18Aug
Lielākā daļa jauno datoru jau tagad tiek piegādāti kopā ar 64 bitu Windows versiju - gan Windows 7, gan 8.Windows 64 bitu versijas versijas nav tikai papildu atmiņas izmantošana. Viņi arī ir drošāki nekā 32 bitu versijas.
64 bitu operētājsistēmas neaizsargā pret ļaunprātīgu programmatūru, taču tām ir vairāk drošības funkciju. Daļa no tā attiecas arī uz citu operētājsistēmu 64-bitu versijām, piemēram, Linux. Linux lietotāji iegūs drošības priekšrocības, pārejot uz Linux izplatīšanas 64 bitu versiju.
Adresāta telpas izkārtojuma randomizācija
ASLR ir drošības līdzeklis, kas izraisa programmas datu atrašanās vietu nejauši izvēlēto atmiņu. Pirms ASLR programmas atmiņā esošās datu atrašanās vietas var būt paredzamas, kas daudz vienkāršoja uzbrukumus programmai. Ar ASLR uzbrucējam ir jāzina pareizā atrašanās vieta atmiņā, mēģinot izmantot programmu neaizsargātību. Nepareiza uzminācija var izraisīt programmas crashing, tāpēc uzbrucējs vairs nevarēs mēģināt vēlreiz.
Šī drošības funkcija tiek izmantota arī 32 bitu Windows un citu operētājsistēmu versijās, taču tā ir daudz spēcīgāka Windows 64 bitu versijās.64 bitu sistēmai ir daudz lielāka adrešu telpa nekā 32 bitu sistēmai, tādējādi ASLR ir daudz efektīvāka.
Obligātā draivera parakstīšana
Windows 64 bitu versijā tiek ieviesta obligātā draivera parakstīšana. Visam sistēmas draivera kodam jābūt ciparparakstam. Tas ietver kodola režīmu ierīču draiverus un lietotāja režīma draiverus, piemēram, printera draiverus.
Obligātā draivera parakstīšana novērš ļaunprātīgu programmatūru nodrošināto neobligāto draiveru darbību sistēmā.Malware autoriem būs kaut kā apiet parakstīšanas procesu, izmantojot boot-time rootkit, vai arī var parakstīt inficētos draiverus ar derīgu sertifikātu, kas nozagts no likumīgā draivera izstrādātāja. Tas apgrūtina inficēto draiveru darbību sistēmā.
Draivera parakstīšana var tikt izpildīta arī 32 bitu Windows versijās, taču tā nav - visticamāk, lai turpinātu saderību ar vecajiem 32 bitu draiveriem, kas, iespējams, nav parakstīti.
Lai atspējotu draivera parakstīšanu izstrādes laikā 64 bitu Windows izdevumos, jums jāpievieno kodola atkļūdotājs vai jāizmanto īpaša palaišanas opcija, kas nepārtraukti pārslēdzas no sistēmas.
Kernel Patch Protection
KPP, pazīstams arī kā PatchGuard, ir drošības līdzeklis, kas pieejams tikai 64 bitu Windows versijās. PatchGuard novērš programmatūras, pat draiveru darbību kodola režīmā, no Windows kodola ielīmēšanas. Tas vienmēr ir neatbalstīts, taču tas ir tehniski iespējams 32 bitu Windows versijās. Daži 32 bitu antivīrusu programmas ir ieviesušas pretvīrusu aizsardzības pasākumus, izmantojot kodola ielāpi.
PatchGuard novērš ierīces draiverus no kodola ielīmēšanas. Piemēram, PatchGuard neļauj rootkitiem pārveidot Windows kodolu, lai iegultu tos operētājsistēmā.Ja tiek atklāts mēģinājums kodola ielāpus, Windows nekavējoties izslēgsies ar zilu ekrānu vai atsāknēs.
Šī aizsardzība var tikt ieviesta Windows 32 bitu versijā, bet tā nav - visticamāk, pastāvīgai saderībai ar mantoto 32 bitu programmatūru, kas ir atkarīga no šīs piekļuves.
Datu izpildes aizsardzība
DEP ļauj operētājsistēmai atzīmēt noteiktas atmiņas vietas kā "neizpildāmas", nosakot "NX bitu". Atmiņas apgabali, kas domāti tikai datu glabāšanai, nebūs izpildāmi.
Piemēram, sistēmā, kurā nav DEP, uzbrucējs var izmantot sava veida bufera pārpildījumu, lai rakstītu kodu programmas atmiņas apgabalā.Šo kodu pēc tam varētu izpildīt. Izmantojot DEP, uzbrucējs var rakstīt kodu programmas atmiņas apgabalā, taču šis reģions tiks atzīmēts kā neuzpildāms, un to nevar izpildīt, kas apturētu uzbrukumu.
64 bitu operētājsistēmām ir hardware-based DEP.Lai gan tas tiek atbalstīts arī 32 bitu Windows versijās, ja jums ir mūsdienīgs CPU, noklusējuma iestatījumi ir stingrāki, un DEP vienmēr ir iespējots 64 bitu programmām, savukārt 32 bitu programmām tas pēc noklusējuma ir atspējots saderības dēļ.
DEP konfigurācijas dialogs sistēmā Windows ir nedaudz maldinošs. Kā norādīts Microsoft dokumentācijā, DEP vienmēr tiek izmantots visiem 64 bitu procesiem:
"Sistēmas DEP konfigurācijas iestatījumi attiecas tikai uz 32 bitu lietojumprogrammām un procesiem, kad darbojas 32 bitu vai 64 bitu Windows versijās. Windows 64 bitu versijās, ja ir pieejams ar aparatūru saistīts DEP, tas vienmēr tiek piemērots 64 bitu procesiem un kodola atmiņas laukiem, un to nevar atspējot, izmantojot sistēmas konfigurācijas iestatījumus. "
WOW64
64 bitu Windows versijas darbojas32 bitu Windows programmatūra, bet viņi to dara, izmantojot saderības slāni, kas pazīstams kā WOW64( Windows 32 bitu Windows 64 bitu versijā).Šis saderības līmenis nodrošina šīm 32 bitu programmām dažus ierobežojumus, kas var novērst 32 bitu ļaunprogrammatūras pareizu darbību.32 bitu ļaunprogrammatūra arī nevarēs darboties kodola režīmā - tikai 64 bitu programmas to var darīt 64 bitu operētājsistēmā, tādēļ vecāka 32 bitu ļaunprogrammatūra var nedarboties pareizi. Piemēram, ja jums ir vecs audio kompaktdisks ar Sony rootkit, tas nevarēs instalēt 64 bitu Windows versijā.
64 bitu Windows versijas arī samazina atbalstu vecajām 16 bitu programmām. Papildus tam, ka vecie 16-bitu vīrusi netiek izpildīti, tas arī piespiest uzņēmumus uzlabot savas senās 16 bitu programmas, kuras varētu būt neaizsargātas un neatgriezeniskas.
Ņemot vērā to, cik plaši izplatītas ir 64 bitu Windows versijas, jaunā ļaunprogramma, visticamāk, varēs darboties 64 bitu Windows sistēmā.Tomēr saderības trūkums var palīdzēt aizsargāt pret veco ļaunprātīgo programmatūru savvaļā.
Ja neizmantojat biezas vecās 16 bitu programmas, sena aparatūra, kas piedāvā tikai 32 bitu draiverus, vai dators ar diezgan veco 32 bitu CPU, jums vajadzētu izmantot 64 bitu Windows versiju. Ja neesat pārliecināts par to, kuru versiju izmantojat, bet jums ir moderns dators ar operētājsistēmu Windows 7 vai 8, iespējams, ka izmantojat 64 bitu izdevumu.
Protams, neviena no šīm drošības funkcijām nav droša un 64 bitu Windows versija joprojām ir neaizsargāta pret ļaunprātīgu programmatūru. Tomēr 64 bitu Windows versijas noteikti ir drošākas.
attēla kredīts: William Hook par Flickr