Makale numarası: 875352 - Son Gözden Geçirme: 28 Eylül 2010 Salı - Gözden geçirme: 14.2

Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 ve Windows Server 2003'teki Veri Yürütme Engellemesi (DEP) özelliğinin ayrıntılı açıklaması

Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.

Windows XP'ye yönelik güvenlik güncelleştirmelerini almaya devam etmek için Windows XP Service Pack 3 (SP3) çalıştırdığınızdan emin olun. Daha fazla bilgi için şu Microsoft Web sayfasına bakın: Windows'un bazı sürümlerine yönelik destek sona eriyor (http://windows.microsoft.com/tr-tr/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp)

Bu Sayfada

Hepsini aç | Hepsini kapa

Özet

Veri Yürütme Engellemesi (DEP), bir sistemde kötü amaçlı kodun yürütülmesini engellemek amacıyla bellekte ek denetimler gerçekleştiren bir dizi yazılım ve donanım teknolojisidir. Microsoft Windows XP Service Pack 2 (SP2) ve Microsoft Windows XP Tablet PC Edition 2005'te, DEP, donanım ve yazılım tarafından zorlanır.

DEP'nin birincil avantajı, veri sayfalarından kod yürütülmesini engellemesidir. Genelde, kod varsayılan öbek ve yığından yürütülmez. Donanım tarafından zorlanan DEP, bu konumlardan çalışan kodu belirler ve yürütme gerçekleştiğinde bir özel durum oluşturur. Yazılım tarafından zorlanan DEP, kötü amaçlı kodun Windows'taki özel durum işleme düzeneklerinden yararlanmasını engelleyebilir.
Üste

GİRİŞ

Bu makalede, Windows XP SP2 ve Microsoft Windows Server 2003 Service Pack 1'deki (SP1) DEP özelliği anlatılmakta ve aşağıdaki konulara yer verilmektedir:
Üste

Daha fazla bilgi

Donanım tarafından zorlanan DEP

Donanım tarafından zorlanan DEP, bir bellek konumu yürütülebilir kod içermediği sürece bir işlemdeki tüm bellek konumlarını yürütülemez olarak işaretler. Yürütülemeyen bellek konumlarına kod yerleştirmeyi ve bu kodları çalıştırmayı amaçlayan bir saldırı sınıfı bulunmaktadır. DEP, bu tür saldırıları belirleyip bir özel durum oluşturarak onların engellemesine yardımcı olur.

Donanım tarafından zorlanan DEP, işlemci donanımını kullanarak belleği kod yürütülmemesi gerektiğini belirten bir öznitelikle işaretler. DEP, her sanal bellek sayfası için ayrı ayrı çalışır ve genelde sayfa tablosu girdisindeki (PTE) bir bit değerini değiştirerek bellek sayfasını işaretler.

İşlemci mimarisi, DEP'nin donanımda nasıl kullanıldığını ve sanal bellek sayfasını nasıl işaretlediğini belirler. Ancak, donanım tarafından zorlanan DEP'yi destekleyen işlemciler, uygun öznitelik kümesiyle işaretlenmiş bir sayfadan kod çalıştırıldığında bir özel durum oluşturabilir.

Advanced Micro Devices (AMD) ve Intel, DEP ile uyumlu olan Windows ile uyumlu mimariler tanımlamış ve piyasaya sunmuştur.

Windows XP SP2'den başlayarak, Windows'un 32 bit sürümü şunlardan birini kullanır:
  • AMD tarafından tanımlanan yürütme yok sayfa koruması (NX) işlemci özelliği.
  • Intel tarafından tanımlanan Execute Disable Bit (Devre Dışı Bırakma Bit Değerini Yürüt - XD) özelliği.
Bu işlemci özelliklerini kullanabilmesi için, işlemcinin Fiziksel Adres Uzantısı (PAE) modunda çalışması gerekir. Ancak Windows, DEP'yi desteklemek için PAE modunu otomatik olarak etkinleştirir. Kullanıcıların /PAE önyükleme anahtarını kullanarak PAE modunu ayrıca etkinleştirmeleri gerekmez.

Not 64 bit çekirdekler Adres Pencereleme Uzantıları'nı (AWE) algıladığı için, Windows'un 64 bit sürümlerinde ayrı bir PAE çekirdeği yoktur.
Windows Server 2003'teki PAE ve AWE hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
283037  (http://support.microsoft.com/kb/283037/ ) Windows Server 2003 ve Windows 2000'de büyük bellek desteği kullanılabilir
Üste

Yazılım tarafından zorlanan DEP

Windows XP SP2'ye ek olarak bir dizi Veri Yürütme Engellemesi güvenlik denetimi eklenmiştir. Yazılım tarafından zorlanan DEP adı verilen bu denetimler, Windows'taki özel durum işleme düzeneklerinden yararlanan kötü amaçlı kodu engelleyecek biçimde tasarlanmıştır. Yazılım tarafından zorlanan DEP, Windows XP SP2 çalıştırabilen tüm işlemcilerde çalışır. İşlemcinin donanım tarafından zorlanan DEP becerileri ne olursa olsun, yazılım tarafından zorlanan DEP, varsayılan olarak yalnızca sınırlı sayıda sistem ikili dosyasının korunmasına yardımcı olur.

Üste

Avantajlar

DEP'nin birincil avantajı, varsayılan öbek sayfaları, çeşitli yığın sayfaları ve bellek havuzu sayfaları gibi veri sayfalarından kod yürütülmesini engellemesidir. Genelde, kod varsayılan öbek ve yığından yürütülmez. Donanım tarafından zorlanan DEP, bu konumlardan çalışan kodu belirler ve yürütme gerçekleştiğinde bir özel durum oluşturur. Özel durum işlenmezse, işlem durdurulur. Kodun çekirdek modunda korumalı bellekten yürütülmesi bir Dur hatasına neden olur.

DEP, bir güvenlik ihlali sınıfının engellenmesine yardımcı olabilir. Özellikle, bir virüs veya başka bir saldırı türünün ek kod içeren bir işlem ekleyip bu kodu çalıştırmayı denediği kötü amaçlı bir programı DEP engelleyebilir. DEP özelliği bulunan bir sistemde, kod eklenirse bir özel durum oluşur. Yazılım tarafından zorlanan DEP, Windows'taki özel durum işleme düzeneklerinden yararlanmaya çalışan programları engellemeye yardımcı olabilir.

Üste

DEP'nin sistem genelinde yapılandırması

Sistemin DEP yapılandırması, Boot.ini dosyasındaki anahtarlar aracılığıyla denetlenir. Yönetici olarak oturum açtıysanız, Denetim Masası'ndaki Sistem iletişim kutusunu kullanarak DEP ayarlarını kolayca yapılandırabilirsiniz.

Windows, donanım ve yazılım tarafından zorlanan DEP için sistem genelinde dört yapılandırmayı destekler.
Bu tabloyu kapaBu tabloyu aç
YapılandırmaAçıklaması
OptInBu ayar varsayılan yapılandırmadır. Donanım tarafından zorlanan DEP'yi kullanabilen işlemcilerin bulunduğu sistemlerde, DEP varsayılan olarak sınırlı sayıda sistem ikili dosyası ve "içerme seçeneği" sunan program için etkinleştirilir. Bu seçenek kullanıldığında, DEP varsayılan olarak yalnızca Windows sistem ikili dosyalarını kapsar.
OptOutDEP varsayılan olarak tüm işlemler için etkinleştirilmiştir. Denetim Masası'ndaki Sistem iletişim kutusunu kullanarak, DEP'nin uygulanmadığı programların listesini el ile oluşturabilirsiniz. Bilişim teknolojileri (BT) uzmanları, bir veya daha fazla programı DEP koruması "dışında bırakmak" üzere Uygulama Uyumluluğu Araç Paketi'ni kullanabilir. DEP için sistem uyumluluğu düzeltmeleri veya dolgu verileri etkindir.
AlwaysOnBu ayar sistemin tamamı için tam DEP desteği sağlar. Tüm işlemler her zaman DEP uygulanmış olarak çalışır. Belirli programları DEP koruması dışında bırakan özel durumlar listesi kullanılamaz. DEP için sistem uyumluluğu düzeltmeleri etkin değildir. Uygulama Uyumluluğu Araç Paketi kullanılarak dışarıda bırakılan programlar DEP uygulanmış olarak çalışır.
AlwaysOffBu ayar, donanımın DEP desteği ne olursa olsun sistemin herhangi bir bölümü için DEP desteği sağlamaz. Boot.ini dosyasında /PAE seçeneği yoksa, işlemci PAE modunda çalışmaz.
Donanım ve yazılım tarafından zorlanan DEP özellikleri aynı biçimde yapılandırılır. Sistem genelinde DEP ilkesi OptIn olarak ayarlanırsa, aynı Windows çekirdek ikili dosyaları ve programları hem donanım tarafından hem de yazılım tarafından zorlanan DEP ile korunur. Sistem, donanım tarafından zorlanan DEP'yi kullanamazsa, Windows çekirdek ikili dosyaları ve programları yalnızca yazılım tarafından zorlanan DEP ile korunur.

Aynı şekilde, sistem geneli DEP ilkesi OptOut olarak ayarlanırsa, DEP koruması dışında bırakılan programlar hem donanım tarafından hem de yazılım tarafından zorlanan DEP dışında bırakılır.

Boot.ini dosyası ayarları şu şekildedir:
/noexecute=ilke_düzeyi
Not İlke_düzeyi olarak AlwaysOn, AlwaysOff, OptIn veya OptOut tanımlanır.

Windows XP SP2 yüklendiğinde, Boot.ini dosyasındaki varolan /noexecute ayarları değiştirilmez. Bu ayarlar, bir Windows işletim sistemi görüntüsü donanım tarafından zorlanan DEP desteği ile veya bu destek olmadan bilgisayarlar arasında taşınırsa da değişmez.

Windows XP SP2 ve Windows Server 2003 SP1 veya sonraki sürümlerin kurulumu sırasında, katılımsız kurulumda başka bir ilke düzeyi belirtilmediği sürece varsayılan olarak OptIn ilke düzeyi etkindir. Windows'un DEP'yi destekleyen bir sürümü için Boot.ini dosyasında /noexecute=ilke_düzeyi ayarı yoksa, /noexecute=OptIn ayarı varmış gibi davranılır.

Yönetici olarak oturum açarsanız, Sistem Özellikleri'nin Veri Yürütme Engellemesi sekmesini kullanarak DEP'yi OptIn ve OptOut ilkeleri arasında geçiş yapacak biçimde el ile yapılandırabilirsiniz. Aşağıdaki yordamda, DEP'nin bilgisayarda el ile yapılandırılması anlatılmaktadır:
  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, sysdm.cpl yazın ve Tamam'ı tıklatın.
  2. Gelişmiş sekmesindeki Performans öğesi altında Ayarlar'ı tıklatın.
  3. Veri Yürütme Engellemesi sekmesinde, aşağıdaki yordamlardan birini kullanın:
    • OptIn ilkesini seçmek için, Sadece önemli Windows programları ve hizmetleri için DEP'yi aç seçeneğini işaretleyin.
    • OptOut ilkesini seçmek için, Seçtiklerim dışında kalan tüm programlar ve hizmetler için DEP'yi aç seçeneğini işaretleyin ve sonra da Ekle'yi tıklatıp, DEP özelliğini kullanmak istemediğiniz programları ekleyin.
  4. İki kez Tamam'ı tıklatın.
BT uzmanları, sistem genelinde DEP yapılandırmasını çeşitli yöntemler kullanarak denetleyebilir. Boot.ini dosyası, doğrudan komut dosyası çalıştırma düzenekleriyle veya Windows XP SP2'nin içerdiği Bootcfg.exe aracıyla değiştirilebilir.

Boot.ini dosyasını kullanarak DEP'yi AlwaysOn ilkesine geçiş yapacak biçimde yapılandırmak için, aşağıdaki adımları izleyin:
  1. Başlat'ı tıklatın, Bilgisayarım'ı sağ tıklatın ve sonra Özellikler'i tıklatın.
  2. Gelişmiş sekmesini ve sonra da Başlangıç ve Kurtarma alanının altındaki Ayarlar'ı tıklatın.
  3. Sistem başlangıcı alanında, Düzenle'yi tıklatın. Boot.ini dosyası Not Defteri'nde açılır.
  4. Not Defteri'nde, Düzen menüsünde Bul'u tıklatın.
  5. Aranan kutusuna /noexecute yazın ve Sonrakini Bul'u tıklatın.
  6. Bul iletişim kutusunda, İptal'i tıklatın.
  7. ilke_düzeyi yerine AlwaysOn yazın.

    UYARI Metni doğru girdiğinizden emin olun. Boot.ini dosyası anahtarı şu şekilde olmalıdır:
    /noexecute=AlwaysOn
  8. Not Defteri'nde, Dosya menüsünde Kaydet'i tıklatın.
  9. İki kez Tamam'ı tıklatın.
  10. Bilgisayarı yeniden başlatın.
Windows XP SP2'nin veya sonraki sürümlerin katılımsız kurulumlarında, belirli bir DEP yapılandırmasını önceden doldurmak için Unattend.txt dosyasını kullanabilirsiniz. Unattend.txt dosyasının [Data] bölümündeki OSLoadOptionsVar girdisini kullanarak, sistem genelinde bir DEP yapılandırması belirleyebilirsiniz.

Üste

Programa özgü DEP yapılandırması

Program uyumluluğu açısından, DEP özelliği OptOut ilke düzeyine ayarlandığında DEP'yi bağımsız 32 bit programlar için devre dışı bırakmayı seçebilirsiniz. Bunu yapmak için, Sistem Özellikleri iletişim kutusunda Veri Yürütme Engellemesi sekmesini kullanarak bir program için DEP'yi devre dışı bırakmayı seçin. BT uzmanları için, Windows XP SP2'de DisableNX adlı yeni bir program uyumluluğu düzeltmesi bulunmaktadır. DisableNX uyumluluk düzeltmesi, uygulandığı program için Veri Yürütme Engellemesi'ni devre dışı bırakır.

DisableNX uyumluluk düzeltmesi, bir programa Uygulama Uyumluluğu Araç Paketi kullanılarak uygulanabilir. Windows uygulama uyumluluğu hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesinde yer alan Windows Application Compatibility (Windows Uygulama Uyumluluğu) sayfasına bakın:
http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx (http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx)
Üste
Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
912923  (http://support.microsoft.com/kb/912923/ ) Donanım DEP'nin bilgisayarınızda kullanılabilir ve yapılandırılmış olduğu nasıl belirlenir
Üste

Referanslar

Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
899298  (http://support.microsoft.com/kb/899298/ ) Windows Server 2003 Service Pack 1'de "Veri Yürütme Engellemesi'ni Anlama" yardım konusu DEP varsayılan ayarını yanlış bildiriyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
Üste
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Service Pack 1, Ne zaman ne ile kullanilir:
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Üste
Anahtar Kelimeler: 
kbtshoot kbinfo KB875352
Üste