Определение доступности и настройки аппаратного DEP на компьютере

В этой статье описывается, как определить, что оборудование DEP доступно и настроено на вашем компьютере.

Применимо к: Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер базы знаний: 912923

Введение

Защита от выполнения данных (DEP) — это набор аппаратных и программных технологий, которые выполняют дополнительные проверки памяти для защиты от вредоносных эксплойтов кода.

Аппаратный DEP помечает все расположения памяти в процессе как неисполняемые, если расположение явно не содержит исполняемый код. Тип атак с вредоносным кодом пытается вставить и запустить код из неисполняемых расположений памяти. DEP помогает предотвратить эти атаки, перехватив их и вызвав исключение.

В этой статье описаны требования к использованию аппаратного dep. В этой статье также описывается, как убедиться, что dep оборудования работает в Windows.

Дополнительная информация

Требования для использования аппаратного применения DEP

Чтобы использовать аппаратное применение DEP, необходимо выполнить все следующие условия:

1. Процессор компьютера должен поддерживать аппаратное применение DEP.

   Многие последние процессоры поддерживают аппаратное применение DEP. Как Advanced Micro Devices (AMD), так и Intel Corporation определили и поставляют архитектуры, совместимые с Windows, которые совместимы с DEP. Эта поддержка процессора может называться технологией NX (без выполнения) или XD (отключение выполнения). Чтобы определить, поддерживает ли процессор компьютера аппаратный dep, обратитесь к изготовителю компьютера.

2. В BIOS должен быть включен аппаратный DEP.

   На некоторых компьютерах можно отключить поддержку процессоров для аппаратного применения DEP в BIOS. Эту поддержку нельзя отключить. В зависимости от производителя компьютера параметр для отключения этой поддержки может быть помечен как "Защита от выполнения данных", "XD", "Отключить выполнение" или "NX".

3. На компьютере должна быть установлена Ос Windows XP с пакетом обновления 2 (SP2) или Windows Server 2003 с пакетом обновления 1 (SP1).

   Примечание.

   Как 32-разрядные, так и 64-разрядные версии Windows поддерживают аппаратное применение DEP. Windows XP Media Center Edition 2005 и Microsoft Windows XP Tablet PC Edition 2005 включают все функции и компоненты Windows XP с пакетом обновления 2 (SP2).

4. Для программ на компьютере должен быть включен аппаратный DEP.

   В 64-разрядных версиях Windows аппаратное DEP всегда включено для 64-разрядных собственных программ. Однако в зависимости от конфигурации для 32-разрядных программ может быть отключен аппаратный DEP.

Сведения о настройке защиты памяти в Windows XP с пакетом обновления 2 (SP2) см. на следующем веб-сайте Майкрософт:
https://technet.microsoft.com/library/cc700810.aspx

Как убедиться, что dep оборудования работает в Windows

Чтобы убедиться, что dep оборудования работает в Windows, используйте один из следующих методов.

Способ 1. Использование программы командной Wmic строки

Для проверки параметров DEP можно использовать Wmic программу командной строки. Чтобы определить, доступен ли аппаратный DEP, выполните следующие действия.

1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd в поле Открыть и нажмите кнопку ОК.

2. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

   wmic OS Get DataExecutionPrevention_Available  
   

Если выходные данные имеют значение TRUE, доступно аппаратное dep.

Чтобы определить текущую политику поддержки DEP, выполните следующие действия.

1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd в поле Открыть и нажмите кнопку ОК.

2. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

   wmic OS Get DataExecutionPrevention_SupportPolicy  
   

   Возвращаемое значение будет равно 0, 1, 2 или 3. Это значение соответствует одной из политик поддержки DEP, описанных в следующей таблице.

   значение свойства DataExecutionPrevention_SupportPolicy	Уровень политики	Описание
   2	OptIn (конфигурация по умолчанию)	DeP применен только к системным компонентам и службам Windows
   3	OptOut	DEP включен для всех процессов. Администраторы могут вручную создать список конкретных приложений, к которым не применено DEP.
   1	Alwayson	DEP включен для всех процессов
   0	AlwaysOff	DEP не включен для каких-либо процессов

   Примечание.

   Чтобы убедиться, что Windows работает с включенным dep оборудования, проверьте свойство DataExecutionPrevention_Drivers класса Win32_OperatingSystem. В некоторых системных конфигурациях аппаратное dep может быть отключено с помощью параметров /nopae или /execute в файле Boot.ini. Чтобы проверить это свойство, введите в командной строке следующую команду:
   wmic OS Get DataExecutionPrevention_Drivers

Метод 2. Использование графического пользовательского интерфейса

Чтобы использовать графический пользовательский интерфейс для определения доступности DEP, выполните следующие действия.

1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите wbemtest в поле Открыть и нажмите кнопку ОК.
2. В диалоговом окне Тестер инструментирования управления Windows нажмите кнопку Подключить.
3. В поле в верхней части диалогового окна Подключение введите root\cimv2 и нажмите кнопку Подключить.
4. Щелкните Перечисление экземпляров.
5. В диалоговом окне Сведения о классе введите Win32_OperatingSystem в поле Введите имя суперкласса и нажмите кнопку ОК.
6. В диалоговом окне Результат запроса дважды щелкните верхний элемент.

   Примечание.

   Этот элемент начинается с "Win32_OperatingSystem.Name=Microsoft..."

7. В диалоговом окне Редактор объектов найдите свойство DataExecutionPrevention_Available в области Свойства .
8. Дважды щелкните DataExecutionPrevention_Available.
9. В диалоговом окне Свойство Редактор запишите значение в поле Значение.
   Если значение равно TRUE, то доступно аппаратное dep.

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких явных, подразумеваемых и прочих гарантий относительно производительности или надежности этих продуктов.