Een gedetailleerde beschrijving van de functie Preventie van gegevensuitvoering (DEP) in Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 en Windows Server 2003

Samenvatting

Preventie van gegevensuitvoering (DEP) is een verzameling hardware- en softwaretechnologieën waarmee aanvullende controles op het geheugen om te voorkomen dat schadelijke code wordt uitgevoerd op een systeem worden uitgevoerd. In Microsoft Windows XP Service Pack 2 (SP2) en Microsoft Windows XP Tablet PC Edition 2005 wordt DEP door hardware en software afgedwongen.

Het belangrijkste voordeel van DEP is om te voorkomen dat code kan worden uitgevoerd vanaf gegevenspagina's. Doorgaans wordt code niet uitgevoerd vanaf de standaardheap en de stack. Door hardware aangestuurde DEP detecteert de code die wordt uitgevoerd op deze locaties en genereert een uitzondering als uitvoering plaatsvindt. Door software aangestuurde DEP kan helpen voorkomen dat schadelijke code profiteren van mechanismen voor de afhandeling van uitzonderingen in Windows.

INLEIDING

In dit artikel wordt de functie DEP in Windows XP SP2 en Microsoft Windows Server 2003 met Service Pack 1 (SP1) beschreven en wordt beschreven in de volgende onderwerpen:

Meer informatie

Door hardware aangestuurde DEP

Door hardware aangestuurde DEP markeert alle geheugenlocaties in een proces als niet-uitvoerbaar tenzij de locatie expliciet uitvoerbare code bevat. Er bestaat een klasse aanvallen die probeert in te voegen en code uitvoert vanuit niet-uitvoerbare geheugenlocaties. DEP helpt dergelijke aanvallen te voorkomen door ze te onderscheppen en een uitzondering.

Door hardware aangestuurde DEP processorhardware geheugen met een kenmerk dat aangeeft dat code niet vanuit dat geheugen moet worden uitgevoerd wordt gemarkeerd. DEP functioneert op een per-virtuele geheugenpagina en DEP meestal iets verandert in de vermelding in de pagina (PTE) de geheugenpagina markeert.

Processorarchitectuur bepaalt hoe DEP in hardware wordt geïmplementeerd en hoe DEP de virtuele geheugenpagina markeert. Processors die door hardware aangestuurde DEP ondersteunen kunnen echter een uitzondering veroorzaken wanneer code wordt uitgevoerd vanaf een pagina die met de juiste reeks kenmerken is gemarkeerd.

Geavanceerde Micro Devices (AMD) en Intel hebben gedefinieerd en gedistribueerd Windows-compatibele architecturen die compatibel met DEP. zijn

Vanaf Windows XP SP2 is de 32-bits versie van Windows maakt gebruik van een van de volgende opties:
  • De Nee-execute processorfunctie paginabescherming (NX) zoals gedefinieerd door AMD.
  • De functie uitvoeren uitschakelen Bit (XD) zoals gedefinieerd door Intel.
Om deze processorfuncties gebruiken, moet de processor worden uitgevoerd in de modus Physical Address Extension (PAE). Windows schakelt echter automatisch in de PAE-modus voor de ondersteuning van DEP. gebruikers hoeven niet afzonderlijk PAE inschakelen met behulp van de schakeloptie/PAE boot.

Opmerking Omdat 64-bits kernels Address Windowing Extensions (AWE) op de hoogte zijn, is er geen afzonderlijke PAE-kernel in 64-bits versies van Windows.
Voor meer informatie over PAE en AWE in Windows Server 2003, klikt u op het volgende artikel in de Microsoft Knowledge Base:

283037 ondersteuning voor groot geheugen is beschikbaar in Windows Server 2003 en Windows 2000

terug naar boven

Door software aangestuurde DEP

Zijn een aanvullende reeks DEP-beveiligingscontroles toegevoegd aan Windows XP SP2. Deze controles, ook wel door software aangestuurde DEP zijn ontworpen om schadelijke code die van de mechanismen voor de afhandeling van uitzonderingen in Windows gebruikmaakt te blokkeren. Door software aangestuurde DEP wordt uitgevoerd op elke processor die Windows XP SP2 kunt uitvoeren. Standaard beschermt software aangestuurde DEP alleen beperkte binaire systeembestanden, ongeacht de door hardware aangestuurde DEP mogelijkheden van de processor.

terug naar boven

Voordelen

Het belangrijkste voordeel van DEP is dat hiermee voorkomen dat de uitvoering van code vanuit gegevenspagina's, zoals de heap's, verschillende stapel pagina's en pagina's geheugen-pool. Doorgaans wordt code niet uitgevoerd vanaf de standaardheap en de stack. Door hardware aangestuurde DEP detecteert de code die wordt uitgevoerd op deze locaties en genereert een uitzondering als uitvoering plaatsvindt. Als de uitzondering niet afgehandeld wordt, wordt het proces gestopt. Uitvoering van code vanuit beschermd geheugen in de kernelmodus veroorzaakt een Stop-fout.

DEP kan een klasse beveiligingsschendingen blokkeert. DEP kan met name helpen blokkeren een schadelijk programma dat een virus of ander type aanval een proces heeft ingebracht met aanvullende code en vervolgens probeert uit te voeren van de ingevoerde code. Op een systeem met DEP veroorzaakt uitvoering van de ingevoerde code een uitzondering. Door software aangestuurde DEP kan programma's helpen blokkeren die van de mechanismen voor de afhandeling van uitzonderingen in Windows gebruikmaken.


terug naar boven

Systeemconfiguratie van DEP

DEP-configuratie voor het systeem wordt beheerd met de schakelopties in het bestand Boot.ini. Als u bent aangemeld als beheerder, kunt u nu eenvoudig DEP-instellingen configureren met behulp van het dialoogvenster systeem in het Configuratiescherm.

Windows ondersteunt vier systeemconfiguraties voor zowel door hardware als door software aangestuurde DEP.
ConfiguratieBeschrijving
OptInDeze instelling is de standaardconfiguratie. Op systemen met processors die door hardware aangestuurde DEP kunnen implementeren, is DEP standaard ingeschakeld voor beperkte systeembestanden en "opt-in programma's." Met deze optie worden alleen Windows-systeembestanden door DEP gedekt standaard.
OptOutDEP is standaard ingeschakeld voor alle processen. U kunt een lijst van specifieke programma's die u toegepast hebt met behulp van het dialoogvenster systeem in het Configuratiescherm DEP handmatig maken. IT-specialisten (IT) kunnen u de Application Compatibility Toolkit gebruiken om "opt-out" een of meer programma's van DEP-bescherming. Systeemcompatibiliteitscorrecties of shims voor DEP hebben van kracht.
AlwaysOnDeze instelling biedt volledige DEP-dekking voor het hele systeem. Alle processen worden altijd met DEP-dekking uitgevoerd. De lijst met uitzonderingen vrijstelling specifieke programma's van DEP-bescherming is niet beschikbaar. Systeemcompatibiliteitscorrecties voor DEP hebben geen effect. Programma's die zijn zijn gekozen uit met behulp van de Application Compatibility Toolkit worden met DEP-dekking uitgevoerd.
' Always Off 'Deze instelling biedt geen DEP-bescherming voor elk deel van het systeem, ongeacht de hardware-DEP-ondersteuning. De processor wordt niet uitgevoerd in de PAE-modus, tenzij u de optie/PAE in het bestand Boot.ini aanwezig is.
Door hardware als door software aangestuurde DEP worden op dezelfde wijze geconfigureerd. Als het hele systeem DEP is ingesteld op OptIn, worden dezelfde Windows-kernsysteem en programma's beveiligd door zowel door hardware als door software aangestuurde DEP. Als het systeem niet kan door hardware aangestuurde DEP, worden Windows-kernsysteem en programma's beschermd door software aangestuurde DEP.

Op dezelfde manier als het hele systeem DEP is ingesteld op OptOut, programma's die zijn uitgesloten voor DEP-bescherming uitgesloten van zowel door hardware als door software aangestuurde DEP.

De instellingen van het bestand Boot.ini zijn als volgt:
/noexecute=policy_level
Opmerking beleidsniveau is gedefinieerd als AlwaysOn, AlwaysOff, OptIn of OptOut.

Bestaande/noexecute -instellingen in het bestand Boot.ini worden niet gewijzigd wanneer Windows XP SP2 is geïnstalleerd. Deze instellingen worden evenmin gewijzigd als een installatiekopie van een Windows-besturingssysteem wordt verplaatst binnen computers met of zonder door hardware aangestuurde DEP-ondersteuning.

Tijdens de installatie van Windows XP SP2 en Windows Server 2003 SP1 of hoger wordt het beleidsniveau OptIn standaard ingeschakeld, tenzij een ander beleidsniveau is opgegeven in een installatie zonder toezicht. Als de /noexecute/noexecute=beleidsniveau instelling is niet aanwezig in het bestand Boot.ini voor een versie van Windows die DEP ondersteunt, is het gedrag hetzelfde als wanneer de /noexecute/noexecute= OptIn instelling is opgenomen.

Als u bent aangemeld als beheerder, kunt u handmatig DEP om te schakelen tussen het beleid OptIn en OptOut met behulp van het tabblad Data Execution Prevention in configureren
Het dialoogvenster Systeemeigenschappen. De volgende procedure wordt beschreven hoe DEP handmatig configureren op de computer:
  1. Klik op Start, klik op uitvoeren, typ sysdm.cpl, en klik op
    OK.
  2. Op het tabblad Geavanceerd onder
    Prestaties, klikt u op Instellingen.
  3. Op het tabblad Data Execution Prevention , gebruikt u een van de volgende procedures:
    • Klik op DEP voor kritieke Windows-programma's en services alleen inschakelen als u wilt het OptIn-beleid.
    • Klik op DEP voor alle programma's en services, met uitzondering van die ik selecteer inschakelen om het beleid OptOut te selecteren en klik vervolgens op
      Toevoegen aan de programma's die u met de functie DEP niet wilt toevoegen.
  4. Klik tweemaal op OK.
IT-professionals kunnen u DEP-configuratie systeem beheren met behulp van verschillende methoden. Het bestand Boot.ini kan rechtstreeks met scripts of met het hulpprogramma Bootcfg.exe, dat deel uitmaakt van Windows XP SP2 worden gewijzigd.

DEP om over te schakelen naar het beleid AlwaysOn met behulp van het bestand Boot.ini configureren, als volgt te werk:
  1. Klik op Start, klik met de rechtermuisknop op Deze Computeren klik vervolgens op Eigenschappen.
  2. Klik op het tabblad Geavanceerd en klik vervolgens onder het veld opstart- en herstelinstellingen op Instellingen .
  3. Klik op bewerkenin het veld opstarten van het systeem . Het bestand Boot.ini in Kladblok geopend.
  4. Klik op Zoeken in het menu bewerken in Kladblok.
  5. / Noexecutetypt in het vak Zoeken naar en klik vervolgens op Volgende zoeken.
  6. Klik op Annulerenin het dialoogvenster Zoeken .
  7. Beleidsniveau vervangen door AlwaysOn.

    Waarschuwing Zorg ervoor dat u de tekst correct invoert. De schakeloptie in het bestand Boot.ini luidt nu:
    /noexecute=AlwaysOn
  8. Klik in Kladblok op Opslaan in het menu bestand .
  9. Klik tweemaal op OK.
  10. Start de computer opnieuw op.
Voor onbewaakte installaties van Windows XP SP2 of hoger, kunt u het bestand Unattend.txt om vooraf een specifieke DEP-configuratie in te vullen. U kunt de vermelding OSLoadOptionsVar in de sectie [Data] van het bestand Unattend.txt een systeem DEP-configuratie opgeven.

terug naar boven

DEP-configuratie per programma

Voor de toepassing van de programmacompatibiliteit kunt u DEP selectief uitschakelen voor afzonderlijke 32-bits programma's wanneer DEP is ingesteld op het beleidsniveau OptOut. Hiervoor gebruikt u het tabblad Data Execution Prevention in
Systeemeigenschappen om DEP selectief uitschakelen voor een programma. Voor IT-professionals is een nieuw programma compatibiliteitsoplossing met de naam DisableNX opgenomen in Windows XP SP2. De compatibiliteitscorrectie DisableNX wordt DEP uitgeschakeld voor het programma waarop de correctie is toegepast.

De compatibiliteitscorrectie DisableNX kan worden toegepast op een programma met behulp van de Application Compatibility Toolkit. Zie voor meer informatie over Windows-toepassingscompatibiliteit Windows Application Compatibility op de volgende Microsoft-website:terug naar boven
Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

Het 912923 bepalen dat hardware-DEP beschikbaar en geconfigureerd op uw computer is

Referenties

Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

899298 het help-onderwerp 'Wat Data Execution Prevention' wordt ten onrechte gesteld de standaardinstelling voor preventie van Gegevensuitvoering in Windows Server 2003 Service Pack 1

Eigenschappen

Artikel-id: 875352 - Laatst bijgewerkt: 18 feb. 2017 - Revisie: 3

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems

Feedback