Protection de la Mémoire dans Windows XP SP2
Introduction
Le Service Pack 2 (SP2) de Microsoft Windows XP vous aide à protéger votre ordinateur contre l'introduction de code malveillant dans
des zones-mémoire de l'ordinateur réservées au code non exécutable, en implémentant un ensemble de technologies logicielle et matérielle
appelées Data Execution Prevention DEP, Prévention d'exécution des données.
La fonctionnalité DEP matérielle est une caractéristique de certains processeurs, qui empêche l'exécution de code dans certaines régions
de la mémoire, marquées comme étant des zones de stockage des données. Cette fonctionnalité est également appelée « No-Execute »
et « Execution Protection » (Protection d'exécution). Le SP2 de Windows XP comprend aussi une fonctionnalité DEP logicielle,
destinée à réduire les exploitations malveillantes des mécanismes de gestion des exceptions de Windows.
Contrairement aux programmes antivirus, la finalité des fonctionnalités DEP matérielle et logicielle n'est pas d'empêcher l'installation de programmes malveillants sur votre ordinateur. Leur raison d'être consiste plutôt à surveiller les programmes installés sur votre ordinateur, afin de déterminer s'ils utilisent la mémoire système en toute sécurité. Pour surveiller vos programmes, la fonctionnalité DEP matérielle suit les localisations-mémoire déclarées comme étant « non exécutables ». Pour lutter contre le code malveillant, lorsque la mémoire est déclarée « non exécutable » et qu'un programme tente d'y exécuter du code, Windows ferme celui-ci. Cette mesure est prise que le code soit de type malveillant ou non.
Remarque : La fonctionnalité DEP logicielle fait partie intégrante du SP2 de Windows XP et est activée par défaut,
indépendamment des fonctionnalités DEP matérielles du processeur.
La fonctionnalité DEP logicielle s'applique par défaut aux principaux composants et services du système d'exploitation.
La configuration par défaut de la fonctionnalité DEP vise à protéger votre ordinateur, tout en ayant un impact minimal sur la compatibilité
applicative. Cependant, en fonction de votre configuration DEP, il est possible que certains programmes ne fonctionnent pas correctement.
Vous pouvez utiliser les tâches décrites dans ce document pour configurer la fonctionnalité DEP sur votre ordinateur :
Activer la fonctionnalité DEP pour tous les programmes installés sur votre ordinateur ;
Ajouter des programmes à la liste des exceptions DEP ;
Désactiver la fonctionnalité DEP à l'échelle de votre ordinateur.
IMPORTANT : Les instructions présentées dans ce document sont basées sur le menu Démarrer qui s'affiche par défaut lors de l'installation
du système d'exploitation. Si vous avez modifié ce menu, les procédures peuvent quelque peu différer.
Pour accéder aux définitions des termes relatifs à la sécurité, consultez la page :
Glossaire de sécurité Microsoft »
sur le site Web de Microsoft, à l'adresse
http://go.microsoft.com/fwlink/?LinkId=35468
Pour de plus amples informations sur la technologie DEP, consultez l'article :
Article 875352 de la Base de connaissances Microsoft sur le site Aide et Support de Microsoft,
à l'adresse
http://go.microsoft.com/fwlink/?linkid=35494
Avant de commencer
Ce document vous prodigue des conseils pour configurer la fonctionnalité DEP du SP2 de Windows XP.
Remarque : La fonctionnalité DEP matérielle est activée par défaut sur les ordinateurs dotés de processeurs compatibles DEP et
exécutant Microsoft Windows XP Édition 64 bits. Les applications 64 bits ne peuvent pas s'exécuter à partir des zones-mémoire
« non exécutables ». La fonction DEP matérielle ne peut pas être désactivée.
La fonctionnalité DEP du SP2 de Windows XP et les applications 32 bits qui s’exécutent sur n’importe quel type de processeur peuvent être
configurées pour utiliser les zones-mémoire « exécutables » ou « non exécutables ».
Activation de la fonctionnalité DEP pour tous les programmes installés sur votre ordinateur
La configuration par défaut des fonctionnalités DEP matérielle et logicielle protège les composants et les services de base de Windows,
tout en ayant un impact minimal sur la compatibilité applicative, mais vous pouvez choisir de l’initialiser de manière à protéger toutes
les applications et tous les programmes installés sur votre ordinateur. Si vous configurez la fonctionnalité DEP en vue de protéger toutes
les applications et tous les programmes de votre ordinateur, vous bénéficierez d'une protection accrue, au risque de rencontrer des problèmes
de compatibilité applicative supplémentaires. Si vous configurez la fonctionnalité DEP logicielle afin de protéger toutes les applications
et tous les programmes installés sur votre ordinateur, vous pouvez en exclure des applications 32 bits particulières,
si elles génèrent des problèmes de compatibilité. Vous ne pouvez pas désactiver la fonctionnalité DEP matérielle ni exclure
les applications 64 bits qui s'exécutent sur des systèmes Windows XP 64 bits dotés de processeurs compatibles DEP.
Conditions requises pour l'exécution de cette tâche
• Informations d'identification : vous devez ouvrir une session sur votre ordinateur, à l'aide d'un compte disposant de droits de niveau
administrateur local.
Configuration de la fonctionnalité DEP pour la protection de toutes les applications
Pour activer la fonctionnalité DEP pour toutes les applications
1. Cliquez sur Démarrer, puis sur Panneau de configuration.
2. Sous Choisissez une catégorie, cliquez sur Performances et maintenance.
3. Sous ou une icône du Panneau de configuration, cliquez sur Système.
4. Cliquez sur l'onglet Avancé.
Propriétés système - Onglet Avancé
5. Dans la zone Performances, cliquez sur Paramètres.
Options de performances
6. Cliquez sur l'onglet Prévention de l'exécution des données.
Onglet Prévention de l'exécution des données
7. Sélectionnez l'option Activer la Prévention de l'exécution des données pour tous les programmes et les services,
sauf ceux que je sélectionne.
8. Cliquez sur Appliquer, puis sur OK. La boîte de dialogue qui apparaît alors vous informe que vous devez réinitialiser votre ordinateur
pour que le nouveau paramétrage prenne effet. Cliquez sur OK.
Vérification de l'application des paramètres DEP à tous les programmes
Pour vérifier que les paramètres DEP s'appliquent à tous les programmes
1. Cliquez sur Démarrer, puis sur Panneau de configuration.
2. Sous Choisissez une catégorie, cliquez sur Performances et maintenance.
3. Sous ou une icône du Panneau de configuration, cliquez sur Système.
4. Cliquez sur l'onglet Avancé.
5. Dans la zone Performances, cliquez sur Paramètres, puis sur Prévention de l'exécution des données.
6. Vérifiez que l'option Activer la Prévention de l'exécution des données pour tous les programmes et les services,
sauf ceux que je sélectionne est active, puis cliquez sur OK pour fermer la fenêtre Options de performances.
7. Cliquez sur OK pour fermer Propriétés système, puis fermez Performances et maintenance.
8. Cliquez sur Appliquer, puis sur OK. La boîte de dialogue qui apparaît alors vous informe que vous devez réinitialiser votre ordinateur
pour que le nouveau paramétrage prenne effet. Cliquez sur OK.
Vérification de l'application des paramètres DEP à tous les programmes
Pour vérifier que les paramètres DEP s'appliquent à tous les programmes
1. Cliquez sur Démarrer, puis sur Panneau de configuration.
2. Sous Choisissez une catégorie, cliquez sur Performances et maintenance.
3. Sous ou une icône du Panneau de configuration, cliquez sur Système.
4. Cliquez sur l'onglet Avancé.
5. Dans la zone Performances, cliquez sur Paramètres, puis sur Prévention de l'exécution des données.
6. Vérifiez que l'option Activer la Prévention de l'exécution des données pour tous les programmes et les services,
sauf ceux que je sélectionne est active, puis cliquez sur OK pour fermer la fenêtre Options de performances.
7. Cliquez sur OK pour fermer Propriétés système, puis fermez Performances et maintenance.
Activation de la liste des exceptions DEP
Si la fonctionnalité DEP pose un problème au niveau de vos applications, une boîte de dialogue apparaît pour vous le signaler.
La boîte de dialogue qui apparaît lorsqu'une application a tenté de s'exécuter et est entrée en conflit avec la fonctionnalité DEP
Dans les cas où la fonctionnalité DEP provoque la défaillance de certaines applications, Microsoft vous recommande vivement de prendre
contact avec le fournisseur de l'application en question, afin de déterminer si une mise à jour compatible DEP est disponible.
L'installation d'une telle mise à jour est la solution préférée pour résoudre les problèmes de compatibilité applicative liés
à la technologie DEP.
Si aucune mise à jour n'est disponible pour votre application, suivez la procédure ci-dessous pour accéder à la liste des exceptions
et la configurer. La liste des exceptions correspond à la liste des applications qui sont exclues de la fonctionnalité DEP.
Remarque :
La Liste des exceptions DEP est uniquement disponible si la configuration DEP est paramétrée pour assurer la protection de tous les programmes
et services. Si vous configurez votre ordinateur de manière à protéger uniquement les composants et services de base de Windows, cette liste
des exceptions n'est pas disponible.
Conditions requises pour l'exécution de cette tâche
• Informations d'identification : vous devez ouvrir une session sur votre ordinateur, à l'aide d'un compte disposant de droits de niveau
administrateur local.
Activation de la liste des exceptions DEP
Pour activer la liste des exceptions DEP
1. Cliquez sur Démarrer, puis sur Panneau de configuration.
2. Sous Choisissez une catégorie, cliquez sur Performances et maintenance.
3. Sous ou une icône du Panneau de configuration, cliquez sur Système.
4. Cliquez sur l'onglet Avancé.
Propriétés système - Onglet Avancé
5. Dans la zone Performances, cliquez sur Paramètres.
Options de performances
6. Cliquez sur l'onglet Prévention de l'exécution des données.
Onglet Prévention de l'exécution des données
7. Cliquez sur Ajouter.
8. Localisez et sélectionnez l'exécutable de l'application défaillante, puis cliquez sur Ouvrir.
9. Dans la boîte d'avertissement qui s'ouvre, cliquez sur OK. Le programme sélectionné apparaît maintenant dans la zone des programmes DEP.
10. Cliquez sur Appliquer, puis sur OK. La boîte de dialogue qui s'affiche alors vous informe que vous devez réinitialiser votre ordinateur
pour que le nouveau paramétrage prenne effet. Cliquez sur OK.
Vérification de l'application des paramètres de la liste des exceptions DEP
Pour vérifier que les paramètres de protection de la mémoire sont appliqués
1. Cliquez sur Démarrer, puis sur Panneau de configuration.
2. Sous Choisissez une catégorie, cliquez sur Performances et maintenance.
3. Sous ou une icône du Panneau de configuration, cliquez sur Système.
4. Cliquez sur l'onglet Avancé.
5. Dans la zone Performances, cliquez sur Paramètres, puis sur Prévention de l'exécution des données.
6. Vérifiez que la liste des exceptions contient les programmes voulus, puis cliquez sur OK pour fermer Options de performances.
7. Cliquez sur OK pour fermer Propriétés système, puis fermez Performances et maintenance.
Configuration des options DEP à l'échelle du système
Pour apporter des modifications DEP applicables à l'ensemble du système de votre ordinateur, vous devez modifier un des commutateurs
du fichier de configuration boot.ini de l'installation Windows en cours d'exécution. Le commutateur boot.ini est le suivant :
• /noexecute =Niveau_stratégie
Le tableau 1 répertorie les options du commutateur Niveau_stratégie.
Tableau 1 Options du niveau de stratégie DEP de boot.ini
| Niveau de stratégie | Description |
OptIn (configuration par défaut) |
Seuls les composants et services système de Windows bénéficient de la protection DEP. |
OptOut |
La fonctionnalité DEP est activée pour tous les processus. Les administrateurs peuvent créer manuellement une liste d'applications spécifiques ne bénéficiant pas de la protection DEP. |
AlwaysOn |
La fonctionnalité DEP est activée pour tous les processus. |
|
AlwaysOff |
La fonctionnalité DEP n'est activée pour aucun processus. |
|
|
IMPORTANT : Après avoir effectué des modifications dans le fichier boot.ini, vous devez réinitialiser votre ordinateur.
Avertissement : Microsoft vous recommande de NE PAS entièrement désactiver la fonctionnalité DEP logicielle.
Votre ordinateur en serait moins sécurisé. La fonctionnalité DEP matérielle ne peut pas être désactivée manuellement.
Conditions requises pour l'exécution de cette tâche
. Informations d'identification : vous devez ouvrir une session sur votre ordinateur, à l'aide d'un compte disposant de droits
de niveau administrateur local.
Désactivation de la fonctionnalité DEP à l'échelle du système, à l'aide de boot.ini
Pour désactiver la fonctionnalité DEP à l'aide de boot.ini
1. Cliquez sur Démarrer, puis sur Panneau de configuration.
2. Sous Choisissez une catégorie, cliquez sur Performances et maintenance.
3. Sous ou une icône du Panneau de configuration, cliquez sur Système.
4. Cliquez sous l'onglet Avancé, puis dans la zone Démarrage et récupération, cliquez sur Paramètres.
Paramètres Démarrage et récupération
5. Dans la zone Démarrage du système, cliquez sur Modifier.
Édition du fichier Boot.ini dans le Bloc-notes
6. Dans le Bloc-notes, cliquez sur Edition, puis sur Rechercher.
7. Dans le champ Rechercher, tapez /noexecute et cliquez sur Suivant.
8. Dans la boîte de dialogue Rechercher, cliquez sur Annuler.
9. Remplacez le niveau_stratégie (par exemple, « OptOut ») par « AlwaysOff » (sans les chevrons).
Avertissement : Soyez attentif lorsque vous entrez le texte.
Remarque : Votre commutateur du fichier boot.ini doit maintenant correspondre à :
/noexecute=AlwaysOff
10. Dans le Bloc-notes, cliquez sur Fichier, puis sur Enregistrer.
11. Cliquez sur OK pour fermer Démarrage et récupération.
12. Cliquez sur OK pour fermer Propriétés système, puis réinitialisez votre ordinateur.
Vérification de la désactivation de la fonctionnalité DEP
Pour vérifier que les paramètres de protection de la mémoire sont appliqués
1. Cliquez sur Démarrer, puis sur Panneau de configuration.
2. Sous Choisissez une catégorie, cliquez sur Performances et maintenance.
3. Sous ou une icône du Panneau de configuration, cliquez sur Système.
4. Cliquez sur l'onglet Avancé.
5. Dans la zone Performances, cliquez sur Paramètres, puis sur Prévention de l'exécution des données.
6. Vérifiez que les paramètres DEP ne sont pas disponibles, puis cliquez sur OK pour fermer Options de performances.
7. Cliquez sur OK pour fermer Propriétés système, puis fermez Performances et maintenance.
30-01-2008