Die Technologie Execution Protection, kurz NX für no eXecute (Ausführungsverbot)

Nach der Installation des SP2 für Windows XP erlebt man unter Umständen Überraschungen, wenn Dateien über das Kontextmenü gelöscht werden sollen. Das Kontextmenü öffnet sich nicht, dafür stürzt der Explorer ab. Die Dateien lassen sich nur durch das Verschieben in den Papierkorb entfernen. Ganze Ordner lassen sich jedoch über das Kontextmenü löschen, das Problem betrifft nur Dateien.

Schuld ist die "Data Execution Prevention" (DEP), die mit SP2 installiert wurde.
Die Technologie "Execution Protection", kurz NX für No eXecute (Ausführungsverbot), verhindert, dass schädliche Programmcodes ausgeführt werden. Wenn ein Programm versucht, Code, unabhängig davon, ob er bös- oder gutartig ist (Beispiel: DivX), aus einem geschützten Speicherort auszuführen, schließt die Datenausführungsverhinderung das Programm. "NX" wird von fast allen CPUs ab Baujahr 2004 unterstützt. Der Prozessor muss die Execution Protection (NX) unterstützten. Bei Intel heißt die Execution Protection "Execute Disable Bit" (XD-Bit), bei AMD heißt sie "Enhanced Virus Protection" (EVP). Das NX-Feature kann auch im BIOS aktiviert werden. Lesen Sie dazu diesen Tipp.

Windows XP SP2
In der Systemsteuerung - System - Erweitert - Systemleistung "Einstellung"
- Datenausführungsverhinderung -
"Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der gewählten aktivieren"
können die jeweilige Anwendungen hinzugefügt werden, die nicht unter das Ausführungsverbot fallen sollen.

Windows Vista
Systemsteuerung (klassische Ansicht) - System - Erweiterte Systemeinstellungen - Register "Erweitert" - unter "Leistung" Button "Einstellungen" - Datenausführungsverhinderung

Windows 7
Systemsteuerung (Anzeige: Symbole) - System - Erweiterte Systemeinstellungen (linke Seite) - Register "Erweitert" - unter Leistung Button "Einstellungen" - Register Datenausführungsverhinderung

Mehr Information bietet der Link Wie funktioniert sie? (rote Markierung im Screenshot)
Die gelbe Markierung sagt aus, dass die NX-Features nicht aktiviert wurden oder von einem Tool deaktiviert wurde. Zum Beispiel deaktiviert das "EMET 3" (Enhanced Mitigation Experience Toolkit) bzw. "EMET 4" die NX-Features, wenn auf maximale Sicherheit eingestellt wird:
"Sie müssen ein Computeradministrator sein und die Datei "bcdedit.exe" verwenden, um diese Einstellungen verwenden zu können. Durchsuchen Sie die Microsoft Knowledge Base online, um weitere Informationen zu erhalten."

Mit dem Befehl in die Eingabeaufforderung als Admin kann die Option wieder aktiviert werden:

bcdedit /set nx OptIn
oder
bcdedit /set nx OptOut

Danach einen Systemneustart durchführen.

OptIn bewirkt, dass DEP nur Systemdateien überwacht und Anwendungen, die in der OptIn-Liste stehen (entspricht den erster Punkt unter der Registerkarte "Datenausführungsverhinderung").
OptOut bewirkt, dass DEP Systemdateien überwacht mit Ausnahme von Anwendungen, die in der OptOut-Liste stehen (entspricht den zweiten Punkt unter der Registerkarte "Datenausführungsverhinderung").

Der Befehl

bcdedit /set nx AlwaysOff

deaktiviert systemweit DEP nach einem Neustart.

Windows XP (ab SP2)

Es kann auch die Boot.ini editiert werden (gilt nicht für Windows Vista und Windows 7):
Start - Ausführen - Notepad %SYSTEMDRIVE%\Boot.ini [OK]
Unter [operating systems] wird der Parameter /NoExecute= durch /Execute ersetzt.
Die Boot.ini-Datei danach wieder abspeichern und den Rechner neu starten.
Oder über Systemsteuerung > System > Registerkarte "Erweitert" > "Starten und Wiederherstellen" > Button "Einstellungen" > Bearbeiten.

Die Boot.ini liegt meistens im Verzeichnis C:\ und ist "schreibgeschützt". Die Datei liegt normalerweise auf dem Laufwerk, auf dem Windows seine Systemdateien NTLDR etc. abgelegt hat. Das kann auch ein anderer Laufwerksbuchstabe sein. Vorher den Schreibschutz der Boot.Ini-Datei unter "Eigenschaften/Allgemein" entfernen, nach dem Abspeichern sollte das Häkchen wieder gesetzt werden. Die Boot.ini ist standardmäßig ausgeblendet. In den Ordneroptionen muss deshalb unter Ansicht die Option Geschützte Systemdateien ausblenden deaktiviert werden.

/EXECUTE bewirkt, dass der Ausführungsschutz (DEP) für das gesamte System deaktiviert wird, er kann jedoch für einzelne Anwendungen aktiviert werden. /EXECUTE die Deaktivierung der DEP - (also execute der ANWENDUNGEN).

/NOEXECUTE bewirkt, dass der Ausführungsschutz (DEP) für das gesamte System aktiviert wird, er kann jedoch für einzelne Anwendungen deaktiviert werden. Betrifft nur 32-Bit-Anwendungen. Bei 64-Bit-Anwendungen ist DEP generell eingeschaltet und lässt sich nicht abschalten. /NOEXECUTE die Aktivierung der DEP - (also noexecute der ANWENDUNGEN).

/noexecute=OptIn bewirkt, dass DEP nur Systemdateien überwacht und Anwendungen, die in der OptIn-Liste stehen. Verhindert, dass Windows XP in den "Abgesicherten Modus" startet.

/noexecute=OptOut bewirkt, dass DEP Systemdateien überwacht mit Ausnahme von Anwendungen, die in der OptOut-Liste stehen.
/NOEXECUTE=OptIn und /NOEXECUTE=OptOut sind die beiden Werte, die über die Systemsteuerung einstellbar sind.

/noexecute=AlwaysOn bewirkt, dass DEP systemweit für alle ausführbaren Dateien aktiviert ist. Eine eventuell vorhandene Ausnahmeliste wird ignoriert.

/noexecute=AlwaysOff bewirkt, dass DEP systemweit abgeschaltet ist.
/EXECUTE und /NOEXECUTE=AlwaysOff schalten die DEP bei 32-Bit-Windows aus, unabhängig davon, ob die CPU es unterstützt oder nicht, wobei hier noch /PAE und /NOPAE bei 64-Bit-CPUs eine Rolle spielen.
/NOEXECUTE=AlwaysOff scheint die einzige Möglichkeit zu sein, DEP bei 64-Bit-Windows auf einer 64-Bit-CPU, die DEP unterstützt, abzuschalten, solange nicht /PAE verwendet wird. /EXECUTE ist hier generell wirkungslos.

Das Ganze gilt für Hardware- und Software-DEP.

Informationen über die Boot.ini (Win NT/Win 2000/Win XP/2003)
Microsoft Hilfe & Support KB875352 - Detaillierte Beschreibung der Funktion "Datenausführungsverhinderung" (Win XP/Win 2003)
Informationen über bcdedit (Windows Vista/Win7)

32 Bewertungen

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne Ø 4,09
Datenausführungsverhinderung
Loading...