Šobrīd esat bezsaistē, tiek gaidīts atkārtots savienojums ar internetu

Detalizēts apraksts par datu izpildes novēršanas līdzekli Windows XP 2. servisa pakotnē, Windows XP Tablet PC Edition 2005 un Windows Server 2003

Atbalsta nodrošināšana operētājsistēmai Windows XP tika pārtraukta

Korporācija Microsoft pārtrauca operētājsistēmas Windows XP atbalsta nodrošināšanu 2014. gada 8.aprīlī. Šīs izmaiņas skāra programmatūras atjauninājumus un drošības opcijas. Uzziniet, kā tas ietekmēs jūs un kā nodrošināt aizsardzību arī turpmāk.

Windows Server 2003 atbalsts beidzās 2015. gada 14. jūlijā

Korporācija Microsoft 2015. gada 14. jūlijā beidz Windows Server 2003 atbalsta nodrošināšanu. Šīs izmaiņas skāra programmatūras atjauninājumus un drošības opcijas. Uzziniet, kā tas ietekmēs jūs un kā nodrošināt aizsardzību arī turpmāk.

KOPSAVILKUMS
Datu izpildes novēršanas (Data Execution Prevention — DEP) līdzeklis ir aparatūras un programmatūras tehnoloģiju komplekts, kas veic atmiņas papildu pārbaudes, lai novērstu ļaunprātīga koda palaišanu sistēmā. Microsoft Windows XP 2. servisa pakotnē (SP2) un sistēmā Microsoft Windows XP Tablet PC Edition 2005 DEP nodrošina gan aparatūra, gan programmatūra.

Primārais DEP uzdevums ir palīdzēt novērst koda izpildi datu lapās. Parasti kods netiek izpildīts no noklusētās sistēmas atmiņas un steka. Aparatūras nodrošinātais DEP nosaka kodu, kas darbojas no šīm vietām, un, kad notiek izpilde, izraisa izņēmumu. Programmatūras nodrošinātais DEP var liegt ļaunprātīgam kodam izmantot sistēmas Windows izņēmumu apstrādes mehānismus.
IEVADS
Šajā rakstā ir aplūkots DEP sistēmā Windows XP SP2 un Microsoft Windows Server 2003 ar 1. servisa pakotni (SP1), kā arī iztirzāti šādi jautājumi:
PAPILDINDORMĀCIJA

Aparatūras nodrošinātais DEP

Aparatūras nodrošinātais DEP atzīmē visas procesa atmiņas vietas kā neizpildāmas, izņemot, ja vieta tieši satur izpildāmu kodu. Pastāv uzbrukumu veids, kad tiek mēģināts ievietot un palaist kodu no neizpildāmām atmiņas vietām. DEP palīdz novērst šos uzbrukumus, pārtverot tos un izraisot izņēmumu.

Aparatūras nodrošinātais DEP nosaka, ka procesora aparatūra atzīmē atmiņu ar atribūtu, kas norāda, ka kodi no šīs atmiņas nav jāizpilda. DEP darbības pamatā ir virtuālās atmiņas lapas, un DEP lapu tabulas ierakstā parasti izmaina bitu, lai atzīmētu atmiņas lapu.

Procesora arhitektūra nosaka, kā DEP jāizvieto aparatūrā un kā jāatzīmē virtuālās atmiņas lapa. Tomēr procesori, kas atbalsta aparatūras nodrošināto DEP, var izraisīt izņēmumu, kad tiek izpildīts kods no lapas, kas ir atzīmēta ar atbilstošo atribūtu kopu.

Uzņēmumi Advanced Micro Devices (AMD) un Intel ir definējuši un piegādājuši ar Windows saderīgas arhitektūras, kas ir saderīgas ar DEP.

Sākot ar Windows XP SP2, sistēmas Windows 32 bitu versija izmanto vienu no šiem līdzekļiem:
 • Procesora lapas aizsardzības pret izpildīšanu (No-execute — NX) līdzekli, ko definējis AMD.
 • Izpildes atspējošanas bitu (Execute Disable Bit — XD) līdzekli, ko definējis Intel.
Lai izmantotu šos procesora līdzekļus, procesoram ir jāstrādā fiziskās adreses paplašinājuma (Physical Address Extension — PAE) režīmā. Sistēma Windows automātiski iespējo PAE režīmu, lai nodrošinātu DEP. Lietotājiem nav atsevišķi jāiespējo PAE režīms, izmantojot sāknēšanas slēdzi /PAE.

Piezīme. Tā kā 64 bitu kodoli ņem vērā adrešu logošanas paplašinājumus (Address Windowing Extensions — AWE), sistēmas Windows 64 bitu versijās nav atsevišķa PAE kodola.
Lai iegūtu papildinformāciju par PAE un AWE sistēmā Windows Server 2003, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu (EN):
283037 Liela atmiņas apjoma atbalsts ir pieejams sistēmā Windows Server 2003 un Windows 2000 (Šī saite var norādīt uz saturu, kurš daļēji vai pilnībā ir angļu valodā)
Uz sākumu

Programmatūras nodrošinātais DEP

Datu izpildes novēršanas komplekta papildu drošības pārbaudes ir pievienotas Windows XP SP2. Šīs pārbaudes, ko dēvē par programmatūras nodrošināto DEP, bloķē ļaunprātīgus kodus, kuri izmanto sistēmas Windows izņēmumu apstrādes mehānismus. Programmatūras nodrošinātais DEP strādā jebkurā procesorā, kas izmanto sistēmu Windows XP SP2. Pēc noklusējuma programmatūras nodrošinātais DEP aizsargā tikai ierobežotus sistēmas bināros komponentus neatkarīgi no procesora aparatūras nodrošinātā DEP iespējām.

Uz sākumu

Uzdevumi

Primārais DEP uzdevums ir novērst koda izpildi datu lapās, piemēram, noklusētajās sistēmas atmiņas lapās, dažādās steku lapās un atmiņas pūlu lapās. Parasti kods netiek izpildīts no noklusētās sistēmas atmiņas un steka. Aparatūras nodrošinātais DEP nosaka kodu, kas darbojas no šīm vietām, un, kad notiek izpilde, izraisa izņēmumu. Ja izņēmums netiek apstrādāts, process tiek apturēts. Koda izpildīšana no aizsargātas atmiņas kodola režīmā izraisa apturēšanas kļūdu.

DEP var palīdzēt bloķēt drošības traucējumu klasi. Precīzāk, DEP var bloķēt ļaunprātīgu programmu, kurā vīruss vai cita veida uzbrukums ir ievietojis procesu ar papildu kodu un pēc tam mēģina ievietoto kodu izpildīt. Sistēmā ar DEP ievietotā koda izpildīšana izraisa izņēmumu. Programmatūras nodrošinātais DEP var palīdzēt bloķēt programmas, kas izmanto sistēmas Windows izņēmumu apstrādes mehānismus.

Uz sākumu

DEP konfigurācija visā sistēmā

Sistēmai paredzētu DEP var konfigurēt, izmantojot slēdžus failā Boot.ini. Ja esat pieteicies kā administrators, varat vienkārši konfigurēt DEP iestatījumus, izmantojot dialoglodziņu Sistēma vadības panelī.

Sistēma Windows nodrošina četras visai sistēmai paredzētas konfigurācijas gan aparatūras, gan programmatūras nodrošinātajam DEP.
KonfigurācijaApraksts
OptInŠis iestatījums ir noklusētā konfigurācija. Sistēmās ar procesoriem, kas var implementēt aparatūras nodrošināto DEP, DEP pēc noklusējuma ir iespējots ierobežotiem sistēmas binārajiem komponentiem un “ienākošām” programmām. Ja ir izvēlēta šī opcija, pēc noklusējuma DEP attiecas tikai uz sistēmas Windows binārajiem komponentiem.
OptOutDEP pēc noklusējuma ir iespējots visiem procesiem. Izmantojot dialoglodziņu Sistēma vadības panelī, varat manuāli izveidot to programmu sarakstu, kurām netiek lietots DEP. Informācijas tehnoloģiju speciālisti var izmantot programmu saderības rīkkopu, lai atceltu DEP aizsardzību vienai vai vairākām programmām. Sistēmas saderības labojumi attiecība uz DEP nedarbojas.
AlwaysOnŠis iestatījums nodrošina pilnīgu DEP darbību visā sistēmā. Visiem procesiem vienmēr tiek lietots DEP. Izņēmumu saraksts, lai atbrīvotu noteiktas programmas no DEP aizsardzības, nav pieejams. Sistēmas saderības labojumi attiecībā uz DEP nedarbojas. Programmām, kuras ir atbrīvotas no aizsardzības, izmantojot programmu saderības rīkkopu, DEP tiek lietots.
AlwaysOffŠis iestatījums pilnībā pārtrauc DEP darbību visās sistēmas daļās neatkarīgi no aparatūras DEP nodrošinājuma. Procesors nedarbojas PAE režīmā, izņemot, ja failā Boot.ini ir opcija /PAE.
Aparatūras un programmatūras nodrošināto DEP konfigurē vienādi. Ja visai sistēmai paredzētās DEP politikas iestatījums ir OptIn, tos pašus sistēmas Windows pamata bināros komponentus un programmas aizsargā gan aparatūras, gan programmatūras nodrošinātais DEP. Ja sistēma nevar izmantot aparatūras nodrošināto DEP, sistēmas Windows pamata bināros komponentus un programmas aizsargā tikai programmatūras nodrošinātais DEP.

Līdzīgi, ja visai sistēmai paredzētās DEP politikas iestatījums ir OptOut, tad programmas, kuras ir atbrīvotas no DEP aizsardzības, tiek atbrīvotas gan no aparatūras, gan programmatūras nodrošinātā DEP.

Faila Boot.ini iestatījumi ir šādi:
/noexecute=politikas_līmenis
Piezīme. Vērību politikas_līmenis definē kā AlwaysOn, AlwaysOff, OptIn vai OptOut.

Esošie /noexecute iestatījumi failā Boot.ini netiek mainīti, instalējot sistēmu Windows XP SP2. Šie iestatījumi netiek mainīti arī tad, ja operētājsistēmas Windows attēls tiek pārvietots no viena datora citā (nav svarīgi, vai dators atbalsta vai neatbalsta aparatūras nodrošināto DEP).

Sistēmas Windows XP SP2 un Windows Server 2003 SP1 vai jaunāku versiju instalēšanas laikā pēc noklusējuma tiek iespējots politikas līmenis OptIn, izņemot, ja neuzraudzītā instalācijā ir norādīts cits politikas līmenis. Ja sistēmas Windows versijas, kas nodrošina DEP, failā Boot.ini nav iestatījuma /noexecute=politikas_līmenis, viss noritēs, it kā būtu iekļauts iestatījums /noexecute=OptIn.

Ja esat pieteicies kā administrators, varat manuāli konfigurēt DEP, lai to pārslēgtu no politikas OptIn uz OptOut un pretēji, izmantojot dialoglodziņa Sistēmas rekvizīti zīmni Data Execution Prevention (Datu izpildes novēršana). Šeit ir izklāstīts, kā manuāli datorā konfigurēt DEP:
 1. Noklikšķiniet uz Sākt, Izpildīt, ierakstiet sysdm.cpl un pēc tam noklikšķiniet uz Labi.
 2. Zīmnes Papildu sadaļā Veiktspēja noklikšķiniet uz Iestatījumi.
 3. Zīmnē Data Execution Prevention (Datu izpildes novēršana) veiciet vienu no šīm darbībām:
  • Noklikšķiniet uz Turn on DEP for essential Windows programs and services only (Ieslēgt DEP tikai nozīmīgākajām Windows programmām un pakalpojumiem), lai atlasītu politiku OptIn.
  • Noklikšķiniet uz Turn on DEP for all programs and services except those I select (Ieslēgt DEP visām programmām un pakalpojumiem, izņemot atlasītos), lai atlasītu politiku OptOut, un pēc tam noklikšķiniet uz Add (Pievienot), lai pievienotu programmas, kurām nevēlaties izmantot DEP.
 4. Divas reizes noklikšķiniet uz Labi.
IT speciālisti var pārvaldīt visai sistēmai paredzēto DEP konfigurāciju, izmantojot dažādas metodes. Failu Boot.ini var modificēt tieši ar skriptošanas mehānismiem vai rīku Bootcfg.exe, kas ir iekļauts Windows XP SP2.

Lai konfigurētu DEP ieslēgt politikas iestatījumu AlwaysOn, izmantojot failu Boot.ini, rīkojieties šādi:
 1. Noklikšķiniet uz Sākt, ar peles labo pogu noklikšķiniet uz Mans dators un noklikšķiniet uz Rekvizīti.
 2. Noklikšķiniet uz zīmnes Papildu un pēc tam laukā Startēšana un atkopšana — uz Iestatījumi.
 3. Laukā Sistēmas startēšana noklikšķiniet uz Rediģēt. Fails Boot.ini tiek atvērts programmā Notepad.
 4. Programmā Notepad izvēlnē Rediģēt noklikšķiniet uz Atrast.
 5. Lodziņā Ko atrast ierakstiet /noexecute un pēc tam noklikšķiniet uz Atrast nākamo.
 6. Dialoglodziņā Atrašana noklikšķiniet uz Atcelt.
 7. Aizstājiet iestatījumu politikas_līmenis ar vērtību AlwaysOn.

  BRĪDINĀJUMS. Pārliecinieties, vai tekstu ievadāt pareizi. Faila Boot.ini slēdzim tagad jābūt šādam:
  /noexecute=AlwaysOn
 8. Programmā Notepad izvēlnē Fails noklikšķiniet uz Saglabāt.
 9. Divas reizes noklikšķiniet uz Labi.
 10. Restartējiet datoru.
Neuzraudzītām Windows XP SP2 vai jaunāku versiju instalācijām var izmantot failu Unattend.txt, lai iepriekš ievadītu noteiktu DEP konfigurāciju. Varat izmantot ierakstu OSLoadOptionsVar faila Unattend.txt sadaļā [Data], lai norādītu visai sistēmai paredzēto DEP konfigurāciju.

Uz sākumu

DEP konfigurācija atsevišķām programmām

Lai nodrošinātu programmu saderību, varat atsevišķi atspējot DEP atsevišķām 32 bitu programmām, ja DEP ir iestatīts politikas līmenis OptOut. Lai to paveiktu, izmantojiet lodziņa Sistēmas rekvizīti zīmni Data Execution Prevention (Datu izpildes novēršana), kur atsevišķām programmām var atspējot DEP. IT speciālistiem Windows XP SP2 ir iekļauts jauns programmu saderības labojums ar nosaukumu DisableNX. Saderības labojums DisableNX atspējo datu izpildes novēršanu tai programmai, kurai labojums tiek lietots.

Saderības labojumu DisableNX programmai var lietot, izmantojot programmu saderības rīkkopu. Lai iegūtu papildinformāciju par sistēmas Windows lietojumprogrammu saderību, skatiet sadaļu Windows Application Compatibility (Windows lietojumprogrammu saderība) Microsoft Web vietā Uz sākumu
Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu (EN):
912923 Kā noteikt, vai datorā ir pieejams un konfigurēts aparatūras nodrošinātais DEP (Šī saite var norādīt uz saturu, kurš daļēji vai pilnībā ir angļu valodā)
UZZIŅAS
Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu (EN):
899298 Palīdzības tēmā Understanding Data Execution Prevention (Skaidrojums par datu izpildes novēršanu) ir nepareizi norādīts DEP noklusējuma iestatījums sistēmā Windows Server 2003 ar 1. servisa pakotni (Šī saite var norādīt uz saturu, kurš daļēji vai pilnībā ir angļu valodā)
Rekvizīti

Raksta ID: 875352. Pēdējo reizi pārskatīts: 11/23/2006 13:31:29. Pārskatījums: 14.2

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Professional Service Pack 2 (SP2), Microsoft Windows XP Home Edition Service Pack 2 (SP2), Microsoft Windows XP Media Center Edition Service Pack 2 (SP2), Microsoft Windows XP Tablet PC Edition 2005

 • kbtshoot kbinfo KB875352
Atsauksmes