Data Execution Prevention (DEP) je zabudována do Windows 10 a přidává další vrstvu zabezpečení, která brání spouštění malwaru v paměti. Ve výchozím nastavení je povolena a je navržena tak, aby rozpoznávala a ukončila spouštění neautorizovaných skriptů ve vyhrazených oblastech paměti počítače. Toto je populární vektor útoku pro malware, takže Microsoft přidal DEP, aby jej zastavil.
Data Execution Prevention byla ve Windows 7 zavedena ve společném úsilí společnosti Microsoft uzavřít některé z mnoha bezpečnostních děr, které sužovaly operační systém. Je to skvělá teorie, ale pokud jste někdy viděli zprávu „Tento program byl zablokován pro vaši ochranu“, víte, že ne vždy funguje tak, jak je inzerováno. Vždy je lepší být příliš paranoidní než nedostatečně paranoidní, ale když se to dostane do cesty výkonu počítače, stane se to na obtíž.
Zakázat prevenci spouštění dat
Existuje mnoho důvodů, proč byste nikdy neměli deaktivovat prevenci spouštění dat (DEP). Spíše než pohřbít titulek, nejprve vám ukážu, jak to udělat, a pak mluvit o tom, proč byste to neměli dělat.
- Otevřete okno CMD jako správce.
- Napište „bcdedit.exe /set {current} nx AlwaysOff“ a stiskněte Enter.
Po dokončení byste měli vidět „Operace byla úspěšně dokončena“. Funkce DEP je nyní na vašem počítači vypnutá. Pokud chcete funkci DEP znovu povolit, zadejte ‚bcdedit.exe /set {current} nx AlwaysOn‘ a stiskněte Enter. Pokud to fungovalo, měli byste vidět stejné úspěšné oznámení pod příkazem.
Pokud uvidíte chybu jako na obrázku výše, která zní „Hodnota je chráněna zásadami Secure Boot Policy a nelze ji upravit ani smazat“, znamená to, že máte v systému BIOS/UEFI povoleno Secure Boot. Chcete-li zakázat funkci DEP, budete muset restartovat počítač do systému BIOS/UEFI, najít nastavení Secure Boot a vypnout jej. Spusťte systém Windows a opakováním výše uvedených kroků deaktivujte funkci DEP.
Z grafického uživatelského rozhraní Windows můžete trochu ovládat, jak funkce DEP funguje.
- Otevřete Ovládací panely.
- Přejděte na Systém a zabezpečení a Systém.
- V levém menu vyberte Advanced system Settings.
- Vyberte kartu Zabránění spouštění dat.
Zde si můžete vybrat, zda povolit funkci DEP pouze pro Windows a související aplikace nebo pro všechny programy v počítači. Můžete také vybrat seznam povolených, kde můžete vyloučit konkrétní program z funkce DEP. Toto okno má omezené použití mimo podnikové prostředí, ale je tam, pokud chcete experimentovat.
Proč byste neměli deaktivovat funkci DEP
Zatímco počáteční verze DEP způsobovaly problémy, novější verze ve Windows 8 a Windows 10 jsou mnohem, mnohem lepší. Funkce DEP nyní většinou funguje na pozadí a nezasahuje do toho, jak počítač používáte. Existuje několik důvodů, proč byste neměli deaktivovat funkci DEP.
Nezbytná ochrana před neviditelným
Hlavním důvodem, proč nechat funkci DEP spuštěnou, je to, že poskytuje téměř neviditelnou ochranu před neviditelnými útočníky. Pokud se virus nebo malware dostane přes váš bezpečnostní software a funkce DEP je vypnutá, neexistuje způsob, jak zjistit, že něco ve vašem počítači funguje. Malware může spouštět skripty a provádět své úkoly bez rušení, což může být zničující.
Funkce DEP nyní rozpozná většinu nových her a programů a nebude vás obtěžovat chybami nebo upozorněními. Je to jedna z funkcí systému Windows, která uživatelům skutečně poskytuje hodnotu.
Vzhledem k tomu, že po internetu se pohybuje více virů a malwaru než kdykoli předtím, je každá další vrstva ochrany dobrá. Pokud to tu a tam dává lichou chybu, je to malá cena. Navíc, pokud se mu konkrétní program nelíbí, můžete jej vždy přidat na seznam povolených pomocí metody, kterou jsem popsal výše. Dokud jste si jisti, že je program bezpečný, měli byste být v pořádku.
Chybu možná nedává DEP
Některé chyby porušení nemají s Prevencí spouštění dat vůbec nic společného. Může to být Řízení uživatelských účtů, Místní zásady, Zásady skupiny, Windows Defender, váš antivirový nebo malwarový software nebo něco úplně jiného. Mezi IT techniky je zvykem vinit DEP za jakékoli narušení přístupu nebo paměti, ale není to vždy pravda. Je to někdy, ale ne vždy.
Můžete také experimentovat deaktivací UAC, dočasným pozastavením bezpečnostního softwaru nebo spuštěním programu s oprávněními správce. Pokud to funguje i poté, co to udělal, nebylo to vůbec DEP.
Data Execution Prevention byla přidána do Windows jako další vrstva ochrany. Možná nejsem příznivcem některých rozhodnutí Microsoftu, pokud jde o „nás ochranu“, ale DEP je takové, které funguje. Pokud opravdu nemusíte deaktivovat DEP, opravdu bych to nechal běžet.