подписването на драйвери по време на разработка на 64-битови издания на Windows, ще трябва прикачете дебъгер на ядрото или използвайте специална опция за стартиране, която не се запазва при рестартиране на системата.

Защита на корекция на ядрото

KPP, известен също като PatchGuard, е функция за сигурност, която се намира само в 64-битови версии на Windows. PatchGuard не позволява на софтуера, дори на драйверите, работещи в режим на ядрото, да закърпват ядрото на Windows. Това винаги не се е поддържало, но е технически възможно в 32-битови версии на Windows. Някои 32-битови антивирусни програми са приложили своите мерки за антивирусна защита, използвайки корекции на ядрото.

PatchGuard не позволява на драйверите на устройства да поправят ядрото. Например, PatchGuard не позволява на руткитите да модифицират ядрото на Windows, за да се вградят в операционната система. Ако бъде открит опит за корекция на ядрото, Windows незабавно ще се изключи със син екран или ще се рестартира.

Тази защита може да бъде въведена в 32-битовата версия на Windows, но не е била - вероятно за продължителна съвместимост с наследен 32-битов софтуер, който зависи от този достъп.

Защита на изпълнението на данни

DEP позволява на операционната система да маркира определени области от паметта като неизпълними чрез задаване на NX бит. Области на паметта, които трябва да съхраняват само данни, няма да бъдат изпълними.

Например, в система без DEP, нападателят може да използва някакъв вид препълване на буфер, за да напише код в регион от паметта на приложението. След това този код може да бъде изпълнен. С DEP нападателят може да напише код в регион от паметта на приложението, но този регион ще бъде маркиран като неизпълним и не може да бъде изпълнен, което ще спре атаката.

64-битовите операционни системи имат хардуерно базиран DEP. Въпреки че това се поддържа и в 32-битови версии на Windows, ако имате модерен процесор, настройките по подразбиране са по-строги и DEP винаги е активиран за 64-битови програми, докато е деактивиран по подразбиране за 32-битови програми от съображения за съвместимост.

Диалоговият прозорец за конфигуриране на DEP в Windows е малко подвеждащ. Като Документация на Microsoft състояния, DEP винаги се използва за всички 64-битови процеси:

Настройките за конфигурация на DEP на системата важат само за 32-битови приложения и процеси, когато се изпълняват на 32-битови или 64-битови версии на Windows. При 64-битови версии на Windows, ако е наличен хардуерно наложен DEP, той винаги се прилага към 64-битови процеси и пространства в паметта на ядрото и няма настройки за системна конфигурация, които да го деактивират.

WOW64

64-битовите версии на Windows изпълняват 32-битов софтуер на Windows, но го правят чрез слой за съвместимост, известен като WOW64 (32-битов Windows на 64-битов Windows). Този слой на съвместимост налага някои ограничения върху тези 32-битови програми, което може да попречи на 32-битовия зловреден софтуер да функционира правилно. 32-битовият злонамерен софтуер също няма да може да работи в режим на ядрото - само 64-битовите програми могат да правят това на 64-битова ОС - така че това може да попречи на някои по-стари 32-битови зловреден софтуер да функционират правилно. Например, ако имате стар аудио компактдиск с руткит на Sony върху него, той няма да може да се инсталира на 64-битова версия на Windows.

64-битовите версии на Windows също отказват поддръжка за стари 16-битови програми. В допълнение към предотвратяването на изпълнение на древни 16-битови вируси, това също ще принуди компаниите да надстроят своите древни 16-битови програми, които биха могли да бъдат уязвими и неподправени.

Като се има предвид колко широко разпространени са 64-битовите версии на Windows сега, новият зловреден софтуер вероятно ще може да работи на 64-битов Windows. Липсата на съвместимост обаче може да помогне за защита срещу стар злонамерен софтуер в дивата природа.

Освен ако не използвате скърцащи стари 16-битови програми, древен хардуер, който предлага само 32-битови драйвери, или компютър с доста стар 32-битов процесор, трябва да използвате 64-битовата версия на Windows. Ако не сте сигурни коя версия използвате, но имате модерен компютър с Windows 7 или 8, вероятно използвате 64-битовото издание.

Разбира се, нито една от тези функции за сигурност не е надеждна, а 64-битовата версия на Windows все още е уязвима към злонамерен софтуер. Въпреки това, 64-битовите версии на Windows определено са по-сигурни.

Кредит на изображението: Уилям Хук във Flickr

• › 6 разширени съвета за защита на приложенията на вашия компютър с EMET
• & rsaquo; 3 инструмента, за да накарате хардуера на вашия Mac да работи по-добре в Windows с Boot Camp
• & rsaquo; Трябва да надстроите до 64-битов Chrome. Той е по-сигурен, стабилен и бърз
• & rsaquo; Бързо обезопасете компютъра си с подобрения инструментариум на Microsoft за смекчаване (EMET)
• & rsaquo; 7 начина да защитите своя уеб браузър срещу атаки
• & rsaquo; Защо винаги трябва да инсталирате 64-битов Windows
• & rsaquo; Защо повечето програми все още са 32-битови на 64-битова версия на Windows?
• & rsaquo; Кибер понеделник 2021: Най-добрите технологични сделки