Mô tả chi tiết tính năng Ngăn cản Thực thi Dữ liệu (DEP) trong Windows XP Gói Dịch vụ 2, Windows XP Tablet PC Edition 2005, và Windows Server 2003

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

TÓM TẮT
Ngăn cản Thực thi Dữ liệu (DEP) là một bộ công nghệ phần cứng và phần mềm thực hiện việc kiểm tra bổ sung trên bộ nhớ nhằm trợ giúp ngăn không cho mã nguy hiểm chạy trên hệ thống. Trong Microsoft Windows XP Gói Dịch vụ 2 (SP2) và Microsoft Windows XP Tablet PC Edition 2005, DEP được thi hành bởi phần cứng và phần mềm.

Lợi ích chủ yếu của DEP là giúp ngăn cản việc thực thi mã trên các trang dữ liệu. Thông thường, mã sẽ không được thực thi từ heap và chồng mặc định . DEP được thi hành bởi Phần cứng sẽ dò tìm mã đang chạy từ những vị trí này và đưa ra một ngoại lệ khi việc thực hiện xảy ra. DEP được thi hành bởi Phần mềm giúp ngăn không cho mã nguy hiểm lợi dụng cơ chế xử lý ngoại lệ trong Windows.
GIỚI THIỆU
Bài viết này mô tả tính năng DEP trong Windows XP SP2 và trong Microsoft Windows Server 2003 với Gói Dịch vụ 1 (SP1) và thảo luận các chủ đề sau :
THÔNG TIN THÊM

DEP được thi hành bởi Phần cứng

DEP được thi hành bởi Phần cứng đánh dấu tất cả các vị trí bộ nhớ trong một tiến trình là không thể thực thi được trừ khi vị trí đó chứa mã có thể thực hiện được . Một lớp các tấn công tồn tại và cố gắng chèn và chạy mã từ vị trí bộ nhớ không thể thực hiện được . DEP giúp ngăn những tấn công này bằng cách chặn chúng và đưa ra một ngoại lệ.

DEP được thi hành bởi phần cứng phụ thuộc vào phần cứng của bộ xử lý để đánh dấu bộ nhớ với một thuộc tính chỉ báo rằng mã không nên được thực thi từ bộ nhớ đó. DEP hoạt động trên cơ sở trang bộ nhớ ảo, và DEP thường thay đổi một chút trong mục nhập bảng trang (PTE) để đánh dấu trang bộ nhớ.

Cấu trúc của bộ xử lý xác định cách DEP được thực hiện trong phần cứng và cách DEP đánh dấu trang bộ nhớ ảo. Tuy nhiên, bộ xử lý hỗ trợ DEP được thi hành bởi phần cứng có thể đưa ra một ngoại lệ khi mã được thực thi từ một trang được đánh dấu bằng nhóm thuộc tính thích hợp.

Các Thiết bị Micro Nâng cao(AMD) và Intel đã xác định, và chuyển các cấu trúc tương thích với Windows và cũng tương thích với DEP.

Bắt đầu với Windows XP SP2, phiên bản 32-bit của Windows sử dụng một trong các cấu trúc sau đây:
  • Tính năng của bộ xử lý bảo vệ trang không thực thi (NX) như đã được xác định bởi AMD.
  • Tính năng Thực thi Vô hiệu hoá Bit (XD) như đã được xác định bởi Intel.
Để sử dụng các tính năng này của bộ xử lý, bộ xử lý phải đang chạy ở chế độ Mở rộng Địa chỉ Vật lý (PAE) . Tuy nhiên, Windows sẽ tự động cho phép chế độ PAE hỗ trợ DEP. Người dùng không phải cho phép PAE riêng biệt bằng cách sử dụng công tắc khởi động /PAE.

Chú ý Vì các lõi 64-bit có thể nhận biết Mở rộng Cửa sổ Địa chỉ (AWE), nên không có một lõi PAE riêng biệt trong các phiên bản 64-bit của Windows.
Để biết thêm thông tin về PAE và AWE trong Windows Server 2003, bấm số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
283037 Hỗ trợ bộ nhớ lớn có trong Windows Server 2003 và Windows 2000 (Bài viết này có thể chứa liên kết tới nội dung tiếng Anh (chưa được dịch)).
quay lại đầu trang

DEP được thi hành bởi phần mềm

Một bộ kiểm tra bảo mật Ngăn cản Thực thi Dữ liệu đã được thêm vào Windows XP SP2. Các kiểm tra này, được biết đến với tên gọi DEP được thi hành bởi phần mềm, được thiết kế để ngăn chặn mã nguy hiểm lợi dụng cơ chế xử lý ngoại lệ trong Windows. DEP được thi hành bởi phần mềm chạy trên bất kỳ bộ xử lý nào mà có thể chạy Windows XP SP2. Theo mặc định, DEP được thi hành bởi phần mềm chỉ giúp bảo vệ những nhị phân hệ thống nhất định, và không chú ý tới khả năng DEP được thi hành bởi phần cứng của bộ xử lý.

quay lại đầu trang

Các lợi ích

Lợi ích chính của DEP là giúp ngăn việc thực hiện mã từ các trang dữ liệu, ví dụ như các trang heap mặc định, các trang xếp chồng khác nhau và trang bộ nhớ chung. Thông thường, mã sẽ không được thực thi từ heap và chồng mặc định . DEP được thi hành bởi Phần cứng sẽ dò tìm mã đang chạy từ những vị trí này và đưa ra một ngoại lệ khi việc thực hiện xảy ra. Nếu không xử lý được ngoại lệ, tiến trình sẽ bị ngừng lại. Việc thực hiện mã từ bộ nhớ được bảo vệ trong chế độ lõi gây ra lỗi Dừng .

DEP có thể giúp chặn xâm phạm bảo mật. Đặc biệt, DEP có thể giúp chặn một chương trình nguy hiểm trong đó vi-rút hoặc kiểu tấn công khác xen vào tiến trình với mã bổ sung và sau đó chạy mã được xen vào đó. Trên hệ thống có DEP, việc thực thi mã được xen vào tạo ra ngoại lệ. DEP được thi hành bởi phần mềm giúp chặn các chương trình lợi dụng cơ chế xử lý ngoại lệ trong Windows.

quay lại đầu trang

Cấu hình cho toàn bộ Hệ thống của DEP

Cấu hình DEP cho hệ thống được điều khiển thông qua các công tắc trong tệp Boot.ini. Nếu đăng nhập với tư cách là quản trị viên, bạn có thể dễ dàng cấu hình các thiết đặt DEP bằng cách sử dụng hộp thoạiHệ thống trong Pa-nen Điều khiển.

Windows hỗ trợ 4 cấu hình hệ thống cho cả DEP được thi hành bởi phần cứng lẫn phần mềm.
Cấu hìnhMô tả
ChọnThiết đặt này là cấu hình mặc định . Trên hệ thống với bộ xử lý có thể triển khai DEP được thi hành bởi phần cứng, theo mặc định DEP được cho phép đối với những nhị phân hệ thống nhất định và các chương trình "chọn." Với tuỳ chọn này, chỉ có nhị phân hệ thống Windows mới được thực hiện bởi DEP theo mặc định.
Bỏ chọnTheo mặc định, DEP được cho phép đối với mọi quy trình. Bạn có thể tạo bằng tay danh sách các chương trình cụ thể mà không áp dụng DEP bằng cách sử dụng hộp thoại Hệ thống trong Pa-nen Điều khiển. Các chuyên gia công nghệ thông tin (IT) có thể sử dụng Bộ công cụ Tương thích Ứng dụng để "bỏ chọn" một hoặc nhiều chương trình từ bảo vệ DEP. Miếng vá tương thích hệ thống, hoặc miếng chêm, để DEP có tác dụng.
Luôn bậtThiết đặt này cung cấp DEP đầy đủ cho toàn bộ hệ thống. Tất cả các quy trình luôn chạy với DEP đã áp dụng. Danh sách ngoại lệ để miễn trừ một số chương trình cụ thể khỏi bảo vệ DEP không có. Miếng vá tương thích hệ thống cho DEP không có tác dụng. Các chương trình đã bị bỏ chọn bằng cách sử dụng Bộ công cụ Tương thích Ứng dụng chạy với DEP đã áp dụng.
Luôn TắtThiết đặt này không cung cấp DEP cho bất kỳ phần nào của hệ thống, dù có hỗ trợ của DEP đối với phần cứng . Bộ xử lý này không chạy trong chế độ PAE trừ khi tuỳ chọn/PAE có trong tệp Boot.ini.
DEP được thi hành bởi phần cứng và phần mềm đều được cấu hình theo cùng một cách. Nếu chính sách DEP cho toàn bộ hệ thống được đặt là Chọn, thì các chương trình và các nhị phân lõi Windows cũng sẽ được bảo vệ bởi cả DEP được thi hành bởi phần cứng lẫn phần mềm. Nếu hệ thống không thể sử dụng DEP được thi hành bởi phần cứng, thì các nhị phân lõi Windows và các chương trình sẽ chỉ được bảo vệ bởi DEP được thi hành bởi phần mềm.

Tương tự như vậy, nếu chính sách DEP hệ thống được đặt là Bỏ chọn, thì chương trình đã bị loại khỏi bảo vệ DEP thì cũng sẽ bị loại khỏi cả DPE được thi hành bởi phần cứng lẫn phần mềm.

Các thiết đặt tệp Boot.ini như sau:
/noexecute=mức_ chính sách
Chú ý mức_ chính sách được xác định là Luôn Bật, Luôn Tắt, Chọn , hay Bỏ chọn.

Thiết đặt /noexecute hiện có trong tệp Boot.ini không bị thay đổi khi Windows XP SP2 được cài đặt. Các thiết đặt này cũng sẽ không đổi nếu hình ảnh hệ điều hành Windows được di chuyển qua các máy tính có hoặc không có hỗ trợ của DEP được thi hành bởi phần cứng.

Trong quá trình cài đặt Windows XP SP2 và Windows Server 2003 SP1 hoặc phiên bản mới hơn, mức chính sách Chọn sẽ được cho phép theo mặc định trừ khi một mức chính sách khác được chỉ định trong cài đặt không giám sát . Nếu thiết đặt mức­­_chính sách=/noexecute không có trong tệp Boot.ini cho phiên bản Windows có hỗ trợ DEP, thì hành vi cũng giống như khi thiết đặt /noexecuteOptIn đã có trong đó.

Nếu đăng nhập với tư cách là quản trị viên, bạn có thể cấu hình DEP bằng tay để chuyển đổi giữa chính sách Chọn và Bỏ chọn bằng cách sử dụng tab Ngăn cản Thực thi Dữ liệu trong Các thuộc tính Hệ thống . Quy trình sau mô tả cách cấu hình DEP bằng tay trên máy tính:
  1. Bấm Bắt đầu, bấm Chạy, gõ sysdm.cpl, rồi bấm OK.
  2. Trên tab Nâng cao, trongHoạt động, bấm Thiết đặt.
  3. Trên tabNgăn cản Thực thi Dữ liệu , sử dụng một trong các quy trình sau:
    • Bấm Chỉ bật DEP cho các chương trình Windows và dịch vụ cần thiết để lựa chọn chính sách Chọn.
    • Bấm Bật DEP cho tất cả các chương trình và dịch vụ ngoại trừ những chương trình và dịch vụ tôi lựa chọn để lựa chọn chính sách Bỏ chọn, và rồi bấm Thêm để thêm các chương trình mà bạn không muốn sử dụng tính năng DEP.
  4. Bấm OK hai lần.
Các chuyên gia IT có thể điều khiển cấu hình DEP hệ thống bằng nhiều phương pháp khác nhau. Tệp Boot.ini có thể được sửa đổi trực tiếp với cơ chế tập lệnh hoặc với công cụ Bootcfg.exe có trong Windows XP SP2.

Để cấu hình DEP để chuyển tới chính sách Luôn Bật bằng cách sử dụng tệp Boot.ini, hãy làm theo những bước sau:
  1. Bấm Bắt đầu, bấm chuột phải vàoMáy tính của tôi, rồi bấm Thuộc tính.
  2. Bấm tab Nâng cao, sau đó bấm Thiết đặt trong Khởi động và Phục hồi.
  3. Trong trường Khởi động hệ thống , bấm Chỉnh sửa. TệpBoot.ini mở trong Notepad.
  4. Trong Notepad, bấm Tìm kiếm trên menu Chỉnh sửa .
  5. Trong ôTìm kiếm cái gì , gõ/noexecute, rồi bấm Tìm kiếm Tiếp.
  6. Trong hộp thoại Tìm kiếm , bấm Huỷ bỏ.
  7. Thay thế mức_ chính sách với Luôn Bật.

    CẢNH BÁO Đảm bảo rằng bạn nhập văn bản chính xác . Công tắc tệp Boot.ini bây giờ sẽ đọc:
    /noexecute=AlwaysOn
  8. Trong Notepad, bấm Lưu trên menuTệp.
  9. Bấm OK hai lần.
  10. Hãy khởi động lại máy tính.
Đối với các cài đặt không giám sát Windows XP SP2 hoặc phiên bản mới hơn, bạn có thể sử dụng tệp Unattend.txt để xác định trước cấu hình DEP . Bạn có thể sử dụng mục nhập OSLoadOptionsVar trong phần [Dữ liệu] của tệp Unattend.txt để chỉ định cấu hình DEP cho toàn hệ thống.

quay lại đầu trang

Cấu hình DEP cho mỗi chương trình

Để tương thích chương trình, bạn có thể lựa chọn vô hiệu hoá DEP cho các chương trình 32-bit riêng lẻ khi DEP được đặt ở mức chính sách Bỏ chọn. Để làm điều này, hãy sử dụng tab Ngăn cản Thực thi Dữ liệu trong Thuộc tính Hệ thống để lựa chọn vô hiệu hoá DEP cho một chương trình. Với các chuyên gia IT, một miếng vá tương thích chương trình mới có tên là DisableNX đã bao gồm trong Windows XP SP2. Miếng vá tương thích DisableNX sẽ vô hiệu hoá Ngăn cản Thực thi Dữ liệu cho các chương trình có áp dụng miếng vá.

Miếng vá tương thích DisableNX có thể được áp dụng cho một chương trình bằng cách sử dụng Bộ công cụ Tương thích Ứng dụng . Để biết thêm thông tin về tương thích ứng dụng Windows, hãy xem Tương thích Ứng dụng Windows trên Web site sau của Microsoft:quay lại đầu trang
Để biết thêm thông tin, hãy bấm vào số bài viết sau đây để xem bài viết trong Cơ sở Kiến thức Microsoft:
912923 Cách xác định DEP phần cứng sẵn có và được cấu hình trên máy tính của bạn (Bài viết này có thể chứa liên kết tới nội dung tiếng Anh (chưa được dịch)).
THAM KHẢO
Để biết thêm thông tin, hãy bấm vào số bài viết sau đây để xem bài viết trong Cơ sở Kiến thức Microsoft:
899298 Chủ đề trợ giúp "Tìm hiểu Ngăn cản Thực thi Dữ liệu" không cho biết chính xác thiết đặt mặc định cho DEP trong Windows Server 2003 Gói Dịch vụ 1 (Bài viết này có thể chứa liên kết tới nội dung tiếng Anh (chưa được dịch)).
Thuộc tính

ID Bài viết: 875352 - Xem lại Lần cuối: 06/15/2007 15:31:00 - Bản sửa đổi: 14.1

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Professional Service Pack 2 (SP2), Microsoft Windows XP Home Edition Service Pack 2 (SP2), Microsoft Windows XP Media Center Edition Service Pack 2 (SP2), Microsoft Windows XP Tablet PC Edition 2005

  • kbinfo kbtshoot KB875352
Phản hồi