Connect with us

Wie man

Warum die 64-Bit-Version von Windows sicherer ist

Warum die 64-Bit-Version von Windows sicherer ist

Die meisten neuen PCs werden seit Jahren mit der 64-Bit-Version von Windows ausgeliefert – sowohl Windows 7 als auch Windows 8. Bei 64-Bit-Versionen von Windows geht es nicht nur darum, zusätzlichen Speicher zu nutzen. Sie sind auch sicherer als 32-Bit-Versionen.

64-Bit-Betriebssysteme sind nicht immun gegen Malware, verfügen jedoch über mehr Sicherheitsfunktionen. Ein Teil davon gilt auch für 64-Bit-Versionen anderer Betriebssysteme wie Linux. Linux-Benutzer erhalten Sicherheitsvorteile, wenn sie zu einer 64-Bit-Version ihrer Linux-Distribution wechseln.

Randomisierung des Adressraumlayouts

ASLR ist eine Sicherheitsfunktion, die bewirkt, dass die Datenpositionen eines Programms zufällig im Speicher angeordnet werden. Vor ASLR konnten die Datenpositionen eines Programms im Speicher vorhersehbar sein, was Angriffe auf ein Programm erheblich erleichterte. Bei ASLR muss ein Angreifer den richtigen Speicherort erraten, wenn er versucht, eine Sicherheitsanfälligkeit in einem Programm auszunutzen. Eine falsche Vermutung kann zum Absturz des Programms führen, sodass der Angreifer es nicht erneut versuchen kann.

Diese Sicherheitsfunktion wird auch unter 32-Bit-Versionen von Windows und anderen Betriebssystemen verwendet, ist jedoch unter 64-Bit-Versionen von Windows viel leistungsfähiger. Ein 64-Bit-System hat einen viel größeren Adressraum als ein 32-Bit-System, wodurch ASLR viel effektiver wird.

Obligatorische Fahrersignatur

Die 64-Bit-Version von Windows erzwingt die obligatorische Treibersignatur. Alle Treibercodes im System müssen eine digitale Signatur haben. Dies umfasst Gerätetreiber im Kernelmodus und Treiber im Benutzermodus, z. B. Druckertreiber.

Die obligatorische Treibersignatur verhindert, dass nicht signierte Treiber, die von Malware bereitgestellt werden, auf dem System ausgeführt werden. Malware-Autoren müssen den Signaturprozess über ein Rootkit zur Startzeit irgendwie umgehen oder es schaffen, die infizierten Treiber mit einem gültigen Zertifikat zu signieren, das einem legitimen Treiberentwickler gestohlen wurde. Dies erschwert es infizierten Treibern, auf dem System ausgeführt zu werden.

Die Treibersignatur könnte auch in 32-Bit-Versionen von Windows erzwungen werden, ist dies jedoch nicht – wahrscheinlich aufgrund der fortgesetzten Kompatibilität mit alten 32-Bit-Treibern, die möglicherweise nicht signiert wurden.

Um die Treibersignatur während der Entwicklung unter 64-Bit-Editionen von Windows zu deaktivieren, müssen Sie dies tun Fügen Sie einen Kernel-Debugger hinzu oder verwenden Sie eine spezielle Startoption, die bei Systemneustarts nicht bestehen bleibt.

Kernel-Patch-Schutz

KPP, auch als PatchGuard bekannt, ist eine Sicherheitsfunktion, die nur in 64-Bit-Versionen von Windows verfügbar ist. PatchGuard verhindert, dass Software, auch Treiber, die im Kernel-Modus ausgeführt werden, den Windows-Kernel patchen. Dies wurde immer nicht unterstützt, ist jedoch unter 32-Bit-Versionen von Windows technisch möglich. Einige 32-Bit-Antivirenprogramme haben ihre Antivirenschutzmaßnahmen mithilfe von Kernel-Patches implementiert.

PatchGuard verhindert, dass Gerätetreiber den Kernel patchen. PatchGuard verhindert beispielsweise, dass Rootkits den Windows-Kernel so ändern, dass er sich in das Betriebssystem einbettet. Wenn ein Versuch eines Kernel-Patches erkannt wird, wird Windows sofort mit einem blauen Bildschirm heruntergefahren oder neu gestartet.

Dieser Schutz könnte in der 32-Bit-Version von Windows eingeführt werden, war es jedoch nicht – wahrscheinlich aufgrund der fortgesetzten Kompatibilität mit älterer 32-Bit-Software, die von diesem Zugriff abhängt.

Datenausführungsschutz

Mit DEP kann ein Betriebssystem bestimmte Speicherbereiche durch Setzen eines „NX-Bits“ als „nicht ausführbar“ markieren. Speicherbereiche, die nur Daten enthalten sollen, können nicht ausgeführt werden.

Auf einem System ohne DEP könnte ein Angreifer beispielsweise eine Art Pufferüberlauf verwenden, um Code in einen Bereich des Arbeitsspeichers einer Anwendung zu schreiben. Dieser Code könnte dann ausgeführt werden. Mit DEP könnte der Angreifer Code in einen Bereich des Anwendungsspeichers schreiben. Dieser Bereich wird jedoch als nicht ausführbar markiert und kann nicht ausgeführt werden, wodurch der Angriff gestoppt wird.

64-Bit-Betriebssysteme verfügen über hardwarebasierte DEP. Während dies auch bei 32-Bit-Versionen von Windows unterstützt wird, wenn Sie über eine moderne CPU verfügen, sind die Standardeinstellungen strenger und DEP ist immer für 64-Bit-Programme aktiviert, während es aus Kompatibilitätsgründen für 32-Bit-Programme standardmäßig deaktiviert ist.

Der DEP-Konfigurationsdialog in Windows ist etwas irreführend. Wie Microsoft-Dokumentation Zustände, DEP wird immer für alle 64-Bit-Prozesse verwendet:

„Die System-DEP-Konfigurationseinstellungen gelten nur für 32-Bit-Anwendungen und -Prozesse, wenn sie unter 32-Bit- oder 64-Bit-Versionen von Windows ausgeführt werden. Wenn in 64-Bit-Versionen von Windows Hardware-erzwungenes DEP verfügbar ist, wird es immer auf 64-Bit-Prozesse und Kernel-Speicherbereiche angewendet, und es gibt keine Systemkonfigurationseinstellungen, um es zu deaktivieren. “

WOW64

In 64-Bit-Versionen von Windows wird 32-Bit-Windows-Software ausgeführt, dies geschieht jedoch über eine Kompatibilitätsschicht namens WOW64 (Windows 32-Bit unter Windows 64-Bit). Diese Kompatibilitätsschicht erzwingt einige Einschränkungen für diese 32-Bit-Programme, die möglicherweise die ordnungsgemäße Funktion von 32-Bit-Malware beeinträchtigen. 32-Bit-Malware kann auch im Kernelmodus nicht ausgeführt werden – dies können nur 64-Bit-Programme unter einem 64-Bit-Betriebssystem tun. Dies kann dazu führen, dass ältere 32-Bit-Malware nicht ordnungsgemäß funktioniert. Wenn Sie beispielsweise eine alte Audio-CD mit dem Sony-Rootkit haben, kann diese nicht auf einer 64-Bit-Version von Windows installiert werden.

64-Bit-Versionen von Windows unterstützen auch alte 16-Bit-Programme nicht mehr. Dies verhindert nicht nur, dass alte 16-Bit-Viren ausgeführt werden, sondern zwingt Unternehmen auch dazu, ihre alten 16-Bit-Programme zu aktualisieren, die anfällig und nicht gepatcht sein könnten.

Angesichts der Verbreitung von 64-Bit-Versionen von Windows kann neue Malware wahrscheinlich unter 64-Bit-Windows ausgeführt werden. Die mangelnde Kompatibilität kann jedoch zum Schutz vor alter Malware in freier Wildbahn beitragen.

Sofern Sie keine knarrenden alten 16-Bit-Programme, alte Hardware, die nur 32-Bit-Treiber bietet, oder einen Computer mit einer ziemlich alten 32-Bit-CPU verwenden, sollten Sie die 64-Bit-Version von Windows verwenden. Wenn Sie nicht sicher sind, welche Version Sie verwenden, aber einen modernen Computer mit Windows 7 oder 8 haben, verwenden Sie wahrscheinlich die 64-Bit-Edition.

Natürlich ist keine dieser Sicherheitsfunktionen kinderleicht, und eine 64-Bit-Version von Windows ist immer noch anfällig für Malware. 64-Bit-Versionen von Windows sind jedoch definitiv sicherer.

Bildnachweis: William Hook auf Flickr

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia