Windows 7/Vista - vinkkejä


Tietojen suorittamisen estäminen

Tietojen suorittamisen estäminen (Data Execution Prevention, DEP) auttaa tietokoneen suojaamisessa valvomalla sitä, että ohjelmat käyttävät järjestelmän muistia turvallisella tavalla. Jos jokin ohjelma yrittää suorittaa ohjelmakoodia muistista väärällä tavalla, tietojen suorittamisen estäminen sulkee ohjelman.

Yhdessä DEP:n kanssa toimiva ASLR (Address Space Layout Randomization) antaa lisäsuojaa, vaikeuttamalla return-to-libc -hyökkäyksiä, jossa hyökkäyskoodi yrittää asiattomasti kutsua jotain tärkeää järjestelmätoimintoa. ASLR sijoittaa nämä toiminnot ympäri muistia joten ne ovat sattumanvaraisessa sijainnissa, ja näin ollen hyökkäystä on vaikea saada toimimaan.

DEP ja ASLR täydentävät siis toisiaan: ASLR tekee hyökkäyksen vaikeaksi, koska hyökkääjä ei tiedä missä kohde sijaitsee. Ja jos tarttuminen onnistuukin, DEP estää koodin ajon.

Toisin kuin usein luullaan, sekä DEP että ASLR toimivat myös 32-bittisessä Windows 7/Vistassa. Jos tietokoneen suoritin tukee laitteistopohjaista tietojen suorittamisen estämistä, ja se on kytketty päälle, käytetään laitteistopohjaista tietojen suorittamisen estämistä (samoin PAE, Physical Address Extension otetaan automaattisesti käyttöön). Jos taas suoritin ei tue laitteistopohjaista tietojen suorittamisen estämistä, käytetään ohjelmistopohjaista tietojen suorittamisen estämistä.

Oletuksena Tietojen suorittamisen estäminen valvoo Windowsin tärkeitä ohjelmia ja palveluita. Voit parantaa suojausta asettamalla tietojen suorittamisen estämisen valvomaan kaikkia ohjelmia.

1. Käynnistä -> [kirjoita hakukenttään] Järjestelmä ja käynnistä klikkaamalla hiirellä tai painamalla Enter.
    (Perinteisemmin: Käynnistä -> Ohjauspaneeli -> Järjestelmä ja suojaus -> Järjestelmä)



2. Valitse oikeasta yläkulmasta Järjestelmän lisäasetukset. Anna tarvittaessa varmennus.



3. Valitse Lisäasetukset -välilehdeltä Suorituskyky -kohdasta Asetukset -painike.


4. Valitse Tietojen suorittamisen estäminen -välilehdeltä Ota tietojen suorittamisen estämistoiminto käyttöön kaikille ohjelmille ja palveluille paitsi seuraaville: -valinta. Valitse lopuksi OK.

Ongelmia?

Joskus voi käydä niin, että välittömästi ohjelman käynnistyksen jälkeen saat ilmoituksen ohjelman toiminnan lakkaamisesta.
Tai ohjelma ei vaan tunnu käynnistyvän.

Tällöin voit lisätä ohjelman poikkeuslistalle, jolloin ko. ohjelmia ei ajeta DEPin alaisuudessa.

1. Valitse Lisää... -painike.


2. Etsi ohjelma, joka ei toiminut DEPin alaisuudessa ja valitse lopuksi Avaa -painike.


3. Valitse lopuksi OK.


Lisätietoa:
Mitä on tietojen suorittamisen estäminen?
Data Execution Prevention
Address space layout randomization
On the effectiveness of DEP and ASLR
[Sisällysluettelo]
30.8.2007
(Yama)Neko