Почему 64-битная версия Windows более безопасна

23.06.2014 | 10:57
На большинстве современных персональных компьютеров предустановлена 64-битная версия Windows 7 или 8. И такой выбор не случаен. Он обусловлен не только более эффективной обработкой оперативной памяти, но и соображениями безопасности — 32-разрядная ОС менее защищена, чем 64-разрядная. Хотя последняя и не имеет иммунитета к вредоносным программам, она обладает большим запасом встроенных защитных функций. Некоторые из них доступны так же в 64-битных версиях прочих операционных систем, к примеру, Linux. Так в чем же заключается причина надежности 64-разрядных версий Windows?

1. Технология ASLR (Address Space Layout Randomization)
Это технология, применяемая в операционных системах, при использовании которой случайным образом изменяется расположение в адресном пространстве процесса важных структур, а именно: образа исполняемого файла, подгружаемых библиотек и стека. На практике эта подсистема безопасности функционирует следующим образом: программные данные расположены в памяти компьютера в случайном порядке. До возникновения ASLR вредоносной программе или злоумышленнику было намного проще найти нужный файл на диске. С применением этой функции предстоит сперва определить правильное расположение данных. Неверное обращение к ним вызовет программный сбой. ASLR используется и в 32-битной версии Windows, но в 64-битной эта функция обладает большими возможностями и функционирует в полную силу благодаря запасу памяти.

2. Обязательная цифровая подпись драйвера
64-разрядная версия Windows требовательно относится к новым драйверам, что становится очередным рубежом обороны ОС. Каждый из них должен иметь цифровую подпись. Это касается всех драйверов для устройств, работающих в режиме ядра и пользовательском режиме. Обязательная подпись предотвращает запуск в системе вредоносной программы, разработанной со злым умыслом. Авторам такого ПО приходится обходить встроенные механизмы защиты операционной системы, что делает взлом более трудоемким процессом.

Эта функция могла бы быть использована и в 32-битных версиях, но от нее отказались. Скорее всего, для того, чтобы система не вступала в конфликт с драйверами для старых устройств, разработанных в то время, когда не существовало правила обязательной цифровой подписи.

3. Технология KPP (Kernel Patch Protection)
Так же эта функция имеет название PatchGuard. Она призвана защищать ядро от любых вмешательств. KPP существует только в 64-разрядных версиях Windows. Мотивы отказа от этой возможности в 32-битных ОС те же, что и в случае с обязательной цифровой подписью для драйвера, — необходима совместимость с устаревшим ПО и оборудованием. Но в качестве альтернативы в некоторых антивирусных программах для 32-разрядных версий Windows встроены меры защиты, предотвращающие изменения ядра. Сам же PatchGuard запрещает любым программам, даже драйверам, вмешиваться в работу ядра для того, чтобы вредоносное ПО не встраивалось в операционную систему. Как только KPP заметит вмешательство, Windows немедленно завершит работу, а пользователь увидит синий экран.

4. Предотвращение выполнения данных
Это функция безопасности, встроенная в Linux, Mac OS X, Android и Windows, которая не позволяет приложению исполнять код из области памяти, помеченной как «только для данных». Она позволит предотвратить некоторые атаки, которые, например, сохраняют код в такой области с помощью переполнения буфера.

Как это выглядит на практике? Например, в системе, не использующей данную функцию, злоумышленник может использовать переполнение буфера, чтобы написать свой код в область памяти приложения. Затем действия, заложенные в стороннюю программу, будут выполнены. В ОС, в которых предусмотрено предотвращение выполнения данных, код так же может быть вписан, но он будет помечен как «неисполняемый». Таким образом, он не будет выполнен, и атака будет предотвращена. 64-битные версии Windows имеют аппаратную поддержку данной функции. В 32-битной версии возможно ее использование только при наличии современного процессора.

5. Технология WOW64 (Windows-on-Windows 64-bit)
Это подсистема операционной системы Windows, позволяющая запускать 32-битные приложения на всех 64-битных версиях. Да, это возможно, но только с помощью WOW64. Этот слой совместимости построен с целью защиты современной операционной системы от вирусов, характерных для старых программ. Вредоносное ПО, разработанное для 32-разрядных систем, именно по этой причине не может работать в режиме ядра, внося изменения. Например, истории известен случай, когда компания Sony встроила руткит (программу, использующуюся для маскировки объектов, контроля событий и сбора данных) в свои лицензионные аудиодиски, что, конечно же, пришлось не по нраву большинству пользователей.

Если вы являетесь и сегодня обладателем такого диска, то вы сможете без страха воспроизвести его на устройстве, работающим под управлением 64-битной операционной системы. WOW64 не позволит установить подозрительный руткит. Силами этой функции 64-битные версии Windows так же прекратили поддержку старых, 16-битных программ. Опять же с целью обезопасить пользователя от древних вирусов. Такая политика заставила многих разработчиков модернизировать свои старые программы, чтобы те стали доступны современным юзерам.

Подведем итог. Если вы не привыкли пользоваться старыми, 16-битными программами, древними устройствами, работающими под управлением только 32-битных драйверов, или не являетесь владельцем компьютера с устаревшим процессором, лучше всего обратиться к 64-битной версии Windows. Конечно, речь идет о безопасности, но не в абсолютном ее проявлении. 64-битная Windows так же подвержена атакам и воздействию вредоносного ПО, поэтому нуждается в дополнительной защите. Но, как говорится, из двух зол необходимо выбирать меньшее и в данном случае им безоговорочно является 64-битная версия операционной системы.

автор: Александр Логинов
64-битная версия, Windows
По материалам mobiledevice.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (1)
  1. Добавлено evil santa 24.06.2014 | 00:50любителям старых программ вполне может помочь установка виртуальной машины.
Оставьте комментарий:CaptchaОбновить проверочный код