Windows 10 härten – Datenausführungsverhinderung (DEP)

Ein weiterer fast unscheinbarer Baustein zum Schutz von Windows Systemen vor Schadcode wurde mit Windows XP SP2 eingeführt. Die oder auch Data Execution Prevention (kurz ) soll verhindern, dass Schadcode innerhalb eines geschützten Speicherbereiches ausgeführt wird. Durchgesetzt wird dieses durch das CPU-Feature NX (Not Execute) welches von allen aktuellen CPUs unterstützt wird. Ich werde in diesem Beitrag weniger auf die Arbeitsweise von NX eingehen, sondern vielmehr auf die vollständige Implementierung im Windows Client und eine mögliche Umsetzung im Unternehmen.

Standardmäßig ist die DEP auf einem Windows System eingeschalten. Leider beschränkt sich Microsoft vorrangig auf Windows Systemdateien und Dienste schützt aber keine anderen Anwendungen. Grund für diese Einstellungen sind Kompatibilitätsprobleme mit diversen Anwendungen insbesondere nach der Einführung mit Windows XP SP2. Mittlerweile sind mir hierbei aber keine Probleme bekannt. Wer ältere Software oder Software im Kompatibilitätsmodus betreibt sollte aber trotzdem vorsichtig mit den Einstellungen umgehen und mehr Zeit in Tests investieren.

Dabei gibt es insgesamt vier Einstellungen wobei nur zwei davon (OptIn und OptOut) über die GUI zu steuern sind. Möglichkeit 1 (OptIn) ist der Standardwert des Systems.

OptIn (default): Nur Windows Programme, Systemdateien und Dienste werden durch DEP geschützt.

OptOut: Alle Programme und Dienste mit der Möglichkeit Ausnahmen zu definieren werden durch DEP geschützt.

AlwaysOff: DEP ist für das System ausgeschalten und die einzige mir bekannte Möglichkeit DEP Systemweit auszuschalten.

AlwaysOn: DEP ist eingeschalten und kann nicht über z.B. die GUI eingeschalten werden. Eventuelle Ausnahmelisten oder inkompatible Software werden ignoriert.

Auf einem Windows Client wird DEP OptIn und OptOut über das System (1) -> Erweitere Systemeinstellungen (2) -> Leistung -> Einstellungen (3) -> Datenausführungsverhinderung (4) konfiguriert.

DEP1

Alle weiteren Einstellungen funktionieren nur über die Kommandozeile mit BCDEDIT. Dabei zeigt BCDEDIT mit dem Schalter /enum die aktuelle Konfiguration. In meinem Fall bei NX der Status OptOut welches den Einstellungen über die GUI entspricht.




DEP2

Für die weitere Konfiguration stehen dann folgende Befehle zur Verfügung:

Wer DEP aus Inkompatibilität wirklich komplett ausschalten muss könnte unter Umständen auf diesen Fehler stoßen „Der Wert wird durch die Richtlinie für sicheres Starten geschützt und kann nicht geändert oder gelöscht werden“

DEP3

DEP ist unter anderem Bestandteil von Secure Boot und UEFI. Muss man DEP abschalten dann muss man leider auch auf Secure Boot und damit wiederum auf Sicherheit verzichten.

Schlechte Nachrichten für Administratoren in größeren Umgebungen. DEP lässt sich leider nicht via Gruppenrichtlinie steuern. Einzige Möglichkeit besteht in der Ausführung eines Anmeldeskriptes mit den entsprechenden BCDEDIT Befehl auf Computer. Diese Einschränkung lässt mich zu der Einschätzung kommen das Microsoft selber die DEP Grundeinstellung OptIn für ausreichend hält oder DEP allgemein keine große Wertigkeit zukommen lässt.

Mein Fazit: Einen Verzicht auf die Datenausführungsverhinderung kann ich nur abraten. Der Grundschutz mit OptIn ist ein Muss! Selbst wenn DEP nur ein kleiner Schritt zum sicheren Windows System ist so sollte man auf diesen nicht verzichten. Sollte Software mit DEP an der Ausführung gehindert werden so bietet sich als erstes OptOut mit entsprechenden Ausnahmen an. Alternativ ist die Konsequenz ein Wechsel der Software. Ich habe mein System auf AlwaysOn gestellt. Weitere Artikel zum Thema Windows 10 härten folgen in Kürze.

 

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.