Loading...

Datenausführungsverhinderung und Buffer Overflow-Schutz
Technische Artikel ID:   KB58554
Zuletzt geändert am:  03.11.2016
Bewertet:


Umgebung

McAfee VirusScan Enterprise (VSE) 8.x
McAfee Agent (MA) 4.0

Zusammenfassung

Datenausführungsverhinderung und Buffer Overflow-Schutz für VSE
Die Datenausführungsverhinderung (DEP) ist eine Funktion des Betriebssystems, die mithilfe der Prozessor-Hardware Arbeitsspeicher mit einem Attribut markiert, das angibt, an welcher Stelle im Speicher keine Code-Ausführung stattfinden soll. Die Ausführungsverhinderung (auch als NX oder No eXecute bezeichnet) verhindert die Code-Ausführung von Datenseiten im Standard-Heap, im Stack-Speicher und in Speicher-Pools. Der Schutz kann sowohl im Benutzer- als auch im Kernel-Modus angewendet werden.


Hinweise zu DEP, wenn VSE/Framework-Dienst auf dem gleichen Computer ausgeführt werden
Microsoft unterstützt die Ausführungsverhinderung (NX) in den Betriebssystemen Windows XP/SP2 und Windows 2003 Server. Die Ausführungsverhinderung ist in diesen Betriebssystemen standardmäßig aktiviert, wenn sie unter aktuellen Prozessoren der AMD-, K8- und Intel® Itanium-Prozessor-Familien ausgeführt werden. Künftige 32-Bit- und 64-Bit-Prozessoren werden die Ausführungsverhinderung voraussichtlich ebenfalls unterstützen.

Für die DEP- bzw. NX-Funktionen muss der boot-Switch der Physical Address Extension (PAE) aktiviert sein. Dadurch wird die PAE-Unterstützung für Computer ermöglicht, die normalerweise über mehr als 4 GB RAM verfügen. PAE lädt eine andere Betriebssystem-Kernel-Datei ("ntkrnlpa.exe" für Uniprozessoren und "ntkrpamp.exe" für Multiprozessoren). Weitere Informationen hierzu finden Sie in der aktuellen Dokumentation, die auf der Microsoft-Support-Website verfügbar ist.


Buffer Overflow-Schutz in Systemen mit NX-Chip
Der durch DEP und VSE Buffer Overflow-Schutz (BOP) gebotene Schutz überschneidet sich nicht direkt und bewirkt auch keinerlei Konflikte. VSE erkennt ein bestimmtes Verhalten von Buffer Overflow-Exploits: Programme versuchen, logische Operationen auszuführen und die Kontrolle zu übernehmen. Hardware-DEP erkennt ein anderes Verhalten: Programme versuchen, die Kontrolle zu übernehmen und logische Operationen auszuführen. Beide Methoden können Exploits erkennen und blockieren, da sich ein erfolgreicher Exploit auf beide Verhaltensweisen stützt. Mit welcher Methode ein bestimmter Exploit erkannt wird, hängt davon ab, welches Verhalten zuerst auftritt. Dies ergibt sich aus der Art der ausgenutzten Schwachstelle und der Technik, mit der sie ausgenutzt wird.

Die VSE-BOP-Funktion ist im Gegensatz zu DEP auf den Schutz einer festgelegten Liste von Prozessen beschränkt. Wenn eine der beiden Funktionen deaktiviert werden muss, empfiehlt Intel Security, VSE-BOP zu deaktivieren.

Weitere Informationen zur Datenausführungsverhinderung finden Sie unter http://support.microsoft.com/kb/875352.

Haftungsausschluss

Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.

Dieses Dokument bewerten

Betroffene Produkte