Penjelasan terinci tentang fitur Pencegahan Eksekusi Data (DEP) pada Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005, dan Windows Server 2003

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 875352 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Pencegahan Eksekusi Data (DEP) merupakan teknologi perangkat lunak dan keras yang menampilkan pemeriksaan tambahan pada memori untuk membantu menghindari dijalankannya kode berbahaya di dalam sistem Anda. Pada Microsoft Windows XP Service Pack 2 (SP2) dan Microsoft Windows XP Tablet PC Edition 2005, DEP dijalankan oleh perangkat lunak dan keras.

Manfaat utama dari DEP adalah untuk membantu mencegah eksekusi kode dari halaman data. Biasanya, kode tidak dieksekusi dari memori default. DEP yang didukung perangkat keras mendeteksi kode yang dijalankan pada lokasi tersebut, dan menaikkan pengecualian saat eksekusi terjadi. DEP yang didukung oleh perangkat lunak dapat membantu menghindarkan pemanfaatan mekanisme penanganan-pengecualian pada Windows oleh kode berbahaya.

PENDAHULUAN

Artikel ini menjelaskan tentang fitur DEP pada Windows XP SP2 dan pada Microsoft Windows Server 2003 dengan Paket Layanan 1 (SP1) serta membahas beberapa topik berikut:

INFORMASI LEBIH LANJUT

DEP yang didukung perangkat keras

DEP yang didukung perangkat keras menandai semua lokasi di dalam proses sebagai proses non-eksekusi kecuali jika lokasi terdiri dari kode dapat dieksekusi. Terdapat kelas serangan yang mencoba memasukkan dan menjalankan kode dari lokasi memori non-eksekusi. DEP membantu mencegah serangan tersebut dengan mencegat serangan dan meningkatkan pengecualian.

DEP yang didukung oleh perangkat keras tergantung pada perangkat keras prosesor untuk menandai memori dengan atribut yang menunjukkan bahwa kode tersebut tidak seharusnya dieksekusi dari memori. DEP berfungsi pada basis halaman memori per-virtual, dan biasanya DEP mengubah sedikit pada entri tabel halaman (PTE) untuk menandai halaman memori.

Arsitektur prosesor menentukan bagaimana DEP diimplementasikan pada perangkat keras dan bagaimana DEP menandai halaman memori virtual. Namun, prosesor yang mendukung DEP yang didukung perangkat keras dapat meningkatkan pengecualian ketika kode dieksekusi dari halaman yang ditandai dengan serangkaian atribut yang tepat.

Perangkat Mikro Modern (AMD) dan Intel telah memberikan definisi dan mengirimkan arsitektur kompatibel Windows yang sesuai dengan DEP.

Dimulai dengan Windows XP SP2, Windows versi 32-bit menggunakan satu dari beberapa hal berikut:
  • Fitur prosesor NX (no-execute page-protection) seperti yang didefinisikan oleh AMD.
  • Fitur Execute Disable Bit (XD) seperti yang didefinisikan oleh Intel.
Untuk memulai fitur prosesor tersebut, prosesor harus berjalan pada mode Ekstensi Alamat Fisik (PAE). Namun, Windows akan mengaktifkan mode PAE secara otomatis untuk mendukung DEP. Pengguna tidak harus mengaktifkan PAE dengan menggunakan switch boot /PAE.

Catatan Karena kernel 64-bit merupakan Ekstensi Jendela Alamat (AWE), tidak ada kernel PAE di dalam versi Windows 64-bit yang terpisah.
Untuk informasi lebih lanjut tentang PAE dan AWE pada Windows Server 2003, klik nomor artikel di bawah ini untuk melihat artikel pada Basis Pengetahuan Microsoft:
283037 Dukungan memori yang besar tersedia pada Windows Server 2003 dan pada Windows 2000 (Artikel ini mungkin berisi link ke konten berbahasa Inggris (belum diterjemahkan)).

DEP yang dijalankan oleh perangkat lunak

Rangkaian tambahan dari pemeriksaan keamanan Pencegahan Eksekusi Data telah ditambahkan dalam Windows XP SP2. Pemeriksaan ini, diketahui sebagai DEP yang didukung oleh perangkat lunak, dirancang untuk memblokir kode berbahaya yang memanfaatkan mekanisme penanganan-pengecualian pada Windows. DEP yang didukung perangkat lunak berjalan pada prosesor apa pun yang dapat menjalankan Windows XP SP2. Secara default, DEP yang didukung perangkat lunak membantu melindungi hanya biner sistem terbatas, tanpa memandang kapabilitas prosesor DEP yang didukung perangkat keras.

Keuntungan

Keuntungan utama DEP adalah bahwa DEP membantu mencegah eksekusi data dari halaman data, seperti halaman memori default, halaman memori yang beragam, dan halaman kumpulan memori. Biasanya, kode tidak dieksekusi dari memori default. DEP yang didukung perangkat keras mendeteksi kode yang dijalankan pada lokasi tersebut, dan menaikkan pengecualian saat eksekusi terjadi. Apabila pengecualian tidak ditangani, proses akan dihentikan. Eksekusi kode dari memori yang dilindungi dalam mode kernel yang mengakibatkan galat Stop.

DEP dapat memblokir pengacauan keamanan. Khususnya, DEP dapat membantu memblokir program berbahaya di mana virus atau jenis serangan lainnya telah memasuki proses dengan kode tambahan dan kemudian mencoba untuk menjalankan kode yang dimasuki oleh virus. Pada sistem dengan DEP, eksekusi dari kode yang terinfeksi mengakibatkan pengecualian. DEP yang didukung oleh perangkat lunak dapat membantu menghindarkan pemanfaatan mekanisme penanganan-pengecualian pada Windows oleh kode berbahaya.

Konfigurasi System-wide DEP

Konfigurasi DEP untuk sistem dikendalikan melalui switch pada berkas Boot .ini. Jika Anda logon sebagai administrator, Anda dapat mengkonfigurasi pengaturan DEP dengan menggunakan kotak dialog Sistem pada Panel Kontrol.

Windows mendukung empat konfigurasi yang berlaku di sistem baik untuk DEP yang didukung oleh perangkat keras maupun perangkat lunak.
Perkecil tabel iniPerbesar tabel ini
KonfigurasiKeterangan
OptInPengaturan ini merupakan konfigurasi default. Pada sistem dengan prosesor yang dapat mengimpelementasikan DEP yang didukung oleh perangkat keras, DEP diaktifkan untuk biner sistem dan program yang "dipilih". Dengan opsi ini, hanya biner sistem Windows yang dilingkupi oleh DEP secara default.
OptOutDEP diaktifkan secara default untuk semua proses. Anda dapat membuat daftar program spesifik secara manual yang tidak menerapkan DEP dengan kotak dialog Sistem pada Panel Kontrol. Para profesional IT dapat menggunakan Alat Kompabilitas Aplikasi untuk "membuang" satu atau lebih program dari perlindungan DEP. Perbaikan kompabilitas sistem untuk DEP memang berpengaruh.
AlwaysOnPengaturan ini menyediakan cakupan DEP yang penuh untuk keseluruhan sistem. Semua proses selalu berjalan dengan DEP yang diaplikasikan. Daftar pengecualian untuk membebaskan program spesifik dari perlindungan DEP tidak tersedia. Perbaikan kompatibilitas sistem untuk DEP tidak berpengaruh. Program yang telah dibuang dengan menggunakan Alat Kompatibilitas Aplikasi menjalankan dengan DEP yang diterapkan.
AlwaysOffPengaturan ini tidak memberikan cakupan DEP apa pun untuk bagian mana pun dari sistem, tanpa memandang dukungan DEP perangkat keras. Prosesor tidak berjalan pada mode PAE kecuali jika opsi /PAE dijumpai pada berkas Boot.ini.
DEP yang didukung oleh perangkat keras dan lunak dikonfigurasi dengan cara yang sama. Apabila kebijakan sistem DEP di dalam sistem diatur ke Optln, biner inti Windows dan program akan sama-sama dilindungi baik oleh DEP yang didukung oleh perangkat keras maupun oleh perangkat lunak. Apabila sistem tidak dapat menggunakan DEP yang didukung oleh perangkat keras, biner inti Windows dan program akan dilindungi hanya oleh DEP yang didukung oleh perangkat lunak.

Begitu juga, apabila kebijakan sistem DEP di dalam sistem diatur ke OptOut, program yang telah dibebaskan dari perlindungan DEP akan dibebaskan baik dari DEP yang didukung perangkat keras maupun perangkat lunak.

Pengaturan berkas Boot.ini adalah sebagai berikut:
/noexecute=policy_level
Catatanpolicy_level didefinisikan sebagai AlwaysOn, AlwaysOff, OptIn, atau OptOut.

Pengaturan /noexecute yang sudah ada pada berkas Boot.ini tidak diubah saat Windows XP SP2 diinstal. Pengaturan tersebut juga tidak diganti apabila citra sistem operasi Windows dipindah antarkomputer dengan atau tanpa DEP yang didukung oleh perangkat keras.

Selama penginstalan Windows XP SP2 dan Windows Server 2003 SP1 atau versi yang lebih baru, tingkat kebijakan OptIn diaktifkan secara default kecuali jika tingkat kebijakan berbeda ditentukan di dalam penginstalan yang tidak dijaga. Apabila pengaturan /noexecute=policy_level tidak dijumpai pada berkas Boot.ini untuk versi Windows yang mendukung DEP, tindakan ini sama seperti apabila pengaturan /noexecute=OptIn disertakan.

Jika Anda logon sebagai administrator, Anda dapat mengkonfigurasi DEP secara manual untuk beralih antara kebijakan OptIn dan OptOut menggunakan tab Pencegahan Eksekusi Data pada Properti Sistem. Prosedur berikut menjelaskan cara mengkonfigurasi DEP pada komputer secara manual:
  1. Klik Mulai, klik Jalankan, ketik sysdm.cpl, kemudian klik OK.
  2. Pada tab Lanjut, di bawah Kinerja, klik Pengaturan.
  3. Pada tab Pencegahan Eksekusi Data, gunakan satu dari beberapa prosedur berikut:
    • Klik Hidupkan DEP hanya untuk program dan layanan Windows yang penting untuk memilih kebijakan OptIn.
    • Klik Hidupkan DEP untuk semua program dan layanan kecuali yang saya pilih untuk memilih kebijakan OptOut, kemudian klik Tambah untuk menambah program di mana Anda tidak ingin menambah fitur DEP.
  4. Klik OK dua kali.
Profesional IT dapat mengendalikan konfigurasi DEP yang berlaku di sistem dengan menggunakan berbagai metode. Berkas Boot.ini dapat diubah secara langsung dengan mekanisme scripting atau dengan alat Bootcfg.exe yang termasuk di dalam Windows XP SP2.

Untuk mengkonfigurasi DEP guna beralih ke kebijakan AlwaysOn menggunakan berkas Boot.ini, ikuti langkah-langkah berikut:
  1. Klik Mulai, klik-kanan Komputer Saya, kemudian klik Properti.
  2. Klik tab Lanjut, kemudian klik Pengaturan di bawah kolom Persiapan dan Pemulihan.
  3. Pada kolom Persiapan sistem, klik Edit. Berkas Boot.ini terbuka pada Notepad.
  4. Pada Notepad, klik Temukan pada menu Edit.
  5. Pada kotak Temukan apa, ketik /noexecute, kemudian klik Temukan Berikutnya.
  6. Pada kotak dialog Temukan, klik Batal.
  7. Gantikan policy_level dengan AlwaysOn.

    PERINGATAN Pastikan bahwa Anda telah memasukkan teks dengan benar. Switch berkas Boot.ini seharusnya kini dibaca:
    /noexecute=AlwaysOn
  8. Pada Notepad, klikSimpan pada menu Berkas.
  9. Klik OK dua kali.
  10. Restart komputer.
Untuk penginstalan Windows XP SP2 atau versi lebih baru secara tidak dijaga, Anda dapat menggunakan berkas Unattend.txt untuk melakukan pra-populasi konfigurasi DEP khusus. Anda dapat menggunakan entri OSLoadOptionsVar pada bagian [Data] dari berkas Unattend.txt untuk menentukan konfigurasi DEP yang berlaku di sistem.

Konfigurasi DEP per program

Untuk tujuan kompatibilitas program, Anda dapat menonaktifkan DEP secara selektif untuk setiap program 32-bit ketika DEP diatur ke tingkat kebijakan OptOut. Untuk melakukannya, gunakan tab Pencegahan Eksekusi Data pada Properti Sistem untuk menonaktifkan DEP sebuah program secara selektif. Bagi profesional IT, perbaikan kompatibilitas program yang baru dan diberi nama DisableNX telah disertakan ke dalam Windows XP SP2. Perbaikan kompatibilitas DisableNX akan menonaktifkan Pencegahan Eksekusi Data untuk program di mana perbaikan diterapkan.

Kompatibilitas perbaikan DisableNX dapat diterapkan untuk program dengan menggunakan Alat Kompatibilitas Aplikasi. Untuk informasi tentang kompatibilitas aplikasi Windows, lihat Kompatibilitas Aplikasi Windows pada Website Microsoft berikut:
http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx
Untuk informasi lebih lanjut, klik nomor artikel di bawah ini untuk menampilkan artikel pada Basis Pengetahuan Microsoft:
912923 Cara menentukan bahwa perangkat keras DEP tersedia dan terkonfigurasi pada komputer Anda (Artikel ini mungkin berisi link ke konten berbahasa Inggris (belum diterjemahkan)).

REFERENSI

Untuk informasi lebih lanjut, klik nomor artikel di bawah ini untuk menampilkan artikel pada Basis Pengetahuan Microsoft:
899298 Topik bantuan "Memahami Pencegahan Eksekusi Data" telah salah dalam menerangkan pengaturan default untuk DEP pada Windows Server 2003 Paket Layanan 1. (Artikel ini mungkin berisi link ke konten berbahasa Inggris (belum diterjemahkan)).

Properti

ID Artikel: 875352 - Kajian Terakhir: 18 Juni 2007 - Revisi: 14.1
Berlaku bagi:
  • Microsoft Windows Server 2003 Service Pack 1, ketika digunakan dengan:
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows XP Home Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Media Center Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Tablet PC Edition 2005
Kata kunci: 
kbinfo kbtshoot KB875352

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com