En detaljeret beskrivelse af funktionen Forhindring af datakørsel i Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 og Windows Server 2003

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 875352 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Sammenfatning

Forhindring af datakørsel er et sæt hardware- og softwareteknologier, der udfører ekstra kontrol af hukommelsen for at forhindre skadelig kode i at køre på et system. I Microsoft Windows XP Service Pack 2 (SP2) og Microsoft Windows XP Tablet PC Edition 2005 efterleves Forhindring af datakørsel af hardware og software.

Den primære fordel ved Forhindring af datakørsel er, at det forhindrer kodekørsel fra datasider. Normalt kan kode ikke køres fra den heap, der bruges som standard, eller fra stakken. Hardware-tvungen Forhindring af datakørsel registrerer kode, der kører fra disse placeringer og opretter en undtagelse, når kørslen forekommer. Software-tvungen Forhindring af datakørsel hjælper med at forhindre skadelig kode i at udnytte mekanismer til håndtering af undtagelsestilstand i Windows.

INTRODUKTION

I denne artikel beskrives funktionen Forhindring af datakørsel i Windows XP SP2 og i Microsoft Windows Server 2003 med Service Pack 1 (SP1), og følgende emner diskuteres:

Yderligere Information

Hardware-tvungen Forhindring af datakørsel

Hardware-tvungen Forhindring af datakørsel markerer alle hukommelsesplaceringer i en proces som ikke-eksekverbare, medmindre placeringen eksplicit indeholder den eksekverbare kode. Der findes en række angreb, som prøver at indsætte og køre kode fra ikke-eksekverbare hukommelsesplaceringer. Forhindring af datakørsel forhindrer disse angreb ved at opfange dem og oprette en undtagelse.

Hardware-tvungen Forhindring af datakørsel bruger processorhardware til at markere hukommelsen med en attribut, der angiver, at koden ikke skal køres fra denne hukommelse. Forhindring af datakørsel fungerer på sidebasis pr. visuel hukommelse, og Forhindring af datakørsel ændrer normalt en bit i PTE (page table entry) for at markere hukommelsessiden.

Processorarkitektur bestemmer, hvordan Forhindring af datakørsel implementeres i hardware, og hvordan Forhindring af datakørsel markerer den virtuelle hukommelsesside. Imidlertid kan processorer, der understøtter hardware-tvungen Forhindring af datakørsel, oprette en undtagelse, når kode køres fra en side, der er markeret med det rigtige attributsæt.

AMD (Advanced Micro Devices) og Intel har defineret og leveret Windows-kompatible arkitekturer, der er kompatible med Forhindring af datakørsel.

Fra og med Windows XP SP2 bruger 32-bit versionen af Windows et af følgende:
  • Processorfunktionen til NX-sidebeskyttelse (no-execute page-protection), som er defineret af AMD.
  • Funktionen Execute Disable Bit (XD), som er defineret af Intel.
Hvis du vil anvende disse processorfunktioner, skal processoren køre i PAE-tilstand (Physical Address Extension). Windows vil imidlertid automatisk aktivere PAE-tilstanden for at understøtte Forhindring af datakørsel. Brugere behøver ikke at aktivere PAE separat ved hjælp af /PAE boot switch.

Bemærk! Da 64-bit kerner er AWE-kompatible (Address Windowing Extensions), findes der ikke en separat PAE-kerne i 64-bit versioner af Windows.
Du kan finde fler oplysninger om PAE og AWE i Windows Server ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
283037 Understøttelse af stor hukommelse er tilgængelig i Windows Server 2003 og Windows 2000. Artiklen er evt. på engelsk.

Software-tvungen Forhindring af datakørsel

Et ekstra sæt sikkerhedskontrol med Forhindring af datakørsel er føjet til Windows XP SP2. Disse kontroller (også kendt som software-tvungen Forhindring af datakørsel) er designet til at blokere skadelig kode, der udnytter mekanismer til håndtering af undtagelsestilstand i Windows. Software-tvungen Forhindring af datakørsel kører på enhver processor, der kan køre Windows XP SP2. Som standard beskytter software-tvungen Forhindring af datakørsel kun begrænsede systembinære uanset den hardware-tvungne Forhindring af datakørsel på processoren.

Fordele

Den primære fordel ved Forhindring af datakørsel er, at det forhindrer kodekørsel fra datasider, f.eks. heap-sider, der bruges som standard, forskellige staksider og hukommelsesgruppesider. Normalt kan kode ikke køres fra den heap, der bruges som standard, eller fra stakken. Hardware-tvungen Forhindring af datakørsel registrerer kode, der kører fra disse placeringer og opretter en undtagelse, når kørslen forekommer. Hvis undtagelsen ikke håndteres, stoppes processen. Kørsel af kode fra en beskyttet hukommelse i kernel-tilstand forårsager en Stop-fejl.

Forhindring af datakørsel kan hjælpe med at blokere sikkerhedsindtrængen. Især kan Forhindring af datakørsel hjælpe med at blokere et skadeligt program, som har virus eller anden angrebstype indplantet i en proces med yderligere kode og derefter prøver at køre den indplantede kode. På et system med Forhindring af datakørsel kan kørsel af den indplantede kode forårsage en undtagelse. Software-tvungen Forhindring af datakørsel hjælper med at blokere programmer, der udnytter mekanismer til håndtering af undtagelsestilstand i Windows.

Konfiguration af Forhindring af datakørsel i hele systemet

Konfiguration af Forhindring af datakørsel til systemet kontrolleres gennem parametre i filen Boot.ini. Hvis du er logget på som administrator, kan du let konfigurere indstillinger Forhindring af datakørsel ved hjælp af dialogboksen System under Kontrolpanel.

Windows understøtter fire konfigurationer i hele systemet til både hardware-tvungen og software-tvungen Forhindring af datakørsel.
Skjul tabellenUdvid tabellen
KonfigurationBeskrivelse
OptInDenne indstilling er standardkonfigurationen. På systemer med processorer, der kan implementere hardware-tvungen Forhindring af datakørsel, aktiveres Forhindring af datakørsel som standard til begrænset systembinære og programmer, der "vælger sig ind". Med denne indstilling er det kun Windows systembinære, der dækkes af Forhindring af datakørsel som standard.
OptOutForhindring af datakørsel er som standard aktiveret til alle processer. Du kan manuelt oprette en liste med specifikke programmer, der ikke anvender Forhindring af datakørsel ved hjælp af dialogboksen System under Kontrolpanel. IT-fagfolk kan bruge Application Compatibility Toolkit til at "fravælge" et eller flere programmer fra Forhindring af datakørsel-beskyttelse. Systemkompatibilitet rettes eller "shims" for at gøre Forhindring af datakørsel gældende.
AlwaysOnDenne indstilling omfatter fuld Forhindring af datakørsel-dækning til hele systemet. Alle processer skal altid køre med Forhindring af datakørsel anvendt. Undtagelserne, der angiver fritagelse af specifikke programmer fra Forhindring af datakørsel-beskyttelse, er ikke længere tilgængelig. Systemkompatibilitet rettes for ikke at gøre Forhindring af datakørsel gældende. Programmer, der er fravalgt ved hjælp af Application Compatibility Toolkit, kører med anvendt Forhindring af datakørsel.
AlwaysOffDenne indstilling giver ingen dækning af Forhindring af datakørsel til nogen del af systemet uanset hardwaresupport af Forhindring af datakørsel. Processoren kører ikke i PAE-tilstand, medmindre indstillingen /PAE findes i filen Boot.ini.
Hardware-tvungen og software-tvungen Forhindring af datakørsel konfigureres på samme måde. Hvis Forhindring af datakørsel-politik til hele systemet er indstillet til OptIn, beskyttes de samme Windows vigtige binære filer og programmer både af hardware-tvungen og software-tvungen Forhindring af datakørsel. Hvis systemet ikke kan bruge hardware-tvungen Forhindring af datakørsel, beskyttes Windows vigtige binære filer og programmer kun af software-tvungen Forhindring af datakørsel.

Hvis Forhindring af datakørsel-politik til hele systemet er indstillet til OptOut, vil programmer, der er udeladt fra Forhindring af datakørsel-beskyttelse, blive udeladt fra både hardware-tvungen og software-tvungen Forhindring af datakørsel.

Indstillingerne for filen Boot.ini er som følger:
/noexecute=policy_level
Bemærk! policy_level defineres som AlwaysOn, AlwaysOff, OptIn eller OptOut.

Eksisterende /noexecute-indstillinger i filen Boot.ini kan ikke ændres, når Windows XP SP2 er installeret. Disse indstillinger ændres heller ikke, hvis et Windows-operativsystembillede flyttes mellem computere med eller uden hardware-tvungen support af Forhindring af datakørsel.

Under installation af Windows XP SP2 og Windows Server 2003 SP1 eller nyere versioner aktiveres OptIn-politikniveauet som standard, medmindre et andet politikniveau er angivet i en automatisk installation. Hvis indstillingen /noexecute=policy_level ikke findes i filen Boot.ini til en version af Windows, der understøtter Forhindring af datakørsel, er funktionsmåden den samme, som hvis indstillingen /noexecute=OptIn var inkluderet.

Hvis du er logget på som administrator, kan du manuelt konfigurere Forhindring af datakørsel til at skifte mellem OptIn- og OptOut-politikker under fanen Forhindring af datakørsel i Egenskaber for system. Følgende procedure beskriver, hvordan man manuelt konfigurerer Forhindring af datakørsel på computeren:
  1. Klik på Start, klik på Kør, indtast sysdm.cpl, og klik derefter på OK.
  2. Under fanen Avanceret skal du klikke på Indstillinger under Ydeevne.
  3. Under fanen Forhindring af datakørsel skal du bruge en af følgende procedurer:
    • Klik på Slå kun forhindring af datakørsel til for vigtige Windows-programmer og -tjenester for at vælge OptIn-politikken.
    • Klik på Slå forhindring af datakørsel til for alle programmer og tjenester, undtagen dem jeg markerer for at vælge OptOut-politikken, og klik derefter på Tilføj for at tilføje programmer, hvor du ikke ønsker at bruge Forhindring af datakørsel.
  4. Klik på OK to gange.
IT-fagfolk kan kontrollere konfiguration af Forhindring af datakørsel i hele systemet ved hjælp af en række metoder. Filen Boot.ini kan ændres direkte med scriptingmekanismer eller med værktøjet Bootcfg.exe, der findes i Windows XP SP2.

Hvis du vil konfigurere DEP til at skifte til politikken AlwaysOn ved hjælp af filen Boot.ini, skal du følge disse trin:
  1. Klik på Start, højreklik på Denne computer, og klik derefter på Egenskaber.
  2. Klik på fanen Avanceret, og klik derefter på Indstillinger under feltet Start og Genoprettelse.
  3. Klik på Rediger i feltet Systemstart. Filen Boot.ini åbnes i Notesblok.
  4. Klik på Søg i menuen Rediger i Notesblok.
  5. Skriv /noexecute i feltet Søg efter, og klik derefter på Find næste.
  6. Klik på Annuller i dialogboksen Søg.
  7. Erstat policy_level med AlwaysOn.

    Advarsel! Sørg for, at teksten indtastes korrekt. Skiftet for filen Boot.ini skal nu være :
    /noexecute=AlwaysOn
  8. Klik på Gem i menuen Filer i Notesblok.
  9. Klik på OK to gange.
  10. Genstart computeren.
Til automatiske installationer af Windows XP SP2 eller nyere versioner kan du bruge filen Unattend.txt for at forudfylde en specifik konfiguration af Forhindring af datakørsel. Du kan bruge indgangen OSLoadOptionsVar i afsnittet [Data] i filen Unattend.txt for at angive en konfiguration af Forhindring af datakørsel i hele systemet.

Konfiguration af Forhindring af datakørsel pr. program

I forbindelse med programkompatibilitet kan du selektivt deaktivere Forhindring af datakørsel til individuelle 32-bit programmer, når Forhindring af datakørsel er indstillet til OptOut-politikniveauet. Dette kan du gøre under fanen Forhindring af datakørsel i Egenskaber for system for selektivt at deaktivere Forhindring af datakørsel til et program. Til IT-fagfolk findes en ny programkompatibilitetsrettelse, der hedder DisableNX, i Windows XP SP2. DisableNX-kompatibilitetsrettelsen deaktiverer Forhindring af datakørsel det program, som rettelsen gælder.

DisableNX-kompatibilitetsrettelsen kan anvendes til et program ved hjælp af Application Compatibility Toolkit. Du kan finde flere oplysninger om Windows-programkompatibilitet under Kompatibilitet for Windows-programmer på følgende Microsoft-websted:
http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx
Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
912923 Sådan bestemmes, at forhindring af datakørsel i forbindelse med hardware er tilgængelig og konfigureres på computeren. Artiklen er evt. på engelsk.

Referencer

Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
899298 Emnet om forhindring af dataudførelse i Hjælp angiver standardindstillingen for DEP i Windows Server 2003 Service Pack 1 forkert. Artiklen er evt. på engelsk.

Egenskaber

Artikel-id: 875352 - Seneste redigering: 21. november 2006 - Redigering: 14.2
Oplysningerne i denne artikel gælder:
  • Microsoft Windows Server 2003 Service Pack 1 på følgende platforme
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows XP Home Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Media Center Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Tablet PC Edition 2005
Nøgleord: 
kbinfo kbtshoot KB875352

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com