أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

وصف مفصل لميزة منع تنفيذ التعليمات البرمجية (DEP) في Windows XP المزود بحزمة الخدمة Service Pack 2 وWindows XP Tablet PC Edition 2005 وWindows Server 2003‏

انتهاء دعم نظام التشغيل Windows XP

لقد أنهت شركة Microsoft دعم Windows XP في 8 أبريل، 2014. وقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

الموجز
ميزة "منع تنفيذ التعليمات البرمجية" (DEP) هي مجموعة من تقنيات الأجهزة والبرامج التي تقوم بإجراء عمليات فحص إضافية على الذاكرة للمساعدة في منع تشغيل التعليمات البرمجية الضارة على أحد الأنظمة. في نظامي التشغيل Microsoft Windows XP المزود بحزمة الخدمة Service Pack 2 (SP2) وMicrosoft Windows XP Tablet PC Edition 2005، يتم فرض ميزة "منع تنفيذ التعليمات البرمجية" بواسطة الأجهزة والبرامج.

وتعتبر الفائدة الأساسية من ميزة DEP هي منع تنفيذ التعليمات البرمجية من صفحات البيانات. وعادةً، لا يتم تنفيذ التعليمات البرمجية من الرصة وكومة الذاكرة المؤقتة الافتراضية. وتقوم ميزة DEP التي يتم فرضها عن طريق الأجهزة باكتشاف التعليمات البرمجية التي يتم تشغيلها من هذه المواقع وتقوم بإصدار استثناء عند حدوث التنفيذ. بينما يمكن لميزة DEP التي يتم فرضها عن طريق البرامج أن تقوم بالمساعدة في منع التعليمات البرمجية الضارة من استغلال آليات معالجة الاستثناءات الموجودة في أنظمة تشغيل Windows.
مقدمة
توضح هذه المقالة ميزة DEP الموجودة في نظامي التشغيل Windows XP المزود بحزمة الخدمة SP2 وMicrosoft Windows Server 2003 المزود بحزمة الخدمة Service Pack 1 (SP1) وتتناول الموضوعات التالية:
معلومات أخرى

ميزة DEP التي يتم فرضها عن طريق الأجهزة

تقوم ميزة DEP التي يتم فرضها من خلال الأجهزة بوضع علامات على كافة مواقع الذاكرة في إحدى العمليات باعتبارها غير قابلة للتنفيذ إلا إذا كان الموقع يحتوي على تعليمات برمجية قابلة للتنفيذ بشكل صريح. وتوجد فئة من الهجمات التي تحاول إدراج تعليمات برمجية وتشغيلها من مواقع الذاكرة غير القابلة للتنفيذ. وتساعد ميزة DEP على منع هذه الهجمات عن طريق إيقافها وإصدار استثناء.

تعتمد ميزة DEP التي يتم فرضها عن طريق الأجهزة على جهاز المعالج لوضع علامة على الذاكرة بسمة تشير إلى أن هذه التعليمات البرمجية لا يجب تنفيذها من تلك الذاكرة. وتعمل ميزة DEP على أساس كل صفحة ذاكرة ظاهرية، كما تقوم هذه الميزة غالبًا بتغيير بت واحد في إدخال جدول الصفحة (PTE) لوضع علامة على صفحة الذاكرة.

يتم تحديد كيفية تنفيذ ميزة DEP في الأجهزة وكيفية قيامها بوضع علامات على صفحة الذاكرة الظاهرية عن طريق هندسة المعالج. ومن ناحية أخرى، يمكن للمعالجات التي تدعم ميزة DEP التي يتم فرضها عن طريق الأجهزة أن تقوم بإصدار استثناء عند تنفيذ تعليمات برمجية من إحدى الصفحات التي تم وضع علامة مجموعة السمات المناسبة عليها.

قامت شركتا Advanced Micro Devices (AMD) وIntel بتحديد البُنى الهندسية المتوافقة مع أنظمة تشغيل Windows والمتوافقة مع ميزة DEP وإصدارها.

وبدايةً من نظام التشغيل Windows XP المزود بحزمة الخدمة SP2، يستخدم الإصدار ٣٢ بت من Windows إحدى الميزتين التاليتين:
  • ميزة معالج حماية الصفحة بواسطة عدم التنفيذ (NX) كما هو محدد بواسطة AMD.
  • ميزة بت تعطيل التنفيذ (XD) كما هو محدد بواسطة Intel.
ولاستخدام ميزتي المعالج هاتين، يجب تشغيل المعالج في وضع "ملحق العنوان الفعلي" (PAE). على الرغم من ذلك، تقوم أنظمة تشغيل Windows تلقائيًا بتمكين وضع PAE لدعم ميزة DEP. ولا يحتاج المستخدمون إلى تمكين وضع PAE بشكلٍ منفصل باستخدام رمز تبديل التمهيد /PAE.

ملاحظة نظرًا لأن إصدارات kernel ٦٤ بت متوافقة مع Address Windowing Extensions (AWE)، لا يوجد PAE kernel منفصل في إصدارات ٦٤ بت من أنظمة تشغيل Windows.
لمزيد من المعلومات حول PAE وAWE في نظام التشغيل Windows Server 2003، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
283037 توّفر الدعم للذاكرة بحجم كبير في نظام التشغيل Windows Server 2003 وWindows 2000
عودة إلى الأعلى

ميزة DEP التي يتم فرضها عن طريق البرامج

تمت إضافة مجموعة إضافية من عمليات التحقق من أمان "منع تنفيذ التعليمات البرمجية" إلى نظام التشغيل Windows XP المزود بحزمة الخدمة SP2. وقد تم تصميم عمليات التحقق هذه، والمعروفة بميزة DEP التي يتم فرضها عن طريق البرامج، لحظر التعليمات البرمجية الضارة من استغلال آليات معالجة الاستثناءات الموجودة في أنظمة تشغيل Windows. يتم تشغيل ميزة DEP التي يتم فرضها طريق البرامج على أي معالج يمكنه تشغيل نظام التشغيل Windows XP المزود بحزمة الخدمة SP2. افتراضيًا، تقوم ميزة DEP التي يتم فرضها عن طريق البرامج بحماية عدد محدود من الوحدات الثنائية للنظام، بغض النظر عن إمكانات ميزة DEP التي يتم فرضها عن طريق الأجهزة بالمعالج.

عودة إلى الأعلى

الفوائد

تعتبر الفائدة الأساسية لميزة DEP هي المساعدة في منع تنفيذ التعليمات البرمجية من صفحات البيانات، مثل صفحات كومة الذاكرة المؤقتة الافتراضية وصفحات الرصة المتنوعة وصفحات تجمّع الذاكرة. وعادةً، لا يتم تنفيذ التعليمات البرمجية من الرصة وكومة الذاكرة المؤقتة الافتراضية. وتقوم ميزة DEP التي يتم فرضها عن طريق الأجهزة باكتشاف التعليمات البرمجية التي يتم تشغيلها من هذه المواقع وتقوم بإصدار استثناء عند حدوث التنفيذ. وإذا لم تتم معالجة الاستثناء، سيتم إيقاف العملية. يتسبب تنفيذ التعليمات البرمجية من الذاكرة المحمية في وضع kernel في حدوث خطأ "إيقاف".

ويمكن لميزة DEP المساعدة في حظر إحدى فئات انتهاكات الأمان. وبوجه خاص، يمكن لميزة DEP حظر أحد البرامج الضارة الذي يتم من خلاله قيام فيروس أو محاولة هجومية أخرى بإدراج عملية بتعليمات برمجية إضافية ثم محاولة تنفيذ التعليمات البرمجية التي تم إدراجها. وبالنسبة للنظام الذي يحتوي على ميزة DEP، سيؤدي تنفيذ التعليمات البرمجية التي تم إدراجها إلى حدوث استثناء. كما يمكن لميزة DEP التي يتم فرضها عن طريق البرامج أن تقوم بالمساعدة في حظر البرامج التي تقوم باستغلال آليات معالجة الاستثناءات الموجودة في أنظمة تشغيل Windows.

عودة إلى الأعلى

تكوين ميزة DEP على مستوى النظام

يتم التحكم في تكوين ميزة DEP للنظام من خلال رموز التبديل الموجودة في الملف Boot.ini. وإذا كنت قد قمت بتسجيل الدخول كمسؤول، يمكنك الآن تكوين إعدادات ميزة DEP بسهولة باستخدام مربع الحوار النظام الموجود في "لوحة التحكم".

تعتمد أنظمة تشغيل Windows أربعة تكوينات على مستوى النظام بالنسبة لميزة DEP سواء التي يتم فرضها عن طريق الأجهزة أو التي يتم فرضها عن طريق البرامج.
التكوينالوصف
OptInيعتبر هذا الإعداد هو التكوين الافتراضي. بالنسبة للأنظمة التي تحتوي على معالجات يمكنها تطبيق ميزة DEP التي يتم فرضها عن طريق الأجهزة، يتم تمكين ميزة DEP بشكل افتراضي للبرامج والأنظمة الثنائية المحدودة التي تعمل باستخدام التكوين "opt-in.". وباستخدام هذا الخيار، يمكن تغطية أنظمة تشغيل Windows الثنائية فقط بواسطة ميزة DEP بشكل افتراضي.
OptOutيتم تمكين ميزة DEP بشكل افتراضي لكافة العمليات. يمكنك إنشاء قائمة بالبرامج المحددة التي لم يتم تطبيق ميزة DEP بها يدويًا عن طريق استخدام مربع الحوار النظام في "لوحة التحكم". يمكن لمتخصصي تكنولوجيا المعلومات (IT) استخدام "مجموعة أدوات توافق التطبيقات" لاستثناء برنامج واحد أو أكثر من حماية ميزة DEP. يكون هناك تأثير لإصلاحات توافق النظام أو تحليل البيانات لميزة DEP.
AlwaysOnيوفر هذا الإعداد تغطية شاملة لميزة DEP بالنسبة للنظام بالكامل. يتم دومًا تشغيل كافة العمليات مع تطبيق ميزة DEP. لا تتوفر قائمة استثناءات لإعفاء برامج محددة من حماية ميزة DEP. لا يكون هناك تأثير لإصلاحات توافق النظام لميزة DEP. ويتم تشغيل البرامج التي تم استثناؤها باستخدام "مجموعة أدوات توافق التطبيقات" في حالة تطبيق ميزة DEP.
AlwaysOffلا يوفر هذا الإعداد أية تغطية من ميزة DEP لأي جزء من النظام، بغض النظر عن دعم ميزة DEP عن طريق الأجهزة. لا يتم تشغيل المعالج في الوضع PAE إلا إذا كان الخيار /PAE موجودًا في الملف Boot.ini.
يتم تكوين ميزة DEP التي يتم فرضها عن طريق الأجهزة أو عن طريق البرامج بنفس الطريقة. إذا كان نهج ميزة DEP على مستوى النظام قد تم تعيينه إلى OptIn، ستتم حماية البيانات الثنائية الأساسية والبرامج في أنظمة تشغيل Windows بواسطة ميزة DEP المفروضة عن طريق الأجهزة والبرامج. وإذا كان النظام لا يدعم ميزة DEP عن طريق الأجهزة، ستتم حماية البيانات الثنائية الأساسية والبرامج في أنظمة تشغيل Windows بواسطة ميزة DEP المفروضة عن طريق البرامج فقط.

وبنفس الطريقة، إذا كان نهج ميزة DEP على مستوى النظام قد تم تعيينه إلى OptOut، سيتم إعفاء البرامج التي تم إعفاؤها من حماية ميزة DEP من هذه الميزة التي يتم فرضها عن طريق الأجهزة وعن طريق البرامج.

تكون إعدادات الملف Boot.ini كما يلي:
مستوى النهج=/noexecute
ملاحظة مستوى النهج يتم تعريفه كـ AlwaysOn أو AlwaysOff أو OptIn أو OptOut.

لا يتم تغيير إعدادات /noexecute الموجودة في الملف Boot.ini عند تثبيت نظام التشغيل Windows XP المزود بحزمة الخدمة SP2. كما لا يتم تغيير هذه الإعدادات إذا تم نقل صورة نظام تشغيل Windows عبر أجهزة كمبيوتر تدعم ميزة DEP عن طريق الأجهزة أو لا تدعمها.

أثناء تثبيت نظامي التشغيل Windows XP المزود بحزمة الخدمة SP2 وWindows Server 2003 المزود بحزمة الخدمة SP1 أو إصدارات أحدث، يتم تمكين مستوى النهج OptIn افتراضيًا ما لم يكن هناك مستوى نهج مختلف محدد في تثبيت غير مراقب. في حالة عدم وجود الإعداد مستوى النهج=/noexecute في الملف Boot.ini لأحد إصدارات أنظمة تشغيل Windows التي تدعم ميزة DEP، يكون السلوك مماثلاً كما لو كان الإعداد /noexecute=OptIn مضمنًا.

إذا كنت قد قمت بتسجيل الدخول كمسؤول، يمكنك تكوين ميزة DEP يدويًا للتبديل بين نهج OptIn ونهج OptOut باستخدام علامة التبويب منع تنفيذ التعليمات البرمجية في خصائص النظام. يوضح الإجراء التالي كيفية تكوين ميزة DEP يدويًا على جهاز الكمبيوتر:
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، واكتب sysdm.cpl، ثم انقر فوق موافق.
  2. انقر فوق علامة التبويب خيارات متقدمة، وتحت الأداء، انقر فوق الإعدادات.
  3. من علامة التبويب منع تنفيذ التعليمات البرمجية، استخدم أحد الإجراءين التاليين:
    • انقر فوق تشغيل DEP لبرامج أنظمة تشغيل Windows الأساسية والخدمات فقط لتحديد نهج OptIn.
    • انقر فوق تشغيل DEP لكافة برامج Windows والخدمات فيما عدا التي أحددها لتحديد نهج OptOut، ثم انقر فوق إضافة لإضافة البرامج التي لا تريد استخدامها مع ميزة DEP.
  4. انقر فوق موافق مرتين.
يمكن لمتخصصي تكنولوجيا المعلومات التحكم في ميزة DEP على مستوى النظام باستخدام أساليب متنوعة. يمكن تعديل الملف Boot.ini مباشرةً بآليات برمجة نصية أو باستخدام الأداة Bootcfg.exe المضمنة في نظام التشغيل Windows XP المزود بحزمة الخدمة SP2.

لتكوين ميزة DEP للتبديل إلى نهج AlwaysOn باستخدام الملف Boot.ini، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، ثم انقر بزر الماوس الأيمن فوق جهاز الكمبيوتر، ثم انقر فوق خصائص.
  2. انقر فوق علامة التبويب خيارات متقدمة، ثم انقر فوق الإعدادات تحت الحقل بدء التشغيل والاسترداد.
  3. في الحقل بدء تشغيل النظام، انقر فوق تحرير. يتم فتح الملف Boot.ini في "المفكرة".
  4. في "المفكرة"، انقر فوق بحث من القائمة تحرير.
  5. في المربع بحث عن، اكتب /noexecute، ثم انقر فوق بحث عن التالي.
  6. في مربع الحوار بحث، انقر فوق إلغاء الأمر.
  7. استبدل مستوى النهج بـ AlwaysOn.

    تحذير تأكد من إدخال النص بدقة. سيصبح رمز التبديل لملف Boot.ini الآن كالتالي:
    /noexecute=AlwaysOn
  8. في "المفكرة"، انقر فوق حفظ من القائمة ملف.
  9. انقر فوق موافق مرتين.
  10. أعد تشغيل جهاز الكمبيوتر.
بالنسبة لعمليات التثبيت غير المراقبة لنظام التشغيل Windows XP المزود بحزمة الخدمة SP2 أو الإصدارات الأحدث، يمكنك استخدام الملف Unattend.txt لتعميم تكوين محدد لميزة DEP مسبقًا. كما يمكنك استخدام الإدخال OSLoadOptionsVar في القسم [Data] من الملف Unattend.txt لتحديد تكوين لميزة DEP على مستوى النظام.

عودة إلى الأعلى

تكوين ميزة DEP لكل برنامج

من أجل توافق البرامج، من الممكن تحديد تعطيل ميزة DEP للبرامج فئة ٣٢ بت وذلك عند تعيين ميزة DEP إلى مستوى النهج OptOut. للقيام بذلك، استخدم علامة التبويب منع تنفيذ التعليمات البرمجية في خصائص النظام لتعطيل ميزة DEP لأحد البرامج بشكلٍ انتقائي. بالنسبة لمتخصصي تكنولوجيا المعلومات، تم تضمين إصلاح جديد لتوافق البرامج يسمى DisableNX مع نظام التشغيل Windows XP المزود بحزمة الخدمة SP2. يؤدي إصلاح التوافق DisableNX إلى تعطيل "منع تنفيذ التعليمات البرمجية" للبرنامج الذي يتم تطبيق الإصلاح عليه.

يمكن تطبيق إصلاح التوافق DisableNX على أي برنامج باستخدام "مجموعة أدوات توافق التطبيقات". لمزيد من المعلومات حول توافق تطبيقات أنظمة تشغيل Windows، راجع Windows Application Compatibility (توافق تطبيقات Windows) على موقع Microsoft التالي على الويب:عودة إلى الأعلى
لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
912923 كيفية معرفة أن ميزة DEP للأجهزة متوفرة على جهاز الكمبيوتر وتم تكوينها
مراجع
لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
899298 عرض موضوع التعليمات "Understanding Data Execution Prevention" لإعداد DEP الافتراضي بطريقة غير صحيحة في نظام التشغيل Windows Server 2003 المزود بحزمة الخدمة Service Pack 1
خصائص

رقم الموضوع: 875352 - آخر مراجعة: 12/21/2006 16:29:00 - المراجعة: 14.1

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Professional Service Pack 2 (SP2), Microsoft Windows XP Home Edition Service Pack 2 (SP2), Microsoft Windows XP Media Center Edition Service Pack 2 (SP2), Microsoft Windows XP Tablet PC Edition 2005

  • kbinfo kbtshoot KB875352
تعليقات
tml>ne; " src="https://c1.microsoft.com/c.gif?DI=4050&did=1&t=">html>l>/html>=">