A Windows XP SP2, a Windows XP Tablet PC Edition 2005 és a Windows Server 2003 rendszerek adatvégrehajtás megakadályozása (DEP) szolgáltatásának részletes ismertetése

A cikk fordítása A cikk fordítása
Cikk azonosítója: 875352 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

Az adatvégrehajtás megakadályozása (DEP) szolgáltatás olyan szoftver- és hardvertechnológiákra épül, amelyek a memória fokozott ellenőrzésével megkönnyítik a rosszindulatú kódok futtatásának megakadályozását. A Microsoft Windows XP Service Pack 2 (SP2) és Microsoft Windows XP Tablet PC Edition 2005 rendszerekben a DEP használata hardver és szoftver által kényszerített.

A DEP fő előnye, hogy megkönnyíti az adatokat tartalmazó lapokról történő kódvégrehajtás megakadályozását. A kódot a rendszer általában nem az alapértelmezett halomból és a veremből hajtja végre. A hardver által kényszerített DEP észleli az ezen helyekről történő kódfuttatást, és a végrehajtáskor kivételt okoz. A szoftver által kényszerített DEP megkönnyíti annak megakadályozását, hogy a rosszindulatú kód saját célra használhassa fel a Windows kivételkezelő mechanizmusait.

BEVEZETŐ

Ez a cikk a DEP szolgáltatást ismerteti Windows XP SP2 és Microsoft Windows Server 2003 Service Pack 1 (SP1) rendszerben a következő témaköröket tárgyalva:

További információ

Hardver által kényszerített DEP

A hardver által kényszerített DEP egy adott folyamatban az összes memóriahelyet nem végrehajthatóként jelöli meg, hacsak nem egyértelmű, hogy a hely végrehajtható kódot tartalmaz. A támadásoknak egy bizonyos típusa nem végrehajtható memóriahelyekről kísérel meg kódot beilleszteni és futtatni. A DEP e támadások megakadályozását észlelésükkel és kivételt okozva könnyíti meg.

A hardver által kényszerített DEP a processzor hardverének segítségével megjelöli a memóriahelyet egy attribútummal, amely azt jelzi, hogy az adott memóriahelyről nem szabad a kódot végrehajtani. A DEP, amelynek működése virtuálismemória-lap szintű, a memórialap megjelöléséhez általában módosít egy bitet a laptáblabejegyzésben (PTE).

A processzor architektúrája határozza meg a DEP hardverbe történő integrálásának és a virtuálismemória-lap megjelölésének mikéntjét. Ha a megfelelő attribútumkészlettel megjelölt memóriahelyről mégis kódvégrehajtás történik, a hardver által kényszerített DEP funkciót támogató processzorok képesek arra, hogy kivételt okozzanak.

Az Advanced Micro Devices (AMD) és az Intel cég olyan Windows-kompatibilis architektúrákat fejlesztett ki és hozott forgalomba, amelyek kompatibilisek a DEP funkcióval.

A Windows XP SP2 rendszerrel kezdődően a Windows 32 bites verziói az alábbi funkciók valamelyikét használják:
  • Az AMD által definiált végrehajtás-letiltási (NX) processzorfunkció.
  • Az Intel által definiált végrehajtás-letiltó bit (XD) funkció.
E processzorfunkciók használatához a processzornak fizikai címkiterjesztési (PAE) üzemmódban kell működnie. A DEP funkció támogatása érdekében a Windows automatikusan engedélyezi a PAE üzemmódot, tehát a felhasználóknak nem kell külön engedélyezniük azt a /PAE rendszerindítási kapcsoló megadásával.

Megjegyzés: Mivel a 64 bites kernelek rendelkeznek címtartomány-leképezési bővítménnyel (AWE), a Windows 64 bites verziói esetén nincs különálló PAE kernel.
A Windows Server 2003 címtartomány-leképezési bővítményéről és a fizikai címkiterjesztéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
283037 Nagyméretű memória támogatása Windows Server 2003 és Windows 2000 rendszerben

Szoftver által kényszerített DEP

A Windows XP SP2 rendszerbe további DEP-alapú biztonsági ellenőrzéseket építettek be. Ezeket a szoftver által kényszerített DEP funkcióként ismert ellenőrzéseket a Windows kivételkezelő mechanizmusait saját célra felhasználó rosszindulatú kódok blokkolására fejlesztették ki. A szoftver által kényszerített DEP bármely Windows XP SP2 rendszer futtatására alkalmas processzoron futtatható. A szoftver által kényszerített DEP alapértelmezés szerint csak bizonyos bináris rendszerfájlok védelmét könnyíti meg, függetlenül a processzor adatvégrehajtás-megakadályozási képességeitől.

Előnyök

A DEP fő előnye, hogy megkönnyíti az adatokat tartalmazó lapokról – például az alapértelmezett halomlapokról, a különböző veremlapokról és a memóriakészlet-lapokról – történő kódvégrehajtás megakadályozását. A kódot a rendszer általában nem az alapértelmezett halomból és a veremből hajtja végre. A hardver által kényszerített DEP észleli az ezen helyekről történő kódfuttatást, és a végrehajtáskor kivételt okoz. Ha a kivétel nem kezelt, a rendszer leállítja a folyamatot. A védett memóriából történő kódvégrehajtás kernel üzemmódban Stop hibát okoz.

A DEP megkönnyíti a rendszer biztonságát veszélyeztető behatolások egy bizonyos típusának blokkolását. A DEP különösen azoknak a rosszindulatú programoknak a blokkolását könnyíti meg, amelyekbe egy vírus vagy egyéb típusú támadó további kódot tartalmazó folyamatot juttatott be, és megkísérli a bejuttatott kód futtatását. A DEP funkciót használó rendszerekben a bejuttatott kód végrehajtása kivételt okoz. A szoftver által kényszerített DEP megkönnyíti azon programok blokkolását, amelyek saját célra használják fel a Windows kivételkezelő mechanizmusait.

A DEP rendszerszintű konfigurálása

A DEP rendszerszintű konfigurálását a Boot.ini fájlban megadott kapcsolók segítségével lehet szabályozni. Rendszergazdaként bejelentkezve a DEP-beállítások konfigurálását könnyűszerrel elvégezheti a Vezérlőpultról elérhető Rendszer párbeszédpanel segítségével.

A Windows négy rendszerszintű konfigurációt támogat mind a hardver által kényszerített, mind a szoftver által kényszerített DEP esetében.
A táblázat összecsukásaA táblázat kibontása
KonfigurációLeírás
OptInEz a beállítás az alapértelmezett konfiguráció. A hardver által kényszerített DEP használatára alkalmas processzorokkal rendelkező rendszerekben a DEP alapértelmezés szerint csak korlátozott mértékben, azon bináris rendszerfájlok és programok esetében engedélyezett, amelyek „önként választják” e funkció használatát. E beállítás használatakor alapértelmezés szerint csak a Windows bináris rendszerfájljait védi a DEP.
OptOutA DEP használata alapértelmezés szerint az összes folyamat esetében engedélyezett. A Vezérlőpultról elérhető Rendszer párbeszédpanel segítségével manuálisan létrehozhatja azoknak a meghatározott programoknak a listáját, amelyek esetében nem kívánja a DEP funkciót használni. Az informatikusok az alkalmazáskompatibilitási eszközkészlet segítségével egy vagy több programot „önkényesen” kivonhatnak a DEP védelme alól. A DEP rendszerkompatibilitási javításai futtathatók.
AlwaysOnEz a beállítás teljes körű DEP-védelmet biztosít az egész rendszer számára. A rendszer minden folyamatot a DEP védelme alatt futtat. A DEP védelme alól kivont programokat tartalmazó kivétellista nem elérhető. A DEP rendszerkompatibilitási javításai nem futtathatók. Az alkalmazáskompatibilitási eszközkészlet segítségével „önkényesen” kivont programok a DEP használatával futnak.
AlwaysOffEz a beállítás a hardveres DEP-támogatástól függetlenül semmilyen DEP-védelmet nem biztosít a rendszer egyetlen összetevője számára sem. A processzor csak akkor működik PAE üzemmódban, ha a /PAE kapcsoló meg van adva a Boot.ini fájlban.
A hardver által kényszerített és a szoftver által kényszerített DEP azonos módon van konfigurálva. OptIn beállítással konfigurált rendszerszintű DEP-házirend esetén mind a hardver által kényszerített, mind a szoftver által kényszerített DEP ugyanazokat az alapvető bináris fájlokat és programokat védi a Windows rendszerben. Ha a rendszer nem használhatja a hardver által kényszerített DEP funkciót, a Windows alapvető bináris fájljait és programjait csak a szoftver által kényszerített DEP védi.

Hasonlóképpen, ha az OptOut beállítás a rendszerszintű DEP-házirend, a DEP védelme alól kivont programok mind a hardver által kényszerített, mind a szoftver által kényszerített DEP védelme alól mentesülnek.

A Boot.ini fájlban megadható beállítások a következők:
/noexecute= házirendszint
Megjegyzés: A házirendszint AlwaysOn, AlwaysOff, OptIn vagy OptOut lehet.

A Boot.ini fájl meglévő /noexecute beállításai nem módosulnak a Windows XP SP2 telepítésekor. Ezek a beállítások egy Windows operációs rendszerről készült lemezkép hardver által kényszerített DEP-támogatással rendelkező, illetve nem rendelkező számítógépek közötti áthelyezésekor sem módosulnak.

A Windows XP SP2 és a Windows Server 2003 SP1 telepítése során az OptIn házirendszint alapértelmezés szerint engedélyezve van, hacsak – felügyelet nélküli telepítés esetén – nincs megadva ettől eltérő házirendszint. Ha a /noexecute=házirendszint beállítás nincs megadva a Boot.ini fájlban egy olyan Windows-verzió esetében, amely támogatja a DEP funkciót, a rendszer ugyanúgy viselkedik, mintha a /noexecute=OptIn beállítás lenne megadva.

Ha rendszergazdaként van bejelentkezve, a Rendszertulajdonságok párbeszédpanel Adatvégrehajtás megakadályozása lapjának segítségével manuálisan beállíthatja, hogy a DEP szolgáltatás az OptIn vagy az OptOut házirend szerint működjön. Az alábbi eljárás a DEP szolgáltatás számítógépen történő manuális konfigurálását ismerteti:
  1. Kattintson a Start menü Futtatás parancsára, írja be az sysdm.cpl parancsot, majd kattintson az OK gombra.
  2. A Speciális lap Teljesítmény területén kattintson a Beállítások gombra.
  3. Az Adatvégrehajtás megakadályozása lapon alkalmazza az alábbi eljárások egyikét:
    • Kattintson az Adatvégrehajtás megakadályozása fontosabb Windows programoknál és szolgáltatásoknál választógombra az OptIn házirend megadásához.
    • Kattintson a Adatvégrehajtás megakadályozása az összes programnál, kivéve választógombra az OptOut házirend megadásához, majd kattintson a Hozzáadás gombra azoknak a programoknak a hozzáadásához, amelyek esetében nem szeretné használni a DEP szolgáltatást.
  4. Kattintson egymás után kétszer az OK gombra.
Az informatikusok számos módszer segítségével szabályozhatják a rendszerszintű DEP-konfigurációt. A Boot.ini fájl közvetlenül módosítható parancsfájl-mechanizmusokkal vagy a Windows XP SP2 rendszerben elérhető Bootcfg.exe eszköz segítségével.

A DEP szolgáltatásnak a Boot.ini fájl segítségével az AlwaysOn házirendre való áttérés beállításához végezze el a következő lépéseket:
  1. Kattintson a jobb gombbal a Start menü Sajátgép elemére, majd válassza a Tulajdonságok parancsot.
  2. Kattintson a Speciális fülre, majd az Indítás és helyreállítás területen a Beállítások gombra.
  3. A Rendszerindítás területen kattintson a Szerkesztés gombra. Ekkor a Boot.ini fájl megnyílik a Jegyzettömbben.
  4. Kattintson a Szerkesztés menü Keresés parancsára.
  5. A Megjelenítendő név mezőbe írja be a /noexecute értéket, majd kattintson a Következő gombra.
  6. A Keresés párbeszédpanelen kattintson a Mégse gombra.
  7. A házirendszint helyére írja be az AlwaysOn értéket.

    Figyelem! Győződjön meg arról, hogy a szöveget pontosan írta be. A Boot.ini fájl kapcsolójának ekkor így kell kinéznie:
    /noexecute=AlwaysOn
  8. Kattintson a Jegyzettömb Fájl menüjének Mentés parancsára.
  9. Kattintson a megnyitott párbeszédpanelek OK gombjaira.
  10. Indítsa újra a számítógépet.
A Windows XP SP2 (vagy újabb verzió) felügyelet nélküli telepítése esetén az Unattend.txt fájl segítségével meghatározott DEP-konfigurációkat állíthat be előre. Az Unattend.txt fájl [Data] szakaszában az OSLoadOptionsVar bejegyzés segítségével adhat meg rendszerszintű DEP-konfigurációt.

A DEP programszintű konfigurálása

Programkompatibilitási megfontolásokból a 32 bites programok esetében egyesével is letiltható a DEP olyan esetekben, amikor az OptOut házirendszint van beállítva. Ehhez használja a Rendszertulajdonságok párbeszédpanel Adatvégrehajtás megakadályozása lapját, amelyen az egyes programok esetében egyesével is letilthatja a DEP szolgáltatást. Az informatikusok számára rendelkezésre áll a Windows XP SP2 rendszer egyik új, DisableNX nevű programkompatibilitási javítása is. A DisableNX kompatibilitási javítás letiltja az adatvégrehajtás megakadályozását annak a programnak az esetében, amelyre a javítást alkalmazzák.

A DisableNX programkompatibilitási javítás az alkalmazáskompatibilitási eszközkészlet segítségével alkalmazható a programokra. Az alkalmazások Windows rendszerrel való kompatibilitásáról további információt a Microsoft Windows Application Compatibility (Alkalmazások kompatibilitása a Windows rendszerrel) webhelyén talál:
http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx
A Microsoft Tudásbázis kapcsolódó cikke:
912923 Annak megállapítása, hogy a számítógépen a DEP szolgáltatás már telepítve és konfigurálva van-e (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Hivatkozások

További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
899298 Az „Adatvégrehajtás megakadályozásának ismertetése” súgótémakör helytelenül adja meg a DEP alapértelmezett beállítását Windows Server 2003 Service Pack 1 rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Tulajdonságok

Cikk azonosítója: 875352 - Utolsó ellenőrzés: 2013. június 10. - Verziószám: 14.3
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003 Service Pack 1 a következő platformokon
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Kulcsszavak: 
kbtshoot kbinfo KB875352
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com