Randomizare aspect spațiu de adrese
ASLR este o caracteristică de securitate care face ca locațiile de date ale unui program să fie aranjate aleatoriu în memorie. Înainte de ASLR, locațiile de date ale unui program în memorie puteau fi previzibile, ceea ce a făcut ca atacurile asupra unui program să fie mult mai ușoare. Cu ASLR, un atacator trebuie să ghicească locația corectă în memorie atunci când încearcă să exploateze o vulnerabilitate dintr-un program. O presupunere incorectă poate duce la prăbușirea programului, astfel încât atacatorul nu va putea încerca din nou.

Această caracteristică de securitate este utilizată și pe versiunile pe 32 de biți ale Windows și pe alte sisteme de operare, dar este mult mai puternică pe versiunile pe 64 de biți ale Windows. Un sistem pe 64 de biți are un spațiu de adrese mult mai mare decât un sistem pe 32 de biți, ceea ce face ca ASLR să fie mult mai eficient.

Semnarea driverului obligatorie

Versiunea pe 64 de biți de Windows impune semnarea obligatorie a driverului. Toate codurile de șofer din sistem trebuie să aibă o semnătură digitală. Aceasta include drivere pentru dispozitive în modul kernel și drivere pentru modul utilizator, cum ar fi driverele de imprimantă.

Semnarea obligatorie a driverului împiedică rularea în sistem a driverelor nesemnate furnizate de programe malware. Autorii de programe malware vor trebui să ocolească cumva procesul de semnare printr-un rootkit la pornire sau să reușească să semneze driverele infectate cu un certificat valid furat de la un dezvoltator de drivere legitim. Acest lucru face mai dificil pentru șoferii infectați să ruleze pe sistem.

Semnarea driverelor ar putea fi impusă și pe versiunile pe 32 de biți de Windows, dar nu este așa – probabil pentru compatibilitate continuă cu driverele vechi pe 32 de biți care este posibil să nu fi fost semnate.

Pentru a dezactiva semnarea driverului în timpul dezvoltării pe edițiile pe 64 de biți ale Windows, ar trebui să atașați un depanator de kernel sau să utilizați o opțiune specială de pornire care nu persistă la repornirile sistemului.

Protecția Kernel Patch
KPP, cunoscut și sub numele de PatchGuard, este o caracteristică de securitate care se găsește numai pe versiunile de Windows pe 64 de biți. PatchGuard împiedică software-ul, chiar și driverele care rulează în modul kernel, să patcheze kernel-ul Windows. Acest lucru a fost întotdeauna neacceptat, dar este posibil din punct de vedere tehnic pe versiunile de Windows pe 32 de biți. Unele programe antivirus pe 32 de biți și-au implementat măsurile de protecție antivirus folosind corecțiile nucleului.

PatchGuard împiedică driverele de dispozitiv să patcheze nucleul. De exemplu, PatchGuard împiedică rootkit-urile să modifice nucleul Windows pentru a se încorpora în sistemul de operare. Dacă este detectată o încercare de corecție a nucleului, Windows se va închide imediat cu un ecran albastru sau se va reporni.

Această protecție ar putea fi pusă în aplicare pe versiunea pe 32 de biți a Windows, dar nu a fost – probabil pentru compatibilitatea continuă cu software-ul moștenit pe 32 de biți care depinde de acest acces.

Protecția execuției datelor
DEP permite unui sistem de operare să marcheze anumite zone de memorie ca „neexecutable” prin setarea unui „bit NX”. Zonele de memorie care ar trebui să conțină numai date nu vor fi executabile.

De exemplu, pe un sistem fără DEP, un atacator ar putea folosi un fel de depășire a memoriei tampon pentru a scrie cod într-o regiune a memoriei unei aplicații. Acest cod ar putea fi apoi executat. Cu DEP, atacatorul ar putea scrie cod într-o regiune a memoriei aplicației – dar această regiune ar fi marcată ca neexecutabilă și nu ar putea fi executată, ceea ce ar opri atacul.

Sistemele de operare pe 64 de biți au DEP bazat pe hardware. Deși acest lucru este acceptat și pe versiunile pe 32 de biți de Windows dacă aveți un procesor modern, setările implicite sunt mai stricte și DEP este întotdeauna activat pentru programele pe 64 de biți, în timp ce este dezactivat implicit pentru programele pe 32 de biți din motive de compatibilitate.

Dialogul de configurare DEP din Windows este puțin înșelător. După cum se arată în documentația Microsoft, DEP este întotdeauna utilizat pentru toate procesele pe 64 de biți:

„Setările de configurare a sistemului DEP se aplică numai pentru aplicațiile și procesele pe 32 de biți atunci când rulează pe versiuni de Windows pe 32 de biți sau 64 de biți. Pe versiunile pe 64 de biți de Windows, dacă DEP aplicat hardware este disponibil, acesta este întotdeauna aplicat proceselor pe 64 de biți și spațiilor de memorie kernel și nu există setări de configurare a sistemului care să-l dezactiveze”.

WOW64
Versiunile pe 64 de biți ale Windows rulează software Windows pe 32 de biți, dar o fac printr-un strat de compatibilitate cunoscut sub numele de WOW64 (Windows 32 de biți pe Windows 64 de biți). Acest nivel de compatibilitate impune anumite restricții asupra acestor programe pe 32 de biți, care pot împiedica funcționarea corectă a programelor malware pe 32 de biți. De asemenea, programele malware pe 32 de biți nu vor putea rula în modul kernel – doar programele pe 64 de biți pot face acest lucru pe un sistem de operare pe 64 de biți – astfel încât acest lucru poate împiedica funcționarea corectă a unor programe malware mai vechi pe 32 de biți. De exemplu, dacă aveți un CD audio vechi cu rootkit-ul Sony, acesta nu va fi capabil să se instaleze pe o versiune de Windows pe 64 de biți.

Versiunile pe 64 de biți ale Windows renunță și la suportul pentru programele vechi pe 16 biți. Pe lângă faptul că împiedică executarea virușilor vechi pe 16 biți, acest lucru va forța și companiile să-și actualizeze programele vechi pe 16 biți care ar putea fi vulnerabile și nepattchizate.

Având în vedere cât de răspândite sunt versiunile Windows pe 64 de biți, noile programe malware vor putea rula probabil pe Windows pe 64 de biți. Cu toate acestea, lipsa de compatibilitate poate ajuta la protejarea împotriva programelor malware vechi în sălbăticie.

Dacă nu utilizați programe vechi de 16 biți, hardware vechi care oferă doar drivere pe 32 de biți sau un computer cu un procesor de 32 de biți destul de vechi, ar trebui să utilizați versiunea de Windows pe 64 de biți. Dacă nu sunteți sigur ce versiune utilizați, dar aveți un computer modern care rulează Windows 7 sau 8, probabil că utilizați ediția pe 64 de biți.

Desigur, niciuna dintre aceste caracteristici de securitate nu este sigură, iar o versiune de Windows pe 64 de biți este încă vulnerabilă la malware. Cu toate acestea, versiunile pe 64 de biți ale Windows sunt cu siguranță mai sigure.