امروزه بیشتر پی‌سی‌ها به همراه سیستم‌عامل‌های ۶۴ بیتی عرضه می‌شوند حال ممکن است ویندوز ۷ روی آن نصب شده باشد و یا ویندوز ۸ و اخیراً ۸.۱ جایگزین آن شده باشد. شاید شما هم تصور کرده‌اید که تنها مزیت سیستم عامل ۶۴ بیتی استفاده از رم بیشتر و عملکرد کمی سریع‌تر است اما جالب است بدانید که یک سیستم‌عامل ۶۴ بیتی، امنیت به مراتب بالاتری هم دارد. در ادامه‌ی مطلب به بررسی بیشتر این موضوع می‌پردازیم.

منظور از امنیت بالاتر این نیست که ویندوز ۶۴ بیتی نسبت به مخرب‌ها ایمن است بلکه مزیت آن داشتن امکانات امنیتی بیشتر است. برخی از امکانات مورد بحث در سیستم عامل‌های ۶۴ بیتی دیگر مثل لینوکس هم وجود دارد. بنابراین کاربران لینوکس هم با استفاده از نسخه‌های ۶۴ بیتی به بالا بردن ایمنی سیستم خود کمک می‌کنند.

تصادفی‌سازی چیدمان فضای آدرس

ASLR قابلیتی است که باعث می‌شود اطلاعات مربوط به یک نرم‌افزار در حافظه به صورت تصادفی چیده شوند. در واقع اگر تصادفی‌سازی چیدمان فضای آدرس‌ها یا ASLR وجود نداشته باشد، ممکن است مکان قرارگیری اطلاعات نرم‌افزار در حافظه قابل پیش‌بینی باشد و در نتیجه حملات امنیتی برای نرم‌افزارها خطرناک‌تر خواهند بود.

در مقابل اگر ASLR فعال باشد، کسی که قصد حمله و هک کردن سیستم را دارد می‌بایست موقعیت اطلاعات مربوط به نرم‌افزار موردنظر را به درستی حدس زده و از حفره‌‌های امینتی موجود استفاده کند. در واقع اگر حدس وی اشتباه از آب درآید، ممکن است نرم‌افزار بسته شده و حمله نافرجام تمام شود.

این ویژگی امنیتی در نسخه‌های ۳۲ بیتی ویندوز و سایر سیستم‌عامل‌ها نیز وجود دارد ولی در نسخه‌های ۶۴ بیتی بسیار قدرتمندتر است. یکی از دلایل آن داشتن فضای آدرس بیشتر در نسخه‌های ۶۴ بیتی است چرا که حافظه‌ی رم بیشتری را پشتیبانی و آدرس‌دهی می‌کنند.

بررسی الزامی امضای دیجیتالی درایورها

نسخه‌ی ۶۴ بیتی ویندوز این الزام را ایجاد می‌کند که درایورهای سخت‌افزار از نظر امضای دیجیتالی چک شوند. این الزام در مورد درایورهای سخت‌افزاری برای کرنل (یا هسته‌ی ویندوز) و همچنین درایورهای کاربری مثل درایور پرینتر وجود دارد.

بررسی الزامی امضای دیجیتالی درایورها باعث می‌شود که اگر فرضاً درایوری فاقد امضا است و در واقع یک مخرب به شکل درایور است، روی سیستم عامل اجرا نشود.

بررسی الزامی امضای دیجیتالی درایورها باعث می‌شود که اگر فرضاً درایوری فاقد امضا است و در واقع یک مخرب به شکل درایور است، روی سیستم عامل اجرا نشود. بنابراین سازندگان محصولات نرم‌افزاری مخرب، برای اجرا کردن درایور معیوب خود مجبورند هنگام بوت شدن سیستم با اجرای یک روت‌کیت، پردازش‌های مربوط به درایور خود را از دید سیستم عامل پنهان کنند. راه حل دیگر استفاده از یک امضای دیجیتالی معتبر است که از سازندگان قانونی درایورها به سرقت رفته است.

شاید بتوان این قابلیت را در نسخه‌های ۳۲ بیتی ویندوز هم اجباری کرد ولی عملاً این‌طور نیست. احتمالاً علت غیرفعال بودن این ویژگی در نسخه‌های ۳۲ بیتی ویندوز، این است که بتوان از نسخه‌های قدیمی درایورها برای ویندوزهای ۳۲ بیتی استفاده کرد چرا که برخی از درایورهای قدیمی امضای دیجیتالی ندارند.

برای غیرفعال کردن بررسی امضای دیجیتالی درایورها به منظور توسعه‌ی نرم‌افزارها در ویندوزهای ۶۴ بیتی می‌بایست به دیباگر(Debugger) کرنل متصل شد و یا هنگام ریبوت شدن ویندوز از گزینه‌ی خاصی استفاده کرد که در حالت معمول وجود ندارد.

محافظت کرنل در مقابل Patch یا وصله

KPP یا Kernel Patch Protection که با نام PatchGuard هم شناخته می‌شود، یک ویژگی امنیتی است که تنها در نسخه‌های ۶۴ بیتی ویندوز دیده می‌شود. پچ‌گارد به نرم‌افزارها و حتی درایورها اجازه نمی‌دهد که در حالت کرنلی اجرا شوند و کرنل ویندوز را با کدهایی وصله‌دار یا پچ کنند. از نظر فنی می‌توان چنین قابلیتی را در نسخه‌های ۳۲ بیتی ویندوز هم فعال کرد ولی هیچ وقت در نسخه‌های ۳۲ بیتی از چنین ویژگی‌ای پشتیبانی نشده است. برخی از نسخه‌های ۳۲ بیتی آنتی‌ویروس‌ها، با پچ کردن کرنل ویندوز به ارزیابی و تشخیص ویروس‌ها و محافظت سیستم در برابر آنها می‌پردازند.

پچ‌گارد به درایور وسایل سخت‌افزاری اجازه نمی‌دهند که کرنل را پچ کنند. به عنوان مثل مانع دستکاری کرنل ویندوز توسط روت‌کیت‌ها و در ادامه پنهان شدن در سیستم‌عامل می‌شوند.

پچ‌گارد به درایور وسایل سخت‌افزاری اجازه نمی‌دهند که کرنل را پچ کنند. به عنوان مثل مانع دستکاری کرنل ویندوز توسط روت‌کیت‌ها و در ادامه پنهان شدن در سیستم‌عامل می‌شوند. اگر هرگونه تلاش برای دستکاری و پچ کردن کرنل ویندوز تشخیص داده شود، ویندوز سریعاً خاموش شده و صفحه‌ی آبی مرگ نمایش داده می‌شود و یا ممکن است سیستم ریبوت شود.

محافظت در برابر اجرای اطلاعات

DEP یا Data Execution Protection این اجازه را به سیستم عامل می‌دهد که برخی از نقاط حافظه را به عنوان غیرقابل اجرا مشخص و علامت‌گذاری کند. علامت‌گذاری این خانه‌های حافظه توسط NX Bit انجام می‌شود. در واقع نواحی خاصی از حافظه که تنها قرار است داده‌ای را نگه دارند، قابل اجرا نخواهند بود.

به عنوان مثال یک سیستم عامل بدون DEP را در نظر بگیرید، یک هکر با استفاده از نوعی Buffer Overflow (سرریزش حافظه) می‌تواند کدهایی را به ناحیه‌ای از حافظه که به یک نرم‌افزار خاص اختصاص داده شده، اضافه نماید. کد اضافه شده بعداً اجرا شده و هکر به مقصود خود می‌رسد. با استفاده از DEP هکر ممکن است کدی را اضافه کند ولی آن بخش از حافظه با علامت غیر قابل اجرا مشخص شده و اجرا نمی‌شود و در نتیجه حمله متوقف خواهد شد.

سیستم‌عامل‌های ۶۴ بیتی دارای DEP سخت‌افزاری هستند که البته در نسخه‌های ۳۲ بیتی هم پشتیبانی می‌شود به شرطی که یک پردازنده‌ی پیشرفته و امروزی داشته باشید. تنظیمات پیش‌فرض برای نرم‌افزارهای ۶۴ بیتی سخت‌گیرانه‌تر و DEP همواره فعال است در حالی که در سیستم‌عامل ۳۲ بیتی به خاطر مشکلات سازگاری نرم‌افزارها، این ویژگی در حالت پیش‌فرض نافعال می‌باشد.

توجه داشته باشید که پیکربندی DEP تنها در مورد نرم‌افزارها و پردازش‌های ۳۲ بیتی که روی ویندوز ۳۲ یا ۶۴ بیتی اجرا می‌شوند، کاربرد دارد. وقتی سیستم عامل ۶۴ بیتی باشد و DEP سخت‌افزاری قابل استفاده باشد، این ویژگی برای پردازنده‌های ۶۴ بیتی و فضای حافظه‌ی کرنل فعال شده و هیچ تنظیمی برای نافعال کردن آن وجود ندارد.

WOW۶۴

بسیاری از کاربران، وقتی می‌خواهند از ویندوز ۳۲ بیتی به ۶۴ بیتی کوچ کنند این سؤال برایشان مطرح می‌شود که آیا ویندوز ۶۴ بیتی قادر به اجرای نرم‌افزارهای ۳۲ بیتی هست یا باید نسخه‌ی ۶۴ بیتی نرم‌افزارها را تهیه کنیم؟

در مورد درایورها و برخی نرم‌افزارهای خاص مشاغل مثل برخی نرم‌افزارهای مهندسی یا ویرایش مالتی‌مدیا نمی‌توان نسخه‌ی ۳۲ بیتی را در ویندوز ۶۴ بیتی استفاده کرد اما در مورد بسیاری از نرم‌افزارها این امکان وجود دارد.

در واقع ویندوز ۶۴ بیتی از طریق یک لایه‌ی سازگاری به نام WOW۶۴ نرم‌افزارهای ۳۲ بیتی را اجرا می‌کند. WOW۶۴ مخفف Windows ۳۲-Bit On Windows ۶۴-Bit است و دقیقاً به معنی اجرای نسخه‌ی ۳۲ بیتی در ویندوز ۶۴ بیتی می‌باشد. لایه‌ی مورد بحث محدودیت‌هایی برای نرم‌افزارها قائل است لذا ویروس‌ها و مخرب‌های ۳۲ بیتی در سیستم‌عامل ۶۴ بیتی با مشکل مواجه می‌شوند. نکته‌ی دیگر این است که مخرب‌های ۳۲ بیتی نمی‌توانند در حالت کرنلی اجرا شوند چرا که در ویندوز ۶۴ بیتی تنها نرم‌افزارهای ۶۴ بیتی در صورت داشتن شرایط امنیتی می‌توانند در حالت کرنلی اجرا شوند. به مثالی توجه کنید، اگر یک سی‌دی صوتی قدیمی داشته باشید و روت‌کیت Sony روی آن باشد، این روت‌کیت نمی‌تواند روی نسخه‌ی ۶۴ بیتی ویندوز نصب شود.

علاوه بر این در نسخه‌ی ۶۴ بیتی ویندوز از نرم‌افزارهای قدیمی ۱۶ بیتی پشتیبانی نمی‌شود. این نرم‌افزارها بسیار قدیمی‌اند و لذا سازنده مجبور می‌شود آنها را به روز کند تا مشکلات امنیتی و باگ‌های موجود برطرف شوند. علاوه بر این مخرب‌های ۱۶ بیتی قادر به خرابکاری در سیستم شما نخواهند بود.

البته با گسترش نسخه‌های ۶۴ بیتی ویندوز، مخرب‌های جدید معمولاً روی آنها اجرا می‌شوند ولیکن مشکل سازگاری مانع از اجرای مخرب‌های قدیمی‌تر خواهد شد.

جمع‌بندی

با توجه به مواردی که ذکر شد، نسخه‌ی ۶۴ بیتی ویندوز امنیت بالاتری دارد ولیکن نمی‌توان اینطور تصور کرد که نسبت به هر نوع مخرب و یا حمله‌ای ایمن است.

اگر کامپیوتر شما بسیار قدیمی نباشد، از نسخه‌ی ۶۴ بیتی ویندوز پشتیبانی می‌کند و درایورهای سخت‌افزاری ۶۴ بیتی نیز در وب‌سایت سازنده‌ی قطعه یافت می‌شود. با این حال ممکن است کامپیوتر بسیار قدیمی ۱۶ بیتی داشته باشید که تنها درایورهای ۳۲ بیتی برای آن عرضه شده و یا ممکن است پردازنده‌ی نسبتاً قدیمی داشته باشید که ۳۲ بیتی است. در این صورت راهی جز استفاده از نسخه‌ی ۳۲ بیتی ویندوز ندارید.

شما از کدام نسخه‌ی ویندوز استفاده می‌کنید و تاکنون چه مشکلاتی با نرم‌افزارهای خاص مشاغل مختلف داشته‌اید؟ تجارب خود در این زمینه را با دیگران به اشتراک بگذارید.