computerwoche.de

Software-Infrastruktur

Vista x64 versus Vista x86

Vista-Umstieg - besser gleich auf die 64-Bit-Version?

14.05.2008
Von Michael Pietroforte

Sicherheit als Argument

Wenn Arbeitsspeicher und Performance nicht entscheidend sind, dann könnten die speziellen Sicherheitsfeatures für die Wahl von Vista x64 ausschlaggebend sein. Zwar gilt schon die 32-Bit-Ausgabe im Vergleich zu Windows XP als sicherer, aber in Bereichen, wo Sicherheit groß geschrieben wird, sind Features wie Kernel Patch Protection (KPK) und Hardware-basiertes Data Execution Protection (DEP) willkommene Erweiterungen, die nur das 64-Bit-Vista bietet.

Hardware-basiertes DEP (zu Deutsch "Hardware-basierte Datenausführungsverhinderung") nutzt das sogenannte No-Execute-Bit (NX-Bit), das AMD mit dem Athlon 64 einführte. Bei Intel heißt das Pendant Execute Disable (XD-Bit). Mit dieser Technik lässt sich der Arbeitsspeicher in Bereiche für Daten und ausführbaren Code unterteilen, was vor Angriffen, die auf Pufferüberläufen basieren, schützen soll. Auch Vista x86 unterstützt DEP, allerdings nur Software-basiert. Bei Software-basierten DEP, das mit Service Pack 2 für Windows XP eingeführt wurde, ist das Betriebssystem bei dieser Aufgabe auf sich gestellt. Standardmäßig ist es aus Kompatibilitätsgründen auch nur für einige Systemkomponenten aktiviert.

Abgeschotteter Kernel

Kernel Patch Protection, das auch unter der Bezeichnung PatchGuard bekannt ist, soll verhindern, dass Malware Manipulationen am Kernel vornimmt. Die 64-Bit-Versionen von Windows XP und Windows Server 2003 SP1 unterstützen es ebenfalls. Vor allem Hersteller von Sicherheitssoftware nehmen mitunter Modifikationen am Kernel vor, um ihre Anwendungen tief im System zu verankern. Microsoft hat bis vor kurzem solche Kernel-Updates von Drittanbietern offiziell nicht unterstützt, da sie die Sicherheit und Stabilität gefährden und außerdem negativen Einfluss auf die Performance des Systems haben können.

Auf Drängen von Drittherstellern stellt Microsoft mit dem Service Pack 1 für Vista APIs zur Verfügung, die die Aktualisierung des Kernels ermöglichen. Eine Reihe von Mechanismen soll dabei die Systemsicherheit gewährleisten. Unter anderem muss die Software vom Administrator mit gewöhnlichen Tools aufspürbar sein, was das Einschleusen von Rootkits verhindern soll. Auch muss Kernel-Mode-Software grundsätzlich signiert sein. So lässt sich das Risiko verringern, dass Malware sich dieser APIs bedient.

Nicht signierte Treiber unerwünscht

Vista akzeptiert in der x64-Version nur von Microsoft signierte Gerätetreiber. Das dient vor allem der Sicherheit und der Stabilität. Auf die Performance von Vista x64 wirkt sich dieses Verfahren bisweilen ebenfalls positiv aus, denn nicht selten ist die häufig kritisierte Behäbigkeit von Vista x86 auf schlecht programmierte Treiber zurückzuführen. Allerdings hat die Signierungspflicht dazu geführt, dass Hardware-Hersteller zunächst nur zögerlich ihre Treiber für 64-Bit anpassten.

X64-Vista akzeptiert ausschließlich von Microsoft signierte Treiber.
X64-Vista akzeptiert ausschließlich von Microsoft signierte Treiber.

Für Hardware, die älter als fünf Jahre ist, wird man daher selten Treiber für Vista x64 finden. Das gilt teilweise auch für neuere Geräte, die für den Consumer-Markt hergestellt wurden. Für Hardware, die für den Unternehmensbereich entwickelt wurde, sieht es jedoch besser aus. Fast alle namhaften Hardware-Hersteller bieten hier Treiber für Vista x64. Leider ist es zuweilen schwierig, herauszufinden, ob es für ein bestimmtes Gerät 64-Bit-Treiber für Vista gibt, da die Hersteller auf ihren Websites manchmal nicht explizit darauf hinweisen. In jedem Fall hat sich die Situation seit dem Debut von Windows Vista wesentlich verbessert. Im Service-Pack 1 sind eine Vielzahl neuer Treiber enthalten und über Windows Update kommen laufend neue hinzu.