Loading...
null

Prevenzione esecuzione programmi e Protezione da overflow del buffer
Articoli tecnici ID:   KB58554
Ultima modifica:  03/11/2016
Con punteggio:


Ambiente

McAfee VirusScan Enterprise (VSE) 8.x
McAfee Agent (MA) 4.0

Riepilogo

Prevenzione esecuzione programmi e Protezione da overflow del buffer per VSE
Prevenzione esecuzione programmi (DEP) è una funzionalità del sistema operativo che utilizza l'hardware del processore per contrassegnare la memoria con un attributo che indica dove non deve essere eseguito il codice nello spazio di memoria. La protezione dell'esecuzione (anche nota come NX o No eXecute) impedisce l'esecuzione del codice dalle pagine dei dati nell'heap predefinito, negli stack di memoria e nei pool di memoria. La protezione è applicabile sia in modalità utente che kernel.


Considerazioni relative a DEP quando VSE o il servizio Framework vengono eseguiti sullo stesso computer
Microsoft supporta la protezione esecuzione (NX) nei sistemi operativi Windows XP/SP2 e Windows 2003 Server. Per impostazione predefinita, la protezione esecuzione è attivata in questi sistemi operativi quando vengono eseguiti sui processori più recenti di AMD, K8 e delle famiglie di processori Intel® Itanium. Si prevede che anche i futuri processori a 32 e 64 bit forniranno tale funzionalità.

La funzionalità DEP o NX richiede che l'opzione di avvio Estensione indirizzo fisico (PAE) sia attivata. In questo modo il supporto PAE viene attivato per i computer che in genere vengono eseguiti con più di 4 GB di RAM. PAE carica un file kernel del sistema operativo differente (ntkrnlpa.exe per i monoprocessori e ntkrpamp.exe per i multiprocessori). Per ulteriori informazioni, fare riferimento alla documentazione corrente disponibile nel sito di supporto Microsoft.


Protezione da overflow del buffer sui sistemi con chip NX
La protezione offerta da DEP e VSE BOP (protezione da overflow del buffer) non genera conflitti né si sovrappone direttamente. VSE rileva un determinato attributo di exploit del sovraccarico buffer: programmi che tentano di eseguire operazioni logiche e ottenere il controllo. La funzionalità DEP hardware rileva un attributo differente: programmi che tentano di ottenere il controllo ed eseguire operazioni logiche. Entrambi i metodi sono in grado di rilevare e bloccare gli exploit in quanto per un exploit efficace sono necessari entrambi gli attributi. Il metodo che rileva gli exploit dipende dall'attributo che emerge per primo. Questo dipende a sua volta dalla natura della vulnerabilità sfruttata e dalla tecnica necessaria per sfruttarla.

Diversamente da DEP, la funzionalità VSE BOP si limita a proteggere un elenco prestabilito di processi. Se è necessario disattivare una delle due funzionalità, Intel Security consiglia di disattivare VSE BOP.

Per ulteriori informazioni su DEP, consultare la pagina http://support.microsoft.com/kb/875352.

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Classifica questo documento

Prodotti interessati

Beta Translate with

Select a desired language below to translate this page.