Podroben opis funkcije preprečevanja izvajanja podatkov (DEP) v operacijskih sistemih Windows XP s servisnim paketom SP2, Windows XP Tablet PC Edition 2005 in Windows Server 2003

P O V Z E T E K

Preprečevanje izvajanja podatkov (DEP) je nabor strojnih in programskih tehnologij, ki izvajajo dodatna preverjanja pomnilnika, s čimer preprečujejo, da bi se v sistemu izvajala škodljiva koda. V operacijskih sistemih Microsoft Windows XP s servisnim paketom SP2 in Microsoft Windows XP Tablet PC Edition 2005 funkcijo DEP vsili strojna in programska oprema.

Osnovna prednost funkcije DEP je pomoč pri preprečevanju izvajanja kode s podatkovnih strani. Po navadi se koda ne izvaja s privzete kopice in s sklada. Strojno vsiljen DEP zazna kodo, ki se izvaja s teh mest, in javi izjemo, ko se izvajanje začne. Programsko vsiljen DEP pomaga preprečevati, da bi škodljiva koda izkoristila mehanizme obravnavanja izjem v operacijskem sistemu Windows.

UVOD

V članku je opisana funkcija preprečevanja izvajanja podatkov (DEP) v operacijskih sistemih Windows XP s servisnim paketom SP2 in Microsoft Windows Server 2003 s servisnim paketom SP1. V njem so opisane naslednje teme:

D O D A T N E I N F O R M A C I J E

Strojno vsiljen DEP

Strojno vsiljen DEP v postopku označi vsa mesta v pomnilniku kot neizvedljive, razen če mesto izrecno vsebuje izvedljivo kodo. Obstaja vrsta napadov, ki poizkuša vstaviti in zagnati kodo z neizvedljivih mest pomnilnika. DEP pomaga preprečevati te napade tako, da jih prestreže in javi izjemo.

Strojno vsiljen DEP se zanaša na strojno opremo procesorja, da označi pomnilnik z atributom, ki označuje, da se iz tega pomnilnika koda ne sme izvajati. DEP deluje na podlagi navideznih pomnilniških strani. Pomnilniško stran označi tako, da spremeni en bit v vnosu v tabelo strani (PTE).

Arhitektura procesorja določa, kako računalnik uvede DEP v strojno opremo in kako DEP označuje navidezne pomnilniške strani. Procesorji, ki podpirajo strojno vsiljen DEP, pa lahko javijo izjemo, ko se koda izvaja s strani, ki je označena s primernim naborom atributov.

Advanced Micro Devices (AMD) in Intel sta izdelala in začela dobavljati z operacijskim sistemom Windows združljive arhitekture, ki so združljive z DEP-om.

Z operacijskim sistemom Windows XP s servisnim paketom SP2 so 32-bitne različice sistema Windows začele uporabljati eno od naslednjih funkcij:
 • Funkcijo procesorja »no-execute page-protection (NX)« podjetja AMD.
 • Funkcijo »Execute Disable Bit (XD)« podjetja Intel.
Če želite uporabljati te funkcije procesorja, mora procesor delovati v načinu pripone fizičnega naslova, vendar pa sistem Windows samodejno omogoči način pripone fizičnega naslova, s čimer podpira DEP. Uporabniku tako ni treba posebej omogočiti načina pripone fizičnega naslova z zagonskim stikalom /PAE.

Opomba Ker 64-bitna jedra upoštevajo način »Address Windowing Extensions« (AWE), v 64-bitnih različicah operacijskega sistema Windows ni ločenega jedra pripone fizičnega naslova.
Če želite več informacij o načinih pripone fizičnega naslova in AWE v operacijskem sistemu Windows Server 2003, kliknite naslednjo številko članka iz Microsoftove zbirke znanja:

283037 Podpora za velike pomnilnike je na voljo v operacijskih sistemih Windows Server 2003 in Windows 2000

nazaj na vrh

Programsko vsiljen DEP

V operacijskem sistemu Windows XP s servisnim paketom SP2 je dodaten nabor varnostnih preverjanj za preprečevanje izvajanja podatkov. Ta preverjanja, imenovana programsko vsiljen DEP, blokirajo škodljivo kodo, ki izkorišča mehanizme za obravanavnje izjem v operacijskem sistemu Windows. Programsko vsiljen DEP deluje v vseh procesorjih, ki delujejo v operacijskem sistemu Windows XP s servisnim paketom SP2. Programsko vsiljen DEP privzeto ščiti le omejene sistemske skupke kode, ne glede na zmožnosti procesorja za strojno vsiljen DEP.

nazaj na vrh

Prednosti

Osnovna prednost DEP-a je v tem, da preprečuje izvajanje kode s podatkovnih strani, kot so strani privzete kopice, strani raznih skladov in strani zaloge pomnilnika. Po navadi se koda ne izvaja s privzete kopice in s sklada. Strojno vsiljen DEP zazna kodo, ki se izvaja s teh mest, in javi izjemo, ko se izvajanje začne. Če izjema ni obravnavana, se postopek ustavi. Izvajanje kode iz zaščitenega pomnilnika v jedrnem načinu povzroči zaustavitveno napako.

DEP pomaga blokirati vrsto varnostnih vdorov. Natančneje, DEP pomaga blokirati škodljive programe, v katere virus ali kakšna druga vrsta napada vstavi postopek z dodatno kodo, nato pa poskuša izvajati vstavljeno kodo. V sistemu, ki uporablja DEP, izvajanje vstavljene kode povzroči izjemo. Programsko vsiljen DEP pomaga blokirati programe, ki izkoriščajo mehanizme za obravnavanje izjem v operacijskem sistemu Windows.


nazaj na vrh

Konfiguracija funkcije DEP za celoten sistem

Konfiguracijo funkcije DEP za sistem nadzirate s stikali v datoteki Boot.ini. Če ste prijavljeni kot skrbnik sistema, lahko na nadzorni plošči v pogovornem oknu System (Sistem) preprosto konfigurirate nastavitve funkcije DEP.

Windows podpira štiri konfiguracije za celoten sistem, tako za strojno kot tudi za programsko vsiljen DEP.
KonfiguracijaOpis
OptInTa nastavitev je privzeta konfiguracija. V sistemih s procesorji, ki lahko izvajajo strojno vsiljen DEP, je DEP privzeto omogočen za omejene sistemske skupke kode in za programe z možnostjo »OptIn«. S to možnostjo DEP privzeto pokriva le sistemske skupke kode operacijskega sistema Windows.
OptOutDEP je privzeto omogočen za vse postopke. Seznam določenih programov, za katere DEP ni omogočen, lahko ročno ustvarite na nadzorni plošči v pogovornem oknu System (Sistem). Računalniški strokovnjaki lahko s kompletom orodij za združljivost programov (Application Compatibility Toolkit) izključijo DEP za enega ali več programov. Popravki za združljivost sitema za DEP se vseeno upoštevajo.
AlwaysOnS to nastavitvijo DEP pokriva celoten sistem. Pri izvajanju vseh postopkov vedno deluje tudi DEP. Seznam izjem, s katerim se za določene programe izključi zaščita DEP-a, ni na voljo. Popravki za sistemsko združljivost za DEP se ne upoštevajo. Programi, ki jih s kompletom orodij za združljivost programov niste izbrali, delujejo z omogočeno funkcijo DEP.
AlwaysOffS to nastavitvijo DEP ne pokriva nobenega dela sistema, ne glede na strojno podporo DEP-a. Procesor ne teče v načinu pripone fizičnega naslova, razen če je v datoteki Boot.ini stikalo /PAE.
Strojno vsiljen in programsko vsiljen DEP konfigurirate na enak način. Če je pravilnik funkcije DEP za celoten sistem nastavljen na »OptIn«, so tako jedro kot programi operacijskega sistema Windows zaščiteni tako s strojno vsiljenim kot tudi s programsko vsiljenim DEP-om. Če sistem ne more uporabljati strojno vsiljenega DEP-a, bodo jedro in programi zaščiteni le s programsko vsiljenim DEP-om.

Če pa je pravilnik za DEP za celoten sistem nastavljen na »OptOut«, bo za programe, ki so izključeni iz zaščite DEP, izključen tako strojno kot tudi programsko vsiljen DEP.

Nastavitve v datoteki Boot.ini so naslednje:
/noexecute=raven_pravilnika
Opombaraven_pravilnika se določi kot AlwaysOn, AlwaysOff, OptIn ali OptOut.

Z namestitvijo operacijskega sistema Windows XP s servisnim paketom SP2 se obstoječe nastavitve /noexecute v datoteki Boot.ini ne spremenijo. Te nastavitve se prav tako ne spremenijo, če se slika operacijskega sistema Windows prenaša med računalniki, ki imajo oziroma nimajo podpore za strojno vsiljen DEP.

Med namestitvijo operacijskega sistema Windows XP s servisnim paketom SP2 in in Windows Server 2003 s servisnim paketom SP1 ali novejših različic je raven pravilnika »OptIn« privzeto omogočena, razen če je v nespremljani namestitvi določena druga raven pravilnika. Če v datoteki Boot.ini ni nastavitve /noexecute=raven_pravilnika za različico operacijskega sistema Windows, ki podpira DEP, se sistem vede tako, kot da bi bila vnesena nastavitev /noexecute=OptIn.

Če ste prijavljeni kot skrbnik sistema, lahko v oknu System properties (Sistemske lastnosti) na kartici Data Excecution prevention (Preprečevanje izvajanja podatkov) konfiguracijo funkcije DEP ročno preklapljate med pravilnikoma »OptIn« in »OptOut«. Ročna konfiguracija DEP-a v računalniku je opisana v naslednjem postopku:
 1. Kliknite Start, Run (Zaženi), vnesite sysdm.cpl in kliknite OK (V redu).
 2. Na kartici Advanced (Dodatno), v razdelku Performance (Učinkovitost delovanja) kliknite Settings (Nastavitve).
 3. Na kartici Data Execution Prevention (Preprečevanje izvajanja podatkov DEP) uporabite enega od naslednjih postopkov:
  • Če želite izbrati pravilnik »OptIn«, kliknite Turn on DEP for essential Windows programs and services only (Vključi DEP samo za bistvene programe in storitve sistema Windows).
  • Če želite izbrati pravilnik »OptOut«, kliknite Turn on DEP for all programs and services except those I select (Vključi DEP za vse programe in storitve razen tistih, ki jih izberem) in nato Add (Dodaj), če želite dodati programe, za katere ne želite uporabljati funkcije DEP.
 4. Dvakrat kliknite OK (V redu).
Računalniški strokovnjaki lahko nadzirajo konfiguracijo funkcije DEP v celotnem sistemu na več načinov. Datoteko Boot.ini lahko spreminjajo neposredno z mehanizmi za skriptno izvajanje ali z orodjem Bootcfg.exe, ki je vključeno v servisni paket SP2 za Windows XP.

Če želite konfigurirati funkciijo DEP tako, da bo z datoteko Boot.ini preklopila na pravilnik »AlwaysOn«, sledite tem korakom:
 1. Kliknite Start, z desno tipko miške kliknite Moj računalnik in nato kliknite Lastnosti.
 2. Kliknite jeziček Advanced (Dodatno) in nato v polju Startup and Recovery (Zagon in obnovitev) kliknite Settings (Nastavitve).
 3. V polju System startup (Zagon sistema) kliknite Edit (Uredi). Datoteka Boot.ini odpre Beležnico.
 4. V Beležnici v meniju Edit (Urejanje) kliknite Find (Najdi).
 5. V polje Find what (Najdi) vnesite /noexecute in kliknite Find next (Nadaljuj iskanje).
 6. V pogovornem oknu Find (Iskanje) kliknite Cancel (Prekliči).
 7. Zamenjajte raven_pravilnika z AlwaysOn.

  OPOZORILO Prepričajte se, ali ste besedilo vnesli pravilno. Datoteka Boot.ini bi morala sedaj izgledati tako:
  /noexecute=AlwaysOn
 8. V Beležnici v meniju File (Datoteka) kliknite Save (Shrani).
 9. Dvakrat kliknite OK (V redu).
 10. Znova zaženite računalnik.
Za nespremljane namestitve servisnega paketa SP2 za Windows XP ali novejših različic lahko v datoteki Unattend.txt vnaprej izpolnite določeno konfiguracijo DEP-a. Z vnosom »OSLoadOptionsVar« v razdelku [Podatki] datoteke Unattend.txt lahko določite konfiguracijo DEP-a za celoten sistem.

nazaj na vrh

Konfiguracija funkcije DEP po posameznih programih

Da bi zagotovili združljivost programov, lahko DEP onemogočite za posamezne 32-bitne programe, če ste za DEP izbrali raven pravilnika »OptOut«. DEP za določen program onemogočite v oknu System Properties (Sistemske lastnosti) na kartici Data Execution Prevention (Preprečevanje izvajanja podatkov DEP). Za računalniške strokovnjake je v servisni paket SP2 za Windows XP vključen popravek, imenovan »DisableNX«. Popravek za združljivost »DisableNX« onemogoči DEP za program, za katerega se popravek uporabi.

Popravek za združljivost »DisableNX« lahko uporabite za program s kompletom orodij za združljivost programov. Če želite več informacij o združljivosti programov v operacijskem sistemu Windows, glejte Windows Application Compatibility (Združljivost programov v operacijskem sistemu Windows) na naslednjem Microsoftovem spletnem mestu:nazaj na vrh
Če želite več informacij, kliknite to številko članka iz Microsoftove zbirke znanja:

912923 Kako ugotoviti, ali je strojno vsiljen DEP na voljo in nastavljen v vašem računalniku (Ta povezava lahko vodi k besedilu, ki je delno ali v celoti v angleščini)

S K L I C I

Če želite več informacij, kliknite to številko članka iz Microsoftove zbirke znanja:

899298 V operacijskem sistemu Windows Server 2003 s servisnim paketom SP1 je v temi pomoči »Understanding Data Execution Prevention« (Razumevanje preprečevanja izvajanja podatkov) nepravilno navedena privzeta nastavitev funkcije DEP (Ta povezava lahko vodi k besedilu, ki je delno ali v celoti v angleščini)
Lastnosti

ID članka: 875352 – Zadnji pregled: 15. avg. 2008 – Revizija: 1

Povratne informacije