תיאור מפורט של התכונה 'מניעת ביצוע נתונים' (DEP) במערכות Windows XP Service Pack 2,? Windows XP Tablet PC Edition 2005 וכן Windows Server 2003

תרגומי מאמרים תרגומי מאמרים
Article ID: 875352 - View products that this article applies to.
הרחב הכל | כווץ הכל

On This Page

תקציר

התכונה 'מניעת ביצוע נתונים' (DEP) היא קבוצת טכנולוגיות חומרה ותוכנה המבצעות בדיקות נוספות בזיכרון כדי לסייע למנוע הפעלת קוד זדוני במערכת. במערכו(1)(2) Windows XP Service Pack 2 ?(SP2)? וכ(1)(2) Windows XP Tablet PC Edition 2005, התכונה 'מניעת ביצוע נתונים' נאכפת הן על-ידי חומרה והן על-ידי תוכנה.

היתרון העיקרי של 'מניעת ביצוע נתונים' הוא סיוע במניעה של הפעלת קוד מדפי נתונים. בדרך כלל, קוד אינו מבוצע מזיכרון ה-heap שהוא ברירת המחדל ומהמחסנית. התכונה 'מניעת ביצוע נתונים' הנאכפת על ידי חומרה, מגלה קוד הפועל ממיקומים אלה ומתריעה על חריג עם התרחשות הביצוע. התכונה 'מניעת ביצוע נתונים' הנאכפת על ידי תוכנה, עשויה לסייע במניעת קוד זדוני מלנצל מנגנוני טיפול בחריגים במערכת Windows.

מבוא

מידע נוסף

מניעת ביצוע נתונים הנאכפת על ידי חומרה

מניעת ביצוע נתונים הנאכפת על ידי חומרה מסמנת את כל מיקומי הזיכרון בתהליך מסוים כבלתי ניתנים להפעלה אלא אם המיקום כולל באופן מפורש קוד הפעלה. קיימת מחלקה של תקיפות המנסה להוסיף קוד ולהפעילו ממיקומי זיכרון בלתי ניתנים להפעלה. התכונה 'מניעת ביצוע נתונים' מסייעת במניעה של תקיפות אלה על-ידי יירוטן ועל-ידי התרעה על חריג.

מניעת ביצוע נתונים הנאכפת על ידי חומרה נשענת על חומרת מעבד כדי לסמן זיכרון במאפיין המציין שאין לבצע קוד מזיכרון זה. מניעת ביצוע נתונים פועלת על בסיס 'לפי דף זיכרון וירטואלי' ובדרך כלל היא מחליפה סיבית ב'ערך טבלת העמודים' (PTE) כדי לסמן את דף הזיכרון.

ארכיטקטורת המעבד היא שקובעת את האופן שבו 'מניעת ביצוע נתונים' מיושמת בחומרה ואת האופן שבו היא מסמנת את דף הזיכרון הווירטואלי. עם זאת, מעבדים התומכים במניעת ביצוע נתונים הנאכפת על ידי חומרה עשויים להתריע על חריג בעת ביצוע קוד מדף המסומן עם קבוצת המאפיינים המתאימה.

החברות Advanced Micro Devices ?(AMD) וכן Intel הגדירו וסיפקו ארכיטקטורות תואמות-Windows שהן תואמות לתכונה 'מניעת ביצוע נתונים'.

החל במערכת Windows XP SP2, גירסת 32 סיביות של Windows עושה שימוש באחת מהתכונות הבאות:
  • תכונת המעבד no-execute page-protection ?(NX) כפי שהוגדרה על-ידי AMD.
  • התכונה Execute Disable Bit ?(XD) כפי שהוגדרה על-ידי Intel.
כדי להשתמש בתכונות אלה של המעבד, עליו לפעול במצב 'הרחבת כתובת פיזית' (PAE). עם זאת, מערכת Windows תפעיל באופן אוטומטי את מצב 'הרחבת כתובת פיזית' כדי לתמוך בתכונה 'מניעת ביצוע נתונים'. המשתמשים אינם צריכים להפעיל בנפרד את 'הרחבת כתובת פיזית' באמצעות בורר האתחול ?/PAE.

הערה מאחר שליבות 64 סיביות מזהות את התכונה Address Windowing Extensions ?(AWE), לא קיימת ליבה נפרדת של 'הרחבת כתובת פיזית' בגירסות 64 סיביות של Windows.
לקבלת פרטים נוספים על על 'הרחבת כתובת פיזית' ועל AWE, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר היד(1)(2) Knowledge Base:
283037 קיימת תמיכת זיכרון נרחבת במערכת Windows Server 2003 ובמערכת Windows 2000

מניעת ביצוע נתונים הנאכפת על ידי תוכנה

ערכה נוספת של בדיקות אבטחה של 'מניעת ביצוע נתונים' נוספה למערכת Windows XP SP2. בדיקות אלה, המוכרות בשם 'מניעת ביצוע נתונים הנאכפת על ידי תוכנה', מתוכננות לחסום קוד זדוני המנצל מנגנוני טיפול בחריגים של מערכת Windows. 'מניעת ביצוע נתונים הנאכפת על ידי תוכנה' פועלת בכל מעבד המתאים להפעלת מערכת Windows XP SP2. כברירת מחדל, 'מניעת ביצוע נתונים הנאכפת על ידי תוכנה' מסייעת להגן רק על מספר מוגבל של קבצי מערכת בינאריים, ללא קשר ליכולות התכונה 'מניעת ביצוע נתונים הנאכפת על ידי חומרה' של המעבד.

יתרונות

היתרון העיקרי של התכונה 'מניעת ביצוע נתונים' הוא סיועה במניעת הביצוע של קוד מדפי נתונים, כגון דפי זיכרון heap שהוא ברירת המחדל, דפי מחסנית שונים ודפי מאגר זיכרון. בדרך כלל, קוד אינו מבוצע מזיכרון heap שהוא ברירת המחדל ומהמחסנית. התכונה 'מניעת ביצוע נתונים' הנאכפת על ידי חומרה, מגלה קוד הפועל ממיקומים אלה ומתריעה על חריג עם התרחשות הביצוע. אם החריג אינו מטופל, התהליך ייעצר. ביצוע קוד מזיכרון מוגן במצב ליבה גורם לשגיאת עצירה.

התכונה 'מניעת ביצוע נתונים' עשויה לסייע בחסימת מחלקה של פריצות אבטחה. במיוחד, התכונה 'מניעת ביצוע נתונים' עשויה לסייע בחסימת תוכנית זדונית שבה וירוס או תקיפה מסוג אחר החדיר תהליך עם קוד נוסף ולאחר מכן מנסה להפעיל את הקוד שהוחדר. במערכת עם התכונה 'מניעת ביצוע נתונים', ביצוע הקוד שהוחדר גורם לחריג. 'מניעת ביצוע נתונים' הנאכפת על ידי תוכנה עשויה לסייע בחסימת תוכניות המנצלות את מנגנוני הטיפול בחריגים במערכת Windows.

הגדרת התצורה של 'מניעת ביצוע נתונים' ברמת מערכת

הגדרת התצורה של התכונה 'מניעת ביצוע נתונים' עבור המערכת מבוצעת באמצעות בוררים בקובץ Boot.ini. אם נכנסת כמנהל מערכת, באפשרותך לקבוע כעת בקלות את ההגדרות של התכונה 'מניעת ביצוע נתונים' באמצעות תיבת הדו-שיח מערכת בלוח הבקרה.

מערכת Windows תומכת בארבע הגדרות תצורה ברמת מערכת הן עבור 'מניעת ביצוע נתונים' הנאכפת על ידי חומרה והן עבור 'מניעת ביצוע נתונים' הנאכפת על ידי תוכנה.
כווץ את הטבלההרחב את הטבלה
הגדרת תצורהתיאור
OptInהגדרה זו היא הגדרת התצורה המהווה את ברירת המחדל. במערכות בעלות מעבדים שבאפשרותם ליישם 'מניעת ביצוע נתונים' הנאכפת על ידי חומרה, מניעת ביצוע הנתונים מופעלת כברירת מחדל עבור מספר מוגבל של קבצי מערכת בינאריים ועבור תוכניות 'מצטרפות' (opt-in). באפשרות זו, רק קבצי מערכת בינאריים של Windows מוגנים על-ידי 'מניעת ביצוע נתונים' כברירת מחדל.
OptOut'מניעת ביצוע נתונים' מופעלת כברירת מחדל עבור כל התהליכים. ניתן ליצור באופן ידני רשימת תוכניות ספציפיות שבהן לא מיושמת התכונה 'מניעת ביצוע נתונים' באמצעות תיבת הדו-שיח מערכת בלוח הבקרה. באפשרות אנשי IT להשתמש בערכת הכלים Application Compatibility Toolkit כדי לבחור בהוצאת תוכנית אחת או יותר מהגנתה של התכונה 'מניעת ביצוע נתונים'. תיקוני תאימות למערכת, או לוחיות (shims), עבור 'מניעת ביצוע נתונים' הם תקפים.
AlwaysOnהגדרה זו מספקת הגנה מלאה של 'מניעת ביצוע נתונים' עבור המערכת בשלמותה. כל התהליכים פועלים תמיד כאשר התכונה 'מניעת ביצוע נתונים' מיושמת. רשימת היוצאים מן הכלל לתוכניות מסוימות הפטורות מהגנתה של 'מניעת ביצוע נתונים' אינה זמינה. תיקוני תאימות למערכת עבור 'מניעת ביצוע נתונים' אינם תקפים. תוכניות שנבחרו כמוצאות באמצעות ערכת הכלים Application Compatibility Toolkit, פועלות כאשר התכונה 'מניעת ביצוע נתונים' מיושמת.
AlwaysOffהגדרה זו אינה מספקת כלל הגנה של התכונה 'מניעת ביצוע נתונים' עבור אף חלק מחלקי המערכת, ללא קשר לתמיכת החומרה ב'מניעת ביצוע נתונים'. המעבד אינו פועל במצב 'הרחבת כתובת פיזית' אלא אם האפשרות ?/PAE נמצאת בקובץ Boot.ini.
הגדרות התצורה של 'מניעת ביצוע נתונים' הנאכפת על ידי חומרה ושל 'מניעת ביצוע נתונים' הנאכפת על ידי תוכנה מתבצעות באופן זהה. אם המדיניות הכלל-מערכתית 'של מניעת ביצוע נתונים' מוגדרת 'OptIn', אותם קבצי ליבה בינאריים ותוכניות של Windows יוגנו באמצעות 'מניעת ביצוע נתונים' הנאכפת על ידי חומרה וגם באמצעות 'מניעת ביצוע נתונים' הנאכפת על ידי תוכנה. אם אין באפשרות המערכת לעשות שימוש בתכונה 'מניעת ביצוע נתונים' הנאכפת על ידי חומרה, קבצי הליבה הבינאריים והתוכניות של Windows יוגנו רק באמצעות התכונה 'מניעת ביצוע נתונים' הנאכפת על ידי תוכנה.

באופן דומה, אם המדיניות הכלל-מערכתית של 'מניעת ביצוע נתונים' מוגדרת OptOut, תוכניות הפטורות מהגנת 'מניעת ביצוע נתונים' יהיו פטורות מ'מניעת ביצוע נתונים' הנאכפת על ידי חומרה וגם מ'מניעת ביצוע נתונים' הנאכפת על ידי תוכנה.

הגדרות הקובץ Boot.ini הן כלהלן:
?/noexecute=policy_level
הערה הביטוי policy_level מוגדר כ-AlwaysOn,? AlwaysOff,? OptIn או OptOut.

הגדרות ?/noexecute הקיימות בקובץ Boot.ini אינן משתנות בעת התקנת Windows XP SP2. הגדרות אלה גם אינן משתנות גם כאשר תמונה של מערכת ההפעלה Windows מועברת בין מחשבים שהתכונה 'מניעת ביצוע נתונים' הנאכפת על ידי חומרה קיימת בהם או לא.

בעת התקנה של Windows XP SP2 ושל Windows Server 2003 SP1 או גירסות מאוחרות יותר, רמת המדיניות OptIn מופעלת כברירת מחדל אלא אם צוינה רמת מדיניות אחרת בהתקנה ללא התערבות. אם ההגדרה ?/noexecute=policy_level לא נמצאת בקובץ Boot.ini עבור גירסה של Windows התומכת בתכונה 'מניעת ביצוע נתונים', אופן הפעולה הוא זהה לזה שהיה מתרחש אם ההגדרה ?/noexecute=OptIn הייתה כלולה בו.

אם נכנסת כמנהל מערכת, באפשרותך להגדיר את תצורת התכונה 'מניעת ביצוע נתונים' באופן ידני כך שתעבור ממדיניות OptIn למדיניות OptOut באמצעות הכרטיסייה מניעת ביצוע נתונים בתיבה מאפייני מערכת. הנוהל שלהלן מתאר את אופן הגדרת התצורה הידני של התכונה 'מניעת ביצוע נתונים' במחשב:
  1. לחץ על התחל, לחץ על הפעלה, הקלד sysdm.cpl, ולאחר מכן לחץ על אישור.
  2. בכרטיסייה מתקדם תחת ביצועים, לחץ על הגדרות.
  3. בכרטיסייה מניעת ביצוע נתונים, השתמש באחד מהנהלים הבאים:
    • לחץ על הפעל DEP עבור תוכניות ושירותי Windows הכרחיים בלבד כדי לבחור במדיניות OptIn.
    • לחץ על הפעל DEP עבור כל התוכניות והשירותים מלבד אלה שאבחר כדי לבחור במדיניות OptOut ולאחר מכן לחץ על הוספה כדי להוסיף את התוכניות שאין ברצונך להשתמש עבורן בתכונה 'מניעת ביצוע נתונים'.
  4. לחץ פעמיים על אישור.
אנשי IT יכולים להגדיר את תצורת התכונה 'מניעת ביצוע נתונים' ברמת מערכת באמצעות מגוון שיטות. ניתן לשנות ישירות את הקובץ Boot.ini בעזרת מנגנוני scripting או בעזרת כלי הגדרת התצורה Bootcfg.exe הכלול במערכת Windows XP SP2.

כדי לקבוע את תצורת התכונה 'מניעת ביצוע נתונים' כך שתעבור למדיניות AlwaysOn באמצעות הקובץ Boot.ini, בצע את הפעולות הבאות:
  1. לחץ על התחל, לחץ באמצעות לחצן העכבר הימני על המחשב שלי ולאחר מכן לחץ על מאפיינים.
  2. לחץ על הכרטיסייה מתקדם ולאחר מכן לחץ על הגדרות תחת השדה הפעלה ושחזור.
  3. בשדה הפעלה, לחץ על ערוך. הקובץ Boot.ini נפתח כעת בפנקס הרשימות
  4. בפנקס הרשימות, לחץ על חיפוש בתפריט עריכה.
  5. בתיבה חפש את, הקלד ?/noexecute ולאחר מכן לחץ על חפש את הבא.
  6. בתיבת הדו-שיח חיפוש, לחץ על ביטול.
  7. החלף את הביטוי policy_level בביטוי AlwaysOn.

    אזהרה ודא כי אתה מזין את הטקסט באופן מדויק. הבורר בקובץ Boot.ini אמור להיראות כעת כך:
    ?/noexecute=AlwaysOn
  8. בפנקס הרשימות, לחץ על שמור בתפריט קובץ.
  9. לחץ פעמיים על אישור.
  10. הפעל מחדש את המחשב.
עבור התקנות ללא התערבות של Windows XP SP2 או גירסות מאוחרות יותר, באפשרותך להשתמש בקובץ Unattend.txt כדי לאכלס מראש תצורה מסוימת של התכונה 'מניעת ביצוע נתונים'. ניתן להשתמש בערך OSLoadOptionsVar במקטע [Data] של הקובץ Unattend.txt כדי לציין הגדרת תצורה ברמה מערכתית של התכונה 'מניעת ביצוע נתונים'.

הגדרת התצורה של 'מניעת ביצוע נתונים' ברמת תוכנית

למטרות תאימות תוכניות, ניתן להשבית את התכונה 'מניעת ביצוע נתונים' באופן סלקטיבי עבור תוכניות 32 סיביות בודדות כאשר 'מניעת ביצוע נתונים' מוגדרת ברמת המדיניות OptOut. לשם כך, השתמש בכרטיסייה מניעת ביצוע נתונים בתיבה מאפייני מערכת כדי להשבית באופן סלקטיבי את התכונה 'מניעת ביצוע נתונים' עבור תוכנית כלשהי. עבור אנשי IT, תיקון תאימות לתוכניות בשם DisableNX כלול ב-Windows XP SP2. תיקון התאימות DisableNX משבית את התכונה 'מניעת ביצוע נתונים' עבור התוכנית שעליה מיושם התיקון.

ניתן ליישם את תיקון התאימות DisableNX לתוכנית כלשהי באמצעות ערכת הכלים Application Compatibility Toolkit. לקבלת פרטים נוספים על תאימות יישומים במערכת Windows, עיין בנושא Windows Application Compatibility באתר האינטרנט הבא ש(1)(2):
http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx
לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר היד(1)(2) Knowledge Base:
912923 כיצד לקבוע כי התכונה 'מניעת ביצוע נתונים' הנאכפת על ידי חומרה נמצאת ומוגדרת במחשב (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

מידע נוסף

לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר היד(1)(2) Knowledge Base:
899298 נושא העזרה 'הבנה של מניעת ביצוע נתונים' קובע באופן שגוי את הגדרת ברירת המחדל עבור 'מניעת ביצוע נתונים' ב-Windows Server 2003 Service Pack 1 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

מאפיינים

Article ID: 875352 - Last Review: יום שני 23 אוקטובר 2006 - Revision: 14.1
המידע במאמר זה חל על:
  • Microsoft Windows Server 2003 Service Pack 1, הפועל עם:
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows XP Home Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Media Center Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Tablet PC Edition 2005
מילות מפתח 
kbinfo kbtshoot KB875352

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com