01Datenausführungsverhinderung aufrufen
Diese Funktion, von Microsoft als Datenausführungsverhinderung bezeichnet, kennt insgesamt vier Betriebsmodi. Zwei davon (Opt-in und Opt-out) lassen sich über die grafische Benutzeroberfläche steuern. Dazu öffnen Sie das Startmenü mit der rechten Maustaste und wählen System aus. Anschließend klicken Sie auf Erweiterte Systemeinstellungen, im neuen Fenster auf den Tab Erweitert und im Abschnitt Leistung auf die Schaltfläche Einstellungen. Die zur Verfügung stehenden Optionen finden Sie auf der Registerkarte Datenausführungsverhinderung.
02Datenausführungsverhinderung konfigurieren
Hier ist per Default vorgegeben, dass nur relevante Programme und Dienste, die zu Windows gehören, mittels Data Execution Prevention geschützt werden (Opt-in). Sie haben mit einem Klick auf den darunter angeordneten Radio Button die Möglichkeit, erst einmal alle Programme und Dienste zu berücksichtigen. Ausnahmen davon müssen Sie per Opt-out-Verfahren selber festlegen, indem Sie auf Hinzufügen klicken und zur Datei der entsprechenden Anwendung navigieren.
- Windows 10 Data Execution Prevention
Zwei der insgesamt vier Optionen für die Data Execution Prevention erreichen Sie per GUI. Zuerst rufen Sie dazu über das Startmenü den Eintrag "System" auf. - Windows 10 Data Execution Prevention
Im neu geöffneten Fenster klicken Sie links auf "Erweiterte Systemeinstellungen“. - Windows 10 Data Execution Prevention
Anschließend sollte der Tab "Erweitert" bereits ausgewählt sein. Falls nicht, klicken Sie auf diese Registerkarte und dann unter "Leistung" auf "Einstellungen". - Windows 10 Data Execution Prevention
Auf dem Tab "Datenausführungsverhinderung“ ist per Default die erste Option (Opt-in) aktiviert. Dadurch werden nur Windows-eigene Programme und Dienste per DEP geschützt. - Windows 10 Data Execution Prevention
Über die zweite Optionsschaltfläche aktivieren Sie DEP generell, können aber eigene Ausnahmen definieren, etwa für inkompatible Programme (Opt-out). - Windows 10 Data Execution Prevention
Die beiden anderen Einstellmöglichkeiten erreichen Sie lediglich über die Eingabeaufforderung, die Sie mit Adminberechtigung starten müssen. - Windows 10 Data Execution Prevention
Die aktuelle Konfiguration erfahren Sie mit dem Befehl "bcdedit /enum" im Abschnitt "Windows-Startladeprogramm" über den Wert von "nx". - Windows 10 Data Execution Prevention
Mit dem Befehl "bcdedit /set {current} nx AlwaysOn" erzwingen Sie Data Execution Prevention auf dem System. Das Kommando überschreibt Einstellungen für DEP, die Sie über die grafische Benutzeroberfläche durchgeführt haben. - Windows 10 Data Execution Prevention
Mit dem Parameter "AlwaysOff" hingegen schalten Sie Data Execution Prevention systemweit permanent aus. Falls Sie auf dem Rechner UEFI/Secure Boot nutzen, erhalten Sie hierbei jedoch eine Fehlermeldung. In diesem Fall hilft nur, auf Secure Boot zu verzichten.
03Datenausführungsverhinderung mit AlwaysON
Die beiden anderen Einstellungen (Always On/Always Off) erreichen Sie nur über die Befehlszeile mit BCDEdit. Zu diesem Zweck öffnen Sie eine Eingabeaufforderung als Administrator. Mit dem Befehl
bcdedit /set {current} nx AlwaysOn
erzwingen Sie Data Execution Prevention auf dem System. Die Datenausführungsverhinderung ist dadurch generell aktiviert und lässt sich über die grafische Benutzeroberfläche nicht ausschalten. Falls Sie über die GUI Ausnahmen definiert haben, werden diese ignoriert.
04Datenausführungsverhinderung mit AlwaysOff
Das Gegenteil bewirken Sie mit der Zeile
bcdedit /set {current} nx AlwaysOff
Hiermit schalten Sie DEP auf dem Rechner komplett aus, ungeachtet festgelegter Einstellungen über die GUI. Auf Computern mit aktiviertem UEFI/Secure Boot quittiert das System den Parameter AlwaysOff allerdings mit einer Fehlermeldung. Falls Sie tatsächlich auf DEP verzichten wollen oder müssen, ist es notwendig, auch auf Secure Boot zu verzichten.
05Status der Datenausführungsverhinderung
Den aktuellen Status der Data Execution Prevention erfahren Sie mithilfe des Kommandos
bcdedit /enum
Auskunft erteilt hierbei im Abschnitt Windows-Startladeprogramm der Eintrag nx. Er kann die oben beschriebenen Werte OptIn, OptOut, AlwaysOn oder AlwaysOff annehmen. (hal)