Čo je to prevencia spustenia údajov a ako to funguje?

Data Execution Prevention (DEP) je funkcia ochrany pamäte v systéme Microsoft Windows, ktorá zabraňuje zneužitiu škodlivého kódu. Monitoruje určité pamäťové oblasti alebo stránky a bráni im vo spustení škodlivých kódov.

Funkcia DEP používa hardvérové ​​a softvérové ​​mechanizmy, aby zabezpečila, že miesta v systémovej pamäti budú používať iba Windows a iné autorizované aplikácie.

Keď funkcia DEP zistí, že na týchto miestach spúšťa kód nežiaduci program, upozorní na to používateľa a program ukončí.

Ako funguje prevencia spustenia údajov?

Na rozdiel od firewall alebo antivírusový balík, DEP nemôže zabrániť inštalácii škodlivého softvéru do vášho počítača. Je to iba bezpečnostný nástroj, ktorý monitoruje programy v počítači a zaisťuje, že bezpečne využívajú systémovú pamäť.

DEP to dosiahne označením jedného alebo viacerých pamäťových miest ako nespustiteľných. Nespustiteľné umiestnenie znamená, že kód nemožno spustiť z tejto oblasti pamäte, čím sa znižuje hrozba zneužitia škodlivého kódu.

V prípade, že sa aplikácia pokúsi spustiť kód z jednej z chránených pamäťových oblastí, dôjde k narušeniu prístupu do pamäte a používateľ je upozornený. Ak používateľ nezvládne porušenie, proces sa ukončí.

Nevýhodou používania funkcie DEP je, že niekedy môže označovať programy, ktoré sa spoliehajú na služby systému Microsoft Windows. Ak chcete spustiť takéto programy, budete musieť zakázať DEP alebo vytvoriť výnimku pre program v nastaveniach systému. To by však spôsobilo, že program bude zraniteľný voči útokom, ktoré by sa potom mohli rozšíriť na iné programy a súbory vo vašom počítači.

Pred zakázaním funkcie DEP pre program vám odporúčame vyhľadať verziu programu kompatibilnú s funkciou DEP u vydavateľa softvéru.

Typy zamedzenia spustenia údajov

Zabránenie spustenia údajov môže byť vynútené hardvérom aj softvérom, aby sa zabránilo spusteniu škodlivého kódu. Tu je návod, ako sa tieto dva líšia:

1. Hardvérom vynútené DEP

Hardvérové ​​DEP označí všetky pamäťové miesta ako nespustiteľné, pokiaľ umiestnenie výslovne neobsahuje spustiteľný kód. Spolieha sa na hardvér procesora, aby rozlíšil miesta v pamäti, kde by sa kód nemal spustiť.

Hardvérová implementácia DEP sa líši v závislosti od architektúry procesora, ale všetky procesory, ktoré podporujú „ochranu spustenia“, môžu vynútiť hardvérové ​​DEP proti škodlivým zneužitiam. Obaja AMD a Intel aby boli architektúry procesorov kompatibilné s DEP.

Požiadavky DEP vynútené hardvérom

• Počítačový procesor by mal byť kompatibilný s DEP.
• Hardvérom vynútené DEP by malo byť povolené v systéme BIOS.
• Hardvérom vynútené DEP by malo byť povolené pre programy v systéme.

2. Softvérom vynútené DEP

Softvérom vynútené DEP je technológia ochrany pamäte navrhnutá tak, aby zabránila zneužitiu kódu, ktorý využíva mechanizmy spracovania výnimiek systému Windows. Každý procesor so systémom Windows XP Service Pack 2 (SP2) a vyšším môže spustiť softvérovo vynútenú prevenciu spustenia údajov.

Samotné zamedzenie spustenia údajov vynútené softvérom môže chrániť iba obmedzené binárne súbory systému. Ak chcete naplno využiť funkciu ochrany spustenia, musíte použiť procesor, ktorý podporuje hardvérové ​​zamedzenie spustenia údajov.

Ako povoliť DEP v systéme Windows 10 a 11

Môžete povoliť, zakázať alebo urobiť špecifické výnimky pre programy, ktoré by nemali používať funkciu DEP Windows 10 a 11. Ak to chcete urobiť, môžete použiť ktorúkoľvek z nasledujúcich dvoch metód.

1. Pomocou nastavení systému

Pomocou ponuky Nastavenia je najjednoduchší spôsob aktivácie funkcie DEP na vašom počítači so systémom Windows. Tu je to, čo musíte urobiť:

1. Ak chcete začať, kliknite Štart a vyberte nastavenie.
2. Typ Zobraziť rozšírené systémové nastavenia a vyberte rovnakú možnosť v rozbaľovacej ponuke.
3. Klepnite na Pokročilé v novom okne a vyberte nastavenie pod Výkon oddiele.
4. Kliknite na Zabránenie spusteniu údajov na paneli s ponukami a začiarknite políčko proti Zapnite funkciu DEP iba ​​pre všetky programy a služby možnosť.
5. Použiť zmeny a kliknúť OK dokončiť proces. Možno budete musieť reštartovať systém, aby sa zmeny prejavili.

Výberom môžete tiež vylúčiť určité programy z ochrany DEP Zapnúť funkciu DEP pre všetky programy a služby okrem tých, ktoré vyberiem. Hneď ako začiarknete políčko pri tejto možnosti, budete môcť do zoznamu pridať programy a služby, ktoré nebudú používať funkciu DEP.

Okno prevencie spustenia údajov vám navyše povie, či váš procesor podporuje hardvérom vynútené DEP.

2. Používanie príkazového riadka

Prípadne môžete použiť príkazový riadok, čo je v skutočnosti jednokrokový proces za predpokladu, že poznáte príkazový riadok. Postupujte podľa nasledujúcich krokov:

1. Ak chcete povoliť funkciu DEP prostredníctvom príkazového riadka, kliknite na Štart a typ CMD vo vyhľadávacom poli.
2. Kliknite pravým tlačidlom myši na príkazový riadok a vyberte Spustiť ako správca.
3. V okne príkazového riadka zadajte BCDEDIT /SET {CURRENT} NX ALWAYSON a stlačte Zadajte.

Zmeny sa prejavia hneď po reštartovaní počítača.

Užite si ochranu pred zneužitím kódu

DEP nie je komplexná obrana proti všetkým exploitom. Je to základná funkcia ochrany systému a nemali by ste ju používať ako náhradu za firewall alebo antivírusový softvér.

Systém Windows štandardne povoľuje funkciu DEP a zostane aktívna, pokiaľ nemáte opodstatnený dôvod na jej zakázanie pre konkrétne programy nainštalované vo vašom systéme.

Koľko bezpečnostných zraniteľností existuje a ako sa posudzujú?

Prečítajte si ďalej

O autorovi