Windows-Sicherheit

Rechner per Data Execution Prevention (DEP) unter Windows absichern

07.03.2018 von Thomas Rieske
Ein Baustein, mit dem sich Windows-Systeme schützen lassen, ist die Data Execution Prevention. Sie soll verhindern, dass Schadcode in einem privilegierten Speicherbereich ausgeführt wird. Viele begnügen sich mit der Standardeinstellung, doch es gibt noch weitere Konfigurationsmöglichkeiten.

Datenausführungsverhinderung aufrufen

Diese Funktion, von Microsoft als Datenausführungsverhinderung bezeichnet, kennt insgesamt vier Betriebsmodi. Zwei davon (Opt-in und Opt-out) lassen sich über die grafische Benutzeroberfläche steuern. Dazu öffnen Sie das Startmenü mit der rechten Maustaste und wählen System aus. Anschließend klicken Sie auf Erweiterte Systemeinstellungen, im neuen Fenster auf den Tab Erweitert und im Abschnitt Leistung auf die Schaltfläche Einstellungen. Die zur Verfügung stehenden Optionen finden Sie auf der Registerkarte Datenausführungsverhinderung.

Datenausführungsverhinderung konfigurieren

Hier ist per Default vorgegeben, dass nur relevante Programme und Dienste, die zu Windows gehören, mittels Data Execution Prevention geschützt werden (Opt-in). Sie haben mit einem Klick auf den darunter angeordneten Radio Button die Möglichkeit, erst einmal alle Programme und Dienste zu berücksichtigen. Ausnahmen davon müssen Sie per Opt-out-Verfahren selber festlegen, indem Sie auf Hinzufügen klicken und zur Datei der entsprechenden Anwendung navigieren.

Bildergalerie:
Windows 10 Data Execution Prevention
Zwei der insgesamt vier Optionen für die Data Execution Prevention erreichen Sie per GUI. Zuerst rufen Sie dazu über das Startmenü den Eintrag "System" auf.
Windows 10 Data Execution Prevention
Im neu geöffneten Fenster klicken Sie links auf "Erweiterte Systemeinstellungen“.
Windows 10 Data Execution Prevention
Anschließend sollte der Tab "Erweitert" bereits ausgewählt sein. Falls nicht, klicken Sie auf diese Registerkarte und dann unter "Leistung" auf "Einstellungen".
Windows 10 Data Execution Prevention
Auf dem Tab "Datenausführungsverhinderung“ ist per Default die erste Option (Opt-in) aktiviert. Dadurch werden nur Windows-eigene Programme und Dienste per DEP geschützt.
Windows 10 Data Execution Prevention
Über die zweite Optionsschaltfläche aktivieren Sie DEP generell, können aber eigene Ausnahmen definieren, etwa für inkompatible Programme (Opt-out).
Windows 10 Data Execution Prevention
Die beiden anderen Einstellmöglichkeiten erreichen Sie lediglich über die Eingabeaufforderung, die Sie mit Adminberechtigung starten müssen.
Windows 10 Data Execution Prevention
Die aktuelle Konfiguration erfahren Sie mit dem Befehl "bcdedit /enum" im Abschnitt "Windows-Startladeprogramm" über den Wert von "nx".
Windows 10 Data Execution Prevention
Mit dem Befehl "bcdedit /set {current} nx AlwaysOn" erzwingen Sie Data Execution Prevention auf dem System. Das Kommando überschreibt Einstellungen für DEP, die Sie über die grafische Benutzeroberfläche durchgeführt haben.
Windows 10 Data Execution Prevention
Mit dem Parameter "AlwaysOff" hingegen schalten Sie Data Execution Prevention systemweit permanent aus. Falls Sie auf dem Rechner UEFI/Secure Boot nutzen, erhalten Sie hierbei jedoch eine Fehlermeldung. In diesem Fall hilft nur, auf Secure Boot zu verzichten.

Datenausführungsverhinderung mit AlwaysON

Die beiden anderen Einstellungen (Always On/Always Off) erreichen Sie nur über die Befehlszeile mit BCDEdit. Zu diesem Zweck öffnen Sie eine Eingabeaufforderung als Administrator. Mit dem Befehl

bcdedit /set {current} nx AlwaysOn

erzwingen Sie Data Execution Prevention auf dem System. Die Datenausführungsverhinderung ist dadurch generell aktiviert und lässt sich über die grafische Benutzeroberfläche nicht ausschalten. Falls Sie über die GUI Ausnahmen definiert haben, werden diese ignoriert.

Datenausführungsverhinderung mit AlwaysOff

Das Gegenteil bewirken Sie mit der Zeile

bcdedit /set {current} nx AlwaysOff

Hiermit schalten Sie DEP auf dem Rechner komplett aus, ungeachtet festgelegter Einstellungen über die GUI. Auf Computern mit aktiviertem UEFI/Secure Boot quittiert das System den Parameter AlwaysOff allerdings mit einer Fehlermeldung. Falls Sie tatsächlich auf DEP verzichten wollen oder müssen, ist es notwendig, auch auf Secure Boot zu verzichten.

Status der Datenausführungsverhinderung

Den aktuellen Status der Data Execution Prevention erfahren Sie mithilfe des Kommandos

bcdedit /enum

Auskunft erteilt hierbei im Abschnitt Windows-Startladeprogramm der Eintrag nx. Er kann die oben beschriebenen Werte OptIn, OptOut, AlwaysOn oder AlwaysOff annehmen. (hal)