Konfigurieren von Speicherschutz in Windows XP SP2
Auf dieser Seite
Einleitung
Microsoft Windows XP Service Pack 2 (SP2) trägt zum Schutz Ihres Computers gegen das Eindringen von destruktivem Code in Speicherbereiche bei, die für nicht-ausführbaren Code reserviert sind. Hierfür wird eine Reihe von hardware- und softwaregesteuerten Technologien implementiert, die als Datenausführungsverhinderung (DEP, Data Execution Prevention) bezeichnet werden. Bei hardwaregesteuerter Datenausführungsverhinderung handelt es sich um eine Funktion bestimmter Prozessoren, die die Ausführung von Code in Speicherbereichen verhindert, die als Datenspeicher markiert sind. Diese Funktion wird auch als „No Execute“ (NX) oder Ausführungsschutz bezeichnet. Windows XP SP2 umfasst zudem eine softwaregesteuerte Datenausführungsverhinderung, die den Missbrauch von Ausnahmebehandlungsverfahren in Windows reduzieren soll.
Im Gegensatz zu einem Antivirusprogramm verhindern hardware- und softwaregesteuerte Technologien zur Datenausführungsverhinderung nicht, dass schädliche Programme auf Ihrem Computer installiert werden. Stattdessen überwachen sie Ihre Programme, um festzustellen, ob diese den Systemspeicher auf sichere Weise verwenden. Die hardwaregesteuerte Datenausführungsverhinderung überwacht bestimmte als „nicht ausführbar“ deklarierte Speicherbereiche. Wenn ein Programm in einem als „nicht ausführbar“ deklarierten Speicherbereich versucht, Code auszuführen, wird dieses Programm von Windows geschlossen. Diese Aktion wird auch bei nicht bösartigem Code durchgeführt.
Hinweis: Die softwarebasierte Datenausführungsverhinderung ist ein Bestandteil von Windows XP SP2 und ist standardmäßig aktiviert, unabhängig von den hardwaregesteuerten Ausführungsschutzfunktionen des Prozessors. Softwaregesteuerte Datenausführungsverhinderung wird standardmäßig auf alle Kernkomponenten und -Dienste des Betriebssystems angewendet.
Die Standardkonfiguration der Datenausführungsverhinderung ist für den Schutz des Computers bei minimaler Beeinträchtigung der Anwendungskompatibilität konzipiert. Je nachdem, wie die Datenausführungsverhinderung konfiguriert ist, kann es jedoch sein, dass einige Programme nicht ordnungsgemäß ausgeführt werden. Verwenden Sie die in diesem Dokument beschriebenen Verfahren, um die Datenausführungsverhinderung auf Ihrem Computer zu konfigurieren:
| • | Aktivieren der Datenausführungsverhinderung für alle Programme auf Ihrem Computer |
| • | Hinzufügen von Programmen zur Ausnahmeliste der Datenausführungsverhinderung |
| • | Deaktivieren der Datenausführungsverhinderung für den gesamten Computer WICHTIG: Die Anleitungen in diesem Dokument wurden auf Grundlage des Startmenüs entwickelt, das standardmäßig nach der Installation des Betriebssystems angezeigt wird. Wenn Sie das Menü „Start“ geändert haben, können sich die Arbeitsschritte leicht unterscheiden. |
Definitionen von Begriffen rund um die Sicherheit finden Sie hier:
| • | „ Microsoft Sicherheitsglossar “ auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=35468 (in englischer Sprache) |
Weitere Informationen zur Datenausführungsverhinderung finden Sie in folgendem Artikel:
| • | Microsoft Knowledge Base-Artikel 875352 auf der Microsoft-Website „Hilfe und Support“ unter http://go.microsoft.com/fwlink/?linkid=35494 |
Bevor Sie beginnen
Dieses Dokument enthält Anleitungen zur Konfiguration der Datenausführungsverhinderung unter Windows XP SP2.
Hinweis: Die hardwaregesteuerte Datenausführungsverhinderung ist auf Computern mit DEP-kompatiblen Prozessoren, die Microsoft Windows XP 64-Bit Edition ausführen, standardmäßig aktiviert. 64-Bit-Anwendungen können von als „nicht ausführbar“ markierten Speicherbereichen aus nicht ausgeführt werden. Die hardwaregesteuerte Datenausführungsverhinderung kann nicht deaktiviert werden.
Softwaregesteuerte Datenausführungsverhinderung bei Windows XP SP2- und 32-Bit-Anwendungen, die auf einem beliebigen Prozessor ausgeführt werden, kann so konfiguriert werden, dass als „ausführbar“ oder als „nicht ausführbar“ markierte Speicherbereiche verwendet werden.
Aktivieren der Datenausführungsverhinderung für alle Programme auf dem Computer
Die Standardkonfiguration für hardware- und softwarebasierte Datenausführungsverhinderung schützt die wichtigsten Komponenten und Dienste von Windows und hat nur minimale Auswirkungen auf die Anwendungskompatibilität. Sie haben jedoch die Möglichkeit, die Datenausführungsverhinderung für den Schutz aller Anwendungen und Programme auf Ihrem Computer zu konfigurieren. Die Konfiguration der Datenausführungsverhinderung für alle Anwendungen und Programme des Computers bietet zusätzlichen Schutz, kann jedoch zu Problemen bei der Anwendungskompatibilität führen. Sollten Kompatibilitätsprobleme für bestimmte 32-Bit-Anwendungen auftreten, können Sie diese von der softwarebasierten Datenausführungsverhinderung ausnehmen. Es ist nicht möglich, die hardwaregesteuerte Datenausführungsverhinderung zu deaktivieren oder 64-Bit-Anwendungen, die auf 64-Bit-Windows XP-Systemen mit DEP-kompatiblen Prozessoren ausgeführt werden, als Ausnahmen zu deklarieren.
Anforderungen zum Ausführen dieser Aufgabe
| • | Anmeldeinformationen: Sie müssen sich bei dem Computer über ein Konto mit lokalen Administratorrechten anmelden. |
Konfigurieren der Datenausführungsverhinderung zum Schutz aller Anwendungen
So aktivieren Sie die Datenausführungsverhinderung für alle Anwendungen
1. | Klicken Sie auf Start und anschließend auf Systemsteuerung . |
2. | Klicken Sie unter Wählen Sie eine Kategorie auf Leistung und Wartung. |
3. | Klicken Sie unter oder ein Systemsteuerungssymbol auf System. |
4. | Klicken Sie auf die Registerkarte Erweitert.  Abbildung 1 Systemeigenschaften – Registerkarte „Erweitert“ |
5. | Klicken Sie im Bereich Systemleistung auf Einstellungen.  Abbildung 2 Leistungsoptionen |
6. | Klicken Sie auf die Registerkarte Datenausführungsverhinderung.  Abbildung 3 Registerkarte „Datenausführungsverhinderung“ |
7. | Aktivieren Sie Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten aktivieren . |
8. | Klicken Sie auf Übernehmen und anschließend auf OK. Es wird ein Dialogfeld angezeigt, das Ihnen mitteilt, dass Sie den Computer neu starten müssen, damit die Einstellung wirksam wird. Klicken Sie auf OK. |
Überprüfen, ob die Einstellungen für die Datenausführungsverhinderung für alle Programme übernommen wurden
So überprüfen Sie, ob die Einstellungen für die Datenausführungsverhinderung für alle Programme übernommen wurden
1. | Klicken Sie auf Start und anschließend auf Systemsteuerung. |
2. | Klicken Sie unter Wählen Sie eine Kategorie auf Leistung und Wartung. |
3. | Klicken Sie unter oder ein Systemsteuerungssymbol auf System. |
4. | Klicken Sie auf die Registerkarte Erweitert. |
5. | Klicken Sie im Bereich Systemleistung auf Einstellungen und dann auf Datenausführungsverhinderung. |
6. | Vergewissern Sie sich, dass Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten aktivieren ausgewählt ist, und klicken Sie dann auf OK, um das Dialogfeld Leistungsoptionen zu schließen. |
7. | Klicken Sie auf OK, um Systemeigenschaften zu schließen, und schließen Sie dann Leistung und Wartung. |
Aktivieren der Ausnahmeliste für die Datenausführungsverhinderung
Falls die Datenausführungsverhinderung ein Problem mit Ihren Anwendungen verursacht, werden Sie in einem Dialogfeld davon verständigt.
Abbildung 4 Dialogfeld, das eingeblendet wird, wenn die Ausführung einer Anwendung versucht wurde und dabei ein Problem mit der Datenausführungsverhinderung aufgetreten ist
Für den Fall, dass die Datenausführungsverhinderung zu Anwendungsfehlern führt, empfiehlt Microsoft, dass Sie sich beim Hersteller der Anwendung erkundigen, ob ein DEP-kompatibles Update verfügbar ist. Kompatibilitätsprobleme bei der Datenausführungsverhinderung sollten vorzugsweise durch die Installation eines solchen Updates gelöst werden.
Ist für die jeweilige Anwendung kein Update verfügbar, führen Sie die nachstehenden Schritte aus, um die Ausnahmeliste aufzurufen und zu konfigurieren. Bei der Ausnahmeliste handelt es sich um die Liste aller Anwendungen, die von der Datenausführungsverhinderung ausgenommen sind.
Hinweis: Diese Ausnahmefunktion ist nur verfügbar, wenn die Datenausführungsverhinderung zum Schutz aller Programme und Dienste eingerichtet ist. Wenn Sie den Computer nur für einen Schutz der wichtigsten Windows-Komponenten und -Dienste konfigurieren, steht die Ausnahmeliste nicht zur Verfügung.
Anforderungen zum Ausführen dieser Aufgabe
| • | Anmeldeinformationen: Sie müssen sich bei dem Computer über ein Konto mit lokalen Administratorrechten anmelden. |
Aktivieren der Ausnahmeliste für die Datenausführungsverhinderung
So aktivieren Sie die Ausnahmeliste für die Datenausführungsverhinderung
1. | Klicken Sie auf Start und anschließend auf Systemsteuerung. |
2. | Klicken Sie unter Wählen Sie eine Kategorie auf Leistung und Wartung. |
3. | Klicken Sie unter oder ein Systemsteuerungssymbol auf System. |
4. | Klicken Sie auf die Registerkarte Erweitert.  Abbildung 5 Systemeigenschaften – Registerkarte „Erweitert“ |
5. | Klicken Sie im Bereich Systemleistung auf Einstellungen.  Abbildung 6 Leistungsoptionen |
6. | Klicken Sie auf die Registerkarte Datenausführungsverhinderung.  Abbildung 7 Registerkarte „Datenausführungsverhinderung“ |
7. | Klicken Sie auf Hinzufügen. |
8. | Suchen Sie nach der Programmdatei für die fehlgeschlagene Anwendung, markieren Sie sie, und klicken Sie dann auf Öffnen. |
9. | Klicken Sie im Warnmeldungsfeld auf OK. Das ausgewählte Programm wird jetzt im Programmbereich der Datenausführungsverhinderung angezeigt. |
10. | Klicken Sie auf Übernehmen und anschließend auf OK. Es wird ein Dialogfeld angezeigt, das Ihnen mitteilt, dass Sie den Computer neu starten müssen, damit die Einstellung wirksam wird. Klicken Sie auf OK. |
Überprüfen, ob die Einstellungen der Ausnahmeliste für die Datenausführungsverhinderung übernommen wurden
So überprüfen Sie, ob die Einstellungen für den Speicherschutz übernommen wurden
1. | Klicken Sie auf Start und anschließend auf Systemsteuerung. |
2. | Klicken Sie unter Wählen Sie eine Kategorie auf Leistung und Wartung. |
3. | Klicken Sie unter oder ein Systemsteuerungssymbol auf System. |
4. | Klicken Sie auf die Registerkarte Erweitert. |
5. | Klicken Sie im Bereich Systemleistung auf Einstellungen und dann auf Datenausführungsverhinderung. |
6. | Vergewissern Sie sich, dass die Ausnahmeliste die gewünschten Programme enthält. Klicken Sie anschließend auf OK, um das Dialogfeld Leistungsoptionen zu schließen. |
7. | Klicken Sie auf OK, um Systemeigenschaften zu schließen, und schließen Sie dann Leistung und Wartung. |
Konfigurieren systemweiter Optionen für die Datenausführungsverhinderung
Um für Ihren Computer systemweite Änderungen an der Datenausführungsverhinderung vorzunehmen, müssen Sie für die derzeit ausgeführte Windows-Installation einen Parameter in der Konfigurationsdatei „boot.ini“ ändern. Der boot.ini-Parameter lautet wie folgt:
| • | /noexecute =Richtlinienstufe |
In Tabelle 1 werden die Optionen für „Richtlinienstufe“ aufgeführt.
Tabelle 1 Boot.ini-Optionen für die Richtlinienstufe der Datenausführungsverhinderung
| Richtlinienstufe | Beschreibung |
OptIn (Standardkonfiguration) (Standardkonfiguration) | Nur Windows-Systemkomponenten und -Dienste werden durch die Datenausführungsverhinderung geschützt. |
OptOut | Die Datenausführungsverhinderung ist für alle Prozesse aktiviert. Administratoren können manuell eine Liste bestimmter Anwendungen erstellen, auf die keine Datenausführungsverhinderung angewendet wird. |
AlwaysOn | Die Datenausführungsverhinderung ist für alle Prozesse aktiviert. |
AlwaysOff | Die Datenausführungsverhinderung ist für keinen Prozess aktiviert. |
WICHTIG: Nachdem Sie an der Datei „boot.ini“ Änderungen vorgenommen haben, müssen Sie den Computer neu starten.
WARNUNG: Microsoft rät dringend davon ab, die softwareseitige Datenausführungsverhinderung global zu deaktivieren, da dies die Sicherheit Ihres Computers beeinträchtigen würde. Die hardwareseitige Datenausführungsverhinderung kann nicht manuell deaktiviert werden.
Anforderungen zum Ausführen dieser Aufgabe
| • | Anmeldeinformationen: Sie müssen sich bei dem Computer über ein Konto mit lokalen Administratorrechten anmelden. |
Systemweites Deaktivieren der Datenausführungsverhinderung über die Datei „boot.ini“
So deaktivieren Sie die Datenausführungsverhinderung über die Datei „boot.ini“
1. | Klicken Sie auf Start und anschließend auf Systemsteuerung. |
2. | Klicken Sie unter Wählen Sie eine Kategorie auf Leistung und Wartung. |
3. | Klicken Sie unter oder ein Systemsteuerungssymbol auf System. |
4. | Klicken Sie auf die Registerkarte Erweitert und dann im Bereich Starten und Wiederherstellen auf Einstellungen.  Abbildung 8 Einstellungen für „Starten und Wiederherstellen“ |
5. | Klicken Sie im Bereich Systemstart auf Bearbeiten.  Abbildung 9 Datei „boot.ini“ im Editor |
6. | Klicken Sie im Editor auf Bearbeiten und anschließend auf Suchen. |
7. | Geben Sie im Feld Suchen nach die Zeichenfolge /noexecute ein, und klicken Sie dann auf Weiter suchen. |
8. | Klicken Sie im Dialogfeld Suchen auf Abbrechen. |
9. | Ersetzen Sie die Richtlinienstufe (z. B. „OptOut“) durch „AlwaysOff“ (ohne Anführungszeichen). WARNUNG: Gehen Sie bei der Eingabe des Texts sorgfältig vor. Hinweis: Der Parameter in Ihrer boot.ini-Datei sollte nun wie folgt aussehen: /noexecute=AlwaysOff |
10. | Klicken Sie im Editor auf Datei und dann auf Speichern. |
11. | Klicken Sie auf OK, um Starten und Wiederherstellen zu schließen. |
12. | Klicken Sie auf OK, um Systemeigenschaften zu schließen, und starten Sie Ihren Computer anschließend neu. |
Überprüfen, ob die Datenausführungsverhinderung deaktiviert ist
So überprüfen Sie, ob die Einstellungen für den Speicherschutz übernommen wurden
1. | Klicken Sie auf Start und anschließend auf Systemsteuerung. |
2. | Klicken Sie unter Wählen Sie eine Kategorie auf Leistung und Wartung. |
3. | Klicken Sie unter oder ein Systemsteuerungssymbol auf System. |
4. | Klicken Sie auf die Registerkarte Erweitert. |
5. | Klicken Sie im Bereich Systemleistung auf Einstellungen und dann auf Datenausführungsverhinderung. |
6. | Vergewissern Sie sich, dass die Einstellungen für die Datenausführungsverhinderung nicht verfügbar sind, und klicken Sie dann auf OK, um das Dialogfeld Leistungsoptionen zu schließen. |
7. | Klicken Sie auf OK, um Systemeigenschaften zu schließen, und schließen Sie dann Leistung und Wartung. |
Weitere Informationen
Weitere Informationen zu Speicherschutz in Windows XP SP2 finden Sie im folgenden Artikel:
| • | Änderungen an der Funktionalität durch Microsoft Windows XP Service Pack 2, Teil 2: Technologien für den Netzwerkschutz auf der Microsoft TechNet-Website unter http://www.microsoft.com/germany/technet/datenbank/articles/600337_1.mspx |
Weitere Informationen zu Windows XP SP2-Sicherheit finden Sie hier:
| • | Sicherheitshandbuch für Windows XP (inklusive Anhang zu Windows XP Serive Pack 2) unter http://www.microsoft.com/germany/technet/datenbank/articles/900060.mspx |
| • | Anhang A - Zusatzinformationen zu Windows XP Service Pack 2 unter http://www.microsoft.com/germany/technet/datenbank/articles/900065_app1.mspx |
Definitionen von Begriffen rund um die Sicherheit finden Sie hier:
| • | Microsoft Sicherheitsglossar auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=35468 (in englischer Sprache) |