[資安小常識] 一個按鈕,讓你電腦高枕無憂!

作者:資安顧問Taien

DEP(Data Execution Prevention)資料防止執行是微軟在 Windows XP SP2 加入的一項安全性功能,之後的每個版本如(Windows 7、Windows Vista、Windows Server 2008 R2…)都有 DEP 資訊安全功能。到底什麼是DEP呢?

資料防止執行(DEP)

它將處理程序中的所有記憶體位置標示為不能執行,除非位置明確包含可執行的程式碼,而許多的病毒程式就是利用這裡來獲取執行權限或是更高的權限。以後如果嘗試執行這些區塊 Windows 便會自動關閉程式。因此您可以知道,假設今天病毒想攻擊某隻程式散布或入侵,如果利用到的區段是受到DEP保護,則它的攻擊就會失敗,這與一般的防毒軟體檢查病毒的行為與特徵碼是不同的。

DEP 在哪裡?

  • 如果您是 Windows 7/Vista:在[電腦]圖示上按右鍵,選擇內容>進階系統設定>進階標籤>效能設定>資料防止執行
  • 如果您是Windows XP: 我的電腦按右鍵>內容>進階標籤>效能設定>資料防止執行

運作方式有兩種

硬體 :需要CPU處理器的支援,不過近年市面上的處理器大部份都是有支援DEP的。

軟體 :若您的 CPU 是不支援的,則 Windows 會透過軟體來模擬,它會在記憶中為儲存的資料自動增加一組特別的指標來協助表示,但防護效果可能就不如硬體來得有效。

DEP保護的模式有兩種:

  1. 只為基本的 Windows 程式和服務開啟 DEP:雖然 DEP 在預設都是啟用的,但在這裡僅保護 Windows 核心二進位檔案和程式,不保護 Windows 中執行的其它微軟或第三方軟體。
  2. 為所有的 Windows 程式和服務開啟DEP(建議使用) :在這個等級會為系統保護所有執行檔案,因此像在微軟的伺服器平台Windows Server 2008 R2便會預設選擇這個選項。

開啟 DEP 可以大大提高駭客攻擊的難度,尤其是選擇為所有程式與服務開啟 DEP 的功能,但是有些遊戲或是大型軟體如 ERP、CRM...軟體,可能透過某些程式技巧提高效能,但由於DEP開啟狀態下導致無法正常執行,這時候請點選新增設定例外清單,如下圖示範將 KMPlayer 增加為例外清單,但請注意這時 KMPlayer 就不受 DEP 的保護,因此使用者必須慎選加入例外清單的項目。

見下圖:尚未開啟DEP,可以看到許多第三方程式還未受到DEP保護。

見下圖:開啟DEP並重新開機後,可以看到所有程式皆受到DEP保護。