Hjemmeside » hvordan » Hvorfor 64-biters versjon av Windows er mer sikker

    Hvorfor 64-biters versjon av Windows er mer sikker

    De fleste nye PCer har levert med 64-bitersversjonen av Windows - både Windows 7 og 8 - i mange år nå. 64-biters versjoner av Windows handler ikke bare om å utnytte ekstra minne. De er også sikrere enn 32-biters versjoner.

    64-biters operativsystemer er ikke immune mot skadelig programvare, men de har flere sikkerhetsfunksjoner. Noen av dette gjelder også 64-biters versjoner av andre operativsystemer, for eksempel Linux. Linux-brukere vil få sikkerhetsfordeler ved å bytte til en 64-biters versjon av Linux-distribusjonen.

    Adresse plassoppsett randomisering

    ASLR er en sikkerhetsfunksjon som forårsaker at et programs dataplasser blir tilfeldig ordnet i minnet. Før ASLR, kan et programs datalokaler i minnet være forutsigbart, noe som gjorde angrep på et program mye lettere. Med ASLR må en angriper gjette riktig sted i minnet når du prøver å utnytte et sikkerhetsproblem i et program. En feilaktig gjetning kan føre til at programmet krasjer, slik at angriperen ikke kan prøve igjen.

    Denne sikkerhetsfunksjonen brukes også på 32-biters versjoner av Windows og andre operativsystemer, men det er mye kraftigere på 64-biters versjoner av Windows. Et 64-biters system har et mye større adresserom enn et 32-biters system, noe som gjør ASLR så mye mer effektivt.

    Obligatorisk sjåførsignering

    64-bitersversjonen av Windows håndhever obligatorisk sjåførsignering. All driverkode på systemet må ha en digital signatur. Dette inkluderer drivere for kjernemodusenheter og brukermodus, for eksempel skriverdrivere.

    Obligatorisk sjåførsignering forhindrer usignerte drivere som leveres av skadelig programvare, fra å kjøre på systemet. Forfattere av skadelig programvare må på en eller annen måte omgå signeringsprosessen via en rootkit i oppstartstid, eller klarer å signere de infiserte driverne med et gyldig sertifikat stjålet fra en legitim driverutvikler. Dette gjør det vanskeligere for infiserte drivere å kjøre på systemet.

    Driver-signering kan også håndheves på 32-biters versjoner av Windows, men det er ikke sannsynlig for fortsatt kompatibilitet med gamle 32-biters drivere som kanskje ikke har blitt signert.

    Hvis du vil deaktivere sjåførsignering under utvikling på 64-biters utgaver av Windows, må du legge ved en kjernedebacker eller bruke et spesielt oppstartalternativ som ikke vedvarer på systemstartere.

    Kernel Patch Protection

    KPP, også kjent som PatchGuard, er en sikkerhetsfunksjon som bare finnes på 64-biters versjoner av Windows. PatchGuard forhindrer programvare, selv drivere som kjører i kjernemodus, fra å lappe Windows-kjernen. Dette har alltid vært støttet, men det er teknisk mulig på 32-biters versjoner av Windows. Noen 32-biters antivirusprogrammer har implementert sine antivirusbeskyttelsesforanstaltninger ved hjelp av kjernepatching.

    PatchGuard forhindrer enhetsdrivere i å klatre i kjernen. For eksempel forhindrer PatchGuard rootkits fra å endre Windows-kjernen for å integrere seg i operativsystemet. Hvis et forsøk på kjernepatching oppdages, stopper Windows umiddelbart med en blå skjerm eller startes på nytt.

    Denne beskyttelsen kan settes på plass på 32-bitersversjonen av Windows, men det har ikke vært - sannsynlig for fortsatt kompatibilitet med eldre 32-biters programvare som avhenger av denne tilgangen.

    Databeskyttelse

    DEP gjør det mulig for operativsystemet å markere bestemte områder av minnet som "ikke-kjørbar" ved å sette inn en "NX bit". Områder med minne som bare skal inneholde data, vil ikke kunne kjøres.

    For eksempel, på et system uten DEP, kan en angriper bruke en slags bufferoverløp for å skrive kode til en region i et programs minne. Denne koden kan da utføres. Med DEP kunne angriperen skrive kode til en region i programmets minne - men denne regionen ville bli merket som ikke kjørbar og kunne ikke utføres, noe som ville stoppe angrepet.

    64-biters operativsystemer har maskinvarebasert DEP. Selv om dette også støttes på 32-biters versjoner av Windows hvis du har en moderne CPU, er standardinnstillingene strengere og DEP er alltid aktivert for 64-biters programmer, mens det er deaktivert som standard for 32-biters programmer av kompatibilitetsårsaker..

    DEP-konfigurasjonsdialogen i Windows er litt misvisende. Som Microsofts dokumentasjon sier, er DEP alltid brukt for alle 64-biters prosesser:

    "System DEP-konfigurasjonsinnstillingene gjelder bare for 32-biters applikasjoner og prosesser når de kjøres på 32-biters eller 64-biters versjoner av Windows. På 64-biters versjoner av Windows, hvis maskinvarehåndhevet DEP er tilgjengelig, brukes den alltid til 64-biters prosesser og kjerneminne mellomrom, og det er ingen systemkonfigurasjonsinnstillinger for å deaktivere den. "

    WOW64

    64-biters versjoner av Windows kjører 32-biters Windows-programvare, men de gjør det gjennom et kompatibilitetslag kjent som WOW64 (Windows 32-bit på Windows 64-bit). Dette kompatibilitetslaget håndhever noen begrensninger på disse 32-biters programmene, noe som kan forhindre at 32-biters malware fungerer som den skal. 32-biters malware kan heller ikke kjøres i kjernemodus. Bare 64-biters programmer kan gjøre det på et 64-biters OS - slik at dette kan forhindre at eldre 32-biters malware fungerer som den skal. Hvis du for eksempel har en gammel lyd-CD med Sony rootkit på den, vil den ikke være i stand til å installere seg på en 64-biters versjon av Windows.

    64-biters versjoner av Windows slipper også støtte for gamle 16-biters programmer. I tillegg til å forhindre at gamle 16-biters virus utføres, vil dette også tvinge bedrifter til å oppgradere sine gamle 16-biters programmer som kunne være sårbare og upatchede.

    Gitt hvor utbredt 64-biters versjoner av Windows nå er, vil ny malware trolig være i stand til å kjøre på 64-biters Windows. Mangelen på kompatibilitet kan imidlertid bidra til å beskytte mot gammel skadelig programvare i naturen.


    Med mindre du bruker knappe gamle 16-biters programmer, gammel maskinvare som bare tilbyr 32-biters drivere, eller en datamaskin med en ganske gammel 32-biters CPU, bør du bruke 64-bitersversjonen av Windows. Hvis du ikke er sikker på hvilken versjon du bruker, men du har en moderne datamaskin som kjører Windows 7 eller 8, bruker du sannsynligvis 64-bits utgaven.

    Selvfølgelig er ingen av disse sikkerhetsfunksjonene idiotsikker, og en 64-biters versjon av Windows er fortsatt sårbar for skadelig programvare. Men 64-biters versjoner av Windows er definitivt sikrere.

    Bildekreditt: William Hook on Flickr