Detaljan opis funkcije Prevencija izvr?enja podataka (DEP) u programima Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 i Windows Server 2003

Identifikator ?lanka: 875352 - Prika?ite proizvode na koje se odnosi ovaj ?lanak.
Pro?iri sve | Skupi sve

Na ovoj stranici

REZIME

Spre?avanje izvr?enja podataka (DEP) je postavka tehnologije hardvera i softvera koja dodatno proverava memoriju kako bi spre?ila da se zlonameran kod pokrene u sistemu. U Microsoft Windows XP Service Pack 2 (SP2) i Microsoft Windows XP Tablet PC Edition 2005, funkcija DEP se sprovodi od strane hardvera i softvera.

Primarni doprinos funkcije DEP je pomo? pri spre?avanju izvr?enja koda sa stranica sa podacima. Uobi?ajeno, kod se ne izvr?ava iz podrazumevane gomile i steka. Funkcija DEP koju sprovodi hardver otkriva kod koji se pokre?e sa ovih lokacija i izaziva izuzimanje kada do?e do izvr?enja. Funkcija DEP koju sprovodi softver mo?e da spre?i zlonameran kod da iskoristi mehanizme rukovanja sa izuzecima u programu Windows.
Nazad na vrh | Po?aljite povratne informacije

UVOD

Ovaj ?lanak opisuje funkciju DEP u programu Windows XP SP2 i Microsoft Windows Server 2003 sa servisnim paketom 1 (SP1) i raspravlja o slede?im temama:
Nazad na vrh | Po?aljite povratne informacije

DODATNE INFORMACIJE

Funkcija DEP koju sprovodi hardver

Funkcija DEP koju sprovodi hardver ozna?ava sve memorijske lokacije u procesu kao neizvr?ive, osim ukoliko lokacija eksplicitno ne sadr?i izvr?ivi kod. Postoji vrsta napada koja poku?ava da umetne i pokrene kod sa neizvr?ivih memorijskih lokacija. Funkcija DEP poma?e pri spre?avanju tih napada tako ?to ih presre?e i izuzima njihovo izvr?enje.

Funkcija DEP koju sprovodi hardver oslanja se na to da ?e procesorski hardver ozna?iti memoriju atributom koji ozna?ava da kod ne treba da bude izvr?en iz te memorije. Funkcija DEP radi na bazi virtuelne memorijske stranice i DEP uobi?ajeno menja deo stavke tabele na toj stranici (PTE) kako bi je ozna?ila.

Sklop procesora odre?uje kako se funkcija DEP primenjuje na hardver i kako ozna?ava virtuelnu memorijsku stranicu. Me?utim, procesori koji podr?avaju funkciju DEP koju sprovodi hardver mogu da izuzmu izvr?enje kada se kod izvr?ava sa stranice koja je ozna?ena prikladnim skupom osobina.

Advanced Micro Devices (AMD) i Intel su definisali i izbacili sklopove koji su kompatibilni sa operativnim sistemom Windows i sa funkcijom DEP.

Po?ev?i od programa Windows XP SP2, 32-bitna verzija operativnog sistema Windows koristi slede?e:
  • Procesorsku funkciju za?tite stranice za neizvr?avanje (NX) kako je definisano od strane AMD.
  • Funkciju onemogu?enja izvr?enja dela (XD) kako je definisano od strane kompanije Intel.
Da bi koristio ove procesorske funkcije, procesor mora da radi u re?imu Ekstenzije fizi?ke adrese (PAE). Me?utim, operativni sistem Windows ?e automatski omogu?iti PAE re?im kako bi podr?ao funkciju DEP. Korisnici ne moraju da posebno omogu?uju PAE re?im kori??enjem prekida?a za pokretanje sistema /PAE.

Napomena Po?to su 64-bitna jezgra u skladu sa Address Windowing Extensions (AWE), ne postoji zasebno PAE jezgro i 64-bitnoj verziji operativnog sistema Windows.
Za vi?e informacija o PAE i AWE u sistemu Windows Server 2003, kliknite na slede?i broj ?lanka da biste videli ?lanak u Microsoft bazi znanja:
283037
(http://support.microsoft.com/kb/283037/ )
Podr?ka za veliku koli?inu memorije je dostupna u operativnim sistemima Windows Server 2003 i Windows 2000 (Ova veza mo?e da vodi do sadr?aja koji je delimi?no ili u potpunosti nepreveden.)

Funkcija DEP koju sprovodi softver

Windows XP SP2 sadr?i dodatni skup provera bezbednosti u sklopu funkcije Spre?avanje izvr?enja podataka. Te provere, poznate kao funkcije DEP koje sprovodi softver, napravljene su da blokiraju zlonameran kod da iskoristi mehanizme rukovanja sa izuzecima u operativnom sistemu Windows. Funkcija DEP koju sprovodi softver pokre?e se na bilo kom procesoru koji mo?e da koristi Windows XP SP2. Po podrazumevanim vrednostima, funkcija DEP koju sprovodi softver poma?e samo pri za?titi ograni?enog broja sistemskih binarnih vrednosti, bez obzira na procesorske sposobnosti funkcije DEP koju sprovodi hardver.

Koristi

Primarna korist od funkcije DEP je pomo? pri spre?avanju izvr?enja koda sa stranica sa podacima, poput stranica podrazumevane gomile, razli?itih stranica steka i stranica memorijskog prostora. Uobi?ajeno, kod se ne izvr?ava iz podrazumevane gomile i steka. Funkcija DEP koju sprovodi hardver otkriva kod koji se pokre?e sa ovih lokacija i izaziva izuzimanje kada do?e do izvr?enja. Ukoliko se izuzimanje ne izvr?i, proces ?e biti zaustavljen. Izvr?enje koda iz za?ti?ene memorije u re?imu jezgra prouzrokova?e gre?ku zaustavljanja.

Funkcija DEP mo?e da pomogne pri blokiranju klase naru?avanja bezbednosti. Odre?eno, funkcija DEP mo?e da pomogne pri blokiranju zlonamernog programa u koji je virus ili neki drugi tip napada ubacio proces sa dodatnim kodom i zatim poku?ao da pokrene uba?eni kod. U sistemu sa funkcijom DEP, izvr?enje uba?enog koda izaziva izuzimanje. Funkcija DEP koju sprovodi softver poma?e pri blokiranju programa koji koriste mehanizme rukovanja sa izuzecima u operativnom sistemu Windows.

Sistemska konfiguracija funkcije DEP

Konfiguracija funkcije DEP za sistem je kontrolisana putem prekida?a u datoteci Boot.ini. Ukoliko ste prijavljeni kao administrator sistema, mo?ete lako konfigurisati postavke DEP kori??enjem polja za potvrdu Sistem na Kontrolnoj tabli.

Sistem Windows podr?ava ?etiri sistemske konfiguracije za funkcije DEP koje sprovodi hardver i softver.
Skupi ovu tabeluPro?iri ovu tabelu
KonfiguracijaOpis
OptInOva postavka je deo podrazumevane konfiguracije. Kod sistema sa procesorom koji mo?e da primenjuje funkciju DEP koju sprovodi hardver, funkcija DEP je omogu?ena po podrazumevanoj vrednosti za ograni?ene sistemske binarne vrednosti i programe koji ih uklju?uju (?opt-in"). Po podrazumevanoj vrednosti ta opcija funkcijom DEP pokriva samo sistemske binarne vrednosti.
OptOutFunkcija DEP omogu?ena je za sve procese po podrazumevanoj vrednosti. Mo?ete ru?no kreirati listu odre?enih programa na koje se funkcija DEP ne?e primenjivati, kori??enjem okvira za dijalog Sistem na Kontrolnoj tabli. Profesionalci na polju informativne tehnologije (IT) mogu da koriste program Application Compatibility Toolkit da bi izvr?ili isklju?enje (?opt-out") jednog ili vi?e programa iz za?titne funkcije DEP. Zakrpe ili podlo?ke kompatibilnosti sistema da bi funkcija DEP imala efekta.
AlwaysOnOva postavka omogu?ava potpuno pokrivanje ?itavog sistema funkcijom DEP. Svi procesi se uvek pokre?u kada se primenjuje funkcija DEP. Lista izuzetaka kojom bi se odre?eni programi izuzeli iz za?titne funkcije DEP nije dostupna. Zakrpe kompatibilnosti sistema u slu?aju funkcije DEP nemaju efekta. Programi koji su isklju?eni kori??enjem programa Application Compatibility Toolkit pokre?u se prilikom primene funkcije DEP.
AlwaysOffOva postavka onemogu?ava bilo kakvu pokrivenost bilo kog dela sistema funkcijom DEP, bez obzira na hardversku podr?ku funkcije DEP. Procesor ne radi u PAE re?imu osim ako opcija /PAE nije prisutna u datoteci Boot.ini.
Funkcije DEP koje sprovode hardver i softver konfigurisane su na isti na?in. Ukoliko je sistemska smernica za funkciju DEP pode?ena na opciju ?OptIn?, iste binarne vrednosti jezgra i programi sistema Windows bi?e za?ti?eni pomo?u funkcije DEP koje sprovode hardver i softver. Ukoliko sistem ne mo?e koristiti funkciju DEP koju sprovodi hardver, binarne vrednosti jezgra i programi sistema Windows bi?e za?ti?eni samo pomo?u funkcije DEP koju sprovodi softver.

Sli?no tome, ako je sistemska smernica funkcije DEP pode?ena na opciju ?OptOut?, programi koji su isklju?eni iz za?titne funkcije DEP bi?e isklju?eni i iz funkcije DEP koju sprovodi hardver i iz funkcije DEP koju sprovodi softver.

Postavke datoteke Boot.ini su slede?e:
/noexecute=policy_level
Napomena Vrednost policy_level je definisana opcijama ?AlwaysOn?, ?AlwaysOff?, ?OptIn? ili ?OptOut?.

Postoje?e postavke /noexecute u datoteci Boot.ini se ne menjaju kada se instalira Windows XP SP2. Ove postavke se tako?e ne menjaju ako se slika operativnog sistema Windows preme?ta sa jednog ra?unara na drugi sa ili bez podr?ke funkcije DEP.

Tokom instalacije operativnog sistema Windows XP SP2 i Windows Server 2003 SP1 ili novije verzije, nivo smernice ?OptIn? omogu?en je po podrazumevanoj vrednosti, osim ako neki drugi nivo smernice nije odre?en prilikom tihe instalacije. Ako postavka /noexecute=policy_level nije prisutna u datoteci Boot.ini za verziju sistema Windows koja podr?ava funkciju DEP, pona?anje je isto kao i da je postavka /noexecute=OptIn uklju?ena.

Ukoliko ste prijavljeni kao administrator sistema, mo?ete ru?no konfigurisati funkciju DEP tako da se prebacuje izme?u smernica ?OptIn? i ?OptOut? kori??enjem kartice Spre?avanje izvr?enja podataka u dijalogu Svojstva sistema. Slede?a procedura opisuje kako da ru?no konfiguri?ete funkciju DEP na va?em ra?unaru:
  1. Kliknite na dugme Start, izaberite stavku Pokreni, ukucajte sysdm.cpl i zatim kliknite na dugme U redu.
  2. Na kartici Vi?e opcija, pod opcijom Performanse, izaberite stavku Postavke.
  3. Na kartici Spre?avanje izvr?enja podataka, koristite jednu od slede?ih procedura:
    • Kliknite na Uklju?i DEP samo za klju?ne Windows programe i usluge kako biste izabrali smernicu ?OptIn?.
    • Kliknite na Uklju?i DEP za sve programe i usluge osim za one koje izaberem li?no kako biste izabrali smernicu ?OptOut? i zatim kliknite na Dodaj kako biste dodali programe koje ne ?elite da koristite sa funkcijom DEP.
  4. Dvaput kliknite na dugme U redu.
IT profesionalci mogu da kontroli?u sistemsku konfiguraciju funkcije DEP kori??enjem raznih metoda. Datoteka Boot.ini mo?e biti izmenjena direktno putem mehanizama skriptovanja ili uz pomo? alata Bootcfg.exe koji je uklju?en u program Windows XP SP2.

Da biste konfigurisali DEP da se prebaci na smernicu ?AlwaysOn? pomo?u datoteke Boot.ini, sledite ove korake:
  1. Kliknite na dugme Start, kliknite desnim tasterom mi?a na stavku My Computer (Moj ra?unar) i zatim izaberite stavku Properties (Svojstva).
  2. Izaberite karticu Advanced (Vi?e opcija) i zatim izaberite stavku Settings (Postavke) u okviru polja Startup and Recovery (Pokretanje i oporavak).
  3. U polju System startup (Pokretanje sistema) izaberite stavku Edit (Uredi). Datoteka Boot.ini se otvara u programu Notepad (Bele?nica).
  4. U programu Notepad (Bele?nica), u meniju Edit (Ure?ivanje) izaberite stavku Find (Prona?i).
  5. U okvir Find what (?ta prona?i) otkucajte /noexecute i zatim kliknite na dugme Find Next (Prona?i slede?e).
  6. U dijalogu Find (Prona?i) kliknite na dugme Cancel (Otka?i).
  7. Zamenite policy_level sa AlwaysOn.

    UPOZORENJE Uverite se da ste ispravno uneli tekst. Prebacivanje u Boot.ini datoteci bi sada trebalo ovako da izgleda:
    /noexecute=AlwaysOn
  8. U programu Notepad (Bele?nica), u meniju File (Datoteka) izaberite stavku Save (Sa?uvaj).
  9. Dvaput kliknite na dugme U redu.
  10. Ponovo pokrenite ra?unar.
Za instalacije programa Windows XP SP2 ili novijih verzija bez nadzora, mo?ete koristiti datoteku Unattend.txt kako biste unapred popunili odre?enu DEP konfiguraciju. Mo?ete koristiti stavku OSLoadOptionsVar u odeljku [Data] datoteke Unattend.txt kako biste odredili sistemsku DEP konfiguraciju.

DEP konfigurisanje po programu

U svrhe programske kompatibilnosti mo?ete selektivno onemogu?iti funkciju DEP za pojedina?ne 32-bitne programe kada je funkcija DEP pode?ena na nivo smernice ?OptOut?. Da biste to uradili, koristite karticu Spre?avanje izvr?enja podataka u meniju Svojstva sistema kako biste selektivno onemogu?ili funkciju DEP za odre?eni program. Za IT profesionalce, nova zakrpa kompatibilnosti sistema pod imenom DisableNX uklju?ena je u program Windows XP SP2. Zakrpa kompatibilnosti DisableNX onemogu?ava funkciju Spre?avanje izvr?enja podataka za program na koji se zakrpa primenjuje.

Zakrpa kompatibilnosti DisableNX mo?e da se primeni na program kori??enjem alata Application Compatibility Toolkit. Za vi?e informacija o kompatibilnosti Windows aplikacija, pogledajte Kompatibilnost Windows Aplikacija na slede?oj Microsoft Web lokaciji:
http://technet.microsoft.com/windowsvista/aa905066.aspx
(http://technet.microsoft.com/windowsvista/aa905066.aspx)
Nazad na vrh | Po?aljite povratne informacije
Za vi?e informacija kliknite na slede?i broj ?lanka da biste videli ?lanak u Microsoft bazi znanja:
912923
(http://support.microsoft.com/kb/912923/ )
Kako utvrditi da li je hardverski DEP dostupan i konfigurisan na ra?unaru (Ova veza mo?e da vodi do sadr?aja koji je delimi?no ili u potpunosti nepreveden.)
Nazad na vrh | Po?aljite povratne informacije

REFERENCE

Za vi?e informacija kliknite na slede?i broj ?lanka da biste videli ?lanak u Microsoft bazi znanja:
899298
(http://support.microsoft.com/kb/899298/ )
Tema pomo?i ?Razumevanje spre?avanja izvr?avanja podataka? neta?no navodi podrazumevanu postavku za DEP Windows Servera 2003 sa servisnim paketom 1 (Ova veza mo?e da vodi do sadr?aja koji je delimi?no ili u potpunosti nepreveden.)
Nazad na vrh | Po?aljite povratne informacije

Svojstva

Identifikator ?lanka: 875352 - Poslednji pregled: 23. novembar 2006 - Revizija: 14.2
ODNOSI SE NA
  • Microsoft Windows Server 2003 Service Pack 1, ako se koristi sa:
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows XP Home Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Media Center Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Tablet PC Edition 2005
Klju?ne re?i: 
kbtshoot kbinfo KB875352
Nazad na vrh | Po?aljite povratne informacije

Po?aljite povratne informacije

 
Nazad na vrhNazad na vrh