Useimmat uudet tietokoneet ovat lähettäneet 64-bittisen Windows-version - sekä Windows 7: n että 8: n - jo vuosia. Windowsin 64-bittiset versiot eivät koske vain lisäominaisuuksien hyödyntämistä. Ne ovat myös varmempia kuin 32-bittiset versiot.
64-bittiset käyttöjärjestelmät eivät ole immuuneja haittaohjelmiin, mutta niillä on enemmän suojausominaisuuksia. Osa tästä koskee myös muiden käyttöjärjestelmien 64-bittisiä versioita, kuten Linuxia. Linux-käyttäjät saavat turvallisuushyödyt siirtymällä Linux-jakelunsa 64-bittiseen versioon.
ASLR on tietoturvaominaisuus, joka aiheuttaa ohjelman tietojen sijainnin satunnaisesti muistiin. Ennen ASLR: ia ohjelmiston muistipaikkojen sijaintipaikat voisivat olla ennustettavissa, mikä teki hyökkäykset ohjelmaan paljon helpommaksi. ASLR: n avulla hyökkääjän on arvailla oikea sijainti muistissa yrittäessään hyödyntää ohjelman haavoittuvuutta. Virheellinen arvaus voi johtaa ohjelman kaatumiseen, joten hyökkääjä ei voi yrittää uudelleen.
Tätä suojausominaisuutta käytetään myös Windowsin ja muiden käyttöjärjestelmien 32-bittisissä versioissa, mutta se on paljon tehokkaampi 64-bittisissä Windows-versioissa. 64-bittisessä järjestelmässä on paljon suurempi osoiteavaruus kuin 32-bittinen järjestelmä, joten ASLR on paljon tehokkaampi.
Windowsin 64-bittinen versio pakottaa pakollisen ohjaimen allekirjoituksen. Kaikissa järjestelmän ohjainkoodissa on oltava digitaalinen allekirjoitus. Tämä sisältää kernel-mode-laitteiden ohjaimet ja käyttäjäkohtaiset ohjaimet, kuten tulostinohjaimet.
Pakollinen kuljettajan allekirjoitus estää haittaohjelmien toimittamat allekirjoittamattomat ohjaimet käyttämästä järjestelmää. Haittaohjelmien kirjoittajien on jollakin tavalla ohitettava allekirjoitusprosessi käynnistystyökalun avulla tai kirjauduttava tartunnan saaneisiin ohjaimiin pätevällä varmenteella, joka on varastettu oikeutetulta ohjaimen kehittäjältä. Tämä vaikeuttaa tartunnan saaneiden ohjainten toimintaa järjestelmässä.
Kuljettajan allekirjoitusta voidaan myös soveltaa 32-bittisissä Windows-versioissa, mutta se ei ole - todennäköisesti jatkuva yhteensopivuus vanhojen 32-bittisten ohjainten kanssa, joita ei ehkä ole allekirjoitettu.
Jos haluat poistaa kuljettajan allekirjoituksen käytön 64-bittisten Windows-versioiden aikana, sinun on liitettävä ytimen virheenkorjauslaite tai käytettävä erityistä käynnistysvaihtoehtoa, joka ei poistu järjestelmän uudelleenkäynnistämisestä.
KPP, joka tunnetaan myös nimellä PatchGuard, on vain 64-bittisissä Windows-versioissa oleva suojausominaisuus. PatchGuard estää ohjelmiston, jopa kernel-tilassa toimivat ajurit, Windows-ytimen korjaamisesta. Tämä on aina ollut tukematon, mutta se on teknisesti mahdollista 32-bittisissä Windows-versioissa. Jotkut 32-bittiset virustentorjuntaohjelmat ovat toteuttaneet virustentorjuntatoimenpiteet ytimen korjaamisella.
PatchGuard estää laitevalmistajia korjaamasta ydintä. Esimerkiksi PatchGuard estää rootkit-ohjelmia muokkaamasta Windows-ytimestä itselleen käyttöjärjestelmään. Jos ytimen korjausyritys havaitaan, Windows sulkeutuu välittömästi sinisellä näytöllä tai uudelleenkäynnistyksellä.
Tämä suoja voidaan ottaa käyttöön 32-bittisessä Windows-versiossa, mutta se ei ole - todennäköisesti jatkuva yhteensopivuus vanhan 32-bittisen ohjelmiston kanssa, joka riippuu tästä käyttöoikeudesta.
DEP sallii käyttöjärjestelmän merkitä tietyt muistialueet "ei-suoritettaviksi" asettamalla "NX-bitin". Muistin alueet, joiden tarkoitus on vain pitää tietoja, eivät ole suoritettavia.
Esimerkiksi järjestelmässä, jossa ei ole DEP: tä, hyökkääjä voi käyttää jonkinlaista puskurin ylivuotoa koodin kirjoittamiseen sovelluksen muistin alueelle. Tämä koodi voitaisiin sitten suorittaa. DEP: n avulla hyökkääjä voi kirjoittaa koodin sovelluksen muistin alueelle - mutta tämä alue olisi merkitty ei-suoritettavaksi eikä sitä voitu suorittaa, mikä estäisi hyökkäyksen.
64-bittisissä käyttöjärjestelmissä on laitteistopohjainen DEP. Vaikka tämä on tuettu myös 32-bittisissä Windows-versioissa, jos sinulla on moderni keskusyksikkö, oletusasetukset ovat tiukemmat ja DEP on aina käytössä 64-bittisille ohjelmille, mutta se on oletusarvoisesti pois käytöstä 32-bittisille ohjelmille yhteensopivuusongelmista.
Windowsin DEP-määritysikkuna on hieman harhaanjohtava. Kuten Microsoftin dokumentaatiosta käy ilmi, DEP: tä käytetään aina kaikissa 64-bittisissä prosesseissa:
"Järjestelmän DEP-kokoonpanoasetukset koskevat vain 32-bittisiä sovelluksia ja prosesseja, kun niitä käytetään 32-bittisissä tai 64-bittisissä Windows-versioissa. 64-bittisissä Windows-versioissa, jos laitteistokäyttöinen DEP on käytettävissä, sitä sovelletaan aina 64-bittisiin prosesseihin ja ytimen muistitiloihin, eikä järjestelmän kokoonpanoasetuksia ole, jotta se voidaan poistaa käytöstä. "
64-bittiset Windows-versiot toimivat 32-bittisessä Windows-ohjelmistossa, mutta ne tehdään WOW64-yhteensopivuustasolla (Windows 32-bittinen Windows 64-bittisellä). Tämä yhteensopivuustaso pakottaa joitain rajoituksia näihin 32-bittisiin ohjelmiin, mikä voi estää 32-bittisen haittaohjelmat toimivan kunnolla. 32-bittinen haittaohjelma ei myöskään pysty suorittamaan ytimen tilassa - vain 64-bittiset ohjelmat voivat tehdä sen 64-bittisellä käyttöjärjestelmällä - joten tämä voi estää joidenkin vanhempien 32-bittisten haittaohjelmien toimimasta oikein. Jos sinulla on esimerkiksi vanha ääni-CD, jossa on Sony-rootkit, se ei pysty asentamaan itsensä 64-bittiseen Windows-versioon.
64-bittiset Windows-versiot myös pudota tukea vanhoille 16-bittisille ohjelmille. Sen lisäksi, että estetään muinaisten 16-bittisten virusten suorittaminen, se pakottaa yritykset myös päivittämään muinaisia 16-bittisiä ohjelmiaan, jotka voivat olla haavoittuvia ja epäsuorittuja.
Kun otetaan huomioon, miten laajat 64-bittiset Windows-versiot ovat, uusi haittaohjelma todennäköisesti pystyy toimimaan 64-bittisessä Windowsissa. Yhteensopivuuden puute voi kuitenkin auttaa suojaamaan vanhoja haittaohjelmia luonnossa.
Ellei käytä vanhat, vanhat 16-bittiset ohjelmat, vanhat laitteet, jotka tarjoavat vain 32-bittisiä ohjaimia tai tietokoneen, jossa on melko vanha 32-bittinen suoritin, käytä 64-bittistä Windows-versiota. Jos et ole varma, mitä versiota käytät, mutta sinulla on moderni tietokone, jossa on Windows 7 tai 8, käytät todennäköisesti 64-bittistä versiota.
Tietenkään mikään näistä suojaustoiminnoista ei luonnollisesti ole helppoa, ja 64-bittinen Windows-versio on edelleen haavoittuvainen. Kuitenkin 64-bittiset Windows-versiot ovat varmasti varmempia.
Kuvahinta: William Hook Flickrissä
