Windows 10

Rechner per Data Execution Prevention (DEP) unter Windows absichern

Thomas Rieske arbeitet seit Oktober 2002 als freiberuflicher IT-Fachjournalist und Autor. Zu den Themenschwerpunkten des Diplom-Übersetzers zählen unter anderem Computersicherheit, Office-Anwendungen und Telekommunikation.
Ein Baustein, mit dem sich Windows-Systeme schützen lassen, ist die Data Execution Prevention. Sie soll verhindern, dass Schadcode in einem privilegierten Speicherbereich ausgeführt wird. Viele begnügen sich mit der Standardeinstellung, doch es gibt noch weitere Konfigurationsmöglichkeiten.

Datenausführungsverhinderung aufrufen

Diese Funktion, von Microsoft als Datenausführungsverhinderung bezeichnet, kennt insgesamt vier Betriebsmodi. Zwei davon (Opt-in und Opt-out) lassen sich über die grafische Benutzeroberfläche steuern. Dazu öffnen Sie das Startmenü mit der rechten Maustaste und wählen System aus. Anschließend klicken Sie auf Erweiterte Systemeinstellungen, im neuen Fenster auf den Tab Erweitert und im Abschnitt Leistung auf die Schaltfläche Einstellungen. Die zur Verfügung stehenden Optionen finden Sie auf der Registerkarte Datenausführungsverhinderung.

Datenausführungsverhinderung konfigurieren

Hier ist per Default vorgegeben, dass nur relevante Programme und Dienste, die zu Windows gehören, mittels Data Execution Prevention geschützt werden (Opt-in). Sie haben mit einem Klick auf den darunter angeordneten Radio Button die Möglichkeit, erst einmal alle Programme und Dienste zu berücksichtigen. Ausnahmen davon müssen Sie per Opt-out-Verfahren selber festlegen, indem Sie auf Hinzufügen klicken und zur Datei der entsprechenden Anwendung navigieren.

Datenausführungsverhinderung mit AlwaysON

Die beiden anderen Einstellungen (Always On/Always Off) erreichen Sie nur über die Befehlszeile mit BCDEdit. Zu diesem Zweck öffnen Sie eine Eingabeaufforderung als Administrator. Mit dem Befehl

bcdedit /set {current} nx AlwaysOn

erzwingen Sie Data Execution Prevention auf dem System. Die Datenausführungsverhinderung ist dadurch generell aktiviert und lässt sich über die grafische Benutzeroberfläche nicht ausschalten. Falls Sie über die GUI Ausnahmen definiert haben, werden diese ignoriert.

Datenausführungsverhinderung mit AlwaysOff

Das Gegenteil bewirken Sie mit der Zeile

bcdedit /set {current} nx AlwaysOff

Hiermit schalten Sie DEP auf dem Rechner komplett aus, ungeachtet festgelegter Einstellungen über die GUI. Auf Computern mit aktiviertem UEFI/Secure Boot quittiert das System den Parameter AlwaysOff allerdings mit einer Fehlermeldung. Falls Sie tatsächlich auf DEP verzichten wollen oder müssen, ist es notwendig, auch auf Secure Boot zu verzichten.

Status der Datenausführungsverhinderung

Den aktuellen Status der Data Execution Prevention erfahren Sie mithilfe des Kommandos

bcdedit /enum

Auskunft erteilt hierbei im Abschnitt Windows-Startladeprogramm der Eintrag nx. Er kann die oben beschriebenen Werte OptIn, OptOut, AlwaysOn oder AlwaysOff annehmen. (hal)