Tipps für:

Gruppenrichtlinien

Partnerseiten

Virgis-Dreambabys
WinSupportForum.de
Freeware-base
 Datenausführungsverhinderung (DEP)

Datenausführungs-Verhinderung (DEP)

Gültig für: Windows XP | Server 2003 | Windows Vista | Server 2008 | Windows 7 | Windows 8 | Windows 10

Was ist die Datenausführungs-Verhinderung?

Die Datenausführungs-Verhinderung kurz DEP (Data Execution Prevention) ist eine Sicherheitsfunktion, welche ab Windows XP mit Service Pack 2 (SP2) vorhanden ist. Über DEP werden Programme bei der Ausführung überwacht, um sicherzustellen, dass Sie auf die Speicherbereiche sauber zugreifen. Wenn ein Programm versucht, Programmcodes auf eine nicht erlaubte Weise aufzurufen bzw. darauf zuzugreifen, wird das Programm durch DEP beendet.

Dabei kann es vorkommen, dass durch DEP auch "erlaubte" Programme mit einen "stop error" beendet werden.

DEP läuft im Software- und Hardwaremodus. Damit DEP auch im Hardwaremodus laufen kann, muss diese Funktion von Ihrem Prozessor unterstützt werden (XD bei Intel und NX bei AMD stehen für die DEP-Unterstützung). Wenn der Prozessor kein DEP unterstützt, läuft DEP nur im Softwaremodus, und es steht kein Hardwaremodus zur Verfügung, wodurch DEP unter Umständen leichter umgangen werden kann.

DEP wird per Standard automatisch auf allen 64-Bit Systemen aktiviert, bei 32-Bit-Systemen muss die DEP-Funktion händisch aktiviert werden.

Leider bringt DEP auch eigene Probleme mit sich:

  • Programme, die Sie benutzen möchten, führen zu einen "stop-error"
    Lösung: Programm aus der DEP-Überwachung entfernen
  • Unerwartetes Beenden des Windows Explorer
    Lösung: DEP beenden
  • Löschen von Dateien über das Kontextmenü nicht möglich (Explore-Absturz)
    Lösung: Verschieben über den Papierkorb bzw. Programm aus der DEP-Überwachung entfernen.

 

Programme aus der DEP-Überwachung entfernen

Bei allen 32-Bit Systemen haben Sie die Möglichkeit, eine OptOut- oder OptIn-Liste zu erstellen.

Bei 64-Bit Systemen ist das nicht möglich, da hier die DEP-Funktion immer aktiv ist.

Wenn Sie eine OptOut-Liste (Ausnahmeliste) erstellen, werden nur diejenigen Programme nicht von DEP überwacht, welche sich in der Liste befinden.

Wenn Sie eine OptIn-Liste (Überwachungsliste) erstellen, werden nur diejenigen Programme von DEP überwacht, welche in der Liste angegeben wurden.

Die Einstellungen dafür finden Sie unter:

 

Windows 2000:

Starten Sie aus der Systemsteuerung den Eintrag 'System' und wählen den Tabreiter "Erweitert" aus. Anschließend klicken Sie in der Gruppe "Leistung" auf den Button "Einstellungen...". Wechseln Sie im neuen Fenster "Leistungsoptionen" auf den Tabreiter "Datenausführungsverhinderung".

 

Ab Windows Vista:

Starten Sie aus der Systemsteuerung den Eintrag 'System' und wählen aus dem linken Menü den Eintrag "Erweiterte Systemeinstellungen". Klicken Sie hier unter dem Tabreiter "Erweitert" in der Gruppe "Leistung" auf den Button "Einstellungen...". Wechseln Sie im neuen Fenster "Leistungsoptionen auf den Tabreiter "Datenausführungsverhinderung".

Hier können Sie jetzt wählen zwischen

  • "Datenausführungsverhinderung nur für erforderliche Windows-Programme und -Dienste einschalten"
  • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".

Wenn Sie das Letzte auswählen, arbeiten Sie mit den OptOut- und OptIn-Listen und können über die Button "Hinzufügen" bzw. "Entfernen" die Liste der Ausnahmen bearbeiten.

Fügen Sie dazu über "Hinzufügen" die entsprechenden Anwendungen in die Liste hinzu. Vor jeder Anwendung in der Liste wird ein Kontrollkästchen eingefügt, womit Sie jetzt Folgendes einstellen können:

  • Kontrollkästchen aktivieren (OptOut-Liste):
    Die Datenausführungsverhinderung wird für das Programm deaktiviert
  • Kontrollkästchen deaktivieren (OptIn-Liste):
    Die Datenausführungsverhinderung wird für das Programm aktiviert

Diese Einstellungen werden in die Registry von Windows eingetragen.

Starten Sie den Registryeditor und ändern Sie in der Registry die Einträge wie beschrieben ab.

Beachten Sie dazu bitte folgende Punkte:

Aufrufen von REGEDIT.EXE (alle Betriebssysteme) oder REGEDT32.EXE (nur Windows NT/2000)

 

Info: Wenn der Pfad zum Schlüssel nicht vorhanden ist, müssen Sie die nötigen Schlüssel selber hinzufügen. Rechtsklick auf den letzten Schlüssel (links im Tree) aus dem Kontextmenü "Neu" -> "Schlüssel" auswählen, und die fehlenden Schlüssel mit den angegebenen Namen anlegen.

 

Die Auswahl, ob mit der Ausnahmeliste gearbeitet werden soll, finden Sie unter:

[für das System (alle Anwender)]

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ AppCompatFlags\ NoExecuteState

Hier befindet sich der Wert mit dem Namen "LastNoExecuteRadioButtonState" als Datentyp REG_DWORD. Setzen Sie den Wert alternativ auf:

36bc

WinXPSP3:

32d4

 Datenausführungs-Verhinderung nur für erforderliche Windows-Programme/-Dienste einschalten

36BD

WinXPSP3:

32d5

 Datenausführungs-Verhinderung für alle Programme und Dienste einschalten- mit Ausnahme der ausgewählten

 

Die Liste der eingetragenen Programme finden Sie unter:

[für das System (alle Anwender)]

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ AppCompatFlags\ Layers

Hier finden Sie für jeden Eintrag in der Liste einen Eintrag als Datentyp REG_SZ, wobei der Name gleich Pfad und Dateiname der Datei ist und als Wert "DisableNXShowUI" oder "EnableNXShowUI" gültige Einträge darstellen und folgende Bedeutung haben:

  • DisableNXShowUI:
    Die Datenausführungsverhinderung wird für das Programm deaktiviert
    Entspricht: Kontrollkästchen aktiviert (OptOut-Liste)
  • EnableNXShowUI:
    Die Datenausführungsverhinderung wird für das Programm aktiviert
    Entspricht: Kontrollkästchen deaktiviert (OptIn-Liste)

 

Für die oben abgebildete Liste werden die Einträge dann folgendermaßen aussehen:

 

Datenausführungsverhinderung (DEP) aus/einschalten

Windows XP und 2003

Die Datenausführungs-Verhinderung kann auch bei Windows XP und Server 2003 über die BOOT.INI gesteuert werden. Lesen Sie dazu den Tipp: "Informationen über die BOOT.INI"

 

Ab Windows Vista

Da es ab Windows Vista keine BOOT.INI mehr gibt, werden die Daten in BCD-Store abgelegt. Änderungen im BCD-Store werden über die Eingabeaufforderung durchgeführt. Öffnen Sie dafür die Eingabeaufforderung mit administrativen Rechten.

Aktivierung der OptIn-/OptOut-Liste: bcdedit.exe /set {current} nx AlwaysOn

Deaktivierung der OptIn-/OptOut-Liste: bcdedit.exe /set {current} nx AlwaysOff

 

Infos über bcdedit finden Sie im Tipp: "Informationen über den BCD-Store"

 

Datenausführungsverhinderung (DEP) in Internet Explorer 7 (32-Bit) ausschalten

Die Datenausführungs-Verhinderung kann bei einigen AcitveX-Erweiterungen dazu führen, dass der Internet Explorer 7 beendet wird. Sie können DEP für den Internet Explorer folgendermaßen ein/ausschalten:

  • Starten Sie den Internet Explorer
  • Wählen Sie aus dem Menü "Extras" --> "Internetoptionen" aus
  • Wählen Sie den Tabreiter "Erweitert"
  • Suchen Sie in "Einstellungen" unter "Sicherheit" den Eintrag "Speicherschutz aktivieren, um das Risiko von Onlineangriffen zu verringern"
  • Entfernen Sie den Haken, um die DEP auszuschalten bzw. setzen Sie den Haken, um DEP zu aktivieren.

 

InfoWeitere Informationen hierzu finden Sie in der MS Knowledge Base: http://support.Microsoft.com/?kbid=875351

 

 

WinFAQ: Startseite | WinFAQ: HTMLMenü | WinFAQ: Java Version

Der Tipp enthält einen Fehler oder Sie haben noch eine Ergänzung dafür? Schreiben Sie uns über die Feedback-Seite an: Feedback-Formular

Impressum | Datenschutz

 

URL: http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2323.htm

WinFAQ ® Version 9.01 Copyright © 1996/2016 by Frank Ullrich

Hauptmenü

Registry System Wizard

Über WinFAQ