Išsamus Windows XP 2 pakeitimų paketo, Windows XP Tablet PC Edition 2005 ir Windows Server 2003 programų duomenų apdorojimo apsaugos (DEP) priemonės aprašas

S A N T R A U K A

Duomenų apdorojimo apsauga (DEP) yra aparatūros ir programinės įrangos technologijų rinkinys, papildomai tikrinantis atmintį ir užtikrinantis, kad sistemoje nepradės veikti kenkėjiškas kodas. Microsoft Windows XP 2 pakeitimų pakete (SP2) ir Microsoft Windows XP Tablet PC Edition 2005 DEP veikia naudojant aparatūrą ir programinę įrangą.

Pagrindinė DEP paskirtis yra saugoti, kad nebūtų apdorotas duomenų puslapių kodas. Paprastai numatytojo netvarkiojo masyvo ir rietuvės kodas yra neapdorojamas. Aparatūros DEP aptinka iš šių vietų vykdomą kodą ir pateikia išimtį, jei bandoma jį apdoroti. Programinės įrangos DEP saugo, kad kenkėjiškas kodas neimtų valdyti Windows išimčių apdorojimo mechanizmo.

ĮŽANGA

Šiame straipsnyje aprašoma Windows XP SP2 ir Microsoft Windows Server 2003 su 1 pakeitimų paketu (SP1) esanti DEP priemonė ir aptariamos šios temos:

D A U G I A U I N F O R M A C I J O S

Aparatūros DEP

Aparatūros DEP visas atminties vietas pažymi kaip neapdorojamas, jei jose nėra aiškiai nurodyto apdorojamo kodo. Egzistuoja grupė atakų, kurios bando įterpti ir vykdyti kodą iš neapdorojamų atminties vietų. DEP apsaugo nuo šių atakų juos nustatydama ir pateikdama išimtį.

Aparatūros DEP veikia taip: tam tikru atributu pažymėdama atmintį, procesoriaus aparatūra nustato, kad tos atminties kodo apdoroti negalima. DEP veikia virtualiosios atminties puslapiuose ir paprastai žymėdama atminties puslapį DEP šiek tiek pakeičia puslapio lentelės įrašą (PTE).

Procesoriaus architektūra lemia, kaip DEP įdiegiama aparatūroje ir kaip DEP žymi virtualiosios atminties puslapį. Tačiau aparatūros DEP palaikantis procesorius gali pateikti išimtį, kai apdorojamas atitinkama atributų kombinacija pažymėto puslapio kodas.

Advanced Micro Devices (AMD) ir Intel nustatytos ir įdiegtos su Windows suderinamos architektūros, kurios taip pat suderinamos su DEP.

Pradedant Windows XP SP2 32 bitų Windows versijose naudojama:
 • Puslapio apdorojimo apsaugos (NX) procesoriaus priemonė, kaip nustatyta AMD.
 • Execute Disable Bit (XD) priemonė, kaip nustatyta Intel.
Jei norite naudoti šias procesoriaus priemones, procesorius turi veikti fizinio adreso plėtinio (PAE) režimu. Tačiau Windows automatiškai įjungiamas PAE režimas, kad būtų palaikoma DEP. Vartotojams nereikia specialiai įjungti PAE naudojant /PAE įkrovos perjungtuvą.

Pastaba 64 bitų branduoliai atpažįsta adreso langų plėtinius (AWE), todėl 64 bitų Windows versijose nėra atskiro PAE branduolio.
Jei norite gauti papildomos informacijos apie Windows Server 2003 PAE ir AWE, spustelėkite šį straipsnio numerį ir peržiūrėkite Microsoft žinių bazėje esantį straipsnį:

283037 Windows Server 2003 ir Windows 2000 palaiko didelę atmintį (Šis saitas gali nurodyti turinį, kuris visiškai arba iš dalies yra anglų kalba)
į viršų

Programinės įrangos DEP

Į Windows XP SP2 įtrauktas papildomas duomenų apdorojimo apsaugos rinkinys. Tikrinimų, vadinamų programinės įrangos DEP, tikslas yra blokuoti kenkėjišką kodą, kuris ima valdyti Windows išimčių apdorojimo mechanizmus. Programinės įrangos DEP veikia bet kuriame procesoriuje, kuriame galima vykdyti Windows XP SP2. Iš anksto numatyta, kad programinės įrangos DEP apsaugo ne visus sistemos dvejetainius, nesvarbu, koks aparatūros DEP procesoriaus galingumas.

į viršų

Pranašumai

Pagrindinė DEP paskirtis yra saugoti, kad nebūtų apdorojami duomenų puslapių, pvz., įvairių rietuvių puslapių bei atminties telkinio puslapių, kodai. Paprastai numatytojo netvarkiojo masyvo ir rietuvės kodas yra neapdorojamas. Aparatūros DEP aptinka iš šių vietų vykdomą kodą ir pateikia išimtį, jei bandoma jį apdoroti. Jei išimtis neapdorojama, procesas sustabdomas. Apdorojant saugomos atminties kodą branduolio režimu, įvyksta stabdymo klaida.

DEP blokuoja nemažai saugos pažeidimų. Paprastai DEP blokuoja kenkėjišką virusą turinčią programą arba kitokį bandymą atakuoti, kai pradedamas procesas naudojant papildomą kodą, kurį vėliau bandoma vykdyti. DEP turinčioje sistemoje mėginant naudoti vykdomą kodą pateikiama išimtis. Programinės įrangos DEP padeda blokuoti programas, mėginančias valdyti Windows išimčių apdorojimo mechanizmus.


į viršų

DEP konfigūravimas visoje sistemoje

DEP konfigūravimas sistemoje kontroliuojamas Boot.ini rinkmenoje esančių perjungtuvų. Jei užsiregistravote kaip administratorius, DEP nesunkiai sukonfigūruosite naudodami valdymo skyde esantį dialogo langą Sistema.

Windows palaiko keturias visos sistemos konfigūracijas, susijusias su aparatūros ir programinės įrangos DEP.
KonfigūracijaAprašas
OptInTai numatytosios konfigūracijos parametras. Iš anksto numatyta, kad jei sistemos procesorius gali vykdyti aparatūros DEP, DEP įjungiama tam tikriems dvejetainiams ir programoms, kurios „užsisakomos“. Su šia parinktimi DEP, kaip numatyta, vykdoma tik Windows sistemos dvejetainiams.
OptOutKaip iš anksto numatyta, DEP įjungiama atliekant visus procesus. Naudodami valdymo skyde esantį dialogo langą Sistema galite neautomatiniu būdu sudaryti programų, kurioms netaikoma DEP, sąrašą. Norėdami „atsisakyti“ vienos ar kelių DEP apsaugos programų, informacinių technologijų (IT) profesionalai gali naudoti taikomųjų programų suderinamumo įrankių rinkinį. Sistemos suderinamumas taisomas arba koreguojamas, nes veikia DEP.
AlwaysOnŠis parametras nustato, kad DEP veiks visoje sistemoje. Visiems procesams bus taikoma DEP. Išimčių sąrašas su išvardytomis programomis, kurioms netaikoma DEP apsauga, nepateikiamas. Sistemos suderinamumo DEP taisymai neveikia. DEP bus taikoma programoms, kurių atsisakyta naudojant taikomųjų programų suderinamumo įrankių rinkinį.
AlwaysOffŠis parametras nustato, kad DEP neveiks visoje sistemoje, neatsižvelgiant į aparatūros DEP palaikymą. Procesorius neveiks PAE režimu, jei Boot.ini rinkmenoje nebus parinkties /PAE.
Aparatūros ir programinės įrangos DEP konfigūruojamos panašiai. Jei visai sistemai taikoma DEP nustatyta kaip OptIn, tuos pačius Windows branduolio dvejetainius ir programas saugos aparatūros ir programinės įrangos DEP. Jei sistemoje negalima naudoti aparatūros DEP, Windows branduolio dvejetainius ir programas saugos tik programinės įrangos DEP.

Jei visai sistemai taikoma DEP nustatyta kaip OptOut, programų, kurioms netaikoma DEP apsauga, nesaugos nei aparatūros, nei programinės įrangos DEP.

Boot.ini rinkmenos parametrai:
/noexecute=policy_level
Pastaba policy_level nustatytas kaip AlwaysOn, AlwaysOff, OptIn arba OptOut.

Įdiegus Windows XP SP2 Boot.ini rinkmenos /noexecute parametrai nepasikeis. Šie parametrai nebus keičiami, jei Windows operacinės sistemos vaizdas bus perkeliamas iš kompiuterio į kompiuterį su aparatūros DEP palaikymu ar be jo.

Iš anksto numatyta, kad diegiant Windows XP SP2 ir Windows Server 2003 SP1 arba vėlesnes versijas, įjungiamas OptIn strategijos lygis, nebent būtų nurodytas kitas strategijos lygis, jei diegiama neprižiūrint. Jei DEP palaikančioje Windows Boot.ini rinkmenoje nėra parametro /noexecute=policy_level, sistema veiks taip, tarsi būtų įtrauktas parametras /noexecute=OptIn.

Jei užsiregistravote kaip administratorius, naudodami skirtuką Duomenų apdorojimo apsauga, esantį srityje Sistemos ypatybės, galite neautomatiniu būdu konfigūruoti, kad iš OptIn strategijos DEP būtų perjungiama į OptOut strategiją. Veiksmai, kuriuos reikia atlikti, norint neautomatiniu būdu kompiuteryje konfigūruoti DEP:
 1. Spustelėkite Pradėti, spustelėkite Vykdyti, įrašykite sysdm.cpl, tada spustelėkite Gerai.
 2. Skirtuke Išsamiau, esančiame srityje Vykdymas, spustelėkite Parametrai.
 3. Skirtuke Duomenų apdorojimo apsauga atlikite vieną iš šių procedūrų:
  • Spustelėkite DEP įjungti tik pagrindinėms Windows programoms ir paslaugoms, jei norite nustatyti OptIn strategiją.
  • Spustelėkite DEP įjungti visoms programoms ir paslaugoms, išskyrus pažymėtas, jei norite nustatyti OptOut strategiją, tada spustelėkite Pridėti, kad galėtumėte pridėti programas, kurioms nenorite taikyti DEP priemonės.
 4. Du kartus spustelėkite Gerai.
IT profesionalai įvairiais būdais gali valdyti visai sistemai taikomos DEP konfigūraciją. Boot.ini rinkmeną galima modifikuoti taikant tiesioginio šifravimo mechanizmus arba naudojant į Windows XP SP2 įtrauktą Bootcfg.exe įrankį.

Jei norite konfigūruoti DEP, kad būtų įjungta AlwaysOn strategija naudojant rinkmeną Boot.ini, atlikite šiuos veiksmus:
 1. Spustelėkite Pradėti, dešiniuoju pelės mygtuku spustelėkite Mano kompiuteris, tada – Ypatybės.
 2. Spustelėkite skirtuką Papildoma, tada spustelėkite Parametrai, esantį lauke Paleidimas ir atkūrimas.
 3. Lauke Sistemos paleidimas spustelėkite Redaguoti. Rinkmena Boot.ini atidaroma Užrašinėje.
 4. Užrašinės meniu Redaguoti spustelėkite Rasti.
 5. Lauke Rasti įveskite /noexecute, tada spustelėkite Rasti kitą.
 6. Dialogo lange Rasti spustelėkite Atšaukti.
 7. policy_level pakeiskite į AlwaysOn.

  ĮSPĖJIMAS Patikrinkite, ar teisingai įvedėte tekstą. Rinkmenos Boot.ini perjungtuve dabar turi būti toks įrašas:
  /noexecute=AlwaysOn
 8. Užrašinės meniu Rinkmena spustelėkite Įrašyti.
 9. Du kartus spustelėkite Gerai.
 10. Paleiskite kompiuterį iš naujo.
Diegdami Windows XP SP2 arba vėlesnes versijas, kurioms nereikalinga priežiūra, naudodami Unattend.txt rinkmeną galite iš anksto vykdyti konkrečią DEP konfigūraciją. Galite naudoti OSLoadOptionsVar įrašą, esantį Unattend.txt rinkmenos srityje [Data], jei norite nustatyti visos sistemos DEP konfigūraciją.

į viršų

Kiekvienos programos DEP konfigūracija

Norint užtikrinti programų suderinamumą, galima pasirinktinai nustatyti, kad DEP nebūtų taikoma atskiroms 32 bitų programoms, kai nustatytas DEP OptOut strategijos lygis. Jei norite tai atlikti, naudokite skirtuką Duomenų apdorojimo apsauga, esantį srityje Sistemos ypatybės, ir pasirinkite programas, kurioms netaikomas DEP. Į Windows XP SP2 įtrauktas naujas IT profesionalams skirtas programų suderinamumo taisymas, pavadintas DisableNX. DisableNX suderinamumo taisymas išjungia programos, kuriai taikomas taisymas, duomenų apdorojimo apsaugą.

Jei programai norite taikyti DisableNX suderinamumo taisymą, galite naudoti programų suderinamumo įrankių rinkinį. Daugiau informacijos apie Windows programos suderinamumą ieškokite Windows programų suderinamumas, kurį rasite Microsoft svetainėje, adresu:į viršų
Jei norite gauti daugiau informacijos, spustelėkite toliau esančio straipsnio numerį ir peržiūrėkite Microsoft žinių bazėje esantį straipsnį:

912923 Kaip nustatyti, ar kompiuteryje yra sukonfigūruota aparatūros DEP (Šis saitas gali nurodyti turinį, kuris visiškai arba iš dalies yra anglų kalba)

N U O R O D O S

Jei norite gauti daugiau informacijos, spustelėkite toliau esančio straipsnio numerį ir peržiūrėkite Microsoft žinių bazės straipsnį:

899298 Žinyno tema „Duomenų apdorojimo apsaugos suvokimas“ nurodo neteisingą Windows Server 2003 1 pakeitimų paketo numatytąjį DEP parametrą (Šis saitas gali nurodyti turinį, kuris visiškai arba iš dalies yra anglų kalba)
Savybės

Straipsnio ID: 875352 – Paskutinė peržiūra: 2008-04-29 – Peržiūra: 1

Atsiliepimai