لماذا يعتبر الإصدار 64 بت من Windows أكثر أمانًا
تم شحن معظم أجهزة الكمبيوتر الجديدة مع الإصدار 64 بت من Windows - كل من Windows 7 و 8 - لسنوات حتى الآن. لا تتعلق إصدارات 64 بت من Windows بالاستفادة من الذاكرة الإضافية فقط. كما أنها أكثر أمانًا من إصدارات 32 بت.
أنظمة التشغيل 64 بت ليست محصنة ضد البرامج الضارة ، ولكن لديها ميزات أمان أكثر. ينطبق بعض هذا أيضًا على إصدارات 64 بت من أنظمة التشغيل الأخرى ، مثل Linux. سيحصل مستخدمو Linux على مزايا الأمان من خلال التبديل إلى إصدار 64 بت من توزيعة Linux الخاصة بهم.
عنوان الفضاء تخطيط عشوائي
ASLR هي ميزة أمان تؤدي إلى ترتيب مواقع بيانات البرنامج عشوائيًا في الذاكرة. قبل ASLR ، يمكن أن تكون مواقع بيانات البرنامج في الذاكرة قابلة للتنبؤ ، مما جعل الهجمات على البرنامج أسهل بكثير. مع ASLR ، يجب على المهاجم تخمين الموقع الصحيح في الذاكرة عند محاولة استغلال ثغرة أمنية في أحد البرامج. قد ينتج عن تخمين غير صحيح تعطل البرنامج ، لذلك لن يتمكن المهاجم من المحاولة مرة أخرى.
يتم استخدام ميزة الأمان هذه أيضًا على إصدارات 32 بت من أنظمة تشغيل Windows وأنظمة التشغيل الأخرى ، ولكنها أكثر قوة على إصدارات 64 بت من Windows. نظام 64 بت لديه مساحة عنوان أكبر بكثير من نظام 32 بت ، مما يجعل ASLR أكثر فعالية.
إلزامي توقيع السائق
يفرض الإصدار 64 بت من Windows توقيع برنامج التشغيل الإلزامي. يجب أن يكون لكل رمز برنامج التشغيل الموجود على النظام توقيع رقمي. يتضمن ذلك برامج تشغيل الأجهزة في وضع kernel وبرامج تشغيل وضع المستخدم ، مثل برامج تشغيل الطابعة.
يعمل توقيع برنامج التشغيل الإلزامي على منع برامج التشغيل غير الموقعة التي توفرها البرامج الضارة على النظام. سيضطر مؤلفو البرامج الضارة إلى تجاوز عملية التوقيع بطريقة أو بأخرى من خلال التمهيد rootkit أو إدارة التوقيع على برامج التشغيل المصابة بشهادة صالحة سرقت من مطور برنامج تشغيل شرعي. هذا يجعل الأمر أكثر صعوبة بالنسبة للسائقين المصابين بالعدوى لتشغيل النظام.
يمكن أيضًا فرض توقيع برنامج التشغيل على إصدارات 32 بت من Windows ، ولكنه ليس كذلك - من المحتمل استمرار التوافق مع برامج تشغيل 32 بت القديمة التي ربما لم يتم توقيعها.
لتعطيل توقيع برنامج التشغيل أثناء التطوير على إصدارات 64 بت من Windows ، يجب عليك إرفاق مصحح أخطاء kernel أو استخدام خيار بدء تشغيل خاص لا يستمر عبر عمليات إعادة تمهيد النظام.
نواة التصحيح حماية
KPP ، المعروف أيضاً باسم PatchGuard ، هي ميزة أمان موجودة فقط في إصدارات 64 بت من Windows. PatchGuard يمنع البرنامج ، حتى السائقين الذين يعملون في وضع kernel ، من تصحيح ويندوز kernel. كان هذا دائمًا غير معتمد ، ولكنه ممكن تقنيًا في إصدارات 32 بت من Windows. قامت بعض برامج مكافحة الفيروسات ذات 32 بت بتطبيق إجراءات الحماية من الفيروسات باستخدام ترقيع النواة.
PatchGuard يمنع برامج تشغيل الأجهزة من تصحيح النواة. على سبيل المثال ، يمنع PatchGuard rootkits من تعديل Windows kernel لتضمينه في نظام التشغيل. إذا تم الكشف عن محاولة في ترقيع kernel ، فسيتم إغلاق Windows على الفور باستخدام شاشة زرقاء أو إعادة تشغيل.
يمكن وضع هذه الحماية موضع التنفيذ في الإصدار 32 بت من Windows ، ولكنها لم تكن - على الأرجح للتوافق المستمر مع برنامج 32 بت القديم الذي يعتمد على هذا الوصول.
حماية تنفيذ البيانات
يسمح DEP لنظام التشغيل بوضع علامات على مناطق معينة من الذاكرة بأنها "غير قابلة للتنفيذ" عن طريق تعيين "NX bit". لن تكون مناطق الذاكرة التي من المفترض أن تحتفظ بها البيانات قابلة للتنفيذ فقط.
على سبيل المثال ، على نظام بدون DEP ، يمكن للمهاجم استخدام نوع من تجاوز سعة المخزن المؤقت لكتابة التعليمات البرمجية في منطقة من ذاكرة التطبيق. يمكن بعد ذلك تنفيذ هذا الرمز. باستخدام DEP ، يمكن للمهاجم كتابة التعليمات البرمجية في منطقة من ذاكرة التطبيق - ولكن هذه المنطقة سيتم وضع علامة عليها بأنها غير قابلة للتنفيذ ولا يمكن تنفيذها ، مما سيوقف الهجوم.
أنظمة التشغيل 64 بت لديها ميزة DEP المستندة إلى الأجهزة. بينما يتم دعم ذلك أيضًا على إصدارات 32 بت من Windows إذا كان لديك وحدة معالجة مركزية حديثة ، فإن الإعدادات الافتراضية أكثر صرامة ويتم تمكين DEP دائمًا لبرامج 64 بت ، بينما يتم تعطيلها بشكل افتراضي لبرامج 32 بت لأسباب التوافق.
يعتبر مربع حوار تكوين DEP في Windows مضللًا بعض الشيء. كما تنص وثائق Microsoft ، يتم استخدام DEP دائمًا لكافة عمليات 64 بت:
"تنطبق إعدادات تكوين DEP للنظام فقط على تطبيقات 32 بت والعمليات عند تشغيلها على إصدارات 32 بت أو 64 بت من Windows. في إصدارات 64 بت من Windows ، إذا كان DEP يتم فرضه عن طريق الأجهزة ، فإنه يتم تطبيقه دائمًا على عمليات 64 بت ومساحات ذاكرة kernel ولا توجد إعدادات تكوين النظام لتعطيله. "
WOW64
تعمل إصدارات 64 بت من Windows على تشغيل برنامج Windows ذو 32 بت ، ولكنها تقوم بذلك من خلال طبقة توافق تعرف باسم WOW64 (Windows 32-bit على Windows 64 بت). تقوم طبقة التوافق هذه بفرض بعض القيود على هذه البرامج ذات 32 بت ، والتي قد تمنع البرامج الضارة 32 بت من العمل بشكل صحيح. كما لن تتمكن البرامج الضارة ذات 32 بت من تشغيل وضع kernel - فقط برامج 64 بت يمكنها القيام بذلك على نظام تشغيل 64 بت - لذلك قد يمنع هذا بعض البرامج الضارة ذات 32 بت من العمل بشكل صحيح. على سبيل المثال ، إذا كان لديك قرص مضغوط صوتي قديم مع جذر Sony rootkit عليه ، فلن يكون قادرًا على تثبيت نفسه على إصدار 64 بت من Windows.
إصدارات 64 بت من Windows أيضاً إسقاط الدعم لبرامج 16 بت القديمة. بالإضافة إلى منع الفيروسات القديمة من 16 بت من التنفيذ ، فإن هذا سيجبر الشركات على ترقية برامج 16 بت القديمة التي يمكن أن تكون ضعيفة وغير مضبوطة..
بالنظر إلى مدى انتشار إصدارات 64 بت من Windows الآن ، من المحتمل أن تكون البرامج الضارة الجديدة قادرة على العمل على نظام Windows 64 بت. ومع ذلك ، فإن عدم التوافق يمكن أن يساعد في الحماية من البرامج الضارة القديمة في البرية.
ما لم تستخدم برامج 16 بت القديمة ، الأجهزة القديمة التي لا توفر سوى برامج تشغيل 32 بت ، أو كمبيوتر مع وحدة معالجة مركزية 32 بت قديمة نسبياً ، يجب أن تستخدم إصدار 64 بت من Windows. إذا لم تكن متأكدًا من الإصدار الذي تستخدمه ولكن لديك جهاز كمبيوتر حديث يعمل بنظام التشغيل Windows 7 أو 8 ، فمن المحتمل أنك تستخدم إصدار 64 بت.
وبالطبع ، لا يوجد أي من ميزات الأمان هذه مضمونة ، ولا يزال إصدار 64 بت من Windows عرضة للبرامج الضارة. ومع ذلك ، فإن إصدارات 64 بت من Windows هي بالتأكيد أكثر أمانًا.
Image Credit: وليام هوك على Flickr
