Jak ustalić, że sprzętowy program DEP jest dostępny i skonfigurowany na komputerze

  • Artykuł

W tym artykule opisano sposób określania, czy sprzętowy program DEP jest dostępny i skonfigurowany na komputerze.

Dotyczy: Windows Server 2012 R2, Windows 10 - wszystkie edycje
Oryginalny numer KB: 912923

Wprowadzenie

Ochrona przed wykonywaniem danych (DEP) to zestaw technologii sprzętowych i oprogramowania, które przeprowadzają dodatkowe kontrole pamięci, aby chronić przed złośliwymi lukami w zabezpieczeniach kodu.

Wymuszony sprzętowo program DEP oznacza wszystkie lokalizacje pamięci w procesie jako niewykonalne, chyba że lokalizacja jawnie zawiera kod wykonywalny. Typ złośliwych ataków kodu próbuje wstawić i uruchomić kod z lokalizacji pamięci nie wykonywalnej. Program DEP pomaga zapobiegać tym atakom, przechwytując je i zgłaszając wyjątek.

W tym artykule opisano wymagania dotyczące używania wymuszonego sprzętowo programu DEP. W tym artykule opisano również sposób potwierdzania, że sprzętowy program DEP działa w systemie Windows.

Więcej informacji

Wymagania dotyczące używania wymuszonego sprzętowo programu DEP

Aby korzystać ze sprzętowego programu DEP, należy spełnić wszystkie następujące warunki:

  1. Procesor komputera musi obsługiwać wymuszony sprzętowo program DEP.

    Wiele najnowszych procesorów obsługuje wymuszony sprzętowo program DEP. Zarówno zaawansowane mikro urządzenia (AMD), jak i Intel Corporation zdefiniowały i dostarczyły architektury zgodne z systemem Windows, które są zgodne z programem DEP. Ta obsługa procesora może być znana jako technologia NX (bez wykonywania) lub XD (wyłącz wykonanie). Aby ustalić, czy procesor komputera obsługuje sprzętowy program DEP, skontaktuj się z producentem komputera.

  2. Wymuszony sprzętowo program DEP musi być włączony w systemie BIOS.

    Na niektórych komputerach można wyłączyć obsługę procesora dla wymuszonego sprzętowo programu DEP w systemie BIOS. Tej pomocy technicznej nie można wyłączyć. W zależności od producenta komputera opcja wyłączenia tej obsługi może być oznaczona etykietą "Zapobieganie wykonywaniu danych", "XD", "Wykonaj wyłącz" lub "NX".

  3. Na komputerze musi być zainstalowany system Windows XP z dodatkiem Service Pack 2 lub Windows Server 2003 z zainstalowanym dodatkiem Service Pack 1.

    Uwaga

    Zarówno 32-bitowe wersje, jak i 64-bitowe wersje systemu Windows obsługują wymuszony sprzętowo program DEP. Windows XP Media Center Edition 2005 i Microsoft Windows XP Tablet PC Edition 2005 obejmują wszystkie funkcje i składniki systemu Windows XP z dodatkiem SP2.

  4. Wymuszony sprzętowo program DEP musi być włączony dla programów na komputerze.

    W 64-bitowych wersjach systemu Windows wymuszony sprzętowo program DEP jest zawsze włączony dla 64-bitowych programów natywnych. Jednak w zależności od konfiguracji wymuszony sprzętowo program DEP może zostać wyłączony dla programów 32-bitowych.

Aby uzyskać informacje o sposobie konfigurowania ochrony pamięci w systemie Windows XP z dodatkiem Service Pack 2, odwiedź następującą witrynę sieci Web firmy Microsoft:
https://technet.microsoft.com/library/cc700810.aspx

Jak potwierdzić, że sprzętowy program DEP działa w systemie Windows

Aby potwierdzić, że sprzętowy program DEP działa w systemie Windows, użyj jednej z następujących metod.

Metoda 1. Używanie narzędzia wiersza Wmic polecenia

Za pomocą narzędzia wiersza Wmic polecenia można sprawdzić ustawienia programu DEP. Aby ustalić, czy jest dostępny sprzętowy program DEP, wykonaj następujące kroki:

  1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd w polu Otwórz , a następnie kliknij przycisk OK.

  2. W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:

    wmic OS Get DataExecutionPrevention_Available

Jeśli dane wyjściowe to "TRUE", dostępny jest wymuszony sprzętowo program DEP.

Aby określić bieżące zasady obsługi programu DEP, wykonaj następujące kroki.

  1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd w polu Otwórz , a następnie kliknij przycisk OK.

  2. W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:

    wmic OS Get DataExecutionPrevention_SupportPolicy

    Zwrócona wartość to 0, 1, 2 lub 3. Ta wartość odpowiada jednej z zasad obsługi programu DEP opisanych w poniższej tabeli.

    DataExecutionPrevention_SupportPolicy wartość właściwości Poziom zasad Opis
    2 OptIn (konfiguracja domyślna) Tylko składniki i usługi systemu Windows mają zastosowany program DEP
    3 Optout Program DEP jest włączony dla wszystkich procesów. Administratorzy mogą ręcznie utworzyć listę określonych aplikacji, które nie mają zastosowanego programu DEP
    1 Alwayson Program DEP jest włączony dla wszystkich procesów
    0 Alwaysoff Program DEP nie jest włączony dla żadnych procesów

    Uwaga

    Aby sprawdzić, czy system Windows jest uruchomiony z włączonym sprzętowym programem DEP, sprawdź właściwość DataExecutionPrevention_Drivers klasy Win32_OperatingSystem. W niektórych konfiguracjach systemu sprzętowy program DEP może zostać wyłączony przy użyciu przełączników /nopae lub /execute w pliku Boot.ini. Aby sprawdzić tę właściwość, wpisz następujące polecenie w wierszu polecenia:
    wmic OS Get DataExecutionPrevention_Drivers

Metoda 2. Korzystanie z graficznego interfejsu użytkownika

Aby użyć graficznego interfejsu użytkownika do określenia, czy program DEP jest dostępny, wykonaj następujące kroki:

  1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz wbemtest w polu Otwórz , a następnie kliknij przycisk OK.
  2. W oknie dialogowym Tester instrumentacji zarządzania windows kliknij przycisk Połącz.
  3. W polu w górnej części okna dialogowego Łączenie wpisz root\cimv2, a następnie kliknij przycisk Połącz.
  4. Kliknij pozycję Wystąpienia wyliczenia.
  5. W oknie dialogowym Informacje o klasie wpisz Win32_OperatingSystem w polu Wprowadź nazwę superklasy , a następnie kliknij przycisk OK.
  6. W oknie dialogowym Wynik zapytania kliknij dwukrotnie górny element.

    Uwaga

    Ten element zaczyna się od "Win32_OperatingSystem.Name=Microsoft..."

  7. W oknie dialogowym Edytor obiektów znajdź właściwość DataExecutionPrevention_Available w obszarze Właściwości .
  8. Kliknij dwukrotnie DataExecutionPrevention_Available.
  9. W oknie dialogowym Redaktor właściwości zanotuj wartość w polu Wartość.
    Jeśli wartość ma wartość TRUE, sprzętowa funkcja DEP jest dostępna.

Uwaga

  • Aby określić tryb, w którym działa program DEP, sprawdź właściwość DataExecutionPrevention_SupportPolicy klasy Win32_OperatingSystem. W tabeli na końcu metody 1 opisano każdą wartość zasad obsługi.

  • Aby sprawdzić, czy sprzętowy program DEP jest włączony w systemie Windows, sprawdź właściwość DataExecutionPrevention_Drivers klasy Win32_OperatingSystem. W niektórych konfiguracjach systemu sprzętowy program DEP może zostać wyłączony przy użyciu przełączników /nopae lub /execute w pliku Boot.ini.

Produkty innych firm omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie daje żadnych gwarancji, dorozumianych ani żadnego innego rodzaju, dotyczących wydajności lub niezawodności tych produktów.