Λεπτομερής περιγραφή της δυνατότητας "Αποτροπή εκτέλεσης δεδομένων" (Data Execution Prevention - DEP) στο Windows XP Service Pack 2, το Windows XP Tablet PC Edition 2005 και τον Windows Server 2003

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 875352 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Η "Αποτροπή εκτέλεσης δεδομένων" (Data Execution Prevention - DEP) είναι ένα σύνολο τεχνολογιών υλικού και λογισμικού που πραγματοποιούν πρόσθετους ελέγχους στη μνήμη για να αποτρέψουν την εκτέλεση επιβλαβή κώδικα σε ένα σύστημα. Στο Microsoft Windows XP Service Pack 2 (SP2) και στο Microsoft Windows XP Tablet PC Edition 2005, η δυνατότητα DEP επιβάλλεται από το υλικό και το λογισμικό.

Το κυριότερο πλεονέκτημα της δυνατότητας DEP είναι ότι βοηθά στην αποτροπή εκτέλεσης κώδικα από σελίδες δεδομένων. Τυπικά, ο κώδικας δεν εκτελείται από το προεπιλεγμένο heap και τη στοίβα. Η δυνατότητα DEP που επιβάλλεται από το υλικό ανιχνεύει κώδικα που εκτελείται από αυτές τις θέσεις και παρουσιάζει ένα μήνυμα εξαίρεσης κατά την εκτέλεση. Η δυνατότητα DEP που επιβάλλεται από το λογισμικό μπορεί να αποτρέψει τον επιβλαβή κώδικα να επωφεληθεί από τους μηχανισμούς χειρισμού εξαιρέσεων των Windows.

ΕΙΣΑΓΩΓΗ

Περισσότερες πληροφορίες

Δυνατότητα αποτροπής εκτέλεσης δεδομένων (DEP) που επιβάλλεται από το υλικό

Η Δυνατότητα αποτροπής εκτέλεσης δεδομένων (DEP) που επιβάλλεται από το υλικό σημειώνει όλες τις θέσεις μνήμης σε μια διαδικασία ως μη εκτελέσιμες, εκτός αν η θέση περιέχει αποκλειστικά εκτελέσιμο κώδικα. Υπάρχει μια κλάση επιθέσεων που προσπαθεί να εισαγάγει και να εκτελέσει κώδικα από θέσεις μνήμης χωρίς δυνατότητα εκτέλεσης. Η δυνατότητα DEP βοηθά στην αποτροπή αυτών των επιθέσεων, αναχαιτίζοντάς τις και παρουσιάζοντας ένα μήνυμα εξαίρεσης.

Η δυνατότητα αποτροπής εκτέλεσης δεδομένων (DEP) που επιβάλλεται από το υλικό βασίζεται στο υλικό του επεξεργαστή για να σημειώσει τη μνήμη με μια ιδιότητα που υποδεικνύει ότι αυτός ο κώδικας δεν πρέπει να εκτελεστεί από αυτήν τη μνήμη. Η δυνατότητα DEP λειτουργεί ανά σελίδα εικονικής μνήμης και αλλάζει συνήθως ένα bit στην καταχώρηση πίνακα σελίδων (PTE) για να σημειώσει τη σελίδα μνήμης.

Η αρχιτεκτονική του επεξεργαστή προσδιορίζει τον τρόπο εκτέλεσης της DEP στο υλικό και τον τρόπο με τον οποίο η δυνατότητα DEP σημειώνει τη σελίδα εικονικής μνήμης. Ωστόσο, οι επεξεργαστές που υποστηρίζουν τη δυνατότητα αποτροπής εκτέλεσης δεδομένων (DEP) που επιβάλλεται από το υλικό μπορούν να εμφανίσουν ένα μήνυμα εξαίρεσης όταν ο κώδικας εκτελείται από μια σελίδα που είναι σημειωμένη με το κατάλληλο σύνολο ιδιοτήτων.

Η AMD (Advanced Micro Devices) και η Intel έχουν καθορίσει και αποστείλει αρχιτεκτονικές που είναι συμβατές με τα Windows, οι οποίες είναι συμβατές και με τη δυνατότητα DEP.

Ξεκινώντας με το Windows XP SP2, η έκδοση 32-bit των Windows χρησιμοποιεί ένα από τα ακόλουθα στοιχεία:
  • Τη δυνατότητα NX (no-execute page-protection) όπως καθορίζεται από την AMD.
  • Τη δυνατότητα XD (Execute Disable Bit) όπως καθορίζεται από την Intel.
Για να χρησιμοποιήσετε αυτές τις δυνατότητες επεξεργαστή, ο επεξεργαστής πρέπει να εκτελείται σε κατάσταση λειτουργίας PAE (Physical Address Extension). Ωστόσο, τα Windows θα ενεργοποιήσουν αυτόματα τη λειτουργία PAE για να υποστηρίξουν τη δυνατότητα DEP. Οι χρήστες δεν χρειάζεται να ενεργοποιήσουν ξεχωριστά τη δυνατότητα PAE χρησιμοποιώντας το διακόπτη εκκίνησης /PAE.

Σημείωση Επειδή οι πυρήνες 64-bit έχουν δυνατότητα AWE (Address Windowing Extensions), δεν υπάρχει ξεχωριστός πυρήνας PAE στις εκδόσεις 64-bit των Windows.
Για πρόσθετες πληροφορίες σχετικά με τις δυνατότητες PAE και AWE στον Windows Server 2003, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
283037 Υπάρχει διαθέσιμη υποστήριξη εκτεταμένης μνήμης στον Windows Server 2003 και τα Windows 2000

Δυνατότητα DEP που επιβάλλεται από το λογισμικό

Ένα πρόσθετο σύνολο ελέγχων ασφαλείας για την αποτροπή εκτέλεσης έχει προστεθεί στο Windows XP SP2. Αυτοί οι έλεγχοι, γνωστοί ως δυνατότητα DEP που επιβάλλεται από το λογισμικό, έχουν σχεδιαστεί με σκοπό τον αποκλεισμό επιβλαβούς κώδικα ο οποίος επωφελείται από τους μηχανισμούς χειρισμού εξαιρέσεων των Windows. Η δυνατότητα DEP που επιβάλλεται από το λογισμικό εκτελείται σε όλους τους επεξεργαστές που έχουν τη δυνατότητα εκτέλεσης του Windows XP SP2. Από προεπιλογή, η δυνατότητα DEP που επιβάλλεται από το λογισμικό βοηθά στην προστασία μόνο περιορισμένων δυαδικών στοιχείων συστήματος, ανεξάρτητα από τις δυνατότητες της DEP που επιβάλλεται από το υλικό του επεξεργαστή.

Πλεονεκτήματα

Το κύριο πλεονέκτημα της DEP είναι ότι βοηθά στην αποτροπή εκτέλεσης κώδικα από σελίδες δεδομένων, όπως προεπιλεγμένες σελίδες heap, διάφορες σελίδες στοίβας και σελίδες χώρου συγκέντρωσης μνήμης. Τυπικά, ο κώδικας δεν εκτελείται από το προεπιλεγμένο heap και τη στοίβα. Η δυνατότητα DEP που επιβάλλεται από το υλικό ανιχνεύει κώδικα που εκτελείται από αυτές τις θέσεις και παρουσιάζει ένα μήνυμα εξαίρεσης κατά την εκτέλεση. Εάν δεν έχει γίνει χειρισμός της εξαίρεσης, η διαδικασία θα διακοπεί. Η εκτέλεση κώδικα από προστατευμένη μνήμη σε λειτουργία πυρήνα προκαλεί ένα σφάλμα διακοπής (Stop).

Η δυνατότητα DEP μπορεί να βοηθήσει να αποκλειστεί μια κλάση εισβολών ασφαλείας. Ειδικότερα, η δυνατότητα DEP μπορεί να βοηθήσει στον αποκλεισμό ενός επιβλαβούς προγράμματος στο οποίο ένας ιός ή άλλος τύπος επίθεσης έχει εισαγάγει μια διαδικασία με πρόσθετο κώδικα και, στη συνέχεια, προσπαθεί να εκτελέσει αυτόν τον κώδικα. Σε ένα σύστημα με δυνατότητα DEP, η εξαίρεση του κώδικα που έχει εισαχθεί προκαλεί μια εξαίρεση. Η δυνατότητα DEP που επιβάλλεται από το λογισμικό μπορεί να βοηθήσει στον αποκλεισμό προγραμμάτων που επωφελούνται από τους μηχανισμούς χειρισμού εξαιρέσεων των Windows.

Ρυθμίσεις παραμέτρων της δυνατότητας DEP για ολόκληρο το σύστημα

Οι ρυθμίσεις παραμέτρων της δυνατότητας DEP για ολόκληρο το σύστημα ελέγχονται μέσω διακοπτών που βρίσκονται στο αρχείο Boot.ini. Εάν είστε συνδεδεμένος ως διαχειριστής, μπορείτε τώρα να ρυθμίσετε εύκολα τις παραμέτρους της δυνατότητας DEP χρησιμοποιώντας το παράθυρο διαλόγου Σύστημα (System) του "Πίνακα ελέγχου" (Control Panel).

Τα Windows υποστηρίζουν τέσσερις ρυθμίσεις παραμέτρων για ολόκληρο το σύστημα τόσο για τη δυνατότητα DEP που επιβάλλεται από το υλικό όσο και για τη δυνατότητα DEP που επιβάλλεται από το λογισμικό.
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
Ρύθμιση παραμέτρωνΠεριγραφή
OptInΑυτή είναι η προεπιλεγμένη ρύθμιση παραμέτρων. Σε συστήματα με επεξεργαστές που έχουν τη δυνατότητα εκτέλεσης της δυνατότητας DEP που επιβάλλεται από το υλικό, η δυνατότητα DEP ενεργοποιείται από προεπιλογή για περιορισμένα δυαδικά στοιχεία συστήματος και για προγράμματα με δυνατότητα "opt-in." Με αυτήν την επιλογή, μόνο τα δυαδικά στοιχεία του συστήματος των Windows καλύπτονται από τη δυνατότητα DEP, από προεπιλογή.
OptOutΗ δυνατότητα DEP ενεργοποιείται από προεπιλογή για όλες τις διαδικασίες. Μπορείτε να δημιουργήσετε με μη αυτόματο τρόπο μια λίστα συγκεκριμένων προγραμμάτων στα οποία δεν έχει εφαρμοστεί η δυνατότητα DEP χρησιμοποιώντας το παράθυρο διαλόγου Σύστημα (System) του Πίνακα Ελέγχου (Control Panel). Οι επαγγελματίες τεχνολογιών πληροφορικής (IT) μπορούν να χρησιμοποιήσουν το Application Compatibility Toolkit για να εφαρμόσουν την επιλογή "opt-out" σε ένα ή περισσότερα προγράμματα από την προστασία DEP. Οι επιδιορθώσεις συμβατότητας συστήματος ή οι ενημερώσεις κώδικα συμβατότητας προγραμμάτων για τη δυνατότητα DEP δεν εφαρμόζονται.
AlwaysOnΑυτή η ρύθμιση παρέχει πλήρη κάλυψη από τη δυνατότητα DEP για ολόκληρο το σύστημα. Όλες οι διαδικασίες εκτελούνται πάντοτε με την εφαρμογή της δυνατότητας DEP. Η λίστα εξαιρέσεων για την εξαίρεση συγκεκριμένων προγραμμάτων από την προστασία της δυνατότητας DEP δεν είναι διαθέσιμη. Οι επιδιορθώσεις συμβατότητας συστήματος για τη δυνατότητα DEP δεν εφαρμόζονται. Τα προγράμματα στα οποία έχει εφαρμοστεί η ρύθμιση opted-out χρησιμοποιώντας το Application Compatibility Toolkit, εκτελούνται έχοντας ενεργοποιημένη τη δυνατότητα DEP.
AlwaysOffΑυτή η ρύθμιση δεν παρέχει καμία κάλυψη από τη δυνατότητα DEP για οποιοδήποτε τμήμα του συστήματος, ανεξάρτητα από την υποστήριξη της δυνατότητας DEP για το υλικό. Ο επεξεργαστής δεν εκτελείται σε λειτουργία PAE, εκτός αν υπάρχει η επιλογή /PAE στο αρχείο Boot.ini.
Η δυνατότητα DEP που επιβάλλεται από το υλικό και η δυνατότητα DEP που επιβάλλεται από το λογισμικό ρυθμίζονται με τον ίδιο τρόπο. Εάν η πολιτική της DEP για ολόκληρο το σύστημα έχει οριστεί σε OptIn, θα προστατευτούν τα ίδια βασικά δυαδικά στοιχεία και προγράμματα των Windows τόσο από τη δυνατότητα DEP που επιβάλλεται από το υλικό όσο και από τη δυνατότητα DEP που επιβάλλεται από το λογισμικό. Στην περίπτωση που το σύστημα δεν μπορεί να χρησιμοποιήσει τη δυνατότητα DEP που επιβάλλεται από το υλικό, τα βασικά δυαδικά στοιχεία και προγράμματα των Windows θα προστατευτούν μόνο από τη δυνατότητα DEP που επιβάλλεται από το λογισμικό.

Παρόμοια, εάν η πολιτική DEP για ολόκληρο το σύστημα έχει οριστεί σε OptOut, τα προγράμματα που έχουν εξαιρεθεί από την προστασία DEP θα εξαιρεθούν τόσο από τη δυνατότητα DEP που επιβάλλεται από το υλικό όσο και από τη δυνατότητα DEP που επιβάλλεται από το λογισμικό.

Οι ρυθμίσεις του αρχείου Boot.ini είναι οι εξής:
/noexecute=Το επίπεδο_πολιτικής
Σημείωση Το επίπεδο_πολιτικής καθορίζεται ως AlwaysOn, AlwaysOff, OptIn ή OptOut.

Οι υπάρχουσες ρυθμίσεις /noexecute του αρχείου Boot.ini δεν αλλάζουν όταν είναι εγκατεστημένο το Windows XP SP2. Οι ρυθμίσεις αυτές δεν αλλάζουν επίσης όταν μετακινείτε μια εικόνα του λειτουργικού συστήματος των Windows σε υπολογιστές με ή χωρίς υποστήριξη από τη δυνατότητα DEP που επιβάλλεται από το υλικό.

Κατά την εγκατάσταση του Windows XP SP2 και του Windows Server 2003 SP1 ή νεότερων εκδόσεων, το επίπεδο πολιτικής OptIn ενεργοποιείται από προεπιλογή, εκτός αν έχει καθοριστεί διαφορετικό επίπεδο πολιτικής σε μια εγκατάσταση χωρίς παρακολούθηση. Εάν η ρύθμιση /noexecute=Το επίπεδο_πολιτικής δεν υπάρχει στο αρχείο Boot.ini για μια έκδοση των Windows που υποστηρίζει τη δυνατότητα DEP, η συμπεριφορά είναι ίδια όπως ακριβώς να είχε συμπεριληφθεί η ρύθμιση /noexecute=OptIn.

Εάν είστε συνδεδεμένοι ως διαχειριστές, μπορείτε να ρυθμίσετε με μη αυτόματο τρόπο τη δυνατότητα DEP για εναλλαγή μεταξύ των πολιτικών OptIn και OptOut χρησιμοποιώντας την καρτέλα Αποτροπή εκτέλεσης δεδομένων (Data Execution Prevention) της ενότητας Ιδιότητες συστήματος (System Properties). Η ακόλουθη διαδικασία περιγράφει τον τρόπο μη αυτόματης ρύθμισης της δυνατότητας DEP στον υπολογιστή:
  1. Κάντε κλικ στο μενού Έναρξη (Start), κατόπιν στην επιλογή Εκτέλεση (Run), πληκτρολογήστε sysdm.cpl και, τέλος, κάντε κλικ στο κουμπί OK.
  2. Κάντε κλικ στην καρτέλα Για προχωρημένους (Advanced) και, από την ενότητα Επιδόσεις (Performance), κάντε κλικ στην επιλογή Ρυθμίσεις (Settings).
  3. Στην καρτέλα Αποτροπή εκτέλεσης δεδομένων (Data Execution Prevention), χρησιμοποιήστε μια από τις ακόλουθες διαδικασίες:
    • Κάντε κλικ στην επιλογή Ενεργοποίηση της δυνατότητας DEP μόνο για βασικά προγράμματα και υπηρεσίες των Windows (Turn on DEP for essential Windows programs and services only) για να επιλέξετε την πολιτική OptIn.
    • Κάντε κλικ στην επιλογή Ενεργοποίηση της δυνατότητας DEP για όλα τα προγράμματα και τις υπηρεσίες, εκτός από αυτά τα οποία επιλέγω (Turn on DEP for all programs and services except those I select) για να επιλέξετε την πολιτική OptOut και, στη συνέχεια, κάντε κλικ στην επιλογή Προσθήκη (Add) για να προσθέσετε τα προγράμματα που δεν θέλετε να χρησιμοποιήσουν τη δυνατότητα DEP.
  4. Κάντε κλικ στο κουμπί ΟΚ και στα δύο παράθυρα διαλόγου.
Οι επαγγελματίες τεχνολογιών πληροφορικής μπορούν να ελέγχουν τη ρύθμιση παραμέτρων της δυνατότητας DEP για ολόκληρο το σύστημα, χρησιμοποιώντας μια ποικιλία μεθόδων. Το αρχείο Boot.ini μπορεί να τροποποιηθεί απευθείας με μηχανισμούς δέσμης ενεργειών ή με το εργαλείο Bootcfg.exe το οποίο περιλαμβάνεται στο Windows XP SP2.

Για να ρυθμίσετε τη δυνατότητα DEP για μετάβαση στην πολιτική AlwaysOn με χρήση του αρχείου Boot.ini, ακολουθήστε αυτά τα βήματα:
  1. Κάντε κλικ στο κουμπί Έναρξη (Start), κάντε δεξιό κλικ στο εικονίδιο Ο Υπολογιστής μου (My Computer) και κατόπιν κάντε κλικ στην εντολή Ιδιότητες (Properties).
  2. Κάντε κλικ στην καρτέλα Για προχωρημένους (Advanced) και, στη συνέχεια, κάντε κλικ στο κουμπί Ρυθμίσεις (Settings) στο πεδίο Εκκίνηση και αποκατάσταση (Startup and Recovery).
  3. Στο πεδίο Εκκίνηση συστήματος (System Startup), κάντε κλικ στο κουμπί Επεξεργασία (Edit). Το αρχείο Boot.ini ανοίγει στο Σημειωματάριο (Notepad).
  4. Στο Σημειωματάριο (Notepad), κάντε κλικ στην εντολή Εύρεση (Find) από το μενού Επεξεργασία (Edit).
  5. Στο πλαίσιο Εύρεση του (Find what), πληκτρολογήστε /noexecute και, στη συνέχεια, κάντε κλικ στην επιλογή Εύρεση επόμενου (Find Next).
  6. Στο παράθυρο διαλόγου Εύρεση (Find), κάντε κλικ στο κουμπί Άκυρο (Cancel).
  7. Αντικαταστήστε το στοιχείο το_επίπεδο_πολιτικής με το στοιχείο AlwaysOn.

    ΠΡΟΕΙΔΟΠΟΙΗΣΗ Καταχωρίστε το κείμενο με ακρίβεια. Ο διακόπτης του αρχείου Boot.ini πρέπει τώρα να είναι:
    /noexecute=AlwaysOn
  8. Στο Σημειωματάριο (Notepad), κάντε κλικ στην εντολή Αποθήκευση (Open) από το μενού Αρχείο (File).
  9. Κάντε κλικ στο κουμπί ΟΚ και στα δύο παράθυρα διαλόγου.
  10. Ξεκινήστε πάλι τον υπολογιστή.
Για εγκαταστάσεις χωρίς παρακολούθηση του Windows XP SP2 ή νεότερων εκδόσεων, μπορείτε να χρησιμοποιήσετε το αρχείο Unattend.txt για να προσυμπληρώσετε μια συγκεκριμένη ρύθμιση παραμέτρων της δυνατότητας DEP. Μπορείτε να χρησιμοποιήσετε την καταχώρηση OSLoadOptionsVar της ενότητας [Data] του αρχείου Unattend.txt για να καθορίσετε μια ρύθμιση παραμέτρων της δυνατότητας DEP για ολόκληρο το σύστημα.

Ρυθμίσεις παραμέτρων της δυνατότητας DEP ανά πρόγραμμα

Για λόγους συμβατότητας προγραμμάτων, μπορείτε επιλεκτικά να απενεργοποιήσετε τη δυνατότητα DEP για μεμονωμένα προγράμματα 32-bit, όταν η δυνατότητα DEP έχει οριστεί σε επίπεδο πολιτικής OptOut. Για να το κάνετε αυτό, χρησιμοποιήστε την καρτέλα Αποτροπή εκτέλεσης δεδομένων (Data Execution Prevention) της ενότητας Ιδιότητες συστήματος (System Properties) για να απενεργοποιήσετε επιλεκτικά τη δυνατότητα DEP για ένα πρόγραμμα. Για τους επαγγελματίες τεχνολογιών πληροφορικής (IT), μια νέα επιδιόρθωση συμβατότητας προγραμμάτων που ονομάζεται DisableNX συμπεριλαμβάνεται στο Windows XP SP2. Η επιδιόρθωση συμβατότητας προγραμμάτων DisableNX απενεργοποιεί την "Αποτροπή εκτέλεσης δεδομένων" (Data Execution Prevention) για το πρόγραμμα στο οποίο εφαρμόζεται η επιδιόρθωση.

Η επιδιόρθωση συμβατότητας προγραμμάτων DisableNX μπορεί να εφαρμοστεί σε ένα πρόγραμμα χρησιμοποιώντας το Application Compatibility Toolkit. Για περισσότερες πληροφορίες σχετικά με τη συμβατότητα εφαρμογών στα Windows, ανατρέξτε στο θέμα Συμβατότητα εφαρμογών στα Windows της ακόλουθης τοποθεσίας της Microsoft στο Web (στα αγγλικά):
http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
912923 Τρόπος διαπίστωσης εάν το υλικό DEP είναι διαθέσιμο στον υπολογιστή σας και εάν οι παράμετροί του είναι ρυθμισμένες

Αναφορές

Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
899298 Το θέμα της Βοήθειας (Help) "Κατανόηση της αποτροπής εκτέλεσης δεδομένων" (Understanding Data Execution Prevention) αναφέρει εσφαλμένα την προεπιλεγμένη ρύθμιση για το DEP στο Windows Server 2003 Service Pack 1

Ιδιότητες

Αναγν. άρθρου: 875352 - Τελευταία αναθεώρηση: Τρίτη, 10 Οκτωβρίου 2006 - Αναθεώρηση: 14.1
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003 Service Pack 1 στις ακόλουθες πλατφόρμες
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows XP Home Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Media Center Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Tablet PC Edition 2005
Λέξεις-κλειδιά: 
kbinfo kbtshoot KB875352

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com