Технология DEP в Office 2010

Привет, меня зовут Викас Малхотра (Vikas Malhotra), я работаю менеджером проекта по обеспечению безопасности в команде Office Trustworthy Computer (TWC). В этой статье я вкратце расскажу о нескольких изменениях в системе обеспечения безопасности, которые мы проделали в рамках технологии предотвращения выполнения данных (Data Execution Prevention или DEP). DEP - одно из множества новых средств защиты, добавленных нами в Office 2010. Начнем с того, что такое DEP и как это касается вас как ИТ-профессионала или разработчика.


Что такое DEP?
DEP - это технология безопасности, представленная нами в Windows XP SP2 и Windows 2003 Server SP1. Более общую информацию по DEP можно найти в этой статье из базы знаний Microsoft.

Когда программа запущена, для нее выделены страницы памяти. Страницам присвоен маркер, указывающий являются ли они исполняемыми или нет. Если страница отмечена как исполняемая, тогда код в пределах этого адресного пространства будет разрешен для запуска. Если же такого маркера у страницы нет, то код не разрешен для запуска. DEP же работает следующим образом: если код пытается выполниться внутри страницы, у которой нет маркера, разрешающего исполнение, DEP выдает исключение и завершает запущенный процесс.

Когда вредоносная программа проникает на ваш компьютер, первым делом она пытается внедрить свой код в области памяти вашего компьютера, в которые разрешена запись и исполнение. Затем программа пытается запустить этот программный код. Если это случится при запущенном DEP, вы увидите лишь аварийное завершение приложения Office: в целях безопасности Office остановит выполнение потенциальной вредоносной программы и закроет себя в целях сохранения вашей компьютерной безопасности.


Как мне узнать, работает ли программа с разрешенным DEP?
Наиболее простой метод - использовать диспетчер задач. В диспетчере задач убедитесь в наличии колонки DEP. Теперь, каждый запущенный процесс, поддерживаемый DEP, будет отмечен как "Enabled" . Для наглядности, рисунок ниже показывает запущенный процесс winword.exe:

Как DEP работает в Office?
Приложения Office, после загрузки вызывают функцию GetSystemDEPPolicy для определения политики DEP вашего компьютера. Этот API возвратит один из следующих результатов, определяющих поведение приложений:

• AlwaysOn - ваши приложения Office будут всегда запускаться с разрешенным DEP. Нет никакого способа изменить это без модификации конфигурационного файла загрузки системы и перезапуска вашего компьютера.
• AlwaysOff - ваши приложения Office будут всегда запускаться без поддержки DEP. Нет никакого способа изменить это без модификации конфигурационного файла загрузки системы и перезапуска вашего компьютера.
• OptIn - каждое приложение Office может быть сконфигурировано в Trust Center (см. раздел ниже) для определения того, должно ли оно быть запущено с разрешенным DEP.
• OptOut - каждое приложение Office может быть сконфигурировано в Trust Center (см. раздел ниже) для определения того, должно ли оно быть запущено без поддержки DEP.

Если определено, что приложение Office нуждается в поддержке DEP, тогда приложение вызывает [url=http://msdn.microsoft.com/en-us/library/bb736299(.aspx]SetProcessDEPPolicy[/url] для обеспечения постоянного разрешенного DEP в течение продолжительности жизни процесса. Делая это, мы также гарантируем, что все другие бинарные коды, загруженные в процессы Office, будут поддерживаться DEP.

Какие варианты конфигурации доступны мне как ИТ-специалисту?
Для 64-битной установки DEP всегда будет доступен для приложений Office. Для 32-битной установки вы можете настроить это, если хотите разрешить DEP, на уровне приложения в рамках Trust Center. Для приложений, поддерживающих режим защищенного просмотра, вы найдете опцию настройки DEP во вкладке Protected View. Для других приложений Office вы найдете параметры настроек во вкладке DEP:

Настройка параметров DEP для приложений Office, поддерживающих режим защищенного просмотра

Настройка параметров DEP для приложений Office, не поддерживающих режим защищенного просмотра