Free Trial

Safari Books Online is a digital library providing on-demand subscription access to thousands of learning resources.

Share this Page URL
Help

13 Sicherheit > 13.15 Datenausführungsverhinderung - Pg. 681

13 Datenausführungsverhinderung Betätigt der jugendgeschützte Benutzer beim Aufruf einer nicht erlaubten Anwendung im Dialogfeld in Abbildung 13.90 den Link Bitten Sie einen Administrator um Berechtigung, erfolgt zunächst eine UAC-Abfrage. Nach- dem ein Administrator diese bestätigt hat, kann dieser bei Bedarf die betreffende Applikation freischalten. Diese Freischaltung kann später im Dialogfeld aus Abbildung 13.91 wieder rückgängig gemacht werden. Abbildung 13.92 Ein Administrator kann erlauben. 13.14.7 Webseiten-Filter Die bei den Microsoft Live Essentials mitgelieferte Funktion Windows Live Family Safety wird in Kapitel 16 erläutert. 13.15 Datenausführungsverhinderung Der Begriff Datenausführungsverhinderung (DEP, Data Execution Prevention) wurde erstmals mit Windows XP SP2 eingeführt. Das Konzept hat mit der Weise zu tun, in der Prozessoren mit dem Speicher umgehen. Für den Pro- zessor in einem System gibt es Bereiche, in dem ausführbare Anweisungen stehen, und Bereiche, in dem Daten stehen, die von diesen Anweisungen verarbeitet werden. Viele Sicherheitsprobleme fangen damit an, dass verse- hentlich durch Programmfehler Daten dort abgespeichert werden, wo eigentlich nur Programmcode stehen sollte, beziehungsweise die Program- mausführung da fortgesetzt wird, wo eigentlich Daten stehen. Durch geschickte Wahl der zu verarbeitenden Daten kann ein Angreifer so den Code abändern, den der Computer ausführt. Während auf Prozessoren für Workstations und Großrechner schon lange Nur wo Code entsprechende Konzepte vorhanden sind, war dies bei PC-Systemen dran steht, ist nicht der Fall. Um diesen Problemen auf dem Hardware-Level zu begeg- auch Code drin nen, stellte zuerst AMD in seinen Prozessoren der Athlon 64- und Opte- ron-Reihe das sogenannte NX-Bit (No Execution) vor. Intel, die Ähnliches schon für die Itanium-Reihe für Server hatten, zog mit späteren Baurei- hen des Pentium-Prozessors nach und nannte seine Technologie XD-Bit (Execution Disable). Auch das Betriebssystem muss hierbei dieses Konzept unterstützen, indem es Speicherbereiche, die nur Daten enthalten sollen, entsprechend kenn- zeichnet. Microsoft führte mit Windows XP SP2 nicht nur die Verwendung des entsprechenden Hardware-Features ein. Zusätzlich wurde auch ein Verfahren eingeführt, bei dem auf Systemen, die diese Hardware nicht beinhalten, gewisse Teile des Konzepts in Software nachgebildet werden. 681