Miksi 64-bittinen Windows-versio on turvallisempi
Useimmat uudet tietokoneet ovat toimineet Windows 64-bittisellä versiolla - sekä Windows 7 että 8 - jo vuosia. 64-bittiset Windows-versiot eivät ole vain lisämuistin hyödyntämistä. He ovat myös turvallisempia kuin 32-bittiset versiot.
64-bittiset käyttöjärjestelmät eivät ole immuuneja haittaohjelmille, mutta niillä on enemmän suojausominaisuuksia. Osa tästä koskee myös muiden käyttöjärjestelmien 64-bittisiä versioita, kuten Linuxia. Linux-käyttäjät saavat tietoturvaetuja siirtymällä 64-bittiseen Linux-jakelun versioon.
Osoiterivin asettelu Randomointi
ASLR on tietoturvaominaisuus, joka aiheuttaa ohjelman datapaikkojen satunnaisjärjestyksen muistiin. Ennen ASLR: ää, muistin muistipaikkojen datapaikat voisivat olla ennustettavissa, mikä sai ohjelmien hyökkäykset paljon helpommaksi. ASLR: n avulla hyökkääjän on arvattava oikea sijainti muistissa, kun se yrittää hyödyntää ohjelman haavoittuvuutta. Väärä arvaus voi johtaa ohjelman kaatumiseen, joten hyökkääjä ei voi yrittää uudelleen.
Tätä suojaustoimintoa käytetään myös 32-bittisissä Windows- ja muiden käyttöjärjestelmien versioissa, mutta se on paljon tehokkaampi 64-bittisissä Windows-versioissa. 64-bittisellä järjestelmällä on paljon suurempi osoitetila kuin 32-bittisellä järjestelmällä, mikä tekee ASLR: stä paljon tehokkaamman.
Pakollinen kuljettajan allekirjoitus
Windows 64-bittinen versio pakottaa pakollisen ohjaimen allekirjoittamisen. Kaikissa järjestelmässä olevissa kuljettajan koodissa on oltava digitaalinen allekirjoitus. Tämä sisältää ytimen tilan laitteiden ohjaimet ja käyttäjä-tilan ohjaimet, kuten tulostinohjaimet.
Pakollinen kuljettajan allekirjoitus estää haittaohjelmien antamat allekirjoittamattomat ohjaimet käynnissä järjestelmässä. Haittaohjelmien tekijät joutuvat jotenkin ohittamaan allekirjoitusprosessin käynnistysajan rootkitin kautta tai hallitsemaan tartunnan saaneiden ohjainten allekirjoittamisen kelvollisella varmentajalla varastetulla varmenteella. Tämä vaikeuttaa tartunnan saaneiden kuljettajien suorittamista järjestelmässä.
Kuljettajan allekirjoittamista voitaisiin myös panna täytäntöön 32-bittisissä Windows-versioissa, mutta se ei todennäköisesti ole yhteensopiva vanhojen 32-bittisten ajurien kanssa, joita ei ehkä ole allekirjoitettu.
Jos haluat poistaa ohjaimen allekirjoittamisen käytöstä Windows-käyttöjärjestelmän 64-bittisissä versioissa, sinun on liitettävä ytimen virheenkorjain tai käytettävä erityistä käynnistysvaihtoehtoa, joka ei jatku järjestelmän uudelleen käynnistyessä.
Kernel Patch Protection
KPP, joka tunnetaan myös nimellä PatchGuard, on suojausominaisuus, joka löytyy vain 64-bittisistä Windows-versioista. PatchGuard estää ohjelmistojen, jopa ytimen tilassa toimivien ajurien, korjaamisen Windows-ytimelle. Tämä on aina ollut tukematon, mutta se on teknisesti mahdollista 32-bittisissä Windows-versioissa. Jotkin 32-bittiset virustentorjuntaohjelmat ovat toteuttaneet virustentorjuntatoimenpiteensä ytimen korjauksen avulla.
PatchGuard estää laiteajureita korjaamasta ytimen. Esimerkiksi PatchGuard estää rootkit-ohjelmien muuttamisen Windowsin ytimessä upottamaan itsensä käyttöjärjestelmään. Jos ytimen korjausyritys havaitaan, Windows sammuu välittömästi sinisen näytön avulla tai käynnistyy uudelleen.
Tämä suojaus voitaisiin ottaa käyttöön Windows-32-bittisessä versiossa, mutta se ei ole ollut - todennäköisesti jatkuva yhteensopivuus vanhojen 32-bittisten ohjelmistojen kanssa, jotka riippuvat tästä käyttöoikeudesta.
Tietojen suorittamisen suojaus
DEP sallii käyttöjärjestelmän merkitä tietyt muistialueet "ei-suoritettaviksi" asettamalla "NX-bitin". Muistia, joiden oletetaan pitävän tietoja vain, ei voida suorittaa.
Esimerkiksi järjestelmässä, jossa ei ole DEP: tä, hyökkääjä voi käyttää jonkinlaista puskurin ylivuotoa koodin kirjoittamiseksi sovelluksen muistin alueelle. Tämä koodi voidaan sitten suorittaa. DEP: n avulla hyökkääjä voi kirjoittaa koodin sovelluksen muistin alueelle - mutta tämä alue olisi merkitty ei-suoritettavaksi ja sitä ei voitu suorittaa, mikä estäisi hyökkäyksen.
64-bittisissä käyttöjärjestelmissä on laitteistopohjainen DEP. Vaikka tämä on tuettu myös 32-bittisissä Windows-versioissa, jos sinulla on nykyaikainen keskusyksikkö, oletusasetukset ovat tiukempia ja DEP on aina käytössä 64-bittisissä ohjelmissa, kun taas se on poistettu oletusarvoisesti 32-bittisistä ohjelmista yhteensopivuussyistä.
DEP-määritysikkuna Windowsissa on hieman harhaanjohtava. Microsoftin dokumentoinnin mukaan DEP: tä käytetään aina kaikissa 64-bittisissä prosesseissa:
”Järjestelmän DEP-kokoonpanoasetukset koskevat vain 32-bittisiä sovelluksia ja prosesseja, kun käytössä on 32-bittinen tai 64-bittinen Windows-versio. Jos Windows on 64-bittisissä versioissa, jos laitteistovahvistettu DEP on käytettävissä, sitä sovelletaan aina 64-bittisiin prosesseihin ja ytimen muistitiloihin, eikä järjestelmän asetuksia ole poistettu käytöstä. "
wow64
Windows 64-bittiset versiot käyttävät 32-bittistä Windows-ohjelmistoa, mutta ne toimivat WOW64: n (Windows 64-bittinen Windows 32-bittinen) yhteensopivuuskerroksen kautta. Tämä yhteensopivuuskerros pakottaa tiettyjä rajoituksia näille 32-bittisille ohjelmille, mikä saattaa estää 32-bittisen haittaohjelman moitteettoman toiminnan. 32-bittiset haittaohjelmat eivät myöskään toimi kernel-tilassa - vain 64-bittiset ohjelmat voivat tehdä sen 64-bittisessä käyttöjärjestelmässä, joten tämä voi estää joidenkin vanhempien 32-bittisten haittaohjelmien toimivuuden. Jos sinulla on esimerkiksi vanha audio-CD, jossa on Sony rootkit, se ei voi asentaa itseään 64-bittiseen Windows-versioon.
Windowsin 64-bittiset versiot myös pudottavat tukea vanhoille 16-bittisille ohjelmille. Sen lisäksi, että estetään antiikin 16-bittisten virusten suorittaminen, tämä pakottaa yritykset myös päivittämään vanhat 16-bittiset ohjelmansa, jotka saattavat olla haavoittuvia ja unpatched.
Kun otetaan huomioon, kuinka yleisiä 64-bittisiä Windows-versioita on nyt, uusi haittaohjelma pystyy todennäköisesti toimimaan 64-bittisessä Windowsissa. Yhteensopivuuden puute voi kuitenkin suojella vanhoja haittaohjelmia vastaan.
Ellei käytetä vanhoja 16-bittisiä ohjelmia, vanhoja laitteita, jotka tarjoavat vain 32-bittisiä ajureita, tai tietokonetta, jossa on melko vanha 32-bittinen CPU, sinun pitäisi käyttää Windowsin 64-bittistä versiota. Jos et ole varma, mitä versiota käytät, mutta sinulla on nykyaikainen tietokone, jossa on Windows 7 tai 8, käytät todennäköisesti 64-bittistä versiota.
Yksikään näistä suojausominaisuuksista ei tietenkään ole luotettavaa, ja 64-bittinen Windows-versio on edelleen haavoittuvainen haittaohjelmille. Windowsin 64-bittiset versiot ovat kuitenkin varmasti turvallisempia.
Kuvaluotto: William Hook Flickrissä