Domovská » jak » Proč je 64bitová verze systému Windows bezpečnější

    Proč je 64bitová verze systému Windows bezpečnější

    Většina nových počítačů se již po léta dodává s 64bitovou verzí systému Windows - Windows 7 a 8. 64bitové verze Windows nejsou jen o využití další paměti. Jsou také bezpečnější než 32bitové verze.

    64bitové operační systémy nejsou proti malwaru imunní, ale mají více bezpečnostních funkcí. Některé z nich se vztahují také na 64bitové verze jiných operačních systémů, jako je Linux. Uživatelé systému Linux získají výhody zabezpečení tím, že přepnou na 64bitovou verzi distribuce systému Linux.

    Uspořádání náhodného rozvržení adres

    ASLR je bezpečnostní funkce, která způsobí, že umístění dat programu je náhodně uspořádáno do paměti. Před ASLR by bylo možné předpovědět umístění dat v paměti v programu, což učinilo útoky na program mnohem jednodušší. S ASLR musí útočník odhadnout správné umístění v paměti při pokusu o zneužití zranitelnosti v programu. Špatný odhad může mít za následek zhroucení programu, takže útočník nebude moci znovu zkusit.

    Tato bezpečnostní funkce se používá také v 32bitových verzích systému Windows a jiných operačních systémech, ale je mnohem výkonnější v 64bitových verzích systému Windows. 64bitový systém má mnohem větší adresní prostor než 32bitový systém, takže ASLR je mnohem efektivnější.

    Povinné podepisování řidiče

    64bitová verze systému Windows vynucuje povinné podepisování ovladače. Veškerý kód ovladače v systému musí mít digitální podpis. To zahrnuje ovladače zařízení v režimu jádra a ovladače uživatelského režimu, například ovladače tiskárny.

    Povinné podepisování řidiče zabraňuje spuštění nepodložených ovladačů poskytovaných malwarem v systému. Autoři škodlivého softwaru budou muset nějakým způsobem obejít proces podepisování pomocí spouštěcího rootkitu nebo řídit podepisování infikovaných ovladačů platným certifikátem odcizeným od legitimní vývojáře ovladačů. To znesnadňuje infikované ovladače, aby běhly v systému.

    Podpisy ovladačů by mohly být vynuceny také v 32bitových verzích systému Windows, ale není pravděpodobné, že budou pokračovat v kompatibilitě starých 32bitových ovladačů, které pravděpodobně nebyly podepsány.

    Chcete-li zakázat podepisování ovladače při vývoji 64bitových edic systému Windows, musíte připojit ladicí program jádra nebo použít speciální spouštěcí možnost, která přetrvává po restartování systému.

    Ochrana proti opravám jádra

    KPP, známý také jako PatchGuard, je bezpečnostní funkce, která se nachází pouze v 64bitových verzích systému Windows. PatchGuard zabraňuje tomu, aby software, a dokonce i ovladače spuštěné v režimu jádra, opravovaly jádro systému Windows. To bylo vždy nepodporováno, ale je technicky možné u 32bitových verzí systému Windows. Některé 32bitové antivirové programy implementovaly antivirovou ochranu pomocí opravy jádra.

    PatchGuard zabraňuje ovladačům zařízení opravovat jádro. Například PatchGuard brání rootkitům modifikovat jádro systému Windows, aby se mohli vložit do operačního systému. Pokud je zjištěn pokus o opravu jádra, systém Windows se okamžitě vypne modrou obrazovkou nebo restartuje.

    Tato ochrana by mohla být zavedena na 32bitovou verzi systému Windows, ale nebylo pravděpodobné, že by se v případě pokračující kompatibility se starší 32bitovou firmou, která závisí na tomto přístupu.

    Ochrana dat

    Služba DEP umožňuje operačnímu systému označit určité oblasti paměti jako "nevypůjčovatelné" nastavením "bitů NX". Oblasti paměti, které mají obsahovat pouze data, nebudou spustitelné.

    Například v systému bez DEP by útočník mohl použít nějaký přetečení vyrovnávací paměti pro zápis kódu do oblasti paměti aplikace. Tento kód by pak mohl být proveden. S DEP by útočník mohl napsat kód do oblasti paměti aplikace - ale tato oblast by byla označena jako ne-spustitelná a nemohla by být provedena, což by zastavilo útok.

    64bitové operační systémy mají hardwarové DEP. Zatímco toto je také podporováno na 32bitových verzích systému Windows, pokud máte moderní procesor, výchozí nastavení je přísnější a DEP je vždy povoleno pro 64bitové programy, zatímco je ve výchozím nastavení zakázáno pro 32bitové programy z důvodů kompatibility.

    Konfigurační dialog DEP v systému Windows je trochu zavádějící. Jak uvádí dokumentace společnosti Microsoft, DEP se vždy používá pro všechny 64bitové procesy:

    "Nastavení konfigurace systému DEP se vztahují pouze na 32bitové aplikace a procesy při spuštění 32bitové nebo 64bitové verze systému Windows. U 64bitových verzí systému Windows je v případě, že je k dispozici hardwarově vynucený modul DEP, je vždy aplikován na 64bitové procesy a prostory paměti jádra a neexistuje žádné nastavení konfigurace systému, které by bylo zakázáno. "

    WOW64

    64bitové verze systému Windows spouštějí 32bitový systém Windows, ale dělají to prostřednictvím vrstvy kompatibility známé jako WOW64 (Windows 32-bit v systému Windows 64-bit). Tato kompatibilní vrstva vynucuje některá omezení na těchto 32bitových programech, což může zabránit správnému fungování 32bitového malware. 32bitový malware se také nebude moci spustit v režimu jádra - na 64bitovém operačním systému to může udělat pouze 64bitové programy - což může zabránit správnému fungování starších 32bitových malware. Například pokud máte staré zvukové CD se sadou rootkit Sony, nebude možné ji nainstalovat na 64bitovou verzi systému Windows.

    64bitové verze systému Windows také snižují podporu starých 16bitových programů. Kromě zabránění spuštění starých 16bitových virů také přiměje společnosti, aby aktualizovaly staré 16bitové programy, které by mohly být zranitelné a nezpracované.

    Vzhledem k tomu, jak jsou nyní rozšířené 64bitové verze systému Windows, bude nový malware pravděpodobně schopen fungovat na 64bitových systémech Windows. Nicméně, nedostatek kompatibility může pomoci chránit před starým malwarem ve volné přírodě.


    Pokud nepoužíváte špinavé staré 16bitové programy, starý hardware, který nabízí pouze 32bitové ovladače nebo počítač s poměrně starým 32bitovým procesorem, měli byste používat 64bitovou verzi systému Windows. Pokud si nejste jisti, kterou verzi používáte, ale máte moderní počítač se systémem Windows 7 nebo 8, pravděpodobně používáte 64bitovou verzi.

    Samozřejmě, že žádná z těchto bezpečnostních funkcí není spolehlivá a 64bitová verze systému Windows je stále zranitelná proti malwaru. 64bitové verze systému Windows jsou ovšem bezpečnější.

    Image Credit: William Hook na Flickru