Momentan sunteți offline, așteptați să vă reconectați la internet

Descrierea detaliată a caracteristicii Împiedicare executare date (Data Execution Prevention - DEP) din Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 şi Windows Server 2003

Asistența pentru Windows XP s-a încheiat

Microsoft a încheiat asistența pentru Windows XP la data de 8 aprilie 2014. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

Asistența pentru Windows Server 2003 s-a încheiat la 14 iulie 2015

Microsoft a încheiat asistența pentru Windows Server 2003 14 iulie 2015. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

REZUMAT
Împiedicare executare date (DEP-Data Execution Prevention) este un set de tehnologii hardware şi software care efectuează verificări suplimentare de memorie pentru a asigura prevenirea executării codului rău intenţionat într-un sistem. În Microsoft Windows XP Service Pack 2 (SP2) şi în Microsoft Windows XP Tablet PC Edition 2005, DEP este activat de hardware şi de software.

Principalul avantaj al DEP este asigurarea prevenirii executării de cod din paginile de date. În mod obişnuit, codul nu se execută din zona de lucru implicită sau din stivă. DEP activat de hardware detectează codul care se execută din aceste zone şi ridică o excepţie când are loc execuţia. DEP activat de software poate asigura împiedicarea codului rău intenţionat să beneficieze de mecanismele de tratare a excepţiilor din Windows.
INTRODUCERE
Acest articol descrie caracteristica DEP din Windows XP SP2 şi din Microsoft Windows Server 2003 cu Service Pack 1 (SP1) şi tratează următoarele subiecte:
INFORMAŢII SUPLIMENTARE

DEP activat de hardware

DEP activat de hardware marchează toate zonele de memorie dintr-un proces ca non-executabile cu excepţia zonei care conţine explicit cod executabil. Există o clasă de atacuri care încearcă să insereze şi să execute cod din zone de memorie non-executabile. DEP ajută la împiedicarea acestor atacuri interceptându-le şi ridicând o excepţie.

DEP activat de hardware se bazează pe procesor pentru a marca memoria cu un atribut care precizează că nu trebuie executat cod din acea memorie. DEP funcţionează pe baza paginilor de memorie virtuală şi modifică de regulă un bit din intrarea tabel a paginii (PTE) pentru a marca pagina de memorie.

Arhitectura procesorului stabileşte modul în care suportul DEP este implementat din hardware şi modul în care marchează pagina de memorie virtuală. Însă procesoarele care acceptă DEP activat de hardware pot ridica o excepţie atunci când codul este executat dintr-o pagină marcată cu setul de atribute adecvat.

AMD (Advanced Micro Devices) şi Intel au definit şi livrat arhitecturi compatibile cu Windows şi cu DEP.

Începând cu Windows XP SP2, versiunea Windows pe 32 biţi utilizează una dintre următoarele:
  • Caracteristica procesorului protecţie pagină prin ne-executare (NX) definită de AMD.
  • Caracteristica executare bit dezactivat (XD) definită de Intel.
Pentru a utiliza aceste caracteristici ale procesorului, execuţia procesorului trebuie să facă în modul extensie adresă fizică PAE (Physical Address Extension). Windows va activa automat modul extensie adresă fizică pentru a accepta DEP. Utilizatorii nu trebuie să activeze separat extensia adresei fizice cu ajutorul parametrului de pornire /PAE.

Notă Întrucât nucleele pe 64 biţi sunt receptive la extensiile de adresă AWE (Address Windowing Extension), nu există un nucleu separat extensie adresă fizică PAE (Physical Address Extension) în versiunile Windows pe 64 biţi.
Pentru informaţii suplimentare privind PAE şi AWE în Windows Server 2003, faceţi clic pe următorul număr de articol pentru a vedea articolul din Baza de cunoştinţe Microsoft:
283037 Suportul pentru memorie de mari dimensiuni este disponibil în Windows Server 2003 şi Windows 2000 (articolul poate să fie în limba engleză)
sus

DEP activat de software

Un set suplimentar de verificare a securităţii de tip împiedicare executare date a fost adăugat în Windows XP SP2. Aceste verificări, cunoscute ca DEP activat de software, sunt destinate blocării codului rău intenţionat care beneficiază de mecanismele de tratare a excepţiilor din Windows. DEP activat de software se execută pe orice procesor care poate executa Windows XP SP2. În mod implicit, DEP activat de software asigură numai protejarea codului binar limitat al sistemului, indiferent de capacităţile DEP activate de hardware ale procesorului.

sus

Avantaje

Principalul avantaj al caracteristicii DEP este prevenirea executării de cod din paginile de date, cum ar fi pagini din zona de lucru implicită, diferite pagini de stivă şi pagini memorie de rezervă. În mod obişnuit, codul nu se execută din zona de lucru implicită sau din stivă. DEP activat de hardware detectează codul care se execută din aceste zone şi ridică o excepţie când are loc execuţia. Dacă excepţia nu este tratată, procesul se va opri. Executarea codului din memoria protejată în mod nucleu are ca rezultat o eroare Stop.

DEP poate asigura blocarea unei clase de atacuri la nivelul securităţii. Mai precis, DEP poate asigura blocarea unui program rău intenţionat în care un virus sau alt tip de atac a infiltrat un proces cu cod adiţional, apoi încearcă să execute codul infiltrat. Pe un sistem cu DEP, executarea codului infiltrat are ca rezultat o excepţie. DEP activat de software poate asigura blocarea programelor care beneficiază de mecanismele de tratare a excepţiilor din Windows.

sus

Configurarea DEP la nivel de sistem

Configurarea Împiedicare executare date (DEP) a sistemului este controlată de parametrii din fişierul Boot.ini. Dacă sunteţi conectat ca administrator, este simplu să configuraţi setările DEP cu ajutorul casetei de dialog Sistem din Panoul de control.

Windows are suport pentru patru configuraţii la nivel de sistem atât pentru DEP activat de hardware cât şi pentru DEP activat de software.
ConfiguraţieDescriere
OptInAceastă setare este configuraţia implicită. În sistemele cu procesoare care pot implementa DEP activat de hardware, DEP este activat implicit pentru codurile binare limitate ale sistemului şi programele pentru care s-a optat („opt-in”). Cu această opţiune, numai fişierele binare de sistem Windows sunt avute în vedere implicit de DEP.
OptOutDEP este activat implicit pentru toate procesele. Aveţi posibilitatea să produceţi manual o listă de programe la care nu se aplică DEP, cu ajutorul casetei de dialog Sistem din Panoul de control. Specialiştii în tehnologia informaţiei (TI) pot utiliza Application Compatibility Toolkit pentru a scoate („opt-out”) unul sau mai multe programe de sub protecţia DEP. Corecţiile sau completările de compatibilitate ale sistemului pentru DEP au efect.
AlwaysOnAceastă setare extinde DEP la întregul sistem. Toate procesele se execută întotdeauna cu aplicarea DEP. Lista de excepţii prin care se exclud unele programe de sub protecţia DEP nu este disponibilă. Corecţiile de compatibilitate ale sistemului pentru Împiedicare executare date nu au efect. Programele care au fost excluse utilizând Application Compatibility Toolkit, se execută cu aplicarea DEP.
AlwaysOffAceastă setare nu furnizează nici un fel de acoperire DEP pentru vreo parte a sistemului, indiferent de suportul hardware pentru DEP. Procesorul nu se execută în mod extensie adresă fizică dacă opţiunea /PAE nu este prezentă în fişierul Boot.ini.
DEP activat de hardware şi de software se configurează în acelaşi fel. Dacă politica DEP la nivel de sistem este setată la OptIn, aceleaşi fişiere binare de sistem şi aceleaşi programe ale nucleului Windows vor fi protejate atât de DEP activat de hardware, cât şi de DEP activat de software. Dacă sistemul nu poate utiliza DEP activat de hardware, codurile binare ale sistemului şi programele nucleului Windows vor fi protejate numai de DEP activat de software.

În mod asemănător, dacă politica DEP la nivel de sistem este setată la OptOut, programele care au fost exceptate pe la protecţia DEP vor fi exceptate atât de la DEP activat de hardware, cât şi de la DEP activat de software.

Setările din fişierul Boot.ini sunt următoarele:
/noexecute=policy_level
Notă policy_level este definit ca AlwaysOn, AlwaysOff, OptIn sau OptOut.

Setările existente /noexecute din fişierul Boot.ini nu se modifică atunci când este instalat Windows XP SP2. Aceste setări nu se modifică nici dacă imaginea unui sistem de operare Windows se mută pe computere cu sau fără suport DEP impus de hardware.

În timpul instalării Windows XP SP2 şi Windows Server 2003 SP1 sau a versiunilor ulterioare, nivelul de politică OptIn este activat implicit cu excepţia cazului în care este specificat un alt nivel de politică într-o instalare nesupravegheată. Dacă setarea /noexecute=policy_level nu este prezentă în fişierul Boot.ini pentru o versiune de Windows cu suport DEP, comportamentul este acelaşi ca în cazul setării /noexecute=OptIn.

Dacă sunteţi conectat ca administrator, configuraţi manual DEP pentru a comuta între politicile OptIn şi OptOut cu ajutorul filei Împiedicare executare date din caseta de dialog Proprietăţi sistem. Următoarea procedură descrie cum se configurează manual DEP pe computer:
  1. Faceţi clic pe Start, faceţi clic pe Executare, tastaţi sysdm.cpl, apoi faceţi clic pe OK.
  2. Faceţi clic pe fila Complex, apoi sub Performanţă, faceţi clic pe Setări.
  3. În fila Împiedicare executare date, utilizaţi una dintre procedurile:
    • Faceţi clic pe Se activează DEP numai pentru programele şi serviciile esenţiale Windows pentru a selecta politica OptIn.
    • Faceţi clic pe Se activează DEP pentru toate programele şi serviciile, cu excepţia celor selectate pentru a selecta politica OptOut, apoi faceţi clic pe Adăugare pentru a adăuga programele care nu doriţi să utilizeze caracteristica DEP.
  4. Faceţi clic pe OK de două ori.
Specialiştii TI pot controla configurarea DEP la nivel de sistem utilizând o diversitate de metode. Fişierul Boot.ini poate fi modificat direct cu mecanisme de script sau cu instrumentul Bootcfg.exe inclus în Windows XP SP2.

Pentru a configura DEP să comute la politica AlwaysOn utilizând fişierul Boot.ini, urmaţi aceşti paşi:
  1. Faceţi clic pe Start, faceţi clic cu butonul din dreapta pe Computerul meu, apoi faceţi clic pe Proprietăţi.
  2. Faceţi clic pe fila Complex, apoi pe Setări de sub câmpul Pornire şi recuperare.
  3. În câmpul Pornire sistem faceţi clic pe Editare. Fişierul Boot.ini se deschide în Notepad.
  4. În Notepad, faceţi clic pe Căutare din meniul Editare.
  5. În caseta De găsit, tastaţi /noexecute, apoi faceţi clic pe Următorul găsit.
  6. În caseta de dialog Căutare, faceţi clic pe Revocare.
  7. Înlocuiţi nivel_politică cu AlwaysOn.

    AVERTIZARE Asiguraţi-vă că introduceţi textul corect. Parametrul fişierului Boot.ini se citeşte acum:
    /noexecute=AlwaysOn
  8. În Notepad, faceţi clic pe Salvare din meniul Fişier.
  9. Faceţi clic pe OK de două ori.
  10. Reporniţi computerul.
Pentru instalările nesupravegheate de Windows XP SP2 sau versiuni mai recente, se poate utiliza fişierul Unattend.txt pentru a completa anticipat o configuraţie specifică DEP. Se poate utiliza intrarea OSLoadOptionsVar din secţiunea [Data] a fişierului Unattend.txt pentru a preciza o configuraţie DEP la nivel de sistem.

sus

Configurarea DEP pe program

În scopul compatibilităţii programelor, DEP se poate dezactiva selectiv pentru programe individuale pe 32 biţi, când DEP este setat la nivelul de politică OptOut. Pentru aceasta, utilizaţi fila Împiedicare executare date din Proprietăţi sistem pentru a dezactiva selectiv suportul DEP pentru un program. Pentru specialiştii TI, o remediere nouă de compatibilitate a programelor, denumită DisableNX este inclusă în Windows XP SP2. Remedierea de compatibilitate DisableNX dezactivează Împiedicare executare date pentru programul la care se aplică.

Remedierea de compatibilitate DisableNX se poate aplica unui program cu ajutorul Application Compatibility Toolkit. Pentru mai multe informaţii despre compatibilitatea aplicaţiilor Windows, consultaţi Compatibilitatea aplicaţiilor Windows din situl Web Microsoft:sus
Pentru informaţii suplimentare, faceţi clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoştinţe Microsoft:
912923 Cum se stabileşte ce hardware DEP este disponibil şi configurat pe computer (articolul poate să fie în limba engleză)
REFERINŢE
Pentru informaţii suplimentare, faceţi clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoştinţe Microsoft:
899298 Subiectul de Ajutor „Understanding Data Execution Prevention” descrie în mod incorect setarea implicită pentru DEP în Windows Server 2003 Service Pack 1 (articolul poate să fie în limba engleză)
Proprietăți

ID articol: 875352 - Ultima examinare: 11/23/2006 13:32:00 - Revizie: 14.1

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Professional Service Pack 2 (SP2), Microsoft Windows XP Home Edition Service Pack 2 (SP2), Microsoft Windows XP Media Center Edition Service Pack 2 (SP2), Microsoft Windows XP Tablet PC Edition 2005

  • kbinfo kbtshoot KB875352
Feedback