18Aug
Useimmat uudet tietokoneet ovat lähettäneet 64-bittisen Windows-version - sekä Windows 7: n että 8: n - jo vuosia. Windowsin 64-bittiset versiot eivät koske vain lisäominaisuuksien hyödyntämistä.Ne ovat myös varmempia kuin 32-bittiset versiot.64-bittiset
-käyttöjärjestelmät eivät ole immuuneja haittaohjelmiin, mutta niillä on enemmän suojausominaisuuksia. Osa tästä koskee myös muiden käyttöjärjestelmien 64-bittisiä versioita, kuten Linuxia. Linux-käyttäjät saavat turvallisuushyödyt siirtymällä Linux-jakelunsa 64-bittiseen versioon.
Osoite Space Layout Randomisaatio
ASLR on tietoturvaominaisuus, joka aiheuttaa ohjelman tietojen sijainnin satunnaisesti muistiin. Ennen ASLR: ia ohjelmiston muistipaikkojen sijaintipaikat voisivat olla ennustettavissa, mikä teki hyökkäykset ohjelmaan paljon helpommaksi. ASLR: n avulla hyökkääjän on arvailla oikea sijainti muistissa yrittäessään hyödyntää ohjelman haavoittuvuutta. Virheellinen arvaus voi johtaa ohjelman kaatumiseen, joten hyökkääjä ei voi yrittää uudelleen.
Tätä suojausominaisuutta käytetään myös Windowsin ja muiden käyttöjärjestelmien 32-bittisissä versioissa, mutta se on paljon tehokkaampi 64-bittisissä Windows-versioissa.64-bittisessä järjestelmässä on paljon suurempi osoiteavaruus kuin 32-bittinen järjestelmä, joten ASLR on paljon tehokkaampi.
Pakollinen ohjaimen allekirjoitus
Windowsin 64-bittinen versio pakottaa pakollisen ohjaimen allekirjoituksen. Kaikissa järjestelmän ohjainkoodissa on oltava digitaalinen allekirjoitus. Tämä sisältää kernel-mode-laitteiden ohjaimet ja käyttäjäkohtaiset ohjaimet, kuten tulostinohjaimet.
Pakollinen kuljettajan allekirjoitus estää haittaohjelmien toimittamat allekirjoittamattomat ohjaimet käyttämästä järjestelmää.Haittaohjelmien kirjoittajien on jollakin tavalla ohitettava allekirjoitusprosessi käynnistystyökalun avulla tai kirjauduttava tartunnan saaneisiin ohjaimiin pätevällä varmenteella, joka on varastettu oikeutetulta ohjaimen kehittäjältä.Tämä vaikeuttaa tartunnan saaneiden ohjainten toimintaa järjestelmässä.
Ohjaajien allekirjoitusta voidaan myös noudattaa 32-bittisissä Windows-versioissa, mutta se ei ole - todennäköisesti jatkuva yhteensopivuus vanhojen 32-bittisten ohjainten kanssa, joita ei ehkä ole allekirjoitettu.
Jos haluat poistaa kuljettajan allekirjoituksen käytön 64-bittisten Windows-versioiden aikana, sinun on liitettävä ytimen virheenkorjauslaite tai käytä erityistä käynnistysvaihtoehtoa, joka ei poistu järjestelmän uudelleenkäynnistämisestä.
Kernel-suojauksen suojaus
KPP, joka tunnetaan myös nimellä PatchGuard, on vain 64-bittisissä Windows-versioissa oleva suojausominaisuus. PatchGuard estää ohjelmiston, jopa kernel-tilassa toimivat ajurit, Windows-ytimen korjaamisesta. Tämä on aina ollut tukematon, mutta se on teknisesti mahdollista 32-bittisissä Windows-versioissa. Jotkut 32-bittiset virustentorjuntaohjelmat ovat toteuttaneet virustentorjuntatoimenpiteet ytimen korjaamisella.
PatchGuard estää laitevalmistajia korjaamasta ydintä.Esimerkiksi PatchGuard estää rootkit-ohjelmia muokkaamasta Windows-ytimestä itselleen käyttöjärjestelmään. Jos ytimen korjausyritys havaitaan, Windows sulkeutuu välittömästi sinisellä näytöllä tai uudelleenkäynnistyksellä.
Tämä suojaus voidaan ottaa käyttöön 32-bittisessä Windows-versiossa, mutta se ei ole - todennäköisesti jatkuva yhteensopivuus vanhan 32-bittisen ohjelmiston kanssa, joka riippuu tästä käyttöoikeudesta.
Tietojen suorittamisen suojaus
DEP sallii käyttöjärjestelmän merkitä tietyt muistialueet "ei-suoritettaviksi" asettamalla "NX-bitin". Muistin alueet, joiden pitäisi säilyttää vain tietoja, eivät ole suoritettavia.
Esimerkiksi järjestelmässä, jossa ei ole DEP: tä, hyökkääjä voi käyttää jonkinlaista puskurin ylivuotoa koodin kirjoittamiseen sovelluksen muistin alueelle. Tämä koodi voitaisiin sitten suorittaa. DEP: n avulla hyökkääjä voi kirjoittaa koodin sovelluksen muistin alueelle - mutta tämä alue olisi merkitty ei-suoritettavaksi eikä sitä voitu suorittaa, mikä estäisi hyökkäyksen.
64-bittisissä käyttöjärjestelmissä on laitteistopohjainen DEP.Vaikka tämä on tuettu myös 32-bittisissä Windows-versioissa, jos sinulla on moderni keskusyksikkö, oletusasetukset ovat tiukemmat ja DEP on aina käytössä 64-bittisille ohjelmille, mutta se on oletusarvoisesti pois käytöstä 32-bittisille ohjelmille yhteensopivuusongelmista.
Windowsin DEP-määritysikkuna on hieman harhaanjohtava. Microsoftin dokumentaation mukaan DEP: tä käytetään aina kaikissa 64-bittisissä prosesseissa:
"Järjestelmän DEP-kokoonpanoasetukset koskevat vain 32-bittisiä sovelluksia ja prosesseja, kun niitä käytetään 32-bittisissä tai 64-bittisissä Windows-versioissa. Windowsin 64-bittisissä versioissa, jos laitteistokäyttöinen DEP on käytettävissä, sitä sovelletaan aina 64-bittisiin prosesseihin ja ytimen muistitiloihin, eikä järjestelmän kokoonpanoasetuksia ole, jotta se voidaan poistaa käytöstä. "
WOW64
Windowsin 64-bittiset versiot32-bittinen Windows-ohjelmisto, mutta ne tehdään yhteensopivuustasolla WOW64( Windows 32-bit Windows 64-bit).Tämä yhteensopivuustaso pakottaa joitain rajoituksia näihin 32-bittisiin ohjelmiin, mikä voi estää 32-bittisen haittaohjelmat toimivan kunnolla.32-bittinen haittaohjelma ei myöskään pysty suorittamaan ytimen tilassa - vain 64-bittiset ohjelmat voivat tehdä sen 64-bittisellä käyttöjärjestelmällä - joten tämä voi estää joidenkin vanhempien 32-bittisten haittaohjelmien toimimasta oikein. Jos sinulla on esimerkiksi vanha ääni-CD, jossa on Sony-rootkit, se ei pysty asentamaan itsensä 64-bittiseen Windows-versioon.
64-bittiset Windows-versiot myös pudota tukea vanhoille 16-bittisille ohjelmille. Sen lisäksi, että estetään muinaisten 16-bittisten virusten suorittaminen, se pakottaa yritykset myös päivittämään muinaisia 16-bittisiä ohjelmiaan, jotka voivat olla haavoittuvia ja epäsuorittuja.
Kun otetaan huomioon, kuinka laajat 64-bittiset Windows-versiot ovat nyt, uusi haittaohjelma todennäköisesti pystyy toimimaan 64-bittisissä Windows-käyttöjärjestelmissä.Yhteensopivuuden puute voi kuitenkin auttaa suojaamaan vanhoja haittaohjelmia luonnossa.
Ellei käytä räikeitä vanhempia 16-bittisiä ohjelmia, muinaisia laitteita, jotka tarjoavat vain 32-bittisiä ajureita tai tietokonetta, jossa on melko vanha 32-bittinen suoritin, käytä 64-bittistä Windows-versiota. Jos et ole varma, mitä versiota käytät, mutta sinulla on moderni tietokone, jossa on Windows 7 tai 8, käytät todennäköisesti 64-bittistä versiota.
Tietenkään mikään näistä suojausominaisuuksista ei ole helppoa, ja 64-bittinen Windows-versio on edelleen haavoittuvainen. Kuitenkin 64-bittiset Windows-versiot ovat varmasti varmempia.
Kuva-arvo: William Hook on Flickr