Data Execution Prevention

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacja, szukaj

DEP (Data Execution Prevention) jest zabezpieczeniem spotykanym we współczesnych systemach operacyjnych rodziny Microsoft Windows. Jego celem jest uniemożliwienie wykonywania kodu z segmentu danych. Pomaga to w ochronie przed exploitami wykorzystującymi przepełnienie bufora.

DEP działa w dwóch trybach: sprzętowym, w którym procesor oznacza strony pamięci jako niewykonywalne, oraz programowym, który daje ograniczoną ochronę i jest stosowany wtedy, gdy procesor nie potrafi oznaczyć stron pamięci jako niewykonywalne.

Pierwsza wersja DEP pojawiła się w systemie Windows XP Service Pack 2. Następnie została zaimplementowana w systemach: Windows XP Tablet PC Edition 2005, Windows Server 2003 Service Pack 1, Windows Vista oraz Windows 7. W dwóch ostatnich systemach Windows Task Manager wyświetla informacje o włączeniu lub wyłączeniu ochrony DEP dla konkretnego procesu.

Konfiguracja[edytuj | edytuj kod]

DEP można skonfigurować bezpośrednio zmieniając opcje w pliku Boot.ini lub korzystając z zakładki System Panelu Sterowania.

Ustawienia w pliku Boot.ini wyglądają następująco: /noexecute = poziom_bezpieczeństwa, gdzie poziom_bezpieczenstwa zastępujemy jednym z wyrażeń: AlwaysOn, AlwaysOff, OptIn lub OptOut.

OPTIN: domyślne ustawienie w systemach Windows XP oraz Windows Vista. DEP obejmuje ochroną tylko programy systemu Windows.

OPTOUT: domyślne ustawienie w systemie Microsoft Windows Server 2003 SP1. DEP obejmuje ochroną wszystkie procesy. W zakładce System Panelu Sterowania można jednak wprowadzić listę programów, których ochrona DEP ma nie obejmować.

ALWAYSON: Ta opcja włącza pełną ochronę DEP dla systemu. Wszystkie procesy są kontrolowane przez DEP i nie ma możliwości stworzenia wyjątków.

ALWAYSOFF: Ta opcja powoduje wyłączenie ochrony DEP niezależnie od tego, czy jest wspierana sprzętowo czy nie.

Zobacz też[edytuj | edytuj kod]