18Aug
Die meisten neuen PCs werden seit Jahren mit der 64-Bit-Version von Windows - sowohl Windows 7 als auch Windows 8 - ausgeliefert. Bei 64-Bit-Bit-Versionen von Windows geht es nicht nur darum, zusätzlichen Speicher zu nutzen. Sie sind auch sicherer als 32-Bit-Versionen.
64-Bit-Betriebssysteme sind nicht immun gegen Malware, aber sie haben mehr Sicherheitsfunktionen. Einige davon gelten auch für 64-Bit-Versionen anderer Betriebssysteme, z. B. Linux. Linux-Benutzer erhalten Sicherheitsvorteile durch den Wechsel zu einer 64-Bit-Version ihrer Linux-Distribution.
Adressraum-Layout-Randomisierung
ASLR ist eine Sicherheitsfunktion, bei der die Datenspeicherorte eines Programms zufällig im Speicher angeordnet werden. Vor ASLR konnten die Datenspeicherorte eines Programms im Speicher vorhersagbar sein, was Angriffe auf ein Programm viel einfacher machte. Mit ASLR muss ein Angreifer den korrekten Speicherort im Speicher erraten, wenn er versucht, eine Sicherheitsanfälligkeit in einem Programm auszunutzen. Eine falsche Schätzung kann zum Absturz des Programms führen, so dass der Angreifer es nicht erneut versuchen kann.
Diese Sicherheitsfunktion wird auch für 32-Bit-Versionen von Windows und anderen Betriebssystemen verwendet, ist jedoch bei 64-Bit-Versionen von Windows wesentlich leistungsfähiger. Ein 64-Bit-System hat einen viel größeren Adressraum als ein 32-Bit-System, was ASLR so viel effektiver macht.
Obligatorische Treibersignierung
Die 64-Bit-Version von Windows erzwingt die obligatorische Treibersignierung. Der gesamte Treibercode auf dem System muss eine digitale Signatur aufweisen. Dazu gehören Kernelmodustreiber-Treiber und Benutzermodustreiber, z. B. Druckertreiber.
Die obligatorische Treibersignierung verhindert, dass unsignierte Treiber, die von Malware bereitgestellt werden, auf dem System ausgeführt werden. Malware-Autoren müssen den Signiervorgang irgendwie durch ein Boot-Root-Rootkit umgehen oder die infizierten Treiber mit einem von einem legitimen Treiberentwickler gestohlenen gültigen Zertifikat signieren. Dies erschwert es infizierten Treibern, auf dem System ausgeführt zu werden.
Treiber-Signierung könnte auch auf 32-Bit-Versionen von Windows durchgesetzt werden, aber es ist nicht wahrscheinlich für die anhaltende Kompatibilität mit alten 32-Bit-Treibern, die möglicherweise nicht signiert wurden.
Um die Treibersignierung während der Entwicklung unter 64-Bit-Editionen von Windows zu deaktivieren, müssten Sie einen Kernel-Debugger anhängen oder eine spezielle Startoption verwenden, die nicht bei Systemneustarts bestehen bleibt.
Kernel-Patch-Schutz
KPP, auch bekannt als PatchGuard, ist eine Sicherheitsfunktion, die nur unter 64-Bit-Versionen von Windows zu finden ist. PatchGuard verhindert, dass Software, selbst Treiber im Kernel-Modus, den Windows-Kernel patchen. Dies wurde immer nicht unterstützt, ist aber technisch bei 32-Bit-Versionen von Windows möglich. Einige 32-Bit-Antivirenprogramme haben ihre Antivirenschutzmaßnahmen mit Kernel-Patching implementiert.
PatchGuard verhindert, dass Gerätetreiber den Kernel patchen. Zum Beispiel verhindert PatchGuard, dass Rootkits den Windows-Kernel so modifizieren, dass er sich selbst in das Betriebssystem einbindet. Wenn ein Kernel-Patch-Versuch erkannt wird, wird Windows sofort mit einem Bluescreen oder einem Neustart heruntergefahren.
Dieser Schutz kann in der 32-Bit-Version von Windows installiert werden, war aber wahrscheinlich nicht für die fortwährende Kompatibilität mit veralteter 32-Bit-Software geeignet, die von diesem Zugriff abhängig ist.
Datenausführungsschutz Mit
DEP kann ein Betriebssystem bestimmte Speicherbereiche durch Setzen eines "NX-Bits" als "nicht ausführbar" markieren. Speicherbereiche, die nur Daten enthalten sollen, sind nicht ausführbar.
Auf einem System ohne DEP könnte ein Angreifer beispielsweise einen Pufferüberlauf verwenden, um Code in einen Bereich des Anwendungsspeichers zu schreiben. Dieser Code könnte dann ausgeführt werden. Mit DEP könnte der Angreifer Code in eine Region des Anwendungsspeichers schreiben - aber diese Region würde als nicht ausführbar markiert und könnte nicht ausgeführt werden, was den Angriff stoppen würde.
64-Bit-Betriebssysteme haben hardwarebasierte DEP.Dies wird zwar auch von 32-Bit-Versionen von Windows unterstützt, wenn Sie über eine moderne CPU verfügen, die Standardeinstellungen sind jedoch strenger und DEP ist immer für 64-Bit-Programme aktiviert, während sie aus Kompatibilitätsgründen standardmäßig für 32-Bit-Programme deaktiviert ist.
Der DEP-Konfigurationsdialog in Windows ist ein bisschen irreführend. Wie die Dokumentation von Microsoft besagt, wird DEP immer für alle 64-Bit-Prozesse verwendet:
"Die System-DEP-Konfigurationseinstellungen gelten nur für 32-Bit-Anwendungen und -Prozesse, wenn sie unter 32-Bit- oder 64-Bit-Versionen von Windows ausgeführt werden. Wenn in den 64-Bit-Versionen von Windows eine durch Hardware erzwungene Datenausführungsverhinderung verfügbar ist, wird sie immer auf 64-Bit-Prozesse und Kernelspeicherbereiche angewendet. Es gibt keine Systemkonfigurationseinstellungen, um sie zu deaktivieren. "
WOW64
64-Bit-Versionen von Windows werden ausgeführt32-Bit-Windows-Software, aber sie tun es durch eine Kompatibilitätsschicht namens WOW64( Windows 32-Bit unter Windows 64-Bit).Diese Kompatibilitätsebene erzwingt einige Einschränkungen für diese 32-Bit-Programme, wodurch 32-Bit-Malware möglicherweise nicht ordnungsgemäß funktioniert.32-Bit-Malware wird auch nicht im Kernel-Modus ausgeführt werden können - nur 64-Bit-Programme können dies auf einem 64-Bit-Betriebssystem tun - dies könnte verhindern, dass ältere 32-Bit-Malware ordnungsgemäß funktioniert. Wenn Sie beispielsweise eine alte Audio-CD mit dem Rootkit von Sony installiert haben, kann sie sich nicht selbst auf einer 64-Bit-Version von Windows installieren.
64-Bit-Versionen von Windows lassen auch die Unterstützung für alte 16-Bit-Programme fallen. Zusätzlich dazu, dass alte 16-Bit-Viren nicht mehr ausgeführt werden können, werden Unternehmen gezwungen, ihre uralten 16-Bit-Programme zu aktualisieren, die anfällig und ungepatcht sein könnten.
Angesichts der Verbreitung von 64-Bit-Versionen von Windows wird neue Malware wahrscheinlich auf 64-Bit-Windows ausgeführt werden können. Der Mangel an Kompatibilität kann jedoch helfen, sich vor alter Malware in freier Wildbahn zu schützen.
Sofern Sie keine knarzenden alten 16-Bit-Programme, alte Hardware, die nur 32-Bit-Treiber bietet, oder einen Computer mit einer ziemlich alten 32-Bit-CPU verwenden, sollten Sie die 64-Bit-Version von Windows verwenden. Wenn Sie nicht sicher sind, welche Version Sie verwenden, aber Sie einen modernen Computer mit Windows 7 oder 8 haben, verwenden Sie wahrscheinlich die 64-Bit-Edition.
Natürlich ist keine dieser Sicherheitsfunktionen kinderleicht, und eine 64-Bit-Version von Windows ist immer noch anfällig für Malware.64-Bit-Versionen von Windows sind jedoch definitiv sicherer.
Bild-Kredit: William Hook auf Flickr