如果您希望增强 Windows 11 系统对缓冲区溢出类攻击的防御能力,防止恶意代码在数据内存页中执行,则需启用“数据执行保护”(Data Execution Prevention,DEP)。该功能依赖 CPU 的 NX(AMD)或 XD(Intel)硬件位,通过将堆、栈等内存区域标记为不可执行,强制拦截非法代码执行行为。以下是多种启用方式:
一、通过系统属性图形界面启用 DEP
此方法使用 Windows 内置控制面板路径,适用于所有 Win11 版本,操作直观且无需命令行权限,可选择全局启用或为特定程序设置例外。
1、右键单击桌面上的“此电脑”图标,选择“属性”。
2、在打开的“系统”窗口中,点击左侧的“高级系统设置”。
3、在“系统属性”对话框中,切换到“高级”选项卡。
4、在“性能”区域点击“设置”按钮。
5、在“性能选项”窗口中,切换到“数据执行保护”选项卡。
6、勾选“为除下列选定程序之外的所有程序和服务启用 DEP”单选框。
7、如需添加例外程序,点击“添加”按钮,浏览并选择对应 .exe 文件;否则直接跳过此步。
8、点击“应用”,再点击“确定”关闭所有窗口。
9、重启计算机以使 DEP 设置生效。
二、通过管理员命令提示符强制启用 DEP
此方法绕过图形界面限制,直接修改启动配置数据库(BCD),实现无条件全局启用 DEP,适用于高级用户或 GUI 失效场景,需以管理员身份运行。
1、在任务栏搜索框中输入 cmd,按住 Ctrl + Shift 后按回车,确认 UAC 提示。
2、在打开的命令提示符窗口中,输入以下命令并按回车:
bcdedit.exe /set {current} nx AlwaysOn
3、若返回结果包含 “操作成功完成”,表示设置已写入。
4、重启计算机。
三、通过 Windows 安全中心启用 DEP(部分版本支持)
此方法依托 Windows 安全中心的“攻击防护”模块,提供集成化安全策略入口,但仅在部分 Win11 更新版本中可见,状态显示更直观,适合快速验证。
1、按下 Win + I 打开“设置”。
2、依次进入“隐私和安全性” → “Windows 安全中心”。
3、点击“应用和浏览器控制”卡片。
4、点击“攻击防护”下的“管理攻击防护”。
5、向下滚动至“基于硬件的缓解措施”,找到“数据执行保护(DEP)”。
6、若开关可操作,将其切换为“开”状态;若灰显,说明已由系统级策略(如 BCD 或组策略)接管。
7、系统可能提示重启,请保存工作后立即重启。
四、验证 DEP 是否已启用
启用完成后必须验证实际运行状态,避免因硬件不支持或配置冲突导致功能未激活;验证需结合系统信息与命令行双重确认。
1、按下 Win + R,输入 msinfo32 并回车,打开系统信息。
2、在右侧列表中查找“数据执行保护”项,确认其值为“可用”且状态描述含“已启用”字样。
3、以管理员身份打开 PowerShell,输入以下命令并回车:
Get-ProcessMitigation -System | Select-Object -ExpandProperty DEP
4、输出结果中若显示 “Enabled: True”,表明 DEP 已在内核层强制启用。
评论(0)