64-х битная версия Windows: очередной козырь против 32-х.

64-битная версия Практически все компьютеры, продаваемые сегодня конечному пользователю, предлагаются с 64-х битной версией Windows. Оно и понятно: однопроцессорные сборки уже устарели и физически неспособны удовлетворять требования современных систем. Но дело только ли в преимуществах установленной оперативной памяти и вычислительных возможностей процессора? Нет. При ближайшем рассмотрении очевидно, что 64-х битные версии Windows имеют и преимущества в безопасности. Итак, 64-х битная версия Windows против 32-х битной.

Стоп. К зловредам иммунитета ни у кого нет. Однако принцип организации процессинга 64-х битных систем позволяет утверждать, что некоторые преимущества касаемо вопросов безопасности имеются, и взлом в 2017 г. самой в мире популярной CCleaner – программы очистки и настройки Windows – это хорошо пользовательскому IT миру доказал. Кстати, почему речь о Windows? Разговор о ОС любых поколений, сборок и названий.

Разрядность, версия и номер сборки Windows 10 на экране

Защита ядра или Kernel Patch Protection

В 64-х битной версии Windows существует компонент безопасности PatchGuard (он же КРР – защита ядра от патчей), назначение которого не давать ни программам, ни драйверам “залезать” в ядро. Некоторым руткитам в 32-х битной версии это удаётся, и пользователь в итоге сталкивается с неконтролируемой утечкой личной информации, которая антивирусом не детектируется. А вот 64-х битная версия системы сразу опрокидывается в BSOD. Или в перезагрузку – как пользователь настроил этот критический этап. Насколько мне известно, технически это возможно и в 32-х битной версии Windows, так как некоторые из 32-х битных версий антивирусных пакетов взяли эту настройку на вооружение. Однако разрабы из Microsoft оставили эту фишку только 64-х битным версиям.

Защита исполнения данных

Этот элемент безопасности позволяет операционной системе “распространять права” на некоторые разделы оперативной памяти, помечая её для остальных программ как неисполняемую (non-executable). Данные в этой области хранятся, но ничего не предпринимают. Без этой настройки, например, пользователи Windows XP подвержены риску атаки переполнения буфера: хакер проникает кодом в неиспользуемую часть памяти, код при определённых условиях исполняется, заполняя свободные области, вытесняя другие программы. Система в итоге зависает без возможности сохранения и восстановления данных. Хард, как говориться, резет. С функцией DEP это становится труднее: код, попав в свободный раздел, не исполняется, и атака сводится на нет. У современных процессоров такая функция нашла поддержку и в среде 32-х битных версий систем, однако по умолчанию она может быть отключена из соображений совместимости с 32-х битными версиями программ. А в 64-х битных версиях она “активирована” на уровне “железа”: даже отключить эту настройку в 64-х битной версии нет. Вообще, Microsoft довольно путано и скудно объясняет позицию по этому вопросу. Однако опытным путём уже доказано преимущество в вопросе этого типа атак на более современные версии Windows перед 32-х битными версиями ОС. В любом случае, проверьте здесь:

функция dep

Выбираете между 32-х и 64-х битными версиями? Что вам нужно знать.

Рандомизация размещения адресного пространства: ASLR 

Раз уж заговорили про RAM, вот вам очередная фишка. Сразу оговорюсь, она есть в обоих версиях. Она её защитная функция проявляется именно в 64-х битной версии: адресное пространство у неё ведь гораздо шире. Смысл этого программного элемента заключается в том, что ASLR заставляет загруженную в память программу занимать разные блоки выделяемой памяти. До того выгружаемые данные занимали ряд последовательных блоков, что делало эту программу или службу уязвимой для целого ряда эксплойтов, которые действовали иногда просто наугад. А ударив по одному из блоков, эксплойт выводил из строя всю программу целиком. Сейчас таким вариантом событий можно почти пренебречь: система не зависнет, а вот программа скорее всего просто “упадёт”, давая пользователю будет возможность задуматься над сложившейся ситуацией, а хакеру развернуться и покинуть систему.

Цифровая подпись для драйверов

64-х битная версия Windows заставляет драйвер предъявлять своеобразный паспорт. Жёсткие требования касаются именно драйверов устройств, работающих на уровне ядра и некоторых на уровне user-mode (пользовательский уровень). В чём смысл фишки? Если драйвер появился невесть откуда (а система сразу распознаёт его как зловредный), он не запустится. Оборудование, с которым драйвер идёт, работать не будет. А, если быть точнее, оно не будет работать против вас, когда хакер подсунет вместо драйвера, например, принтера что-нибудь своё. Так что, чтобы обойти внимательного пользователя хакеру придётся над подделкой цифровой подписи покорпеть. Проверку цифровой подписи драйверов можно включить и в 32-х битной версии, но как всегда, из-за соображений совместимости со старыми версиями, этого не происходит.

Эта настройка также знакома тем пользователям, которым приходилось решать некоторые проблемы с использованием дополнительных режимов загрузки Windows. Так вот, оттуда отключение требования цифровой подписи и предусмотрено:

дополнительные варианты загрузки
отключить проверку подписи можно выбрав предпоследний пункт

WOW64

Самая известная отличительная черта, которой обладает 64-х битная версия Windows. За этой аббревиатурой скрывается программная прослойка, обеспечивающая совместимость 32-х битных версий приложений, запускаемых в 64-х битной среде. Благодаря “вау-64” (а именно такое фривольное наименование эта фишка и получила у русскоговорящих пользователей) 32-х битные программы нормально работают в 64-х битной Windows. Но этот слой выполняет ещё и роль некоего фильтра, через который система проводит надзор за запускаемыми приложениями. В этой среде 32-х битные зловреды просто не смогут запуститься в режиме ядра. По-крайней мере, развернуться на всю катушку не смогут. А что уж говорить про 16-битные версии вирусов, которым запуститься не даст не то что антивирус, но и сама система: она такие версии программ не распознаёт вовсе, заставляя производителей переводить свои продукты на новый уровень.

В общем, итог предсказуем: для использования 16-ти 32-х битных версий программ лучше всего иметь отдельную систему. Для домашнего, офисного и бизнес-вариантов альтернативы 64-м битам уже нет.

Успехов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Максимальный размер загружаемого файла: 50 МБ. Вы можете загрузить: изображение, видео. Ссылки на YouTube, Facebook, Twitter и другие сервисы, вставленные в текст комментария, будут автоматически встроены. Перетащите файлы сюда