Настройка предотвращения выполнения данных (DEP)
Предотвращение выполнения данных (Data Execution Prevention, DEP) — это технология защиты оперативной памяти. Компьютер с помощью DEP помечает все ячейки памяти, используемые приложениями, как неисполняемые «только для данных», если ячейка не содержит исполняемого кода в явном виде.
Если приложение пытается выполнить код со страницы памяти, помеченной как неисполняемая, процессор может сгенерировать исключение и предотвратить исполнение кода.
Таким образом, система помешает вредоносной программе (например, вирусу) внедриться в память компьютера. Позволяя только особым областям памяти запускать исполняемый код, DEP защищает компьютер от многих типов самовоспроизводящихся вирусов. Предотвращение выполнения данных может быть аппаратным и программным.
Аппаратное DEP более надежно, так как распространяется на все программы и службы, исполняемые на компьютере. Программное DEP, как правило, служит хорошей защитой только программ и служб Windows.
Компании Advanced Micro Devices (AMD) и Intel поставляют совместимые с Windows процессоры, поддерживающие функцию DEP.
Начиная с пакета обновления 2 (SP2) для Windows XP 32-разрядная версия Windows использует один из следующих методов.
Чтобы использовать указанные функции, необходимо, чтобы процессор работал в режиме расширения физических адресов (Physical Address Extension, PAE). Windows автоматически включает режим PAE для поддержки функции DEP, поэтому пользователям не нужно отдельно включать PAE.
Physical Address Extension (PAE) — режим работы встроенного блока управления памятью x86-совместимых процессоров, в котором используются 64-битные элементы таблиц страниц (из которых для адресации используются только 36 бит), c помощью которых процессор может адресовать 64 ГБ физической памяти (вместо 4 ГБ, адресуемых при использовании 32-разрядных таблиц), хотя каждая задача (программа) всё равно может адресовать максимум до 4 ГБ виртуальной памяти.
64-разрядные версии Windows также поддерживают функцию NX, но режим работы с оперативной памятью РАЕ для них не обязателен. Кроме того, для 64-разрядных компьютеров возможны разные конфигурации памяти.
Чтобы узнать, поддерживают ли аппаратные средства вашего компьютера DEP, выполните следующие действия.
1. Откройте меню Пуск и выберите Панель управления.
Меню Пуск — Панель управления
2. Щелкните на категории Система и безопасность и откройте окно Система.
Категория Система и безопасность
3. Внизу в левой части щелкните на ссылке Счетчики и средства производительности.
Счетчики и средства производительности
4. Щелкните на ссылке Настройка визуальных эффектов. На экране появится диалоговое окно Параметры быстродействия.
Настройка визуальных эффектов
5. Откройте вкладку Предотвращение выполнения данных. Внизу вы найдете информацию о поддержке DEP.
Информацию о поддержке DEP
Во вкладке Предотвращение выполнения данных можно настроить работу DEP с помощью следующих параметров.
Поскольку некоторые приложения могут работать нестабильно или вообще не будут работать при программном DEP, для них придется сделать исключение.
Щелкните на кнопке Добавить… и выберите программы, для которых вы хотите отключить предотвращение выполнения.
Отключение предотвращение выполнения
Программа в исключении
Обратите внимание, в 64-разрядных версиях Windows механизм DEP всегда включен для 64-разрядных приложений. Поэтому если вы пожелаете его включить для 64-разрядных приложений, то появится диалоговое окно «Вы не можете задать атрибуты DEP для 64-разрядных исполняемых файлов».
DEP всегда включен для 64-разрядных приложений
Как убедиться, что аппаратная функция DEP работает в Windows
Чтобы убедиться, что аппаратная функция DEP работает в Windows, воспользуйтесь одним из следующих способов.
Способ 1. Используйте средство командной строки Wmic
С помощью средства командной строки Wmic можно проверить параметры DEP. Чтобы определить, доступна ли аппаратная функция DEP, выполните следующие действия:
1. В меню Пуск меню Пуск введите в поле Поиска команду cmd и нажмите кнопку ВВОД.
Вызов командной строки
2. В командной строке введите следующую команду и нажмите клавишу ВВОД:
wmic OS Get DataExecutionPrevention_Available
Если в результате будет получено значение TRUE, аппаратная функция DEP включена.
Средство командной строки Wmic
Если FALSE, значит аппаратная функция DEP выключена. Включить ее можно в настройках BIOS. Как это сделать — лучше посмотреть документацию к материнской плате вашего компьютера.
Параметр no-execute page-protection (NX) включает аппаратный DEP на платах с чипсетом от AMD, а параметр Execute Disable Bit (XD) — на платах с чипсетами от Intel.
Чтобы определить текущую политику поддержки DEP, выполните следующие действия.
1. В меню Пуск меню Пуск введите в поле Поиска команду cmd и нажмите кнопку ВВОД.
Вызов командной строки
2. В командной строке введите следующую команду и нажмите клавишу ВВОД:
wmic OS Get DataExecutionPrevention_SupportPolicy
В результате выполнения команды будет возвращено значение 0, 1, 2 или 3.
Политика поддержки DEP
Эти значения соответствуют политикам поддержки DEP, описанным ниже.
2 — OptIn (конфигурация по умолчанию) — Функция DEP включена только для системных компонентов и служб Windows
3 – OptOut — Функция DEP включена для всех процессов. Администратор может вручную создать список приложений, для которых функция DEP отключена
1 – AlwaysOn — Функция DEP включена для всех процессов
0 – AlwaysOff — Функция DEP отключена для всех процессов
Преимущества DEP
Основным преимуществом, которое предоставляет функция DEP, является возможность предотвратить запуск кода из областей данных (таких как куча, стек или пул памяти). Как правило, содержимое стека и кучи по умолчанию не является исполняемым кодом.
При аппаратной реализации функция DEP вызывает исключение при запуске кода из указанных местоположений. Если исключение остается необработанным, то процесс останавливается. В режиме ядра исполнение кода, находящегося в защищенной памяти, вызывает появление стоп-ошибки.
Функция DEP позволяет отразить целый класс атак. В частности, DEP позволяет блокировать вредоносные программы, в результате работы которых вирус помещает в процесс дополнительный код, а затем пытается выполнить этот код. В системах, поддерживающих функцию DEP, выполнение такого кода вызывает исключение.
Что такое предотвращение выполнения данных в Windows 10
Предотвращение выполнения данных (DEP) — это функция безопасности системного уровня, включенная в машины Windows. Основная цель DEP — контролировать процессы и услуги для защита от эксплойтов вредоносного кода путем закрытия любой программы, которая не работает должным образом в памяти.
Эта функция, также известная как защита исполняемого пространства, включает набор аппаратных и программных технологий, которые выполняют дополнительные функции. проверка системной памяти чтобы остановить запуск вредоносного кода.
Когда вредоносная программа пытается выполнить код в определенных областях системной памяти, зарезервированных для авторизованных программ и Windows, DEP отмечает их как неисполняемые и выдает ошибку.
Все это происходит так, чтобы предотвратить повреждение вашего компьютера вирусами и другими угрозами безопасности. Однако DEP может иногда конфликтовать с законными программами, такими как ваш антивирус, и в этом случае вам, возможно, придется отключить эту функцию для определенных приложений.
Как работает предотвращение выполнения данных в Windows 10
DEP не является комплексной защитой от всех эксплойтов вредоносного кода; это просто еще один инструмент, который вы можете использовать вместе со своим программным обеспечением для обеспечения безопасности своих приложений.
Во многих операционных системах есть зарезервированные области памяти, в которых выполняются важные программы и функции. Это пространство памяти ограничено, поэтому, если что-то написано неправильно или попадет вредоносный код, он может занять слишком много места, в результате чего возникнет ситуация переполнения буфера.
Когда это произойдет, он может предоставить доступ к потенциально важным данным пользователям или программам, которые не должны иметь к ним доступ.
DEP вмешивается, чтобы противодействовать такому доступу или выполнению любых исполняемых программ, которым не разрешено загружаться в области системной памяти. Эта функция немедленно вызывает исключение, когда обнаруживает загрузку подозрительного кода и предотвращает его запуск.
Обратной стороной DEP является то, что он может помечать старые программы сторонних разработчиков, которые полагаются на службы Windows. Однако вы можете отключить DEP или создать исключение в настройках вашей системы, чтобы запускать такие программы.
Примечание. Некоторые ошибки DEP вызваны устаревшими драйверами устройств в системе.
Типы предотвращения выполнения данных в Windows 10
Есть два разных метода создания DEP:
Аппаратный DEP обнаруживает подозрительный код, который запускается из областей памяти как неисполняемый, перехватывает и создает исключение для предотвращения любых атак на систему. Единственное исключение — регион, в котором конкретно содержится исполняемый код.
Аппаратный DEP полагается на аппаратное обеспечение процессора, чтобы пометить память соответствующим набором атрибутов, указывающих, что код не должен выполняться из этой памяти.
Для использования аппаратного DEP должны быть соблюдены следующие условия:
Не уверены, какая версия Windows установлена на вашем компьютере? Вот 4 способа узнать, используете ли вы 32-разрядную или 64-разрядную версию Windows.
Программный DEP — это дополнительный набор проверок безопасности DEP, который помогает предотвратить использование вредоносным кодом механизмов обработки исключений в Windows.
Этот тип DEP работает на любом процессоре, поддерживающем Windows XP Service Pack 2, и защищает только ограниченную системные двоичные файлынезависимо от аппаратных возможностей DEP вашего процессора.
Как узнать, активен ли DEP на вашем ПК с Windows 10
Вы можете проверить статус DEP на вашем ПК, выполнив следующие действия:
Примечание. Большинство конфликтов вызвано 32-битными программами, и вы не можете исключить 64-битные программы из DEP.
Как включить или отключить DEP в Windows 10
Вы можете отключить DEP в Windows 10, чтобы сделать определенные исключения или изменения для некоторых приложения для использования в Windows 10. Это не рекомендуется, но при необходимости единственный способ сделать это в настоящее время — использовать командную строку.
Примечание. Если вы хотите отключить DEP для программы, которой доверяете, сначала проверьте, доступна ли у издателя DEP-совместимая версия или доступны обновления. Если доступна DEP-совместимая версия или обновление, установите их и оставьте DEP активным, чтобы вы могли пользоваться защитой, которую он может дать. В противном случае отключение DEP может сделать вашу систему уязвимой для атаки, которая может распространиться на другие файлы и программы.
Наслаждайтесь защитой DEP
Хотя предотвращение выполнения данных является важной функцией, не все программное и аппаратное обеспечение полностью поддерживает ее. По этой причине на вашем компьютере могут возникать определенные проблемы и сообщения об ошибках из-за конфликтов, с которыми сталкиваются некоторые процессы Windows при работе с DEP.
Однако DEP является одним из самых простых средств защиты системы на базе Windows. Если нет веской причины для его отключения, DEP всегда должен оставаться активным по умолчанию, и к нему следует относиться с осторожностью.
Функция DEP: за что отвечает, как включить или отключить на Windows 10
Иногда пользователям Windows не удаётся открыть ту или иную утилиту или игру из-за функции DEP, которая блокирует её запуск. Что скрывается под данной аббревиатурой? Можно ли отключить это средство Windows и как? Рассмотрим детально несколько действенных способов.
Что такое DEP и для чего он нужен
Английская аббревиатура DEP расшифровывается как Data Execution Prevention. В переводе на русский — «Предотвращение выполнения данных». Это специальный набор как аппаратных, так и программных средств, цель которых — обеспечить компьютер дополнительной защитой от опасных вредоносных программ.
Как работает функция DEP? Она проверяет оперативную память устройства (ОЗУ) и её содержимое. Когда вирус, созданный для работы в «оперативке», попадет на ПК, он захочет запустить процесс исполнения собственных кодов в системной области ОЗУ. В этом случае DEP тут же обнаруживает, что область памяти, которая предназначена для самой системы Windows и авторизованных утилит, используется неправильно какой-то неизвестной программой (вирусом). В результате опция блокирует (предотвращает) его запуск и уведомляет пользователя об этом в специальном окошке с сообщением.
Таким образом, DEP способна отразить множество вирусных атак. Функцию нельзя рассматривать как полную замену антивирусу. Если последний не справился со своей задачей по тем или иным причинам, в ход идёт технология DEP.
На практике данное понятие означает по умолчанию установленную функцию «Виндовс», что-то вроде антивируса, но по сути им не считается. Она блокирует проги, которые хотят для своей работы применить часть оперативной памяти, отмеченную операционкой как «неиспользуемая».
Как отключить DEP на Windows 10
Выключать описываемую службу стоит только в том случае, если ваш антивирус работает эффективно: не даёт вредоносному ПО попасть в систему. Деактивация поможет запустить те утилиты, которые по каким-то причинам были приняты DEP за вирусы, хотя в действительности ими не являются.
Отключение для всех утилит
Отключить технологию DEP полностью в настройках не получится, так как это важный системный процесс для обеспечения безопасности. Для этого нужно воспользоваться стандартным средством Windows — «Командной строкой».
Видео: полностью выключаем DEP
Деактивация для отдельных приложений
Рекомендуется всё же сделать выбор в пользу выборочного отключения, если DEP мешает запускаться тем или иным утилитам, так как полное отключение подвергнет ваш компьютер риску заражения. Вы должны быть также уверены, что данные программы безопасные. Выключить дополнительную защиту можно в её настройках (в окне «Параметры быстродействия»), а также в «Редакторе реестра».
Настройка исключений для DEP
Добавлять исключения в виде утилит мы будем в системном окне Windows «Параметры быстродействия». Открывается оно через «Панель управления». Подробно опишем процесс:
Отключение с помощью «Редактора реестра»
Данный метод немного сложнее, чем предыдущий, так как подразумевает самостоятельное создание в окне редактора записей, каждая из которых будет соответствовать программе-исключению. Чтобы вы не запутались, рассмотрим все шаги подробно:
Как включить DEP на Windows 10
Выбор способа для обратного включения DEP зависит от того, каким методом вы пользовались, когда отключали опцию. Рассмотрим все варианты.
Через «Командную строку»
Если вы использовали «Командную строку», то есть провели деактивацию сразу для всех утилит, активировать дополнительную защиту DEP через «Панель управления» у вас никак не получится, потому что тот самый раздел «Предотвращение выполнения данных» будет просто отсутствовать в окне. Что в этом случае предпринять?
Через «Панель управления»
Если вы отключали DEP для отдельных приложений в окне «Параметры быстродействия» и теперь хотите, чтобы функция работала для них снова, сделайте следующее:
В «Редакторе реестра»
Если вы создавали параметры для отдельных программ в «Редакторе реестра», процедура активации средства защиты DEP будет выглядеть следующим образом:
Функция DEP представляет собой «предохранитель» системы от запуска вирусов. В некоторых случаях она может по ошибке принимать безопасные программы, которыми пользуется клиент Windows 10, за вредоносное ПО. Если вы доверяете этим утилитам, поставьте их в качестве исключения в окне «Параметры безопасности» или же в «Редакторе реестра» — опция перестанет работать для них. Вы также вправе выключить функцию полностью через «Командную строку», однако в этом случае вы берете на себя ответственность за безопасность вашего компьютера: если вирусный код попадёт на ваше устройство, он запустится при выключенном DEP.
Определение того, что оборудование DEP доступно и настроено на компьютере
В этой статье описывается, как определить, что оборудование DEP доступно и настроено на вашем компьютере.
Применяется к: Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер КБ: 912923
Введение
Data Execution Prevention (DEP) — это набор аппаратных и программных технологий, которые выполняют дополнительные проверки памяти, чтобы защититься от вредоносных эксплойтов кода.
Принудённый к оборудованию DEP отмечает все расположения памяти в процессе как неисполнимые, если в расположении явно не содержится исполняемый код. Тип вредоносных атак кода пытается вставить и запустить код из неисполнимых мест памяти. DeP помогает предотвратить эти атаки, перехватив их и подняв исключение.
В этой статье описываются требования к использованию deP с аппаратным обеспечением. В этой статье также описывается, как подтвердить, что аппаратный deP работает в Windows.
Дополнительная информация
Требования к использованию deP с аппаратным обеспечением
Чтобы использовать deP с аппаратным обеспечением, необходимо выполнить все следующие условия:
Процессор компьютера должен поддерживать службу deP с аппаратным обеспечением.
Многие недавние процессоры поддерживают службу deP с аппаратным обеспечением. И Advanced Micro Devices (AMD) и корпорация Intel определили и отгрузили Windows совместимые с DEP архитектуры. Эта поддержка процессора может быть известна как технология NX (без выполнения) или XD (выполнение отключения). Чтобы определить, поддерживает ли процессор компьютера аппаратную поддержку deP, обратитесь к производителю компьютера.
В BIOS должны быть включены аппаратные deP.
На некоторых компьютерах можно отключить поддержку процессора для аппаратного обеспечения deP в BIOS. Эта поддержка не может быть отключена. В зависимости от производителя компьютера параметр отключения этой поддержки может быть помечен как «Предотвращение выполнения данных», «XD», «Выполнение отключения» или «NX».
Компьютер должен иметь Windows XP с Пакет обновления 2 или Windows Server 2003 с Пакет обновления 1.
Обе 32-битные версии и 64-битные версии Windows поддерживают поддерживаемый оборудованием DEP. Windows Xp Media Center Edition 2005 и Microsoft Windows XP Tablet PC Edition 2005 включают все функции и компоненты Windows XP SP2.
Для программ на компьютере необходимо включить deP с аппаратным обеспечением.
В 64-битных версиях Windows для 64-битных программ всегда включена программа deP с аппаратным обеспечением. Однако в зависимости от конфигурации 32-битные программы deP с аппаратным обеспечением могут быть отключены.
Сведения о настройке защиты памяти в Windows XP с Пакет обновления 2 можно найти на следующем веб-сайте Microsoft:
https://technet.microsoft.com/library/cc700810.aspx
Как подтвердить, что аппаратное deP работает в Windows
Чтобы подтвердить, что аппаратный deP работает в Windows, используйте один из следующих методов.
Метод 1. Использование Wmic средства командной строки
Вы можете использовать Wmic средство командной строки для изучения параметров DEP. Чтобы определить, доступен ли аппаратный deP, выполните следующие действия:
Нажмите кнопку Начните, нажмите кнопку Выполнить, введите cmd в поле Открыть, а затем нажмите кнопку ОК.
В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:
Если вывод является «TRUE», доступны аппаратные deP.
Чтобы определить текущую политику поддержки deP, выполните следующие действия.
Нажмите кнопку Начните, нажмите кнопку Выполнить, введите cmd в поле Открыть, а затем нажмите кнопку ОК.
В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:
Возвращено значение 0, 1, 2 или 3. Это значение соответствует одной из политик поддержки DEP, описанных в следующей таблице.
| DataExecutionPrevention_SupportPolicy свойства | Уровень политики | Описание |
|---|---|---|
| 2 | OptIn (конфигурация по умолчанию) | Только Windows системные компоненты и службы применяют deP |
| 3 | OptOut | DeP включен для всех процессов. Администраторы могут вручную создать список определенных приложений, которые не имеют применения DEP |
| 1 | AlwaysOn | DeP включен для всех процессов |
| 0 | AlwaysOff | DEP не включен для любых процессов |
Чтобы убедиться, Windows работает с включенной программой deP оборудования, DataExecutionPrevention_Drivers свойства Win32_OperatingSystem класса. В некоторых конфигурациях системы аппаратные deP могут быть отключены с помощью коммутаторов /nopae или /execute в Boot.ini файле. Чтобы изучить это свойство, введите следующую команду в командной подсказке:
wmic OS Get DataExecutionPrevention_Drivers
Метод 2. Использование графического пользовательского интерфейса
Чтобы с помощью графического пользовательского интерфейса определить, доступен ли deP, выполните следующие действия:
Этот элемент начинается с «Win32_OperatingSystem.Name=Microsoft. «.
Чтобы определить режим работы DEP, DataExecutionPrevention_SupportPolicy свойства Win32_OperatingSystem класса. В таблице в конце метода 1 описывается каждое значение политики поддержки.
Чтобы убедиться, что в Windows включена DataExecutionPrevention_Drivers, изучите Win32_OperatingSystem класса. В некоторых конфигурациях системы аппаратные deP могут быть отключены с помощью коммутаторов /nopae или /execute в Boot.ini файле.
В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких явных, подразумеваемых и прочих гарантий относительно производительности или надежности этих продуктов.
