En detaljert beskrivelse av DEP-funksjonen (Datakjøringsforhindring) i Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 og Windows Server 2003

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 875352 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

DEP er et sett med maskinvare- og programvareteknologi som utfører tilleggskontroller på minnet for å forhindre at skadelig kode kjøres på systemer. I Microsoft Windows XP Service Pack 2 (SP2) og Microsoft Windows XP Tablet PC Edition 2005 er DEP forsterket av maskinvare og programvare.

Hovedfordelen ved DEP er at den forhindrer at kode kjøres fra datasider. Kode kjøres vanligvis ikke fra standard heap og stakk. Maskinvareforsterket DEP registrerer kode som kjører fra disse stedene, og viser et unntak når kjøringen skjer. Programvareforsterket DEP kan forhindre at skadelig kode utnytter mekanismene for unntakshåndtering i Windows.

INNLEDNING

Denne artikkelen beskriver DEP-funksjonen i Windows XP SP2 og i Microsoft Windows Server 2003 med Service Pack 1 (SP1), og beskriver følgende emner:

Mer informasjon

Maskinvareforsterket DEP

Maskinvareforsterket DEP markerer alle minneplasseringer i en prosess som ikke-kjørbare, med mindre plasseringen eksplisitt inneholder kjørbar kode. Det finnes en angrepsklasse som forsøker å sette inn og kjøre kode fra minneplasseringer som ikke kan kjøres. DEP kan forhindre disse angrepene ved å stoppe dem og vise et unntak.

Maskinvareforsterket DEP er avhengig av prosessorens maskinvare for å merke minnet med et attributt som angir at kode ikke bør kjøres fra dette minnet. DEP fungerer på en per virtuell minnesidebasis, og DEP endrer vanligvis en bit i sidetabelloppføringen for å merke minnesiden.

Prosessorarkitekturen fastsetter hvordan DEP implementeres i maskinvare, og hvordan DEP merker den virtuelle minnesiden. Prosessorer som støtter maskinvareforsterket DEP, kan imidlertid vise et unntak når kode utføres fra en side som er merket med riktig attributtsett.

Advanced Micro Devices (AMD) og Intel har definert og levert Windows-kompatible arkitekturer som er kompatible med DEP.

Fra Windows XP SP2 bruker 32-biters-versjonen av Windows én av følgende:
  • NX-prosessorfunksjon (no-execute) for sidebeskyttelse, som definert av AMD
  • XD-funksjonen (Execute Disable Bit), som definert av Intel
Hvis du vil bruke disse prosessorfunksjonene, må prosessoren kjøre i fysisk adresseutvidelsesmodus (Physical Address Extension, PAE). Windows vil imidlertid automatisk aktivere PAE-modus for å støtte DEP. Bruker trenger ikke aktivere PAE (fysisk adresseutvidelsesmodus) separat ved å bruke oppstartsbryteren /PAE.

Obs!  Fordi 64-biters kjerner er AWE-følsomme (Address Windowing Extensions), er det ingen separat PAE-kjerne i 64-biters versjoner av Windows.
Hvis du vil ha mer informasjon om PAE og AWE i Windows Server 2003, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
283037 Støtte for stort minne er tilgjengelig i Windows 2000 og Windows Server 2003 (denne artikkelen kan være på engelsk)

Programvareforsterket DEP

Et tilleggssett med sikkerhetskontroller for DEP er lagt til i Windows XP SP2. Disse kontrollene, også kalt programvareforsterket DEP, er utformet for å blokkere skadelig kode som utnytter mekanismer for unntakshåndtering i Windows. Programvareforsterket DEP kjører på alle prosessorer som kan kjøre Windows XP SP2. Som standard beskytter programvareforsterket DEP bare et begrenset antall systembinærfiler, uansett egenskapene til maskinvareforsterket DEP i prosessoren.

Fordeler

Hovedfordelen ved DEP er at det kan forhindre kodekjøring fra datasider, for eksempel standard heap-sider, ulike stakksider og minnetilfangssider. Kode kjøres vanligvis ikke fra standard heap og stakk. Maskinvareforsterket DEP registrerer kode som kjører fra disse stedene, og viser et unntak når kjøringen skjer. Hvis unntaket ikke håndteres, stoppes prosessen. Kjøring av kode fra beskyttet minne i kjernemodus, forårsaker en Stop-feil.

DEP kan blokkere en klasse med sikkerhetsangrep. DEP kan spesifikt blokkere et skadelig program der et virus eller en annen angrepstype har satt inn en prosess med mer kode, og deretter forsøker å kjøre den innsatte koden. På et system med DEP vil kjøring av innsatt kode forårsake et unntak. Programvareforsterket DEP kan blokkere programmer som utnytter mekanismene for unntakshåndtering i Windows.

Systemomfattende DEP-konfigurasjon

DEP-konfigurasjon for systemet styres via brytere i filen Boot.ini. Hvis du er logget på som administrator, kan du nå enkelt konfigurere innstillinger for DEP i dialogboksen System i Kontrollpanel.

Windows støtter fire systemomfattende konfigurasjoner både for maskinvareforsterket og programvareforsterket DEP.
Skjul denne tabellenVis denne tabellen
KonfigurasjonBeskrivelse
OptInDenne innstillingen er standardkonfigurasjonen. På systemer med prosessorer som kan implementere maskinvareforsterket DEP, er DEP aktivert som standard for et begrenset antall systembinærfiler og programmer som er "styrt". Med dette alternativet er det bare Windows-systembinærfiler som dekkes av DEP som standard.
OptOutDEP er aktivert som standard for alle prosesser. Du kan manuelt opprette en liste over bestemte programmer der DEP ikke er brukt, ved hjelp av dialogboksen System i Kontrollpanel. IT-teknikere kan bruke Application Compatibility Toolkit til å "styre" ett eller flere programmer fra DEP-beskyttelse. Feilrettingsfiler for programkompatibilitet, eller "shims", for DEP trer i kraft.
AlwaysOnDenne innstillingen gir fullstendig DEP-dekning for hele systemet. Alle prosesser kjører alltid med DEP aktivert. Unntakslisten for å frita bestemte programmer fra DEP, er ikke tilgjengelig. Feilrettingsfiler for programkompatibilitet for DEP trer ikke i kraft. Programmer som er styrt ved hjelp av Application Compatibility Toolkit, kjører med DEP aktivert.
AlwaysOffDenne innstillingen gir ikke DEP-dekning for noen deler av systemet, uansett støtte for maskinvare-DEP. Prosessoren kjører ikke i PAE-modus med mindre alternativet /PAE finnes i filen Boot.ini.
Maskinvareforsterket og programvareforsterket DEP er konfigurert på samme måte. Hvis den systemomfattende DEP-policyen er satt til OptIn, vil de samme Windows-kjernebinærfilene og -programmene beskyttes av både maskinvareforsterket og programvareforsterket DEP. Hvis systemet ikke kan bruke maskinvareforsterket DEP, vil Windows-kjernebinærfilene og -programmene bare beskyttes av programvareforsterket DEP.

På samme måte, hvis den systemomfattende DEP-policyen er satt til OptOut, vil programmer som har vært fritatt fra DEP-beskyttelse, fritas både fra maskinvareforsterket og programvareforsterket DEP.

Innstillingene for filen Boot.ini er følgende:
/noexecute=policynivå
Obs!  policynivå er definert som AlwaysOn, AlwaysOff, OptIn eller OptOut.

Eksisterende /noexecute-innstillinger i filen Boot.ini endres ikke når Windows XP SP2 installeres. Disse innstillingene endres heller ikke hvis en avbildning av et Windows-operativsystem flyttes fra én datamaskin til en annen med eller uten støtte for maskinvareforsterket DEP.

Under installasjonen av Windows XP SP2 og Windows Server 2003 SP1 eller senere versjoner er policynivået OptIn aktivert som standard med mindre et annet policynivå er angitt i en uovervåket installasjon. Hvis innstillingen /noexecute=policynivå ikke finnes i filen Boot.ini for en versjon av Windows som støtter DEP, er virkemåten den samme som hvis innstillingen /noexecute=OptIn var inkludert.

Hvis du er logget på som administrator, kan du manuelt konfigurere DEP til å veksle mellom policyene ved å bruke kategorien Datakjøringsforhindring i Systemegenskaper. Slik konfigurerer du DEP manuelt på datamaskinen:
  1. Klikk Start, klikk Kjør, skriv inn sysdm.cpl, og klikk deretter OK.
  2. I kategorien Avansert, under Ytelse, klikker du Innstillinger.
  3. I kategorien Datakjøringsforhindring bruker du en av følgende fremgangsmåter:
    • Klikk Bare slå på DEP for absolutt nødvendige Windows-programmer og -tjenester for å velge OptIn-policyen.
    • Klikk Slå på DEP for alle programmer og tjenester, bortsett fra de jeg velger for å velge OptOut-policyen, og klikk deretter Legg til for å legge til programmene du ikke vil skal bruke DEP-funksjonen.
  4. Klikk OK to ganger.
IT-teknikere kan styre systemomfattende DEP-konfigurasjon på en rekke ulike måter. Filen Boot.ini kan endres direkte uten skriptmekanismer, eller med verktøyet Bootcfg.exe, som følger med Windows XP SP2.

Slik konfigurerer du DEP til å bytte til AlwaysOn-policyen ved hjelp av Boot.ini:
  1. Klikk Start, høyreklikk Min datamaskin, og klikk deretter Egenskaper.
  2. Klikk kategorien Avansert, og klikk deretter Innstillinger i feltet Oppstart og gjenoppretting.
  3. Klikk RedigerSystemoppstart-menyen. Filen Boot.ini åpnes i Notisblokk.
  4. I Notisblokk klikker du Søk etter i Rediger-menyen.
  5. Skriv inn /noexecute i Søk etter-boksen, og klikk deretter Søk etter neste.
  6. Klikk Avbryt i dialogboksen Søk etter.
  7. Bytt ut policynivå med AlwaysOn.

    Advarsel!  Kontroller at du skriver inn teksten riktig. Boot.ini-filbryteren skal nå ha følgende innstilling:
    /noexecute=AlwaysOn
  8. Klikk LagreFil-menyen i Notisblokk.
  9. Klikk OK to ganger.
  10. Start datamaskinen på nytt.
Når det gjelder uovervåkede installasjoner av Windows XP SP2 eller senere versjoner, kan du bruke filen Unattend.txt til å forhåndsutfylle en bestemt DEP-konfigurasjon. Du kan bruke oppføringen OSLoadOptionsVar i delen [Data] i filen Unattend.txt til å angi en systemomfattende DEP-konfigurasjon.

DEP-konfigurasjon per program

Når det gjelder programkompatibilitet, kan du velge å deaktivere DEP for individuelle 32-biters programmer når DEP er satt til OptOut-policynivået. Du gjør dette ved å bruke kategorien Datakjøringsforhindring i Systemegenskaper for å deaktivere DEP for et program manuelt. For IT-teknikere finnes det en ny feilrettingsfil for programkompatibilitet, kalt DisableNX, i Windows XP SP2. Feilrettingsfilen for DisableNX-kompatibilitet deaktiverer Datakjøringsforhindring for programmet der feilrettingen brukes.

Feilrettingsfilen for DisableNX-kompatibilitet kan brukes på et program ved hjelp av Application Compatibility Toolkit. Hvis du vil ha mer informasjon om Windows-programkompatibilitet, kan du se Windows Application Compatibility på følgende Microsoft-webområde :
http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx
Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
912923 Slik fastslår du om maskinvare-DEP er tilgjengelig og konfigurert på datamaskinen (denne artikkelen kan være på engelsk)

Referanser

Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
899298 I hjelpeemnet Forstå Datakjøringsforhindring er standardinnstillingen angitt feil for DEP i Windows Server 2003 Service Pack 1 (denne artikkelen kan være på engelsk)

Egenskaper

Artikkel-ID: 875352 - Forrige gjennomgang: 22. desember 2006 - Gjennomgang: 14.1
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows Server 2003 Service Pack 1 på følgende plattformer
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows XP Home Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Media Center Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Tablet PC Edition 2005
Nøkkelord: 
kbinfo kbtshoot KB875352

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com