- 在线时间
- 786 小时
- 信用度
- 4244
- 最后登录
- 2024-8-29
- 注册时间
- 2007-3-7
- 精华
- 5
- 阅读权限
- 200
- UID
- 2
|
1楼
发表于 2007-3-26 00:07:39
|
查看: 1940 |
回复: 0
信息来源:虚拟机之家
Microsoft Windows XP Service Pack 2提供了数据执行保护。
数据执行保护 (DEP) 是一组硬件和软件技术,用来对内存执行附加检查以帮助防止恶意代码的入侵。在 Windows XP SP2 中,由硬件和软件强制执行 DEP。
从 Windows XP Service Pack 2 开始,32 位版本的 Windows 开始使用由 AMD 定义的非执行页面保护 (NX) 处理器功能或由 Intel 定义的执行禁用位 (Execute Disable bit) 功能。要使用这些处理器功能,处理器必须以“物理地址扩展”(PAE) 模式运行。
DEP 有助于缓解某类安全性入侵。尤其是,如果病毒或其他攻击将额外的代码插入到进程中并试图执行所插入的代码,则数据执行保护可以防止这种行为。在支持 DEP 的系统中,执行被插入的代码会导致一个异常。软件强制的 DEP 有助于降低 Windows 异常处理机制的使用。
驱动程序与数据执行保护的兼容性问题主要集中在 PAE 模式引发的兼容性问题上。如果启用 PAE,那么有些驱动程序可能无法加载,因为设备可能无法执行 64 位寻址或驱动程序可能认为 PAE 模式要求多于 4GB 的 RAM。此类驱动程序在 PAE 模式下应该始终接收 64 位地址,而且它们(或它们的设备)不能解释这种地址。注意 仅在具有支持硬件强制 DEP 的处理器的系统上才需要 PAE。
系统级的数据执行保护配置是通过 Boot.ini 开关控制的。此外,对“控制面板”中“系统”所做的修改可以使最终用户非常方便地配置 DEP 设置(假设最终用户以管理员身份登录系统)。
对于硬件强制和软件强制 DEP,Windows 支持四种系统级配置。
1、OptIn(选择使用)(默认配置):
如果系统中具备能够实现硬件强制 DEP 功能的处理器,则默认情况下将对限定的系统二进制文件和“选择使用”的应用程序启用 DEP。
使用此选项时,默认情况下,DEP 仅覆盖 Windows 系统二进制文件。
2、OptOut(选择排除):
默认情况下,将对所有的进程启用 DEP。用户可以使用“控制面板”中的“系统”手动创建不应用数据执行保护的特定应用程序列表。IT 专业人员和独立软件供应商 (ISV) 可以使用应用程序兼容性工具包选择不受 DEP 保护的一个或多个应用程序。用于 DEP 的系统兼容性修复程序 (shims) 将会生效。
3、AlwaysOn(总是使用):
将整个系统置于 DEP 保护范围以内。所有的进程将始终在应用 DEP 的情况下运行。使特定应用程序不受 DEP 保护的例外列表不可用。用于 DEP 的系统兼容性修复程序 (shims) 不会生效。使用应用程序兼容性工具包选出的应用程序也将在应用 DEP 的情况下运行。
4、AlwaysOff(总是关闭):
不会将系统的任何部分置于 DEP 保护范围以内,无论是否支持硬件 DEP。处理器不会在 PAE 模式下运行,除非启动项中选中 /PAE 选项。
四个系统级 DEP 配置都是通过 boot.ini 开关控制的。Boot.ini 的设置如下所示:
/noexecute=策略级别
其中,策略级别被定义为 AlwaysOn、AlwaysOff、OptIn 或 OptOut。
安装 Windows XP SP2 期间,默认情况下,将启用 OptIn 策略级别,除非在无人参与安装中指定不同的策略级别。如果在支持 DEP 的 Windows 版本的启动项中没有显示 /noexecute=策略级别设置,其行为与包含 /noexecute=OptIn 选项时相同。
以管理员身份登录的最终用户可以使用“系统属性”对话框中的“数据执行保护”选项卡在“OptIn”和“OptOut”策略之间手动配置 DEP。以下过程描述如何在计算机上手动配置 DEP:
1. 依次单击“开始”、“控制面板”,然后双击“系统”。
2. 单击“高级”选项卡。然后,在“性能”下,单击“设置”。
3. 单击“数据执行保护”选项卡。
4. 单击“仅对基本 Windows 程序和服务启用 DEP”选择“OptIn”策略。
5. 单击“对所有程序和服务启用 DEP(选定的程序和服务除外)”选择“OptOut”策略。
6. 如果已选择“OptOut”策略,请单击“添加”并添加不想对其使用 DEP 的应用程序。
IT 专家可以采用多种方法控制系统级的 DEP 配置。可以按脚本编写机制或使用 Windows XP SP2 中包含的 Bootcfg.exe 工具来直接修改 Boot.ini 文件。
以无人参与模式安装 Windows XP SP2 时,您可以使用 Unattend.txt 文件来预先设定特定的 DEP 配置。您可以使用 Unattend.txt 文件的“[Data]”部分中的“OSLoadOptionsVar”项来指定系统级 DEP 配置。 |
|