Descrierea detaliată a caracteristicii Împiedicare executare date (Data Execution Prevention - DEP) din Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 și Windows Server 2003

Traduceri articole Traduceri articole
ID articol: 875352 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

REZUMAT

Împiedicare executare date (DEP-Data Execution Prevention) este un set de tehnologii hardware și software care efectuează verificări suplimentare de memorie pentru a asigura prevenirea executării codului rău intenționat într-un sistem. În Microsoft Windows XP Service Pack 2 (SP2) și în Microsoft Windows XP Tablet PC Edition 2005, DEP este activat de hardware și de software.

Principalul avantaj al DEP este asigurarea prevenirii executării de cod din paginile de date. În mod obișnuit, codul nu se execută din zona de lucru implicită sau din stivă. DEP activat de hardware detectează codul care se execută din aceste zone și ridică o excepție când are loc execuția. DEP activat de software poate asigura împiedicarea codului rău intenționat să beneficieze de mecanismele de tratare a excepțiilor din Windows.

INTRODUCERE

Acest articol descrie caracteristica DEP din Windows XP SP2 și din Microsoft Windows Server 2003 cu Service Pack 1 (SP1) și tratează următoarele subiecte:

INFORMAȚII SUPLIMENTARE

DEP activat de hardware

DEP activat de hardware marchează toate zonele de memorie dintr-un proces ca non-executabile cu excepția zonei care conține explicit cod executabil. Există o clasă de atacuri care încearcă să insereze și să execute cod din zone de memorie non-executabile. DEP ajută la împiedicarea acestor atacuri interceptându-le și ridicând o excepție.

DEP activat de hardware se bazează pe procesor pentru a marca memoria cu un atribut care precizează că nu trebuie executat cod din acea memorie. DEP funcționează pe baza paginilor de memorie virtuală și modifică de regulă un bit din intrarea tabel a paginii (PTE) pentru a marca pagina de memorie.

Arhitectura procesorului stabilește modul în care suportul DEP este implementat din hardware și modul în care marchează pagina de memorie virtuală. Însă procesoarele care acceptă DEP activat de hardware pot ridica o excepție atunci când codul este executat dintr-o pagină marcată cu setul de atribute adecvat.

AMD (Advanced Micro Devices) și Intel au definit și livrat arhitecturi compatibile cu Windows și cu DEP.

Începând cu Windows XP SP2, versiunea Windows pe 32 biți utilizează una dintre următoarele:
  • Caracteristica procesorului protecție pagină prin ne-executare (NX) definită de AMD.
  • Caracteristica executare bit dezactivat (XD) definită de Intel.
Pentru a utiliza aceste caracteristici ale procesorului, execuția procesorului trebuie să facă în modul extensie adresă fizică PAE (Physical Address Extension). Windows va activa automat modul extensie adresă fizică pentru a accepta DEP. Utilizatorii nu trebuie să activeze separat extensia adresei fizice cu ajutorul parametrului de pornire /PAE.

Notă Întrucât nucleele pe 64 biți sunt receptive la extensiile de adresă AWE (Address Windowing Extension), nu există un nucleu separat extensie adresă fizică PAE (Physical Address Extension) în versiunile Windows pe 64 biți.
Pentru informații suplimentare privind PAE și AWE în Windows Server 2003, faceți clic pe următorul număr de articol pentru a vedea articolul din Baza de cunoștințe Microsoft:
283037 Suportul pentru memorie de mari dimensiuni este disponibil în Windows Server 2003 și Windows 2000 (articolul poate să fie în limba engleză)

DEP activat de software

Un set suplimentar de verificare a securității de tip împiedicare executare date a fost adăugat în Windows XP SP2. Aceste verificări, cunoscute ca DEP activat de software, sunt destinate blocării codului rău intenționat care beneficiază de mecanismele de tratare a excepțiilor din Windows. DEP activat de software se execută pe orice procesor care poate executa Windows XP SP2. În mod implicit, DEP activat de software asigură numai protejarea codului binar limitat al sistemului, indiferent de capacitățile DEP activate de hardware ale procesorului.

Avantaje

Principalul avantaj al caracteristicii DEP este prevenirea executării de cod din paginile de date, cum ar fi pagini din zona de lucru implicită, diferite pagini de stivă și pagini memorie de rezervă. În mod obișnuit, codul nu se execută din zona de lucru implicită sau din stivă. DEP activat de hardware detectează codul care se execută din aceste zone și ridică o excepție când are loc execuția. Dacă excepția nu este tratată, procesul se va opri. Executarea codului din memoria protejată în mod nucleu are ca rezultat o eroare Stop.

DEP poate asigura blocarea unei clase de atacuri la nivelul securității. Mai precis, DEP poate asigura blocarea unui program rău intenționat în care un virus sau alt tip de atac a infiltrat un proces cu cod adițional, apoi încearcă să execute codul infiltrat. Pe un sistem cu DEP, executarea codului infiltrat are ca rezultat o excepție. DEP activat de software poate asigura blocarea programelor care beneficiază de mecanismele de tratare a excepțiilor din Windows.

Configurarea DEP la nivel de sistem

Configurarea Împiedicare executare date (DEP) a sistemului este controlată de parametrii din fișierul Boot.ini. Dacă sunteți conectat ca administrator, este simplu să configurați setările DEP cu ajutorul casetei de dialog Sistem din Panoul de control.

Windows are suport pentru patru configurații la nivel de sistem atât pentru DEP activat de hardware cât și pentru DEP activat de software.
Reduceți tabelulMăriți tabelul
ConfigurațieDescriere
OptInAceastă setare este configurația implicită. În sistemele cu procesoare care pot implementa DEP activat de hardware, DEP este activat implicit pentru codurile binare limitate ale sistemului și programele pentru care s-a optat („opt-in”). Cu această opțiune, numai fișierele binare de sistem Windows sunt avute în vedere implicit de DEP.
OptOutDEP este activat implicit pentru toate procesele. Aveți posibilitatea să produceți manual o listă de programe la care nu se aplică DEP, cu ajutorul casetei de dialog Sistem din Panoul de control. Specialiștii în tehnologia informației (TI) pot utiliza Application Compatibility Toolkit pentru a scoate („opt-out”) unul sau mai multe programe de sub protecția DEP. Corecțiile sau completările de compatibilitate ale sistemului pentru DEP au efect.
AlwaysOnAceastă setare extinde DEP la întregul sistem. Toate procesele se execută întotdeauna cu aplicarea DEP. Lista de excepții prin care se exclud unele programe de sub protecția DEP nu este disponibilă. Corecțiile de compatibilitate ale sistemului pentru Împiedicare executare date nu au efect. Programele care au fost excluse utilizând Application Compatibility Toolkit, se execută cu aplicarea DEP.
AlwaysOffAceastă setare nu furnizează nici un fel de acoperire DEP pentru vreo parte a sistemului, indiferent de suportul hardware pentru DEP. Procesorul nu se execută în mod extensie adresă fizică dacă opțiunea /PAE nu este prezentă în fișierul Boot.ini.
DEP activat de hardware și de software se configurează în același fel. Dacă politica DEP la nivel de sistem este setată la OptIn, aceleași fișiere binare de sistem și aceleași programe ale nucleului Windows vor fi protejate atât de DEP activat de hardware, cât și de DEP activat de software. Dacă sistemul nu poate utiliza DEP activat de hardware, codurile binare ale sistemului și programele nucleului Windows vor fi protejate numai de DEP activat de software.

În mod asemănător, dacă politica DEP la nivel de sistem este setată la OptOut, programele care au fost exceptate pe la protecția DEP vor fi exceptate atât de la DEP activat de hardware, cât și de la DEP activat de software.

Setările din fișierul Boot.ini sunt următoarele:
/noexecute=policy_level
Notă policy_level este definit ca AlwaysOn, AlwaysOff, OptIn sau OptOut.

Setările existente /noexecute din fișierul Boot.ini nu se modifică atunci când este instalat Windows XP SP2. Aceste setări nu se modifică nici dacă imaginea unui sistem de operare Windows se mută pe computere cu sau fără suport DEP impus de hardware.

În timpul instalării Windows XP SP2 și Windows Server 2003 SP1 sau a versiunilor ulterioare, nivelul de politică OptIn este activat implicit cu excepția cazului în care este specificat un alt nivel de politică într-o instalare nesupravegheată. Dacă setarea /noexecute=policy_level nu este prezentă în fișierul Boot.ini pentru o versiune de Windows cu suport DEP, comportamentul este același ca în cazul setării /noexecute=OptIn.

Dacă sunteți conectat ca administrator, configurați manual DEP pentru a comuta între politicile OptIn și OptOut cu ajutorul filei Împiedicare executare date din caseta de dialog Proprietăți sistem. Următoarea procedură descrie cum se configurează manual DEP pe computer:
  1. Faceți clic pe Start, faceți clic pe Executare, tastați sysdm.cpl, apoi faceți clic pe OK.
  2. Faceți clic pe fila Complex, apoi sub Performanță, faceți clic pe Setări.
  3. În fila Împiedicare executare date, utilizați una dintre procedurile:
    • Faceți clic pe Se activează DEP numai pentru programele și serviciile esențiale Windows pentru a selecta politica OptIn.
    • Faceți clic pe Se activează DEP pentru toate programele și serviciile, cu excepția celor selectate pentru a selecta politica OptOut, apoi faceți clic pe Adăugare pentru a adăuga programele care nu doriți să utilizeze caracteristica DEP.
  4. Faceți clic pe OK de două ori.
Specialiștii TI pot controla configurarea DEP la nivel de sistem utilizând o diversitate de metode. Fișierul Boot.ini poate fi modificat direct cu mecanisme de script sau cu instrumentul Bootcfg.exe inclus în Windows XP SP2.

Pentru a configura DEP să comute la politica AlwaysOn utilizând fișierul Boot.ini, urmați acești pași:
  1. Faceți clic pe Start, faceți clic cu butonul din dreapta pe Computerul meu, apoi faceți clic pe Proprietăți.
  2. Faceți clic pe fila Complex, apoi pe Setări de sub câmpul Pornire și recuperare.
  3. În câmpul Pornire sistem faceți clic pe Editare. Fișierul Boot.ini se deschide în Notepad.
  4. În Notepad, faceți clic pe Căutare din meniul Editare.
  5. În caseta De găsit, tastați /noexecute, apoi faceți clic pe Următorul găsit.
  6. În caseta de dialog Căutare, faceți clic pe Revocare.
  7. Înlocuiți nivel_politică cu AlwaysOn.

    AVERTIZARE Asigurați-vă că introduceți textul corect. Parametrul fișierului Boot.ini se citește acum:
    /noexecute=AlwaysOn
  8. În Notepad, faceți clic pe Salvare din meniul Fișier.
  9. Faceți clic pe OK de două ori.
  10. Reporniți computerul.
Pentru instalările nesupravegheate de Windows XP SP2 sau versiuni mai recente, se poate utiliza fișierul Unattend.txt pentru a completa anticipat o configurație specifică DEP. Se poate utiliza intrarea OSLoadOptionsVar din secțiunea [Data] a fișierului Unattend.txt pentru a preciza o configurație DEP la nivel de sistem.

Configurarea DEP pe program

În scopul compatibilității programelor, DEP se poate dezactiva selectiv pentru programe individuale pe 32 biți, când DEP este setat la nivelul de politică OptOut. Pentru aceasta, utilizați fila Împiedicare executare date din Proprietăți sistem pentru a dezactiva selectiv suportul DEP pentru un program. Pentru specialiștii TI, o remediere nouă de compatibilitate a programelor, denumită DisableNX este inclusă în Windows XP SP2. Remedierea de compatibilitate DisableNX dezactivează Împiedicare executare date pentru programul la care se aplică.

Remedierea de compatibilitate DisableNX se poate aplica unui program cu ajutorul Application Compatibility Toolkit. Pentru mai multe informații despre compatibilitatea aplicațiilor Windows, consultați Compatibilitatea aplicațiilor Windows din situl Web Microsoft:
http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx
Pentru informații suplimentare, faceți clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoștințe Microsoft:
912923 Cum se stabilește ce hardware DEP este disponibil și configurat pe computer (articolul poate să fie în limba engleză)

REFERINȚE

Pentru informații suplimentare, faceți clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoștințe Microsoft:
899298 Subiectul de Ajutor „Understanding Data Execution Prevention” descrie în mod incorect setarea implicită pentru DEP în Windows Server 2003 Service Pack 1 (articolul poate să fie în limba engleză)

Proprietă?i

ID articol: 875352 - Ultima examinare: 23 noiembrie 2006 - Revizie: 14.1
SE APLICĂ LA
  • Microsoft Windows Server 2003 Service Pack 1, când se utilizează cu:
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows XP Home Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Media Center Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Tablet PC Edition 2005
Cuvinte cheie: 
kbinfo kbtshoot KB875352

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com