Tại sao Phiên bản Windows 64 bit an toàn hơn
Hầu hết các PC mới đã được phát hành với phiên bản Windows 64 bit - cả Windows 7 và 8 - trong nhiều năm nay. Các phiên bản 64 bit của Windows không chỉ tận dụng bộ nhớ bổ sung. Chúng cũng an toàn hơn các phiên bản 32 bit.
Hệ điều hành 64 bit không tránh khỏi phần mềm độc hại, nhưng chúng có nhiều tính năng bảo mật hơn. Một số điều này cũng áp dụng cho các phiên bản 64 bit của các hệ điều hành khác, chẳng hạn như Linux. Người dùng Linux sẽ có được lợi thế bảo mật bằng cách chuyển sang phiên bản 64 bit của bản phân phối Linux của họ.
Ngẫu nhiên bố trí không gian địa chỉ
ASLR là một tính năng bảo mật khiến các vị trí dữ liệu của chương trình được sắp xếp ngẫu nhiên trong bộ nhớ. Trước ASLR, các vị trí dữ liệu của chương trình trong bộ nhớ có thể dự đoán được, điều này khiến các cuộc tấn công vào chương trình dễ dàng hơn nhiều. Với ASLR, kẻ tấn công phải đoán đúng vị trí trong bộ nhớ khi cố gắng khai thác lỗ hổng trong chương trình. Một dự đoán không chính xác có thể dẫn đến chương trình bị sập, vì vậy kẻ tấn công sẽ không thể thử lại.
Tính năng bảo mật này cũng được sử dụng trên các phiên bản Windows 32 bit và các hệ điều hành khác, nhưng nó mạnh hơn nhiều so với các phiên bản Windows 64 bit. Hệ thống 64 bit có không gian địa chỉ lớn hơn nhiều so với hệ thống 32 bit, giúp ASLR hiệu quả hơn nhiều.
Ký tên lái xe bắt buộc
Phiên bản 64 bit của Windows thực thi việc ký trình điều khiển bắt buộc. Tất cả các mã trình điều khiển trên hệ thống phải có chữ ký số. Điều này bao gồm trình điều khiển thiết bị chế độ lõi và trình điều khiển chế độ người dùng, chẳng hạn như trình điều khiển máy in.
Ký trình điều khiển bắt buộc ngăn các trình điều khiển không dấu được cung cấp bởi phần mềm độc hại chạy trên hệ thống. Các tác giả phần mềm độc hại sẽ phải bằng cách nào đó bỏ qua quá trình ký thông qua rootkit thời gian khởi động hoặc quản lý để ký các trình điều khiển bị nhiễm bằng chứng chỉ hợp lệ bị đánh cắp từ nhà phát triển trình điều khiển hợp pháp. Điều này gây khó khăn hơn cho các trình điều khiển bị nhiễm khi chạy trên hệ thống.
Việc ký trình điều khiển cũng có thể được thi hành trên các phiên bản Windows 32 bit, nhưng không - có khả năng tiếp tục tương thích với các trình điều khiển 32 bit cũ có thể chưa được ký.
Để vô hiệu hóa việc đăng nhập trình điều khiển trong quá trình phát triển trên phiên bản Windows 64 bit, bạn sẽ phải đính kèm trình gỡ lỗi kernel hoặc sử dụng tùy chọn khởi động đặc biệt không tồn tại trong quá trình khởi động lại hệ thống.
Bảo vệ bản vá hạt nhân
KPP, còn được gọi là PatchGuard, là một tính năng bảo mật chỉ có trên các phiên bản Windows 64 bit. PatchGuard ngăn phần mềm, ngay cả trình điều khiển chạy ở chế độ kernel, không vá được kernel Windows. Điều này luôn không được hỗ trợ, nhưng về mặt kỹ thuật có thể có trên các phiên bản Windows 32 bit. Một số chương trình chống vi-rút 32-bit đã triển khai các biện pháp chống vi-rút bằng cách sử dụng bản vá nhân.
PatchGuard ngăn trình điều khiển thiết bị vá kernel. Ví dụ, PatchGuard ngăn các rootkit sửa đổi kernel Windows để tự nhúng vào hệ điều hành. Nếu phát hiện nỗ lực vá kernel, Windows sẽ tắt ngay lập tức với màn hình xanh hoặc khởi động lại.
Sự bảo vệ này có thể được áp dụng trên phiên bản Windows 32 bit, nhưng nó đã không - có khả năng tiếp tục tương thích với phần mềm 32 bit kế thừa phụ thuộc vào quyền truy cập này.
Bảo vệ thực thi dữ liệu
DEP cho phép một hệ điều hành đánh dấu các khu vực nhất định của bộ nhớ là không thể thực thi được bằng cách cài đặt một bit NX NX. Các vùng bộ nhớ được cho là chỉ giữ dữ liệu sẽ không thể thực thi được.
Ví dụ, trên một hệ thống không có DEP, kẻ tấn công có thể sử dụng một số loại tràn bộ đệm để ghi mã vào vùng nhớ của ứng dụng. Mã này sau đó có thể được thực thi. Với DEP, kẻ tấn công có thể viết mã vào vùng nhớ của ứng dụng - nhưng vùng này sẽ được đánh dấu là không thể thực thi và không thể được thực thi, điều này sẽ ngăn chặn cuộc tấn công.
Hệ điều hành 64 bit có DEP dựa trên phần cứng. Mặc dù điều này cũng được hỗ trợ trên các phiên bản Windows 32 bit nếu bạn có CPU hiện đại, các cài đặt mặc định nghiêm ngặt hơn và DEP luôn được bật cho các chương trình 64 bit, trong khi nó bị tắt theo mặc định cho các chương trình 32 bit vì lý do tương thích.
Hộp thoại cấu hình DEP trong Windows hơi sai lệch. Như tài liệu của Microsoft tuyên bố, DEP luôn được sử dụng cho tất cả các quy trình 64 bit:
Cài đặt cấu hình của Hệ thống DEP chỉ áp dụng cho các ứng dụng và quy trình 32 bit khi chạy trên các phiên bản Windows 32 bit hoặc 64 bit. Trên các phiên bản Windows 64 bit, nếu có sẵn DEP được thi hành bằng phần cứng, nó luôn được áp dụng cho các quy trình 64 bit và không gian bộ nhớ kernel và không có cài đặt cấu hình hệ thống nào để vô hiệu hóa nó.
WOW64
Các phiên bản Windows 64 bit chạy phần mềm Windows 32 bit, nhưng chúng thực hiện điều đó thông qua lớp tương thích được gọi là WOW64 (Windows 32 bit trên Windows 64 bit). Lớp tương thích này thực thi một số hạn chế đối với các chương trình 32 bit này, điều này có thể ngăn phần mềm độc hại 32 bit hoạt động đúng. Phần mềm độc hại 32 bit cũng sẽ không thể chạy trong chế độ kernel - chỉ các chương trình 64 bit có thể làm điều đó trên HĐH 64 bit - vì vậy điều này có thể ngăn một số phần mềm độc hại 32 bit cũ hoạt động đúng. Ví dụ: nếu bạn có CD âm thanh cũ với bộ rootkit của Sony trên đó, nó sẽ không có khả năng tự cài đặt trên phiên bản Windows 64 bit.
Các phiên bản Windows 64 bit cũng bỏ hỗ trợ cho các chương trình 16 bit cũ. Ngoài việc ngăn chặn vi-rút 16-bit cổ đại thực thi, điều này cũng sẽ buộc các công ty nâng cấp các chương trình 16-bit cổ có thể dễ bị tổn thương và không thể vá được.
Cho biết các phiên bản Windows 64 bit phổ biến hiện nay như thế nào, phần mềm độc hại mới có thể sẽ có khả năng chạy trên Windows 64 bit. Tuy nhiên, việc thiếu khả năng tương thích có thể giúp bảo vệ chống lại phần mềm độc hại cũ trong tự nhiên.
Trừ khi bạn sử dụng các chương trình 16 bit cũ kỹ, phần cứng cổ chỉ cung cấp trình điều khiển 32 bit hoặc máy tính có CPU 32 bit khá cũ, bạn nên sử dụng phiên bản Windows 64 bit. Nếu bạn không chắc chắn mình đang sử dụng phiên bản nào nhưng bạn có một máy tính hiện đại chạy Windows 7 hoặc 8, thì có khả năng bạn đang sử dụng phiên bản 64 bit.
Tất nhiên, không có tính năng bảo mật nào trong số này là hoàn hảo, và phiên bản Windows 64 bit vẫn dễ bị phần mềm độc hại. Tuy nhiên, các phiên bản Windows 64 bit chắc chắn an toàn hơn.
Tín dụng hình ảnh: William Hook trên Flickr