Loading...

Preventie van gegevensuitvoering en bufferoverloopbeveiliging
Technische artikelen ID:   KB58554
Laatst gewijzigd:  3-11-2016
Beoordeeld:


Omgeving

McAfee VirusScan Enterprise (VSE) 8.x
McAfee Agent (MA) 4.0

Samenvatting

Preventie van gegevensuitvoering en bufferoverloopbeveiliging voor VSE
Preventie van gegevensuitvoering (DEP) is een besturingssysteemfunctie die op basis van processorhardware geheugen markeert met een kenmerk waarmee wordt aangegeven waar geen code-uitvoering moet plaatsvinden in de geheugenruimte. Uitvoeringspreventie (ook wel NX of No eXecute) voorkomt de uitvoering van code vanuit gegevenspagina's in de standaard-heap, geheugen-stacks en geheugengroepen. Preventie kan zowel in de gebruikers- als in de kernelmodus worden toegepast.


Aandachtspunten met betrekking tot DEP wanneer VSE/Framework Service worden uitgevoerd op dezelfde computer
Microsoft ondersteunt uitvoeringspreventie (NX) in de besturingssystemen Windows XP/SP2 en Windows 2003 Server. In deze besturingssystemen is uitvoeringspreventie standaard ingeschakeld wanneer deze worden uitgevoerd op de nieuwere processors uit de AMD-, K8- en Intel® Itanium-processorfamilies. Naar verwachting zullen toekomstige 32-bits en 64-bits processors ook uitvoeringspreventie bieden.

Voor de DEP- of NX-functionaliteit moet de schakeloptie voor opstarten Extensie van fysiek adres zijn ingeschakeld. Hiermee wordt ondersteuning van Extensie van fysiek adres ingeschakeld voor apparaten die doorgaans met meer dan 4 GB aan RAM worden uitgevoerd. Met Extensie van fysiek adres wordt een ander kernelbestand voor het besturingssysteem (ntkrnlpa.exe voor enkele processors en ntkrpamp.exe voor meerdere processors) uitgevoerd. Raadpleeg de actuele documentatie op de Microsoft-ondersteuningssite voor meer informatie hierover.


Bufferoverloopbeveiliging op systemen met de NX-chip
De beveiliging die wordt geboden door DEP en VSE-bufferoverloopbeveiliging leidt niet tot directe overlappingen of conflicten. VSE detecteert een bepaald kenmerk van exploits van bufferoverlopen: programma's die proberen logische bewerkingen uit te voeren en controle te krijgen. Hardware-DEP detecteert een ander kenmerk: programma's die proberen controle te krijgen en logische bewerkingen uit te voeren. Met beide methoden kunnen exploits worden gedetecteerd en geblokkeerd omdat een geslaagde exploit afhankelijk is van beide kenmerken. Welke methode een bepaalde exploit detecteert, is afhankelijk van het kenmerk dat als eerste opduikt. Dit wordt bepaald door de aard van de kwetsbaarheid die wordt geëxploiteerd en de techniek die vereist is voor de exploitatie.

Met VSE-bufferoverloopbeveiliging wordt uitsluitend een vaste lijst processen beschermd, met DEP is dit niet het geval. Als het nodig is om een van deze functies uit te schakelen, raadt Intel Security u aan VSE-bufferoverloopbeveiliging uit te schakelen.

Ga voor meer informatie over DEP naar http://support.microsoft.com/kb/875352.

ontkenning

De inhoud van dit artikel is oorspronkelijk in het Engels uitgebracht. Als er verschillen zijn tussen de Engelse inhoud en de vertaling, is de Engelse inhoud altijd het meest accuraat. Een deel van deze inhoud is het resultaat van het gebruik van de machinevertaling van Microsoft.

Dit document beoordelen

Betrokken producten