Windows DatabaseebooksStatistical Information

LWG10102 : Aktivierung von Datenausführungsverhinderung (eng. "Data Execution Prevention" (DEP)) in Windows XPSP2 oder Windows 2003 Server

Symptom:

Datenausführungsverhinderung ist automatisch aktiviert und könnte für Probleme verantwortlich sein

Cause:

Verbesserung der Sicherheit durch Datenausführungsverhinderung

Solution:

Datenausführungsverhinderung ist ein Feature von Windows XP Service Pack 2, Windows XP Tablet PC und Windows Server 2003. Bei Interesse findet sich eine nähere Beschreibung in der MS Knowledgebase, im Artikel KB875352.
Diese Erweiterung sorgt für zusätzliche Sicherung des Arbeitsspeichers gegen die Ausführung von Schadcode, insbesondere gegen die Ausführung von Programmcode aus dem Datensegment des Speichers, des Stack und des Heap. Dabei wird der gesamte allokierte Speicher eines Prozesses als "nicht-ausführbar" markiert, sofern er nicht explizit als "ausführbar" gekennzeichnet wird. Dies wird unterstützt durch Soft- und Hardware und funktioniert mit Intel- (XD = Execute Disable Bit) und AMD- (NX = no execute page protection) Prozessoren.

Die Konfiguration erfolgt in erster Linie durch die boot.ini Datei.

Folgende Einstellungen sind möglich:
AlwaysOn, AlwasyOff, OptIn und OptOut.

/EXECUTE -> DEP wird für das System deaktiviert, Kann für einzelne Anwendungen aktiviert werden.

/NOEXECUTE -> DEP wird für das System aktiviert, kann für einzelne Anwendungen deaktiviert werden.

/noexecute=OptIn -> DEP ist aktiviert für Systemdateien und Anwendungen in der "OptIn" Liste

/noexecute=OptOut -> DEP ist aktiviert für Systemdateien, aber nicht für Dateien in der "OptOut" Liste

/NOEXECUTE=OptIn und /NOEXECUTE=OptOut kann aus Windows heraus konfiguriert werden (Arbeitsplatz - Eigenschaften -> Erweitert - Systemleistung - Einstellungen -> Neuer Reiter "Datenausführungsverhinderung").

/noexecute=AlwaysOn -> DEP ist ohne Ausnahme systemweit aktiviert

/noexecute=AlwaysOff -> DEP ist systemweit deaktiviert

Im folgenden Beispiel ist eine Windows XP boot.ini Datei mit der Standardeinstellung "/NoExecute=OptIn":

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

Disclaimer:

The information provided in this document is intended for your information only. Lubby makes no claims to the validity of this information. Use of this information is at own risk!
Copyright © 2004-2011 Lubby (V3.0.10 Aug 2011)
Sponsored by Keskon.
Statistical information by Google Analytics