Startseite » wie man » Warum die 64-Bit-Version von Windows sicherer ist

    Warum die 64-Bit-Version von Windows sicherer ist

    Die meisten neuen PCs werden seit Jahren mit der 64-Bit-Version von Windows - sowohl Windows 7 als auch 8 - ausgeliefert. Bei 64-Bit-Versionen von Windows geht es nicht nur darum, zusätzlichen Speicher zu nutzen. Sie sind auch sicherer als 32-Bit-Versionen.

    64-Bit-Betriebssysteme sind nicht immun gegen Malware, verfügen jedoch über mehr Sicherheitsfunktionen. Einige davon gelten auch für 64-Bit-Versionen anderer Betriebssysteme wie Linux. Linux-Benutzer profitieren von Sicherheitsvorteilen, wenn sie auf eine 64-Bit-Version ihrer Linux-Distribution umsteigen.

    Randomisierung des Adressraumlayouts

    ASLR ist ein Sicherheitsmerkmal, das bewirkt, dass die Datenpositionen eines Programms im Speicher zufällig angeordnet werden. Vor ASLR könnten die Datenpositionen eines Programms im Speicher vorhersehbar sein, wodurch Angriffe auf ein Programm wesentlich vereinfacht wurden. Mit ASLR muss ein Angreifer den richtigen Speicherort im Speicher ermitteln, wenn er versucht, eine Sicherheitsanfälligkeit in einem Programm auszunutzen. Eine falsche Annahme kann dazu führen, dass das Programm abstürzt, sodass der Angreifer es nicht erneut versuchen kann.

    Diese Sicherheitsfunktion wird auch bei 32-Bit-Versionen von Windows und anderen Betriebssystemen verwendet, ist jedoch bei 64-Bit-Versionen von Windows wesentlich leistungsfähiger. Ein 64-Bit-System hat einen viel größeren Adressraum als ein 32-Bit-System, wodurch ASLR wesentlich effektiver wird.

    Obligatorische Fahrerunterzeichnung

    Die 64-Bit-Version von Windows erzwingt die obligatorische Treibersignierung. Alle Treibercodes auf dem System müssen über eine digitale Signatur verfügen. Dazu gehören Treiber für den Kernelmodus und Treiber für den Benutzermodus, z. B. Druckertreiber.

    Die obligatorische Treibersignatur verhindert, dass nicht signierte Treiber, die von Malware bereitgestellt werden, auf dem System ausgeführt werden. Malware-Autoren müssen den Signaturprozess irgendwie durch ein Bootkit-Rootkit umgehen oder die infizierten Treiber mit einem gültigen Zertifikat signieren, das einem legitimen Treiberentwickler gestohlen wurde. Dies macht es für infizierte Treiber schwieriger, auf dem System zu laufen.

    Die Treibersignierung könnte auch in 32-Bit-Versionen von Windows erzwungen werden. Dies ist jedoch nicht der Fall - wahrscheinlich aufgrund der fortgesetzten Kompatibilität mit alten 32-Bit-Treibern, die möglicherweise nicht signiert wurden.

    Um die Treibersignierung während der Entwicklung unter 64-Bit-Editionen von Windows zu deaktivieren, müssen Sie einen Kernel-Debugger anhängen oder eine spezielle Startoption verwenden, die nach Systemneustarts nicht bestehen bleibt.

    Kernel-Patch-Schutz

    KPP, auch PatchGuard genannt, ist eine Sicherheitsfunktion, die nur bei 64-Bit-Versionen von Windows zu finden ist. PatchGuard verhindert, dass Software (auch Treiber, die im Kernel-Modus ausgeführt werden) den Windows-Kernel patchen. Dies wurde immer nicht unterstützt, ist aber technisch auf 32-Bit-Versionen von Windows möglich. Einige 32-Bit-Antivirenprogramme haben ihre Virenschutzmaßnahmen mit Kernel-Patches implementiert.

    PatchGuard verhindert, dass Gerätetreiber den Kernel patchen. Beispielsweise verhindert PatchGuard, dass Rootkits den Windows-Kernel so ändern, dass sie sich in das Betriebssystem einbetten. Wenn ein Versuch zum Kernel-Patching erkannt wird, wird Windows sofort mit blauem Bildschirm heruntergefahren oder neu gestartet.

    Dieser Schutz könnte in der 32-Bit-Version von Windows eingeführt werden. Dies ist jedoch nicht der Fall - wahrscheinlich aufgrund der fortgesetzten Kompatibilität mit älterer 32-Bit-Software, die von diesem Zugriff abhängt.

    Datenausführungsschutz

    Mit DEP kann ein Betriebssystem bestimmte Speicherbereiche als "nicht ausführbar" kennzeichnen, indem ein "NX-Bit" gesetzt wird. Speicherbereiche, die nur Daten enthalten sollen, sind nicht ausführbar.

    Auf einem System ohne DEP kann ein Angreifer beispielsweise eine Art Pufferüberlauf verwenden, um Code in einen Bereich des Anwendungsspeichers zu schreiben. Dieser Code könnte dann ausgeführt werden. Mit DEP kann der Angreifer Code in einen Bereich des Anwendungsspeichers schreiben. Dieser Bereich wird jedoch als nicht ausführbar markiert und kann nicht ausgeführt werden, wodurch der Angriff gestoppt wird.

    64-Bit-Betriebssysteme verfügen über hardwarebasiertes DEP. Während dies bei 32-Bit-Versionen von Windows auch unterstützt wird, wenn Sie über eine moderne CPU verfügen, sind die Standardeinstellungen strenger und DEP ist für 64-Bit-Programme immer aktiviert, während sie aus Kompatibilitätsgründen standardmäßig für 32-Bit-Programme deaktiviert ist.

    Der DEP-Konfigurationsdialog in Windows ist etwas irreführend. Wie aus der Dokumentation von Microsoft hervorgeht, wird DEP immer für alle 64-Bit-Prozesse verwendet:

    „Die System-DEP-Konfigurationseinstellungen gelten nur für 32-Bit-Anwendungen und -Prozesse, wenn sie unter 32-Bit- oder 64-Bit-Versionen von Windows ausgeführt werden. Bei 64-Bit-Versionen von Windows wird, wenn durch Hardware erzwungenes DEP verfügbar ist, dieses immer auf 64-Bit-Prozesse und Kernel-Speicherbereiche angewendet, und es gibt keine Systemkonfigurationseinstellungen, um es zu deaktivieren. "

    WOW64

    In 64-Bit-Versionen von Windows wird 32-Bit-Windows-Software ausgeführt, jedoch über eine Kompatibilitätsebene, die als WOW64 (Windows 32-Bit unter Windows 64-Bit) bezeichnet wird. Diese Kompatibilitätsebene erzwingt einige Einschränkungen für diese 32-Bit-Programme, wodurch die einwandfreie Funktion von 32-Bit-Malware möglicherweise verhindert wird. 32-Bit-Malware kann auch nicht im Kernelmodus ausgeführt werden. Dies können nur 64-Bit-Programme auf einem 64-Bit-Betriebssystem sein. Dies kann dazu führen, dass ältere 32-Bit-Malware nicht ordnungsgemäß funktioniert. Wenn Sie beispielsweise eine alte Audio-CD mit dem Sony-Rootkit besitzen, kann sie sich nicht auf einer 64-Bit-Version von Windows installieren.

    64-Bit-Versionen von Windows stellen auch die Unterstützung für alte 16-Bit-Programme ein. Neben der Verhinderung der Ausführung alter 16-Bit-Viren werden Unternehmen außerdem dazu gezwungen, ihre alten 16-Bit-Programme zu aktualisieren, die anfällig und ungepatcht sein könnten.

    Angesichts der weit verbreiteten 64-Bit-Version von Windows ist es wahrscheinlich, dass neue Malware unter 64-Bit-Windows ausgeführt werden kann. Die mangelnde Kompatibilität kann jedoch zum Schutz vor alter Malware in der Wildnis beitragen.


    Wenn Sie nicht knackige alte 16-Bit-Programme, alte Hardware, die nur 32-Bit-Treiber anbietet, oder Computer mit einer relativ alten 32-Bit-CPU verwenden, sollten Sie die 64-Bit-Version von Windows verwenden. Wenn Sie nicht sicher sind, welche Version Sie verwenden, Sie jedoch einen modernen Computer mit Windows 7 oder 8 verwenden, verwenden Sie wahrscheinlich die 64-Bit-Version.

    Natürlich ist keine dieser Sicherheitsfunktionen narrensicher, und eine 64-Bit-Version von Windows ist immer noch anfällig für Malware. Allerdings sind 64-Bit-Versionen von Windows definitiv sicherer.

    Bildnachweis: William Hook bei Flickr