Начална » как да » Защо 64-битовата версия на Windows е по-сигурна

    Защо 64-битовата версия на Windows е по-сигурна

    Повечето нови компютри вече доставят 64-битовата версия на Windows - Windows 7 и 8 - от години. 64-битните битови версии на Windows не са само за да се възползват от допълнителната памет. Те също са по-сигурни от 32-битови версии.

    64-битовите операционни системи не са имунизирани срещу зловреден софтуер, но имат повече защитни функции. Част от това важи и за 64-битови версии на други операционни системи, като Linux. Потребителите на Linux ще получат предимства за сигурността, като преминат към 64-битова версия на своята дистрибуция на Linux.

    Рандомизиране на оформлението на адресното пространство

    ASLR е защитна функция, която причинява местонахождението на данни на програмата да бъде случайно подредени в паметта. Преди ASLR, местата за данни на програмата в паметта могат да бъдат предсказуеми, което прави атаките върху програмата много по-лесни. С ASLR, нападателят трябва да познае правилното място в паметта, когато се опитва да използва уязвимост в програмата. Неправилното предположение може да доведе до срив на програмата, така че нападателят няма да може да опита отново.

    Тази функция за сигурност се използва и при 32-битови версии на Windows и други операционни системи, но е много по-мощна в 64-битовите версии на Windows. 64-битовата система има много по-голямо адресно пространство от 32-битова система, което прави ASLR много по-ефективна.

    Задължително регистриране на водача

    64-битовата версия на Windows налага задължително подписване на драйвери. Всеки код на водача в системата трябва да има цифров подпис. Това включва драйвери за устройствата в ядровия режим и драйвери за потребителски режим, като драйвери за принтери.

    Задължителното подписване на драйвери предотвратява работата на неподписани драйвери, предоставени от злонамерен софтуер, в системата. Авторите на злонамерен софтуер ще трябва по някакъв начин да заобиколят процеса на подписване чрез rootkit за първоначално зареждане или да успеят да подпишат заразените драйвери с валиден сертификат, откраднат от законен разработчик на драйвер. Това затруднява работата на заразените драйвери в системата.

    Подписването на драйвери може да се прилага и за 32-битови версии на Windows, но това не е така - вероятно ще продължи да бъде съвместима със старите 32-битови драйвери, които може да не са подписани.

    За да деактивирате подписването на драйвери по време на разработката на 64-битови издания на Windows, трябва да прикачите дебъгер на ядрото или да използвате специална опция за стартиране, която не се запазва в рестартирането на системата.

    Защита на кръпка от ядрото

    KPP, известен още като PatchGuard, е защитна функция, която се намира само в 64-битовите версии на Windows. PatchGuard не позволява на софтуер, дори драйверите, работещи в режим на ядрото, да закърпи ядрото на Windows. Това винаги е било неподдържано, но технически е възможно в 32-битови версии на Windows. Някои 32-битови антивирусни програми са реализирали своите мерки за антивирусна защита, използвайки корекция на ядрото.

    PatchGuard не позволява на драйверите на устройства да коригират ядрото. Например, PatchGuard предотвратява модифицирането на ядрото на Windows, за да се вгради в операционната система. Ако бъде открит опит за корекция на ядрото, Windows незабавно ще се изключи със син екран или рестартира.

    Тази защита може да бъде въведена в 32-битовата версия на Windows, но тя не е била - вероятно ще продължи да бъде съвместима със стария 32-битов софтуер, който зависи от този достъп.

    Защита на изпълнението на данни

    DEP позволява на операционната система да маркира определени области от паметта като „неизпълними“, като зададе „NX бит“. Областите на паметта, за които се предполага, че съдържат данни, няма да бъдат изпълними..

    Например, в система без DEP, атакуващият може да използва някакъв вид препълване на буфер, за да пише код в област от паметта на приложението. Този код може да бъде изпълнен. С DEP нападателят може да напише код в област от паметта на приложението - но този регион ще бъде маркиран като неизпълним и не може да бъде изпълнен, което ще спре атаката.

    64-битовите операционни системи имат базиран на хардуер DEP. Въпреки че това се поддържа и при 32-битови версии на Windows, ако имате модерен процесор, настройките по подразбиране са по-строги и DEP винаги е активиран за 64-битови програми, докато по подразбиране за 32-битови програми е изключен поради съображения за съвместимост.

    Диалоговият прозорец за конфигуриране на DEP в Windows е малко подвеждащ. Както се посочва в документацията на Microsoft, DEP винаги се използва за всички 64-битови процеси:

    „Настройките за конфигуриране на системния DEP се прилагат само за 32-битови приложения и процеси, когато се изпълняват на 32-битови или 64-битови версии на Windows. В 64-битовите версии на Windows, ако е налице хардуерен DEP, той винаги се прилага към 64-битови процеси и пространства с памет на ядрото и няма настройки за системна конфигурация, които да го деактивират. "

    WOW64

    64-битовите версии на Windows изпълняват 32-битов Windows софтуер, но го правят чрез слой за съвместимост, известен като WOW64 (Windows 32-bit на Windows 64-bit). Този слой за съвместимост налага някои ограничения на тези 32-битови програми, което може да попречи на 32-битовия зловреден софтуер да функционира правилно. 32-битовият зловреден софтуер също няма да може да се изпълнява в режим на ядрото - само 64-битови програми могат да изпълняват това в 64-битова операционна система, така че това може да попречи на някои по-стари 32-битови зловредни програми да функционира правилно. Например, ако имате стар аудио компактдиск със софтуера на Sony, той няма да може да се инсталира в 64-битова версия на Windows.

    64-битовите версии на Windows също премахват поддръжката на стари 16-битови програми. В допълнение към предотвратяването на старите 16-битови вируси, това ще принуди компаниите да надстроят старите си 16-битови програми, които могат да бъдат уязвими и ненатоварени.

    Като се има предвид широкото разпространение на 64-битовите версии на Windows, новият зловреден софтуер вероятно ще може да работи на 64-битова Windows. Липсата на съвместимост обаче може да помогне за защита срещу стария злонамерен софтуер в природата.


    Освен ако не използвате скромни стари 16-битови програми, древен хардуер, който предлага само 32-битови драйвери, или компютър с доста стар 32-битов CPU, трябва да използвате 64-битовата версия на Windows. Ако не сте сигурни коя версия използвате, но имате модерен компютър с Windows 7 или 8, вероятно използвате 64-битовото издание.

    Разбира се, нито една от тези функции за сигурност не е сигурна и 64-битовата версия на Windows все още е уязвима за зловреден софтуер. Въпреки това 64-битовите версии на Windows определено са по-сигурни.

    Кредит за снимката: Уилям Хук на Flickr