Определение того, что оборудование DEP доступно и настроено на компьютере

В этой статье описывается, как определить, что оборудование DEP доступно и настроено на вашем компьютере.

Применяется к:   Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер КБ:   912923

Общие сведения

Data Execution Prevention (DEP) — это набор аппаратных и программных технологий, которые выполняют дополнительные проверки памяти, чтобы защититься от вредоносных эксплойтов кода.

Принудённый к оборудованию DEP отмечает все расположения памяти в процессе как неисполнимые, если в расположении явно не содержится исполняемый код. Тип вредоносных атак кода пытается вставить и запустить код из неисполнимых мест памяти. DeP помогает предотвратить эти атаки, перехватив их и подняв исключение.

В этой статье описываются требования к использованию deP с аппаратным обеспечением. В этой статье также описывается, как подтвердить, что аппаратный deP работает в Windows.

Дополнительные сведения

Требования к использованию deP с аппаратным обеспечением

Чтобы использовать deP с аппаратным обеспечением, необходимо выполнить все следующие условия:

  1. Процессор компьютера должен поддерживать службу deP с аппаратным обеспечением.

    Многие недавние процессоры поддерживают службу deP с аппаратным обеспечением. И Advanced Micro Devices (AMD) и корпорация Intel определили и отгрузили Windows совместимые с DEP архитектуры. Эта поддержка процессора может быть известна как технология NX (без выполнения) или XD (выполнение отключения). Чтобы определить, поддерживает ли процессор компьютера аппаратную поддержку deP, обратитесь к производителю компьютера.

  2. В BIOS должны быть включены аппаратные deP.

    На некоторых компьютерах можно отключить поддержку процессора для аппаратного обеспечения deP в BIOS. Эта поддержка не может быть отключена. В зависимости от производителя компьютера параметр отключения этой поддержки может быть помечен как "Предотвращение выполнения данных", "XD", "Выполнение отключения" или "NX".

  3. Компьютер должен иметь Windows XP с Пакет обновления 2 или Windows Server 2003 с Пакет обновления 1.

    Примечание

    Обе 32-битные версии и 64-битные версии Windows поддерживают поддерживаемый оборудованием DEP. Windows Xp Media Center Edition 2005 и Microsoft Windows XP Tablet PC Edition 2005 включают все функции и компоненты Windows XP SP2.

  4. Для программ на компьютере необходимо включить deP с аппаратным обеспечением.

    В 64-битных версиях Windows для 64-битных программ всегда включена программа deP с аппаратным обеспечением. Однако в зависимости от конфигурации 32-битные программы deP с аппаратным обеспечением могут быть отключены.

Сведения о настройке защиты памяти в Windows XP с Пакет обновления 2 можно найти на следующем веб-сайте Microsoft:
https://technet.microsoft.com/library/cc700810.aspx

Как подтвердить, что аппаратное deP работает в Windows

Чтобы подтвердить, что аппаратный deP работает в Windows, используйте один из следующих методов.

Метод 1. Использование Wmic средства командной строки

Вы можете использовать Wmic средство командной строки для изучения параметров DEP. Чтобы определить, доступен ли аппаратный deP, выполните следующие действия:

  1. Нажмите кнопку Начните, нажмите кнопку Выполнить, введите cmd в поле Открыть, а затем нажмите кнопку ОК.

  2. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

    wmic OS Get DataExecutionPrevention_Available  
    

Если вывод является "TRUE", доступны аппаратные deP.

Чтобы определить текущую политику поддержки deP, выполните следующие действия.

  1. Нажмите кнопку Начните, нажмите кнопку Выполнить, введите cmd в поле Открыть, а затем нажмите кнопку ОК.

  2. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

    wmic OS Get DataExecutionPrevention_SupportPolicy  
    

    Возвращено значение 0, 1, 2 или 3. Это значение соответствует одной из политик поддержки DEP, описанных в следующей таблице.

    DataExecutionPrevention_SupportPolicy свойства Уровень политики Описание
    2 OptIn (конфигурация по умолчанию) Только Windows системные компоненты и службы применяют deP
    3 OptOut DeP включен для всех процессов. Администраторы могут вручную создать список определенных приложений, которые не имеют применения DEP
    1 AlwaysOn DeP включен для всех процессов
    0 AlwaysOff DEP не включен для любых процессов

    Примечание

    Чтобы убедиться, Windows работает с включенной программой deP оборудования, DataExecutionPrevention_Drivers свойства Win32_OperatingSystem класса. В некоторых конфигурациях системы аппаратные deP могут быть отключены с помощью коммутаторов /nopae или /execute в Boot.ini файле. Чтобы изучить это свойство, введите следующую команду в командной подсказке:
    wmic OS Get DataExecutionPrevention_Drivers

Метод 2. Использование графического пользовательского интерфейса

Чтобы с помощью графического пользовательского интерфейса определить, доступен ли deP, выполните следующие действия:

  1. Нажмите кнопку Начните, нажмите кнопку Запустить, введите в поле wbemtest Открыть, а затем нажмите кнопку ОК.
  2. В диалоговом окне Windows приборов управления нажмите кнопку Подключение.
  3. В окне в верхней части диалогового Подключение введите root\cimv2, а затем нажмите кнопку Подключение.
  4. Щелкните Экземпляры Enum.
  5. В диалоговом окне Class Info введите Win32_OperatingSystem в поле имя суперкласса Enter, а затем нажмите кнопку ОК.
  6. В диалоговом окне Результат запроса дважды щелкните верхний элемент.

    Примечание

    Этот элемент начинается с "Win32_OperatingSystem.Name=Microsoft...".

  7. В диалоговом окне редактора объекта найдите DataExecutionPrevention_Available свойства в области Свойства.
  8. Дважды щелкните DataExecutionPrevention_Available.
  9. В диалоговом окне Редактор свойств обратите внимание на значение в поле Значение.
    Если значение TRUE, доступно оборудование DEP.

Примечание

  • Чтобы определить режим работы DEP, DataExecutionPrevention_SupportPolicy свойства Win32_OperatingSystem класса. В таблице в конце метода 1 описывается каждое значение политики поддержки.

  • Чтобы убедиться, что в Windows включена DataExecutionPrevention_Drivers, изучите Win32_OperatingSystem класса. В некоторых конфигурациях системы аппаратные deP могут быть отключены с помощью коммутаторов /nopae или /execute в Boot.ini файле.

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких явных, подразумеваемых и прочих гарантий относительно производительности или надежности этих продуктов.