A Windows XP SP2, a Windows XP Tablet PC Edition 2005 és a Windows Server 2003 rendszerek adatvégrehajtás megakadályozása (DEP) szolgáltatásának részletes ismertetése

2015. július 14-én véget ért a Windows Server 2003 támogatása

2015. július 14-én a Microsoft megszüntette a Windows Server 2003 támogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

Összefoglaló
Az adatvégrehajtás megakadályozása (DEP) szolgáltatás olyan szoftver- és hardvertechnológiákra épül, amelyek a memória fokozott ellenőrzésével megkönnyítik a rosszindulatú kódok futtatásának megakadályozását. A Microsoft Windows XP Service Pack 2 (SP2) és Microsoft Windows XP Tablet PC Edition 2005 rendszerekben a DEP használata hardver és szoftver által kényszerített.

A DEP fő előnye, hogy megkönnyíti az adatokat tartalmazó lapokról történő kódvégrehajtás megakadályozását. A kódot a rendszer általában nem az alapértelmezett halomból és a veremből hajtja végre. A hardver által kényszerített DEP észleli az ezen helyekről történő kódfuttatást, és a végrehajtáskor kivételt okoz. A szoftver által kényszerített DEP megkönnyíti annak megakadályozását, hogy a rosszindulatú kód saját célra használhassa fel a Windows kivételkezelő mechanizmusait.
BEVEZETŐ
Ez a cikk a DEP szolgáltatást ismerteti Windows XP SP2 és Microsoft Windows Server 2003 Service Pack 1 (SP1) rendszerben a következő témaköröket tárgyalva:
További információ

Hardver által kényszerített DEP

A hardver által kényszerített DEP egy adott folyamatban az összes memóriahelyet nem végrehajthatóként jelöli meg, hacsak nem egyértelmű, hogy a hely végrehajtható kódot tartalmaz. A támadásoknak egy bizonyos típusa nem végrehajtható memóriahelyekről kísérel meg kódot beilleszteni és futtatni. A DEP e támadások megakadályozását észlelésükkel és kivételt okozva könnyíti meg.

A hardver által kényszerített DEP a processzor hardverének segítségével megjelöli a memóriahelyet egy attribútummal, amely azt jelzi, hogy az adott memóriahelyről nem szabad a kódot végrehajtani. A DEP, amelynek működése virtuálismemória-lap szintű, a memórialap megjelöléséhez általában módosít egy bitet a laptáblabejegyzésben (PTE).

A processzor architektúrája határozza meg a DEP hardverbe történő integrálásának és a virtuálismemória-lap megjelölésének mikéntjét. Ha a megfelelő attribútumkészlettel megjelölt memóriahelyről mégis kódvégrehajtás történik, a hardver által kényszerített DEP funkciót támogató processzorok képesek arra, hogy kivételt okozzanak.

Az Advanced Micro Devices (AMD) és az Intel cég olyan Windows-kompatibilis architektúrákat fejlesztett ki és hozott forgalomba, amelyek kompatibilisek a DEP funkcióval.

A Windows XP SP2 rendszerrel kezdődően a Windows 32 bites verziói az alábbi funkciók valamelyikét használják:
  • Az AMD által definiált végrehajtás-letiltási (NX) processzorfunkció.
  • Az Intel által definiált végrehajtás-letiltó bit (XD) funkció.
E processzorfunkciók használatához a processzornak fizikai címkiterjesztési (PAE) üzemmódban kell működnie. A DEP funkció támogatása érdekében a Windows automatikusan engedélyezi a PAE üzemmódot, tehát a felhasználóknak nem kell külön engedélyezniük azt a /PAE rendszerindítási kapcsoló megadásával.

Megjegyzés: Mivel a 64 bites kernelek rendelkeznek címtartomány-leképezési bővítménnyel (AWE), a Windows 64 bites verziói esetén nincs különálló PAE kernel.
A Windows Server 2003 címtartomány-leképezési bővítményéről és a fizikai címkiterjesztéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
283037 Nagyméretű memória támogatása Windows Server 2003 és Windows 2000 rendszerben
a lap tetejére

Szoftver által kényszerített DEP

A Windows XP SP2 rendszerbe további DEP-alapú biztonsági ellenőrzéseket építettek be. Ezeket a szoftver által kényszerített DEP funkcióként ismert ellenőrzéseket a Windows kivételkezelő mechanizmusait saját célra felhasználó rosszindulatú kódok blokkolására fejlesztették ki. A szoftver által kényszerített DEP bármely Windows XP SP2 rendszer futtatására alkalmas processzoron futtatható. A szoftver által kényszerített DEP alapértelmezés szerint csak bizonyos bináris rendszerfájlok védelmét könnyíti meg, függetlenül a processzor adatvégrehajtás-megakadályozási képességeitől.

a lap tetejére

Előnyök

A DEP fő előnye, hogy megkönnyíti az adatokat tartalmazó lapokról – például az alapértelmezett halomlapokról, a különböző veremlapokról és a memóriakészlet-lapokról – történő kódvégrehajtás megakadályozását. A kódot a rendszer általában nem az alapértelmezett halomból és a veremből hajtja végre. A hardver által kényszerített DEP észleli az ezen helyekről történő kódfuttatást, és a végrehajtáskor kivételt okoz. Ha a kivétel nem kezelt, a rendszer leállítja a folyamatot. A védett memóriából történő kódvégrehajtás kernel üzemmódban Stop hibát okoz.

A DEP megkönnyíti a rendszer biztonságát veszélyeztető behatolások egy bizonyos típusának blokkolását. A DEP különösen azoknak a rosszindulatú programoknak a blokkolását könnyíti meg, amelyekbe egy vírus vagy egyéb típusú támadó további kódot tartalmazó folyamatot juttatott be, és megkísérli a bejuttatott kód futtatását. A DEP funkciót használó rendszerekben a bejuttatott kód végrehajtása kivételt okoz. A szoftver által kényszerített DEP megkönnyíti azon programok blokkolását, amelyek saját célra használják fel a Windows kivételkezelő mechanizmusait.

a lap tetejére

A DEP rendszerszintű konfigurálása

A DEP rendszerszintű konfigurálását a Boot.ini fájlban megadott kapcsolók segítségével lehet szabályozni. Rendszergazdaként bejelentkezve a DEP-beállítások konfigurálását könnyűszerrel elvégezheti a Vezérlőpultról elérhető Rendszer párbeszédpanel segítségével.

A Windows négy rendszerszintű konfigurációt támogat mind a hardver által kényszerített, mind a szoftver által kényszerített DEP esetében.
KonfigurációLeírás
OptInEz a beállítás az alapértelmezett konfiguráció. A hardver által kényszerített DEP használatára alkalmas processzorokkal rendelkező rendszerekben a DEP alapértelmezés szerint csak korlátozott mértékben, azon bináris rendszerfájlok és programok esetében engedélyezett, amelyek „önként választják” e funkció használatát. E beállítás használatakor alapértelmezés szerint csak a Windows bináris rendszerfájljait védi a DEP.
OptOutA DEP használata alapértelmezés szerint az összes folyamat esetében engedélyezett. A Vezérlőpultról elérhető Rendszer párbeszédpanel segítségével manuálisan létrehozhatja azoknak a meghatározott programoknak a listáját, amelyek esetében nem kívánja a DEP funkciót használni. Az informatikusok az alkalmazáskompatibilitási eszközkészlet segítségével egy vagy több programot „önkényesen” kivonhatnak a DEP védelme alól. A DEP rendszerkompatibilitási javításai futtathatók.
AlwaysOnEz a beállítás teljes körű DEP-védelmet biztosít az egész rendszer számára. A rendszer minden folyamatot a DEP védelme alatt futtat. A DEP védelme alól kivont programokat tartalmazó kivétellista nem elérhető. A DEP rendszerkompatibilitási javításai nem futtathatók. Az alkalmazáskompatibilitási eszközkészlet segítségével „önkényesen” kivont programok a DEP használatával futnak.
AlwaysOffEz a beállítás a hardveres DEP-támogatástól függetlenül semmilyen DEP-védelmet nem biztosít a rendszer egyetlen összetevője számára sem. A processzor csak akkor működik PAE üzemmódban, ha a /PAE kapcsoló meg van adva a Boot.ini fájlban.
A hardver által kényszerített és a szoftver által kényszerített DEP azonos módon van konfigurálva. OptIn beállítással konfigurált rendszerszintű DEP-házirend esetén mind a hardver által kényszerített, mind a szoftver által kényszerített DEP ugyanazokat az alapvető bináris fájlokat és programokat védi a Windows rendszerben. Ha a rendszer nem használhatja a hardver által kényszerített DEP funkciót, a Windows alapvető bináris fájljait és programjait csak a szoftver által kényszerített DEP védi.

Hasonlóképpen, ha az OptOut beállítás a rendszerszintű DEP-házirend, a DEP védelme alól kivont programok mind a hardver által kényszerített, mind a szoftver által kényszerített DEP védelme alól mentesülnek.

A Boot.ini fájlban megadható beállítások a következők:
/noexecute= házirendszint
Megjegyzés: A házirendszint AlwaysOn, AlwaysOff, OptIn vagy OptOut lehet.

A Boot.ini fájl meglévő /noexecute beállításai nem módosulnak a Windows XP SP2 telepítésekor. Ezek a beállítások egy Windows operációs rendszerről készült lemezkép hardver által kényszerített DEP-támogatással rendelkező, illetve nem rendelkező számítógépek közötti áthelyezésekor sem módosulnak.

A Windows XP SP2 és a Windows Server 2003 SP1 telepítése során az OptIn házirendszint alapértelmezés szerint engedélyezve van, hacsak – felügyelet nélküli telepítés esetén – nincs megadva ettől eltérő házirendszint. Ha a /noexecute=házirendszint beállítás nincs megadva a Boot.ini fájlban egy olyan Windows-verzió esetében, amely támogatja a DEP funkciót, a rendszer ugyanúgy viselkedik, mintha a /noexecute=OptIn beállítás lenne megadva.

Ha rendszergazdaként van bejelentkezve, a Rendszertulajdonságok párbeszédpanel Adatvégrehajtás megakadályozása lapjának segítségével manuálisan beállíthatja, hogy a DEP szolgáltatás az OptIn vagy az OptOut házirend szerint működjön. Az alábbi eljárás a DEP szolgáltatás számítógépen történő manuális konfigurálását ismerteti:
  1. Kattintson a Start menü Futtatás parancsára, írja be az sysdm.cpl parancsot, majd kattintson az OK gombra.
  2. A Speciális lap Teljesítmény területén kattintson a Beállítások gombra.
  3. Az Adatvégrehajtás megakadályozása lapon alkalmazza az alábbi eljárások egyikét:
    • Kattintson az Adatvégrehajtás megakadályozása fontosabb Windows programoknál és szolgáltatásoknál választógombra az OptIn házirend megadásához.
    • Kattintson a Adatvégrehajtás megakadályozása az összes programnál, kivéve választógombra az OptOut házirend megadásához, majd kattintson a Hozzáadás gombra azoknak a programoknak a hozzáadásához, amelyek esetében nem szeretné használni a DEP szolgáltatást.
  4. Kattintson egymás után kétszer az OK gombra.
Az informatikusok számos módszer segítségével szabályozhatják a rendszerszintű DEP-konfigurációt. A Boot.ini fájl közvetlenül módosítható parancsfájl-mechanizmusokkal vagy a Windows XP SP2 rendszerben elérhető Bootcfg.exe eszköz segítségével.

A DEP szolgáltatásnak a Boot.ini fájl segítségével az AlwaysOn házirendre való áttérés beállításához végezze el a következő lépéseket:
  1. Kattintson a jobb gombbal a Start menü Sajátgép elemére, majd válassza a Tulajdonságok parancsot.
  2. Kattintson a Speciális fülre, majd az Indítás és helyreállítás területen a Beállítások gombra.
  3. A Rendszerindítás területen kattintson a Szerkesztés gombra. Ekkor a Boot.ini fájl megnyílik a Jegyzettömbben.
  4. Kattintson a Szerkesztés menü Keresés parancsára.
  5. A Megjelenítendő név mezőbe írja be a /noexecute értéket, majd kattintson a Következő gombra.
  6. A Keresés párbeszédpanelen kattintson a Mégse gombra.
  7. A házirendszint helyére írja be az AlwaysOn értéket.

    Figyelem! Győződjön meg arról, hogy a szöveget pontosan írta be. A Boot.ini fájl kapcsolójának ekkor így kell kinéznie:
    /noexecute=AlwaysOn
  8. Kattintson a Jegyzettömb Fájl menüjének Mentés parancsára.
  9. Kattintson a megnyitott párbeszédpanelek OK gombjaira.
  10. Indítsa újra a számítógépet.
A Windows XP SP2 (vagy újabb verzió) felügyelet nélküli telepítése esetén az Unattend.txt fájl segítségével meghatározott DEP-konfigurációkat állíthat be előre. Az Unattend.txt fájl [Data] szakaszában az OSLoadOptionsVar bejegyzés segítségével adhat meg rendszerszintű DEP-konfigurációt.

a lap tetejére

A DEP programszintű konfigurálása

Programkompatibilitási megfontolásokból a 32 bites programok esetében egyesével is letiltható a DEP olyan esetekben, amikor az OptOut házirendszint van beállítva. Ehhez használja a Rendszertulajdonságok párbeszédpanel Adatvégrehajtás megakadályozása lapját, amelyen az egyes programok esetében egyesével is letilthatja a DEP szolgáltatást. Az informatikusok számára rendelkezésre áll a Windows XP SP2 rendszer egyik új, DisableNX nevű programkompatibilitási javítása is. A DisableNX kompatibilitási javítás letiltja az adatvégrehajtás megakadályozását annak a programnak az esetében, amelyre a javítást alkalmazzák.

A DisableNX programkompatibilitási javítás az alkalmazáskompatibilitási eszközkészlet segítségével alkalmazható a programokra. Az alkalmazások Windows rendszerrel való kompatibilitásáról további információt a Microsoft Windows Application Compatibility (Alkalmazások kompatibilitása a Windows rendszerrel) webhelyén talál: a lap tetejére
A Microsoft Tudásbázis kapcsolódó cikke:
912923 Annak megállapítása, hogy a számítógépen a DEP szolgáltatás már telepítve és konfigurálva van-e (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Hivatkozások
További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
899298 Az „Adatvégrehajtás megakadályozásának ismertetése” súgótémakör helytelenül adja meg a DEP alapértelmezett beállítását Windows Server 2003 Service Pack 1 rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Tulajdonságok

Cikkazonosító: 875352 - Utolsó ellenőrzés: 06/10/2013 01:09:00 - Verziószám: 14.3

Microsoft Windows Server 2003 Service Pack 1

  • kbtshoot kbinfo KB875352
Visszajelzés