Data Execution Prevention (DEP) je funkce ochrany paměti v systému Microsoft Windows, která zabraňuje zneužití škodlivého kódu. Sleduje určité paměťové oblasti nebo stránky a brání jim ve spouštění škodlivých kódů.
Funkce DEP využívá hardwarové a softwarové mechanismy, aby zajistila, že umístění v systémové paměti budou používat pouze Windows a další autorizované aplikace.
Když funkce DEP detekuje nežádoucí program spouštějící kód v těchto umístěních, upozorní uživatele a program ukončí.
Jak funguje prevence spouštění dat?
Na rozdíl od firewall nebo antivirový balík, DEP nemůže zabránit malwaru v instalaci do vašeho počítače. Je to pouze bezpečnostní nástroj, který monitoruje programy v počítači a zajišťuje, že bezpečně využívají systémovou paměť.
DEP toho dosáhne označením jednoho nebo více paměťových míst jako nespustitelných. Nespustitelné umístění znamená, že kód nelze z této oblasti paměti spustit, čímž se snižuje nebezpečí zneužití škodlivého kódu.
V případě, že se aplikace pokusí spustit kód z jedné z chráněných paměťových oblastí, dojde k narušení přístupu do paměti a uživatel je upozorněn. Pokud uživatel porušení nezvládne, proces je ukončen.
Nevýhodou používání funkce DEP je, že někdy může označovat programy, které se spoléhají na služby systému Microsoft Windows. Chcete-li takové programy spouštět, budete muset zakázat funkci DEP nebo vytvořit výjimku pro program v nastavení systému. To by však učinilo program zranitelným vůči útokům, které by se pak mohly rozšířit na další programy a soubory ve vašem počítači.
Před zakázáním funkce DEP pro program doporučujeme vyhledat verzi programu kompatibilní s funkcí DEP u vydavatele softwaru.
Typy prevence spouštění dat
Zabránění spuštění dat může být vynuceno hardwarem i softwarem, aby se zabránilo spuštění škodlivého kódu. Zde je návod, jak se tyto dva liší:
1. Hardwarově vynucené DEP
Hardwarové omezení spouštění dat označí všechna paměťová místa jako nespustitelná, pokud umístění výslovně neobsahuje spustitelný kód. Spoléhá na hardware procesoru, aby rozlišil paměťová místa, kde by kód neměl být spuštěn.
Hardwarová implementace DEP se liší v závislosti na architektuře procesoru, ale všechny procesory, které podporují „ochranu spuštění“, mohou vynutit hardwarové DEP proti škodlivým zneužitím. Oba AMD a Intel zajistit, aby architektury procesorů byly kompatibilní s DEP.
Hardwarově vynucené požadavky DEP
- Počítačový procesor by měl být kompatibilní s DEP.
- Hardwarově vynucené DEP by mělo být povoleno v BIOSu.
- Hardwarově vynucené DEP by mělo být povoleno pro programy v systému.
2. Softwarově vynucené DEP
Softwarem vynucené DEP je technologie ochrany paměti navržená tak, aby zabránila zneužití kódu, které využívá mechanismy zpracování výjimek systému Windows. Jakýkoli procesor se systémem Windows XP Service Pack 2 (SP2) a vyšším může spustit softwarově vynucenou prevenci spuštění dat.
Softwarově vynucené DEP samotné může chránit pouze omezené systémové binární soubory. Chcete-li plně využít funkci ochrany proti spuštění, musíte použít procesor, který podporuje hardwarové omezení spouštění dat.
Jak povolit DEP ve Windows 10 a 11
Můžete povolit, zakázat nebo udělat konkrétní výjimky pro programy, které by neměly používat funkci DEP Windows 10 a 11. Chcete-li to provést, můžete použít kteroukoli z následujících dvou metod.
1. Pomocí nastavení systému
Použití nabídky Nastavení je nejpřímější způsob, jak povolit funkci DEP na vašem počítači se systémem Windows. Zde je to, co musíte udělat:
- Začněte kliknutím Start a vyberte Nastavení.
- Typ Zobrazit Pokročilá nastavení systému a v rozbalovací nabídce vyberte stejnou možnost.
- Klepněte na Pokročilý v novém okně a vyberte Nastavení pod Výkon sekce.
- Klikněte na Prevence spouštění dat na liště nabídek a zaškrtněte políčko proti Zapněte funkci DEP pouze pro všechny programy a služby volba.
- Použijte změny a klikněte OK k dokončení procesu. Možná budete muset restartovat systém, aby se změny projevily.
Výběrem můžete také vyloučit určité programy z ochrany DEP Zapnout funkci DEP pro všechny programy a služby kromě těch, které vyberu. Jakmile zaškrtnete políčko u této možnosti, budete moci do seznamu přidat programy a služby, které nebudou používat funkci DEP.
Okno zabránění spuštění dat vám navíc sdělí, zda váš procesor podporuje hardwarově vynucené DEP.
2. Pomocí příkazového řádku
Případně můžete použít příkazový řádek, což je ve skutečnosti jednokrokový proces, pokud znáte příkazový řádek. Postupujte podle následujících kroků:
- Chcete-li povolit funkci DEP prostřednictvím příkazového řádku, klepněte na Start a typ CMD ve vyhledávacím poli.
- Klepněte pravým tlačítkem myši na příkazový řádek a vyberte Spustit jako administrátor.
- V okně Příkazový řádek zadejte BCDEDIT /SET {CURRENT} NX ALWAYSON a stiskněte Vstupte.
Změny se projeví, jakmile restartujete počítač.
Užijte si ochranu proti zneužití kódu
DEP není komplexní obranou proti všem exploitům. Je to základní funkce ochrany systému a neměli byste ji používat jako náhradu za firewall nebo antivirový software.
Systém Windows ve výchozím nastavení povoluje funkci DEP a zůstane aktivní, pokud nemáte pádný důvod ji deaktivovat pro konkrétní programy nainstalované ve vašem systému.
Kolik bezpečnostních zranitelností existuje a jak jsou posuzovány?
Přečtěte si další
Související témata
- Bezpečnostní
- Počítačová bezpečnost
- Windows 10
- Windows 11
O autorovi
Fawad je IT a komunikační inženýr, začínající podnikatel a spisovatel. Do arény psaní obsahu vstoupil v roce 2017 a od té doby spolupracoval se dvěma digitálními marketingovými agenturami a mnoha B2B a B2C klienty. Píše o bezpečnosti a technice na MUO s cílem vzdělávat, bavit a zapojit publikum.
Přihlaste se k odběru našeho newsletteru
Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné e-knihy a exkluzivní nabídky!
Chcete-li se přihlásit k odběru, klikněte sem