Mengapa Versi Windows 64-bit Lebih Selamat
Kebanyakan PC baru telah dihantar dengan versi Windows 64-bit - kedua-dua Windows 7 dan 8 - selama bertahun-tahun sekarang. Versi Windows 64-bit tidak hanya mengambil kesempatan daripada memori tambahan. Mereka juga lebih selamat daripada versi 32-bit.
Sistem operasi 64-bit tidak kebal kepada perisian hasad, tetapi mereka mempunyai lebih banyak ciri keselamatan. Sebahagian daripada ini juga terpakai untuk versi 64-bit sistem operasi lain, seperti Linux. Pengguna Linux akan mendapat kelebihan keselamatan dengan beralih ke versi 64-bit pengedaran Linux mereka.
Rujuk Rakaman Layout Ruang
ASLR adalah ciri keselamatan yang menyebabkan lokasi data program disusun secara rawak dalam ingatan. Sebelum ASLR, lokasi data program di memori boleh diramalkan, yang membuat serangan ke atas program lebih mudah. Dengan ASLR, penyerang harus meneka lokasi yang betul dalam memori apabila cuba mengeksploitasi kelemahan dalam program. Teka yang salah boleh menyebabkan program terhempas, jadi penyerang tidak akan dapat mencuba lagi.
Ciri keselamatan ini juga digunakan pada versi 32-bit Windows dan sistem operasi lain, tetapi ia lebih berkuasa pada versi Windows 64-bit. Sistem 64-bit mempunyai ruang alamat yang jauh lebih besar daripada sistem 32-bit, menjadikan ASLR jauh lebih berkesan.
Tandatangan Pemandu Mandat
Versi 64-bit Windows menguatkuasakan pemandunya mandatori. Semua kod pemacu pada sistem mesti mempunyai tandatangan digital. Ini termasuk pemacu peranti mod kernel dan pemacu mod pengguna, seperti pemacu pencetak.
Pemetaan pemandu mandatori menghalang pemandu yang tidak ditandatangani yang disediakan oleh malware daripada berjalan pada sistem. Pengarang malware mesti entah bagaimana memintas proses tandatangan melalui rootkit boot-time atau menguruskan untuk menandatangani pemandu yang dijangkiti dengan sijil yang sah yang dicuri dari pemaju pemandu yang sah. Ini menjadikan lebih sukar untuk pemandu yang dijangkiti berjalan pada sistem.
Penandatanganan pemandu juga boleh dikuatkuasakan pada versi Windows 32-bit, tetapi tidak - kemungkinan untuk keserasian terus dengan pemandu 32-bit lama yang mungkin belum ditandatangani.
Untuk melumpuhkan pemacu pemandu semasa pembangunan pada edisi 64-bit Windows, anda perlu melampirkan debugger kernel atau menggunakan pilihan permulaan khas yang tidak berterusan merentasi sistem.
Perlindungan Kernel Patch
KPP, yang juga dikenali sebagai PatchGuard, merupakan ciri keselamatan yang hanya terdapat pada versi Windows 64-bit. PatchGuard menghalang perisian, walaupun pemandu berjalan dalam mod kernel, daripada menampal kernel Windows. Ini sentiasa tidak disokong, tetapi secara teknikalnya mungkin pada versi Windows 32-bit. Beberapa program antivirus 32-bit telah melaksanakan langkah perlindungan antivirus mereka menggunakan penanda kernel.
PatchGuard menghalang pemandu peranti daripada menanggalkan kernel. Sebagai contoh, PatchGuard menghalang rootkit dari mengubah suai kernel Windows untuk membenamkan diri mereka dalam sistem pengendalian. Sekiranya percubaan pada penanda kernel dikesan, Windows akan segera ditutup dengan skrin biru atau reboot.
Perlindungan ini boleh dimasukkan ke dalam versi Windows 32-bit, tetapi belum lagi - mungkin untuk keserasian terus dengan perisian warisan 32-bit yang bergantung kepada akses ini.
Perlindungan Pelaksanaan Data
DEP membenarkan sistem pengendalian untuk menandakan kawasan memori tertentu sebagai "tidak dapat dieksekusi" dengan menetapkan "bit NX". Kawasan ingatan yang sepatutnya memegang data hanya tidak dapat dieksekusi.
Sebagai contoh, pada sistem tanpa DEP, penyerang boleh menggunakan semacam buffer overflow untuk menulis kod ke dalam rantau memori aplikasi. Kod ini kemudiannya boleh dilaksanakan. Dengan DEP, penyerang boleh menulis kod ke dalam kawasan ingatan aplikasi - tetapi rantau ini akan ditandakan sebagai tidak boleh laksana dan tidak boleh dilaksanakan, yang akan menghentikan serangan.
Sistem operasi 64-bit mempunyai DEP berasaskan perkakasan. Walaupun ini juga disokong pada versi Windows 32-bit jika anda mempunyai CPU moden, tetapan lalai lebih ketat dan DEP sentiasa didayakan untuk program 64-bit, sementara ia dimatikan secara lalai untuk program 32-bit untuk keserasian.
Dialog konfigurasi DEP di Windows sedikit mengelirukan. Memandangkan dokumentasi Microsoft menyatakan, DEP sentiasa digunakan untuk semua proses 64-bit:
"Tetapan konfigurasi DEP sistem hanya digunakan untuk aplikasi dan proses 32-bit apabila berjalan pada versi Windows 32-bit atau 64-bit. Pada Windows versi 64-bit, jika DEP yang dikuatkuasakan perkakasan tersedia, ia sentiasa digunakan untuk proses 64-bit dan ruang memori kernel dan tiada tetapan tatarajah sistem untuk melumpuhkannya. "
WOW64
Windows versi 64-bit menjalankan perisian Windows 32-bit, tetapi mereka melakukannya melalui lapisan keserasian yang dikenali sebagai WOW64 (Windows 32-bit pada Windows 64-bit). Lapisan keserasian ini menguatkuasakan beberapa sekatan pada program 32-bit ini, yang mungkin menghalang malware 32-bit daripada berfungsi dengan betul. Malware 32-bit juga tidak dapat dijalankan dalam mod kernel - hanya program 64-bit boleh melakukannya pada OS 64-bit - jadi ini mungkin menghalang sesetengah malware 32-bit yang lebih lama daripada berfungsi dengan betul. Sebagai contoh, jika anda mempunyai CD audio lama dengan rootkit Sony di atasnya, ia tidak akan dapat memasang sendiri pada versi Windows 64-bit.
Versi Windows 64-bit juga menjatuhkan sokongan untuk program 16-bit lama. Sebagai tambahan untuk mencegah virus-virus kuno 16-bit daripada melaksanakan, ini juga akan memaksa syarikat-syarikat untuk menaik taraf program 16-bit purba mereka yang boleh terdedah dan tidak terpasang.
Memandangkan betapa luas versi Windows 64-bit sekarang, malware baru mungkin akan dapat berjalan pada Windows 64-bit. Walau bagaimanapun, kekurangan keserasian boleh membantu melindungi daripada malware lama di alam liar.
Kecuali anda menggunakan program 16-bit lama, perkakasan purba yang hanya menawarkan pemandu 32-bit, atau komputer dengan CPU 32-bit yang lama, anda harus menggunakan versi Windows 64-bit. Jika anda tidak pasti versi yang anda gunakan tetapi anda mempunyai komputer moden yang menjalankan Windows 7 atau 8, anda mungkin menggunakan edisi 64-bit.
Sudah tentu, tiada ciri keselamatan ini tidak boleh digunakan, dan versi Windows 64-bit masih terdedah kepada perisian hasad. Walau bagaimanapun, versi Windows 64-bit pasti lebih terjamin.
Kredit Imej: William Hook di Flickr