none
Как включить DEP с помощью GPO? RRS feed

Ответы

Все ответы

  • Если не ошибаюсь, то нет. Для IE есть групповая политика 
    http://technet.microsoft.com/en-us/library/cc985351.aspx
    называющаяся Turn off Data Execution Prevention в контейнере Computer COnfiguration\Windows Components\Internet Explorer\Security Features
    Можно попробовать отследить какие изменения происходят при включении отключении DEP и создать свой административный шаблон.
    Также можно попробовать управлять DEP через boot.ini файл
    http://technet.microsoft.com/en-us/library/bb490630.aspx

    • Помечено в качестве ответа Pavel Rybin 17 марта 2010 г. 7:00
    17 марта 2010 г. 6:33
    Модератор
  • Дмитрий, скорее всего не ошибаетесь. В GPO нет политик для DEP, перерыл инфу в инете. А жаль, несколько раз DEP помог, даже вирус с помощью него отловил, поэтому и стараюсь включать его.
    Через boot.ini это конечно хорошо и можно, но вот как это сделать централизованно? Да еще и как это сделать в семерке, где boot.ini нет? Насколько я понял, когда включаешь DEP в свойствах системы, то в boot.ini дописывается ключ. В Windows 7 пока не понял, как он включается.
    Все равно спасибо, буду дальше искать.

    17 марта 2010 г. 7:00
  • Вот, делал когда-то для XP:

    ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
    ::
    :: http://support.microsoft.com/kb/912923
    ::
    ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
    @echo off
    for /F "skip=1 tokens=1,2 delims=." %%i in ('wmic os get version') do (
    rem echo %%i
    rem echo %%j
    if %%i==5 (
    if %%j==1 (
    rem echo XP
    for /f "skip=1" %%v in ('wmic OS Get DataExecutionPrevention_SupportPolicy') do
    (
    if %%v neq 3 bootcfg /RAW "/fastdetect /NoExecute=OptOut" /ID 1
    )
    )
    )
    )

    включает DEP, путем внесения изменений в boot.ini (можно воткнуть в статртап скрипт, но, только обязательно проверьте, устраивает ли вас строка параметров, которая подставляется этим скриптом в boot.ini)
    • Предложено в качестве ответа s.h.s. _ 17 марта 2010 г. 9:05
    17 марта 2010 г. 8:24
  • и в догонку про автоматизацию внесения исключений в DEP:

    http://www.experts-exchange.com/Programming/System/Windows__Programming/Q_22426862.html

    http://www.appdeploy.com/messageboards/tm.asp?m=44008

    Windows Registry Editor Version 5.00 
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]

    "C:\\Program Files\\1Cv77.buh\\BIN\\1cv7.exe"="DisableNXShowUI" "C:\\Program Files\\1Cv77\\BIN\\1cv7.exe"="DisableNXShowUI"


    Upd. Oooops, погорячился. Народ пишет, что вненсение изменний  в реестр по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers добавляет соответствующее приложение в список исключений DEP, только, вот, DEP все равно не делает исключений для прижений, которые были внесены  в список таким способом  :(
    • Предложено в качестве ответа s.h.s. _ 17 марта 2010 г. 9:05
    17 марта 2010 г. 8:58