18Aug
A legtöbb új számítógép a Windows 64-bites verziójával - mind a Windows 7, mind a 8 - már évek óta szállít. A Windows 64 bites verziói nem csak a további memória kihasználásáról szólnak. Biztonságosabbak is, mint a 32 bites verziók. Az
64 bites operációs rendszerek nem védettek a rosszindulatú programokkal, de több biztonsági funkcióval rendelkeznek. Némelyikük más operációs rendszerek 64 bites verziójára is vonatkozik, mint például a Linux. A Linux felhasználók biztonságot nyerhetnek a Linux disztribúció 64 bites verziójára való áttéréssel.
Cím Térbeli elrendezés Véletlenszerű
Az ASLR olyan biztonsági funkció, amely a program adatait helyileg véletlenszerűen elrendezi a memóriában. Az ASLR előtt a program adatait a memóriában lehet kiszámíthatóvá tenni, ami sokkal könnyebbé tette a támadást a programra. Az ASLR segítségével a támadónak meg kell találnia a megfelelő helyet a memóriában, amikor egy program sebezhetőségét próbálja kihasználni. A helytelen találgatás azt eredményezheti, hogy a program összeomlik, így a támadó nem lesz képes újra megpróbálni.
Ez a biztonsági szolgáltatás a Windows és más operációs rendszerek 32 bites verzióin is használható, de sokkal hatékonyabb a 64 bites Windows verziókon. A 64 bites rendszer sokkal nagyobb címterülettel rendelkezik, mint egy 32 bites rendszer, így az ASLR sokkal hatékonyabb.
Kötelező illesztőprogram-aláírás
A Windows 64 bites verziója érvényben tartja a kötelező illesztőprogramok aláírását. A rendszer összes illesztőprogram-kódjának digitális aláírással kell rendelkeznie. Ez magában foglalja a kernel módú eszközök illesztőprogramjait és a felhasználói módú illesztőprogramokat, például a nyomtató-illesztőprogramokat.
A kötelező illesztőprogram aláírása megakadályozza a rosszindulatú programok által a rendszeren futó, aláírás nélküli illesztőprogramokat. A rosszindulatú szerzőknek valahogy meg kell szüntetniük az aláírási folyamatot egy rendszerindító rootkiten keresztül, vagy kezelniük kell a fertőzött illesztőprogramokat egy érvényes jogosítvánnyal, amelyet elloptak egy jogos vezető fejlesztő.Ez megnehezíti a fertőzött illesztőprogramok futtatását a rendszeren.
Az illesztőprogram aláírása végrehajtható a 32 bites Windows verziókon is, de nem valószínű, hogy továbbra is kompatibilis a régi 32 bites illesztőprogramokkal, amelyek esetleg nem íródtak alá.
A 64 bites Windows kiadások fejlesztése során a meghajtó aláírásának letiltásához be kell csatolnia egy rendszermag-hibakeresőt, vagy olyan speciális indítási lehetőséget kell használnia, amely nem áll fenn a rendszer újraindításakor.
Kernel Patch Protection
KPP, más néven PatchGuard, biztonsági funkció csak a 64 bites Windows verziókon található.A PatchGuard megakadályozza a szoftvert, még a rendszermagban futó illesztőprogramokat is, hogy a Windows rendszermagot feltörjék. Ez mindig nem támogatott, de technikailag lehetséges a 32 bites Windows verziókon. Néhány 32 bites víruskereső program végrehajtotta a vírusvédelmi intézkedéseket a rendszermag javításával.
A PatchGuard megakadályozza, hogy az illesztőprogramok kijavítsák a rendszermagot. Például a PatchGuard megakadályozza, hogy a rootkitek módosítsák a Windows rendszermagot az operációs rendszerbe. Ha a kernel javításra tett kísérletet észlel, a Windows azonnal leáll, kék képernyővel vagy újraindítással.
Ez a védelem a Windows 32 bites verzióján telepíthető, de nem valószínű, hogy továbbra is kompatibilis a korábbi 32 bites szoftverrel, amely e hozzáféréstől függ.
Az adatvégrehajtás védelme Az
DEP lehetővé teszi egy operációs rendszer számára, hogy bizonyos területeket "nem végrehajtható" memóriaként jelöljön ki az "NX bit" beállításával. Az olyan memóriaterületek, amelyek csak adatokat tárolnak, nem végrehajthatók.
Például egy DEP nélküli rendszer esetén a támadó valamilyen puffer túlcsordulást használhat arra, hogy kódot írjon egy alkalmazás memóriájának egy régiójába. Ezt a kódot végre lehet hajtani. A DEP-vel a támadó kódot írhat az alkalmazás memóriájának egy régiójára - de ez a régió nem végrehajtható, és nem hajtható végre, ami megakadályozná a támadást. Az
64 bites operációs rendszerek hardveralapú DEP-vel rendelkeznek. Bár ezt a 32 bites Windows verziókon is támogatja, ha van modern CPU-ja, az alapértelmezett beállítások szigorúbbak és a DEP mindig engedélyezve van a 64 bites programok esetében, míg a 32 bites programok kompatibilitási okok miatt alapértelmezés szerint letiltva.
A DEP konfigurációs párbeszédablak egy kicsit félrevezető.A Microsoft dokumentációjában a DEP mindig használatos az összes 64 bites folyamathoz:
"A rendszer DEP konfigurációs beállításai csak 32 bites alkalmazásokra és folyamatokra vonatkoznak, ha a Windows 32 vagy 64 bites verziói futnak. A 64 bites Windows verziókon, ha a hardveres végrehajtású DEP elérhető, mindig a 64 bites folyamatokra és a rendszermag memóriaterületekre vonatkozik, és nincsenek rendszerkonfigurációs beállítások, amelyek letiltják. "
WOW64
A 64 bites Windows-futtatások32 bites Windows-szoftvert, de egy WOW64 néven ismert kompatibilitási réteggel( Windows 32 bites Windows 64-bites verziójával).Ez a kompatibilitási réteg korlátozza ezeket a 32 bites programokat, amelyek meggátolhatják a 32 bites rosszindulatú programok megfelelő működését. A 32 bites rosszindulatú programok szintén nem működnek kernel módban - csak 64 bites programok képesek 64 bites operációs rendszeren - így ez megakadályozhatja a régebbi 32 bites rosszindulatú programok megfelelő működését. Például, ha van egy régi audio CD, amelyen a Sony rootkit van, nem lesz képes telepíteni magát a Windows 64 bites verziójára.
A Windows 64 bites verziója a régi 16 bites programok támogatását is csökkenti. Amellett, hogy megakadályozza az ősi 16 bites vírusok végrehajtását, ez arra is kényszeríti a vállalatokat, hogy frissítsék régi, 16 bites programjaikat, amelyek kiszolgáltatottak és ki nem hajlottak.
Tekintve, hogy a Windows 64-bites verzióinak mennyire széles körben elterjedtek, az új malware valószínűleg 64 bites Windows rendszeren fut. Azonban a kompatibilitás hiánya segíthet megvédeni a régi rosszindulatú programokat a vadonban.
Ha nem használja a régi, 16 bites programokat, az olyan régi hardvert, amely csak 32 bites illesztőprogramokat kínál, vagy egy meglehetősen régi 32 bites CPU-t, akkor a 64 bites Windows verziót kell használnia. Ha nem biztos abban, hogy melyik verziót használja, de van egy modern Windows 7 vagy 8 operációs rendszert futtató számítógép, valószínűleg a 64 bites verziót használja.
Természetesen ezeknek a biztonsági funkcióknak semmi sem biztonságos, és a 64 bites Windows változat még mindig sérülékeny a rosszindulatú programokkal szemben. A Windows 64 bites verziója azonban biztonságosabb.
képarány: William Hook a Flickr
-n