Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email文章編號: 875352 - 上次校閱: 2010年9月30日 - 版次: 14.2 詳細說明 Windows XP Service Pack 2、Windows XP Tablet PC Edition 2005 和 Windows Server 2003 中的資料執行防止 (Data Execution Prevention,DEP) 功能
如果要繼續收到 Windows XP的安全性更新,請確定您執行的是 Windows XP (含 Service Pack 3 (SP3))。如需詳細資訊,請參閱此 Microsoft 網頁: 已結束針對部分 Windows 版本的支援 (英文) (http://windows.microsoft.com/zh-tw/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp)在此頁中結論「資料執行防止」(DEP) 是一組在記憶體上執行額外檢查的硬體和軟體技術,有助於防止惡意程式碼在系統上執行。在 Microsoft Windows XP Service Pack 2 (SP2) 和 Microsoft Windows XP Tablet PC Edition 2005 中,DEP 會由硬體和軟體強制執行。 DEP 主要優點就是可以防止透過資料頁執行的程式碼。一般而言,程式碼並非從預設堆積和堆疊執行。硬體強制執行的 DEP 會偵測從這些位置執行且執行時產生例外的程式碼。軟體強制執行的 DEP 可以防止惡意程式碼利用 Windows 中的例外處理機制。 簡介其他相關資訊硬體強制執行的 DEP硬體強制執行的 DEP 會將處理程序中的所有記憶體位置標示為不能執行,除非位置明確包含可執行的程式碼。有一種攻擊類別會嘗試從不能執行的記憶體位置,插入並且執行程式碼。DEP 會攔截這些攻擊,並且通知例外情形,以避免這些攻擊。硬體強制執行的 DEP 依賴處理器硬體以屬性標示記憶體,表示程式碼不可從該記憶體執行。DEP 的運作是以每一虛擬記憶體頁面為單位,通常會以變更分頁表輸入 (PTE) 中某一位元的方式來標示記憶體頁面。 處理器的架構決定 DEP 硬體實作的方式,以及 DEP 如何標示虛擬記憶體頁面。儘管如此,當程式碼是從以適當屬性集標示的記憶體頁面執行時,支援硬體強制執行 DEP 的處理器還是會產生例外狀況。 Advanced Micro Devices (AMD) 和 Intel 這兩家公司都已經定義並且生產了支援 DEP 的 Windows 相容架構。 從 Windows XP SP2 開始,32 位元版本的 Windows 採用了下列其中一個功能:
注意 因為 64 位元核心會感知 Address Windowing Extensions (AWE),所以在 Windows 的 64 位元版本中沒有分開的 PAE 核心。 如需有關 Windows Server 2003 中 PAE 和 AWE 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件: 283037?
(http://support.microsoft.com/kb/283037/
)
Windows Server 2003 和 Windows 2000 提供大型記憶體支援
軟體強制執行的 DEPWindows XP SP2 已經新增了一組「資料執行防止」安全性檢查。這些檢查 (也就是軟體強制執行的 DEP) 是設計來阻擋利用 Windows 例外處理機制的惡意程式碼。軟體強制執行的 DEP 可以在執行 Windows XP SP2 的任何處理器上運作。不論處理器的硬體強制執行的 DEP 功能為何,軟體強制執行的 DEP 預設只能協助保護有限的系統二進位檔案。優點DEP 的主要優點就是可以防止透過資料頁 (例如預設堆積頁、各種堆疊頁和記憶體集區頁) 執行的程式碼。一般而言,程式碼並非從預設堆積和堆疊執行。硬體強制執行的 DEP 會偵測從這些位置執行且執行時產生例外的程式碼。如果未處理例外,處理程序就會停止。從核心模式的受保護記憶體執行程式碼,會造成「停止」錯誤。DEP 可以協助阻擋安全性入侵行為類別。具體來說,DEP 可以協助阻擋利用將病毒或其他類型攻擊以額外程式碼插入處理程序,然後嘗試執行已插入程式碼的惡意程式。在具有 DEP 的系統上,執行已插入的程式碼會造成例外狀況。軟體強制執行的 DEP 可以防止惡意程式碼利用 Windows 中的例外處理機制。 DEP 的系統範圍設定系統的 DEP 設定是透過 Boot.ini 檔案中的參數控制的。如果您以系統管理員的身分登入,現在,您可以使用 [控制台] 中的 [系統] 對話方塊輕鬆地設定 DEP 設定。Windows 對於硬體強制執行的 DEP 和軟體強制執行的 DEP 都支援四種系統範圍的設定。 摺疊此表格
同樣地,如果系統範圍的 DEP 原則是設定為 OptOut,已從 DEP 保護範圍剔除的程式將不會受到硬體強制執行的 DEP 和軟體強制執行的 DEP 的保護。 Boot.ini 檔案的設定如下: /noexecute=policy_level 注意policy_level 會定義為
AlwaysOn、AlwaysOff、OptIn 或 OptOut。安裝 Windows XP SP2 時,Boot.ini 檔案中現有的 /noexecute 設定不會變更。如果 Windows 作業系統影像在電腦間移動,或者不受硬體強制執行的 DEP 的支援,這些設定也不會遭到變更。 安裝 Windows XP SP2 與 Windows Server 2003 SP1 或更新版本期間,預設會啟用 OptIn 原則層級,除非自動安裝另指定了其他原則層級。如果 /noexecute=policy_level 設定未包含在支援 DEP 的 Windows 版本的 Boot.ini 檔案中,就會依照像是加入 /noexecute=OptIn 設定的相同方式運作。 如果您以系統管理員的身分登入,就可以使用 [系統內容] 中的 [資料執行防止] 索引標籤,在 OptIn 和 OptOut 原則之間進行切換,以手動設定 DEP。下列程序將告訴您,如何手動設定電腦的 DEP:
如果要使用 Boot.ini 檔案將 DEP 切換為 AlwaysOn 原則,請依照下列步驟執行:
每個程式的 DEP 設定基於程式相容性的考量,當 DEP 設定為 OptOut 原則層級時,您可以選擇性地停用個別 32 位元程式的 DEP。如果要執行這項操作,請使用 [系統內容] 中的 [資料執行防止] 索引標籤,個別為程式停用 DEP。現已提供 IT 專業人員新的程式相容性修正程式,名為 DisableNX,此修正程式隨附於 Windows XP SP2。DisableNX 相容性修正程式可以針對適用修正程式的程式,停用「資料執行防止」。您可以利用 Application Compatibility Toolkit,將 DisableNX 相容性修正程式套用至程式。如需有關 Windows 應用程式相容性的詳細資訊,請參閱下列 Microsoft 網站上的 Windows 應用程式相容性 (英文): http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx
(http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx)
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件: 912923?
(http://support.microsoft.com/kb/912923/
)
How to determine that hardware DEP is available and configured on your computer
?考這篇文章中的資訊適用於:
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。 | 其他資源 其他支援網站社群立即取得協助文章翻譯
|
回此頁最上方
