Повечето нови компютри се доставят с 64-битовитеверсия на Windows - и Windows 7 и 8 - вече години наред. 64-битовите версии на Windows не се отнасят само до използване на допълнителна памет. Освен това те са по-сигурни от 32-битовите версии.
64-битовите операционни системи не са имунизирани срещузлонамерен софтуер, но те имат повече функции за защита. Част от това се отнася и за 64-битови версии на други операционни системи, като Linux. Потребителите на Linux ще получат предимства в сигурността, преминавайки към 64-битова версия на тяхната Linux дистрибуция.
Рандомизация на оформлението на пространството за адреси
ASLR е защитна функция, която причиняваместата на данните на програмата, които да бъдат подредени произволно в паметта. Преди ASLR, местоположенията на данни на програмата в паметта могат да бъдат предсказуеми, което значително атакува атаките срещу програмата. С ASLR атакуващият трябва да отгатне правилното местоположение в паметта, когато се опитва да използва уязвимост в дадена програма. Неправилно предположение може да доведе до срив на програмата, така че нападателят няма да може да опита отново.
Тази функция за защита се използва и при 32-битовиверсии на Windows и други операционни системи, но това е много по-мощно в 64-битовите версии на Windows. 64-битовата система има много по-голямо адресно пространство от 32-битовата система, което прави ASLR толкова по-ефективен.
Задължително подписване на водача
64-битова версия на Windows следи за спазването на задължителенподписване на водача. Всички шофьор код на системата трябва да има електронен подпис. Това включва драйвери на устройства в режим на ядро и драйвери в потребителски режим, като драйвери за принтери.
Задължително шофьор подписване предотвратява неподписандрайвери, предоставени от зловреден софтуер от стартиране на системата. Авторите на зловреден софтуер ще трябва по някакъв начин да заобиколят процеса на подписване чрез rootkit за зареждане или да успеят да подпишат заразените драйвери с валиден сертификат, откраднат от легитимен разработчик на драйвери. Това затруднява заразените драйвери да работят по системата.
Подписването на драйвери може да бъде наложено и в 32-битови версии на Windows, но това не е вероятно за продължаване на съвместимостта със стари 32-битови драйвери, които може да не са подписани.
За да деактивирате подписването на драйвери по време на разработка в 64-битни издания на Windows, трябва да прикачите отстраняване на грешки в ядрото или да използвате специална опция за стартиране, която не се запазва при системни рестартирания.
Защита на ядрото на ядрото
KPP, известен също като PatchGuard, е ценна книгафункция се намира само в 64-битови версии на Windows. PatchGuard не позволява на софтуера, дори драйвери, работещи в режим на ядро, да закърпи ядрото на Windows. Това винаги е било не се поддържа, но това е технически възможно, на 32-битовите версии на Windows. Някои 32-битови антивирусни програми са приложили своите антивирусни защитни мерки, използващи ядрото кръпка.
PatchGuard предотвратява драйвери на устройства от закърпванеядрото. Например, PatchGuard не позволява rootkits да променят ядрото на Windows, за да се вграждат в операционната система. Ако се открие опит за ядрото закърпване, Windows веднага ще се изключи със син екран или рестартиране.
Тази защита може да бъде поставена на 32-битната версия на Windows, но не е - вероятно за продължаване на съвместимостта с наследения 32-битов софтуер, който зависи от този достъп.
Защита от изпълнение на данни
DEP позволява на операционна система да маркира определени области от паметта като „неизпълними“, като задава „NX бит“. Областите на паметта, които трябва да съдържат само данни, няма да бъдат изпълними.
Например на система без DEP, нападателможе да се използва някакъв вид препълване на буфера да пишат код в регион на паметта на приложението. След това този код може да бъде изпълнен. С DEP атакуващият може да запише код в регион на паметта на приложението - но този регион ще бъде маркиран като неизпълним и не може да бъде изпълнен, което ще спре атаката.
64-битовите операционни системи имат базиран на хардуер DEP. Въпреки че това се поддържа и в 32-битови версии на Windows, ако имате съвременен процесор, настройките по подразбиране са по-строги и DEP винаги е активиран за 64-битови програми, докато е деактивиран по подразбиране за 32-битови програми поради причини за съвместимост.
Диалогът за конфигуриране на DEP в Windows е малко подвеждащ. Както се казва в документацията на Microsoft, DEP винаги се използва за всички 64-битови процеси:
„Настройките за конфигуриране на DEP на системата важат само за32-битови приложения и процеси при работа в 32-битова или 64-битова версия на Windows. В 64-битови версии на Windows, ако е наличен хардуерно DEP, той винаги се прилага към 64-битови процеси и пространства в паметта на ядрото и няма системни настройки за конфигуриране, за да го деактивирате. "
WOW64
64-битовите версии на Windows работят с 32-битов Windowsсофтуер, но го правят чрез слой за съвместимост, известен като WOW64 (Windows 32-битов на Windows 64-битов). Този слой за съвместимост налага някои ограничения за тези 32-битови програми, които могат да попречат на 32-битовия зловреден софтуер да функционира правилно. 32-битовият зловреден софтуер също няма да може да работи в режим на ядрото - само 64-битови програми могат да го правят в 64-битова ОС - така това може да попречи на някои по-стари 32-битови зловредни програми да функционират правилно. Например, ако имате стар аудио компактдиск със rootkit на Sony, той няма да може да се инсталира в 64-битова версия на Windows.
64-битовите версии на Windows също отказват поддръжка застари 16-битови програми. Освен че ще попречи на старите 16-битови вируси да се изпълняват, това също ще принуди компаниите да надграждат старинните си 16-битови програми, които биха могли да бъдат уязвими и неподправени.
Имайки предвид колко широко разпространени 64-битови версии на Windowsсега, новият зловреден софтуер вероятно ще може да работи на 64-битов Windows. Липсата на съвместимост обаче може да помогне за защита от стар злонамерен софтуер в природата.
Освен ако не използвате скърцащи стари 16-битови програми,древен хардуер, който предлага само 32-битови драйвери или компютър с доста стар 32-битов процесор, трябва да използвате 64-битната версия на Windows. Ако не сте сигурни коя версия използвате, но имате модерен компютър с Windows 7 или 8, вероятно ще използвате 64-битовото издание.
Разбира се, нито една от тези функции за защита не е надеждна и 64-битова версия на Windows все още е уязвима за злонамерен софтуер. 64-битовите версии на Windows обаче определено са по-сигурни.
Кредитна снимка: Уилям Хук на Flickr
