Предотвращение выполнения данных (DEP) по-прежнему отключает программы после его отключения

После установки средства шифрования диска функция предотвращения выполнения данных (DEP) начинает уничтожать подсистему спулера. Это известная проблема с этой программой шифрования, и исправление состоит в том, чтобы настроить DEP для запуска всех программ, кроме указанных мной. Поэтому я изменяю эти настройки и указываю подсистему спулера, которую DEP игнорирует. Но DEP все еще убивает подсистему спулера даже после перезагрузки.

Я отключил и снова включил DEP. Я полностью отключил его, используя параметр NoExecute=AlwaysOff в файле boot.ini. На любом другом компьютере, где у меня была эта проблема с установленной опцией, эта проблема устранена.

Но DEP не умрет! Почему, почему бы не умереть DEP?

Подробности:

  • Windows XP sp3 - полностью исправлена
  • Hitachi Hibun шифрование диска
Источник

2 ответа

Решение

У нас есть следующие особенности развертывания нашей системы, которые, по-видимому, играют роль в этой проблеме:

  • В Office 2010 мы определили, что необходимо полностью отключить DEP. Это было определено руководителями ИТ-организации, и у меня не было времени или ресурсов, чтобы выяснить, почему это так. На данный момент это дано.
  • Мы устанавливаем пакет шифрования диска под названием Hibun, который является более старым и имеет известные проблемы со службой диспетчера очереди печати. Обходным путем было задание настроек DEP для сканирования всего, кроме тех программ, которые я выбрал вручную, а затем для добавления службы диспетчера очереди печати в список исключений. Этот процесс начинается до полного отключения DEP в Office 2010.

Проблема возникает, когда мы объединяем это требование и этот обходной путь при наличии шифрования диска.

Проблема повторяется: совершенно новая установка, полностью исправленная, приводит к точно такому же поведению в точно такой же точке.

Кажется, что поведение таково, что, несмотря на сообщение об отключении как на уровне ОС, так и на уровне BIOS, DEP продолжает работать, когда установлено шифрование диска, и продолжает вызывать горе при обнаружении службы диспетчера очереди печати.

Решением было отключить службу диспетчера очереди печати.

Мы находимся в сетевой среде, в которой задания распределяются сервером печати, поэтому локальная служба диспетчера очереди печати не требуется. Я проверил печать с отключенной локальной службой диспетчера очереди печати, и она работает нормально. Единственные проблемы могут возникать, если человек пытается печатать на принтере, кроме тех, которые находятся в офисе, что не является большой проблемой, поскольку это неявно запрещено политикой безопасности компании.

Это не лучшее решение, это не элегантное решение, это даже не особенно хорошее решение, просто у меня нет времени тратить на лучшее. И до тех пор, пока пользователь не пытается напечатать рабочие файлы из дома (что в любом случае является огромным, нет-нет), он не должен испытывать никакого плохого поведения со стороны компьютера.

Murglefrump! Я ненавижу плохие решения, как это. Но, эй, я скоро перейду к другой компании, которая будет более открытой, когда дело доходит до ИТ-политики, и у меня будет гораздо больше ответственности, и я смогу потратить время на поиск истинных исправлений и согласиться на меньше растворов пасты и липкой ленты.

Источник

Я бы предложил отключить физические расширения адресов, так как DEP полагается на это, чтобы работать. Вот статья КБ от Microsoft. В основном вы добавляете:

/ выполнить /NOPAE

в ваш файл Boot.ini. Я знаю, что это не совсем "исправление", но этот обходной путь должен отключить DEP, отключив то, на что он опирается.

Источник
Другие вопросы по тегам