See artikkel kirjeldab üksikasjalikult Windows XP hoolduspaketi Service Pack 2, Windows XP Tablet PC Edition 2005 ja Windows Server 2003 andmekäivituse vältimise (DEP ? Data Execution Prevention) funktsiooni

Artiklite tõlked Artiklite tõlked
Artikli ID: 875352 - Vaadake tooteid, millega see artikkel seostub.

Et saada ka edaspidi Windows XP turbevärskendusi, veenduge, et teil on Windows XP hoolduspakett SP3. Lisateabe saamiseks vaadake seda Microsofti veebilehte: Mõne Windowsi versiooni tugi hakkab lõppema

Laienda kõik | Ahenda kõik

Sellel veebilehel

KOKKUVÕTE

Andmekäivituse vältimise (DEP) funktsioon on riistvara- ja tarlvaratehnoloogiate komplekt. Need tehnoloogiad viivad läbi täiendavaid mälu kontrollimise toiminguid, et takistada süsteemis pahatahtliku koodi käivitumist. Opsüsteemides Microsoft Windows XP (koos hoolduspaketiga Service Pack 2 (SP2)) ja Microsoft Windows XP Tablet PC Edition 2005 jõustavad andmekäivituse vältimise funktsiooni riistvara ja tarkvara.

Andmekäivituse vältimise oluline eelis on see, et see funktsioon aitab takistada koodi käivitamist andmelehtedelt. Tavaliselt ei käivitata koodi vaikekuhjast ega pinust. Riistvara-jõustatav DEP tuvastab koodi, mis käivitatakse nendest asukohtadest. Kui kood käivitatakse, loob see funktsioon erandi. Tarkvara-jõustatav DEP takistab pahatahtlikul koodil Windowsi eranditöötluse mehhanismide ärakasutamist.

SISSEJUHATUS

Selles artiklis kirjeldatakse Windows XP hoolduspaketi SP2 ja Microsoft Windows Server 2003 hoolduspaketi Service Pack 1 (SP1) andmekäivituse vältimise funktsiooni DEP, ning käsitletakse järgmisi teemasid:

LISATEAVE

Riistvara-jõustatav DEP

Riistvara-jõustatav DEP märgib kõik protsessi mäluasukohad käivitamatuteks, välja arvatud juhul, kui asukoht sisaldab käivitatavat koodi. On olemas üks rünnakute klass, mis proovib sisestada koodi käivitamatutesse mäluasukohtadesse ja seda nendest asukohtadest käivitada. DEP aitab neid rünnakuid takistada, püüdes need kinni ja luues erandi.

Riistvara-jõustatav DEP kasutab protsessorriistvara, et märkida mälu atribuudiga, mis keelab sellest mälust koodi käivitamise. DEP põhineb virtuaalmälu leheküljel. Tavaliselt DEP muutub pisut leheküljetabeli kandes (PTE), et märkida vastav mälulehekülg.

Protsessori arhitektuur määratleb, kuidas andmekäivituse vältimise funktsiooni DEP riistvaras rakendatakse, ning kuidas DEP märgib virtuaalmälu lehekülje. Protsessorid, mis toetavad riistvara-jõustatavat DEP-d, võivad siiski luua erandi, kui kood käivitatakse leheküljelt, mis on märgitud vastava atribuudikomplektiga.

AMD (Advanced Micro Devices) ja Intel on määratlenud ja tarninud Windowsiga ühilduvaid arhitektuure, mis ühilduvad ka andmekäivituse vältimise funktsiooniga DEP.

Alates Windows XP hoolduspaketist SP2 kasutab 32-bitine Windowsi versioon ühte järgmistest:
  • AMD määratletud NX (No eXecute) leheküljekaitsega protsessorifunktsiooni;
  • Inteli määratletud XD-funktsiooni (Execute Disable Bit);
Nende protsessorifunktsioonide kasutamiseks peab protsessor töötama PAE-re?iimis (Physical Address Extension). Windows lubab PAE-re?iimi andmekäivituse vältimise funktsiooni toetamiseks automaatselt. Kasutajad ei pea PAE-re?iimi buutlüliti/PAE abil eraldi lubama.

Märkus. Kuna 64-bitised tuumad ühilduvad AWE-re?iimiga (Address Windowing Extensions), siis pole Windowsi 64-bitistes versioonides eraldi PAE-tuuma.
Opsüsteemi Windows Server 2003 re?iimide PAE ja AWE kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) vaatamiseks järgmist artiklinumbrit:
283037 Opsüsteemides Windows 2000 ja Windows Server 2003 on saadaval ulatuslik mälutugi (selle artikli sisu võib olla ingliskeelne)

Tarkvara-jõustatav DEP

Windows XP hoolduspaketti SP2 on lisatud täiendav DEP turvakontrollide komplekt. Need turvakontrollid (mida nimetatakse tarkvara-jõustatavaks DEP-ks) on loodud blokeerima pahatahtlikku koodi, mis kasutab ära Windowsi eranditöötluse mehhanisme. Tarkvara-jõustatav DEP töötab kõigis protsessorites, mis suudavad käitada Windows XP hoolduspaketti SP2. Tarkvara-jõustatav DEP aitab vaikimisi kaitsta ainult süsteemi piiratud kahendfaile, sõltumata protsessori riistvara-jõustatava DEP võimalustest.

Eelised

DEP peamine eelis on see, et see funktsioon aitab takistada koodi käivitamist andmelehtedelt (nt vaikekuhjalehtedelt, mitmesugustelt pinulehtedelt ja mälutsooni lehtedelt). Tavaliselt ei käivitata koodi vaikekuhjast ega pinust. Riistvara-jõustatav DEP tuvastab koodi, mis käivitatakse nendest asukohtadest. Kui kood käivitatakse, loob see funktsioon erandi. Kui erand on käsitlematu, siis protsess peatub. Koodi tuumre?iimis kaitstud mälust käivitamine põhjustab stopp-tõrke.

DEP aitab blokeerida teatud turvarünnakute klassi. DEP aitab blokeerida pahatahtliku programmi, milles viirus või muud tüüpi rünnak on nakatanud protsessi täiendava koodiga ning proovib nakatatud koodi käivitada. DEP-ga süsteemis põhjustab nakatatud koodi käivitamine erandi. Tarkvara-jõustatav DEP aitab blokeerida programme, mis kasutavad ära Windowsi eranditöötluse mehhanisme.

DEP kogu süsteemis kehtiv konfiguratsioon

Kogu süsteemis kehtivat DEP konfiguratsiooni reguleeritakse faili Boot.ini lülitite abil. Kui olete sisse logitud ülemana, saate DEP sätteid juhtpaneeli dialoogiboksi Süsteem kaudu hõlpsalt konfigureerida.

Windows toetab nii riistvara-jõustatava kui ka tarkvara-jõustatava DEP puhul nelja kogu süsteemis kehtivat konfiguratsiooni.
Ahenda see tabelLaienda see tabel
KonfiguratsioonKirjeldus
OptIn (Luba)See säte on vaikekonfiguratsioon. Süsteemides, mille protsessorid saavad rakendada riistvara-jõustatavat DEP-d, lubatakse DEP vaikimisi süsteemi piiratud kahendfailides ja seda võimaldavates programmides. Selle suvandi puhul kehtib DEP vaikimisi ainult Windowsi kahendfailide puhul.
OptOut (Tühista)DEP lubatakse vaikimisi kõigi protsesside puhul. Saate juhtpaneeli dialoogiboksi Süsteem kaudu käsitsi luua nende programmide loendi, millele pole DEP-d rakendatud. IT-asjatundjad saavad tööriistakomplekti Application Compatibility Toolkit abil tühistada ühe või mitme programmi DEP-kaitse. DEP jõustumiseks vajalikud süsteemi ühilduvusparandused.
AlwaysOn (Alati sees)See säte rakendab DEP kogu süsteemile. Kõik protsessid käivitatakse alati koos DEP-ga. Kindlate programmide DEP-kaitsest vabastamise erandiloend pole saadaval. Süsteemi DEP ühilduvusparandused ei jõustu. Tööriistakomplekti Application Compatibility Toolkit abil tühistatud DEP-kaitsega programmid töötavad rakendatud DEP-kaitsega.
AlwaysOff (Alati väljas)See säte ei paku üheski süsteemi osas mingit DEP-kaitset, olenemata riistvara DEP-toest. Protsessor ei tööta PAE-re?iimis, välja arvatud juhul, kui failis Boot.ini on olemas suvand /PAE.
Riistvara-jõustatav ja tarkvara-jõustatav DEP on konfigureeritud samal moel. Kui kogu süsteemi hõlmava DEP-poliitika väärtuseks on seatud OptIn, kaitsevad nii riistvara-jõustatav kui ka ka tarkvara-jõustatav DEP samu Windowsi peamisi kahendfaile ja programme.

Ning kui kogu süsteemi hõlmava DEP-poliitika väärtuseks on seatud OptOut, siis vabastatakse DEP-kaitsest vabastatud programmid nii riistvara-jõustatavast kui ka tarkvara-jõustatavast DEP-st.

Faili Boot.ini sätted on järgmised:
/noexecute=policy_level
Märkus. Sätte policy_level väärtuseks on määratletud kas AlwaysOn, AlwaysOff, OptIn või OptOut.

Windows XP hoolduspaketi SP2 installimisel faili Boot.ini olemasolevad sätted /noexecute ei muutu. Need sätted ei muutu ka juhul, kui Windowsi opsüsteemi pilti teisaldatakse riistvara-jõustatava DEP-toe abil või selle abita ühest arvutist teise.

Windows XP hoolduspaketi SP2 ja Windows Server 2003 hoolduspaketi SP1 või uuemate versioonide installimise ajal lubatakse vaikimisi poliitikatasand OptIn, välja arvatud juhul, kui järelevalveta installi käigus on määratud mõni muu poliitikatasand. Kui DEP-d toetava Windowsi versiooni failis Boot.ini puudub säte /noexecute=policy_level, on käitumine sama, mis sätte /noexecute=OptIn olemasolu korral.

Kui olete sisse logitud ülemana, saate DEP-d dialoogiboksi Süsteemiatribuudid vahekaardi Andmekäivituse vältimine abil käsitsi konfigureerida, et aktiveerida vaheldumisi poliitikad OptIn ja OptOut. Järgmine protseduur kirjeldab arvutis DEP käsitsi konfigureerimist.
  1. Klõpsake nuppu Start ja käsku Käivita. Tippige käsk sysdm.cpl ja seejärel klõpsake nuppu OK.
  2. Klõpsake vahekaardi Täpsemalt jaotises Jõudlus nuppu Sätted.
  3. Toimige vahekaardil Andmekäivituse vältimine ühel järgmistest viisidest.
    • Poliitika OptIn valimiseks märkige ruut Lülita DEP sisse ainult oluliste Windowsi programmide ja teenuste jaoks.
    • Poliitika OptOut valimiseks märkige ruut Lülita DEP sisse kõigi programmide ja teenuste jaoks, v.a minu valitud ja seejärel klõpsake nuppu Lisa, et lisada programmid, mille puhul te ei soovi DEP-d kasutada.
  4. Klõpsake kaks korda nuppu OK.
IT-asjatundjad saavad mitmesuguste meetodite abil reguleerida kogu süsteemi hõlmavat DEP konfiguratsiooni. Faili Boot.ini saab muuta skriptimismehhanismide abil otse või tööriistaga Bootcfg.exe, mis sisaldub Windows XP hoolduspaketis SP2.

Faili Boot.ini abil DEP konfigureerimiseks, et aktiveerida poliitika AlwaysOn, toimige järgmiselt.
  1. Klõpsake nuppu Start, paremklõpsake käsku Minu arvuti ja klõpsake siis käsku Atribuudid.
  2. Klõpsake vahekaarti Täpsemalt ja seejärel klõpsake jaotise Käivitus ja taastamine nuppu Sätted.
  3. Klõpsake jaotise Süsteemi käivitamine nuppu Redigeeri. Notepadis avaneb fail Boot.ini.
  4. Klõpsake Notepadis menüü Redigeeri käsku Otsi.
  5. Tippige väljale Otsitav fraas /noexecute ja seejärel klõpsake nuppu Otsi järgmine.
  6. Klõpsake dialoogiboksi Otsing nuppu Loobu.
  7. Asendage policy_level väärtusega AlwaysOn.

    HOIATUS. Sisestage tekst kindlasti täpselt. Faili Boot.ini lülitil peaks nüüd olema kirjas:
    /noexecute=AlwaysOn
  8. Klõpsake Notepadis menüü Fail käsku Salvesta.
  9. Klõpsake kaks korda nuppu OK.
  10. Taaskäivitage arvuti.
Windows XP hoolduspaketi SP2 või uuemate versioonide järelevalveta installide puhul saate kindla DEP konfiguratsiooni eelasustamiseks kasutada faili Unattend.txt. Kogu süsteemi hõlmava DEP konfiguratsiooni määramiseks saate kasutada faili Unattend.txt jaotise [Data] kirjet OSLoadOptionsVar.

DEP programmipõhine konfiguratsioon

Programmiühilduvuse tagamiseks saate valikuliselt keelata üksikute 32-bitiste programmide DEP, kui selle poliitikatasandiks on seatud OptOut. Kindla programmi DEP saate keelata dialoogiboksi Süsteemiatribuudid vahekaardi Andmekäivituse vältimine kaudu. Windows XP hoolduspaketis SP2 sisaldub IT-asjatundjate jaoks uus programmide ühilduvusparandus DisableNX. Ühilduvusparandus DisableNX keelab selle programmi DEP, millele parandus rakendatakse.

Ühilduvusparandust DisableNX saab programmile rakendada tööriistakomplekti Application Compatibility Toolkit abil. Windowsi rakenduste ühilduvuse kohta lisateabe saamiseks lugege artiklit Windows Application Compatibility (Windowsi rakenduste ühilduvus), mis asub järgmisel veebisaidil:
http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx
Lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
912923 Kuidas määratleda, kas riistvara-DEP on teie arvutis saadaval ja konfigureeritud (selle artikli sisu võib olla ingliskeelne)

VIITED

Lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
899298 Spikriteemas "Andmekäivituse vältimine" on DEP vaikesäte Windows Server 2003 hoolduspaketis Service Pack 1 valesti esitatud (selle artikli sisu võib olla ingliskeelne)

Atribuudid

Artikli ID: 875352 - Viimati läbi vaadatud: 24. september 2010 - Redaktsioon: 14.2
KEHTIB JÄRGMISE LÕIGU KOHTA:
  • Microsoft Windows Server 2003 Service Pack 1, kasutamisel koos:
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Märksõnad: 
kbtshoot kbinfo KB875352

Andke tagasisidet

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com