990x.top
Простой компьютерный блог для души)
Execute Disable Bit (XD-Bit) что это в биосе?
Всем привет. И сегодня мы снова продолжаем изучать биос, на этот раз рассмотрим пункт Execute Disable Bit. Значит покопавшись в интернете, я понял, что Execute Disable Bit это опция безопасности, которая позволяет запретить выполнение программ в области, которая предназначена только для хранения данных. В итоге при помощи Execute Disable Bit выполняется защита от всяких вирусов. Но не все процессоры поддерживают эту опцию, новые почти все, а вот старые.. тут нужно смотреть характеристики проца 
А вот на другом сайте читаю уже немного другую инфу. Пишется, что Execute Disable Bit обеспечивает создание области системной памяти для каждого запущенного процесса. Это способно защитить от вредоносных атак, например переполнение буфера.
Вот так ребята, на одном сайте одно пишется, на другом другое.. чему верить? И сам не знаю. Но определенно ясно, что Execute Disable Bit имеет отношение к безопасности на аппаратном уровне.
Вот ребята нашел еще инфу по поводу Execute Disable Bit, смотрите:
На этом все ребята, удачи вам и чтобы все у вас было пучком!
Процессор
Здесь сосредоточены описания всех опций, касающихся центрального процессора. Исключение составляют опции, отвечающие за установку нестандартных частот и напряжений, имеющие отношение скорее к разгону, нежели к штатным режимам функционирования процессора.
Кэш-память
Любой современный процессор обязательно оборудован быстрой кэш-памятью, хранящей наиболее часто используемые инструкции и данные. Это решение существенно ускоряет работу компьютера, сокращая издержки, связанные с ожиданием новой порции данных и команд из относительно медленной оперативной памяти.
Исправление ошибок
Сложность современных процессоров зачастую приводит к тому, что те или иные ошибки (к счастью, некритичные) зачастую выявляются только после выхода процессора. BIOS позволяет загрузить в процессор микрокод, исправляющий найденные недоработки, а также, с помощью тех или иных опций, отключить проблемные блоки процессора.
Многопоточность
Увеличить скорость работы процессора можно, представив его операционной системе как два и более независимых вычислительных модуля. Тогда есть вероятность, что разные процессы задействуют разные вычислительные блоки, минимизировав их простой.
Многоядерность
Более радикальным способом увеличения производительности процессора является объединение в одной упаковке двух и более полноценных вычислительных ядер.
Системная шина
Системная шина обеспечивает взаимодействие процессора со всеми остальными компонентами компьютера (или, по меньшей мере, с большинством из них).
Управление питанием
Современные процессоры оборудованы эффективными механизмами энергосбережения и защиты от перегрева, отключающими блоки во время их простоя или чрезмерной нагрузки.
Прочие возможности
Помимо уже перечисленных, в BIOS Setup зачастую можно встретить опции, позволяющие настроить и другие аспекты функционирования процессора.
Execute Disable Bit
Другие идентичные названия опции: No-Execute Memory Protect, Execute Disable Function.
В BIOS существует несколько опций, предназначенных для обеспечения безопасности компьютера. Одной из таких опций является функция Execute Disable Bit (бит запрета исполнения кода). Ее назначение – включение режима работы процессора, обеспечивающего пользователю защиту от некоторых распространенных уязвимостей программного кода и угроз информационной безопасности. Опция имеет два значения – Enabled (Включено) и Disabled (Выключено).
Принцип работы
Опция тесно связана с таким понятием, как DEP (Data Execution Prevention, предотвращение выполнения данных). Суть данной технологии заключается в следующем В памяти компьютера существует два отдельных раздела, один из которых предназначен для данных, а другой – для исполняемых команд. При этом в процессоре присутствует особый бит состояния (бит NX, No Execution Bit), установка которого позволит процессору не использовать информацию из раздела данных в качестве исполняемых команд. Именно для установки этого бита и служит опция Execute Disable Bit.
Использование технологии DEP позволяет в ряде случаев избежать рисков для безопасности данных компьютера, связанных с ошибкой переполнения буфера. Эта ошибка часто используется различными троянскими программами и вирусами. Для того, чтобы данная технология обеспечивала максимальную защиту, она должна поддерживаться процессором, операционной системой и прикладными программами.
Большинство современных операционных систем поддерживают технологию DEP. К числу этих ОС относятся Windows XP, Vista, Windows 7 и 8. Кроме того, технологию поддерживают современные ОС семейства UNIX и Linux. В семействе операционных систем Windows поддержку DEP можно отрегулировать в разделе «Система» Панели Управления.
На уровне процессоров технология DEP впервые получила поддержку в процессорах AMD Athlon, а затем была внедрена в процессорах Intel – начиная с линейки Pentium 4 и Celeron. Именно AMD ввела в обиход термин «NX-бит», а в процессорах Intel данный бит носит названия XD-бита.
Стоит ли включать опцию?
В большинстве случаев опцию Execute Disable Bit необходимо включить, чтобы обезопасить компьютер от хакерских атак, троянских программ, вирусов и «червей», использующих метод переполнения буфера. Разумеется, включение бита запрета исполнения кода процессора не является панацеей, защищающей пользователя от всех возможных информационных угроз, но оно может стать серьезным подспорьем для других средств защиты компьютера, прежде всего программных.
На уровне операционной системы технология работает даже в том случае, если процессор ее не поддерживает, или бит NX в нем отключен. Однако в этом случае эффективность защиты компьютера будет снижена.
Тем не менее, встречается программное обеспечение, которое не совместимо с технологией DEP и при этом не относится к категории вредоносных программ. Для того, чтобы позволить функционировать подобному ПО, в BIOS и предусмотрена возможность отключения опции. Таким образом, опцию следует установить в значение Disabled только в том случае, если вы используете подобное ПО.
Intel xd bit что это в биосе
Опция Execute Disable Bit позволяет задействовать аппаратную поддержку защиты от вредоносных программ (DEP). С помощью данной защиты включается режим, при котором запускать программы из области данных запрещается.
Enabled – использовать аппаратную поддержку защиты от вредоносных программ;
Disabled – отключить аппаратную поддержку защиты от вредоносных программ.
Опция также может иметь другие названия:
Execute Disable Function
Intel XD Bit
No-Execute Memory Protect
NX BIOS Control
NX Technology
XD Technology
Примечание 1. DEP (Data Execution Prevention, функция предотвращение выполнения данных) – это набор программных и аппаратных технологий, позволяющих задействовать режим, при котором запускать программы из области данных запрещается, что позволяет предотвратить атаки некоторых вредоносных программ (которые сохраняют код в области данных). Также с помощью данной функции выполняются дополнительные проверки содержимого памяти.
Intel vPro: что, когда и как
В арсенале решений Intel прочное место занял набор технологий vPro. Его компоненты отвечают за безопасность ПК (включая защиту ОС при загрузке), виртуализацию (наборы инструкций для ускорения работы виртуальных машин, ВМ), администрирование и сервисные возможности в корпоративной среде. Основой концепции vPro является аппаратная реализация функций. Это дает много возможностей, повышает надежность и защищенность систем.
Наличие на устройстве стикера vPro означает, что в ПК или ноутбуке имеются технологии VT, TXT, AMT, Turbo Boost, XD-Bit, WiDi, Wireless Docking (последние две – при наличии беспроводного адаптера WiFi). Расскажем о каждой из них.
Intel VT
Intel ® VT (Intel Virtualization Technology) – специальный набор инструкций процессора, позволяющий существенно ускорить работу виртуальной машины (ВМ) за счет аппаратной реализации виртуализации, которая предполагает работу на реальном процессоре, а не с помощью бинарной трансляции команд ВМ в инструкции процессора.
При создании ВМ в памяти компьютера эмулируется аппаратная платформа, на которой запускается виртуальная ОС, а в ней – приложения, которые выполняются в памяти ВМ. Долгое время «узким местом» виртуальных машин была их низкая производительность, во многом обусловленная тем, что приходилось транслировать команды виртуального процессора в команды реального. Сейчас ВМ создаются и управляются самим процессором с помощью инструкций Intel ® VT-x, которые позволяют работать с процессором напрямую, существенно сократить задержки и избежать потери производительности.
Для решения похожих задач предназначена технология Intel ® EPT, позволяющая гостевым ОС управлять страницами памяти без участия монитора виртуальных машин (VMM). Наконец, технология Intel ® VT-d, предназначенная для «проброса» устройств в виртуальную среду, позволяет гостевой ОС получать прямой доступ к ресурсам других физических устройств (видеокарты, контроллеров в портах расширения и т.д.).
В последних поколениях процессоров Intel удалось существенно снизить издержки производительности при виртуализации , так что сейчас скорость работы виртуальных машин и реальных систем сопоставимы. В тестовой лаборатории iXBT.com проводили исследование потерь производительности в ВМ, с результатами которого можно ознакомиться здесь (хост-ОС – Windows http://www.ixbt.com/cpu/virtual2015-winwin.shtml ) и здесь ( хост-ОС – Linux http://www.ixbt.com/cpu/virtual2015-linuxwin.shtml ). В первой части также затрагивается вопрос преимуществ виртуализации.
Intel TXT
Intel ® TXT (Intel Trusted Execution Technology) — технология «доверенной загрузки». Она обеспечивает безопасность кода, выполняемого в защищенной среде, и позволяет отследить и отсечь его несанкционированные изменения. Intel ® TXT позволяет бороться с вирусами и шпионским ПО, в том числе, так называемыми руткитами, которые интегрируются в систему на ранних этапах загрузки. Особенно важна ее работа при старте системы, когда загружаются основные модули ОС.
Intel ® ТХТ использует модули TPM (Trusted Platform Module) — отдельный чип с функциями аппаратного шифрования и (иногда) защищенного хранилища, где система и приложения могут хранить секретные коды, ключи и пр. Чип работает через BIOS. Он может быть интегрирован в материнскую плату либо располагаться в виде отдельного блока в специальном разъеме.
К сожалению, из-за действующих ограничений на технологии аппаратного шифрования в России до сих пор не преодолены сложности с сертификацией чипов ТРМ. Это усугубляется еще и тем, что ТРМ везде разные и отличаются по функциональности Поэтому в корпоративных системах, поставляемых в Россию, ТРМ либо нет, либо они заблокированы, и функциональные возможности ТХТ у нас ограничены.
Intel AMT
Intel ® AMT (Intel Active Management Technology) позволяет удаленно управлять ПК или ноутбуком, причем, даже в том случае, когда ОС не установлена или неработоспособна, когда отсутствуют драйверы сетевого интерфейса или компьютер вообще выключен.
АМТ реализована на аппаратном уровне в некоторых версиях процессоров и системной логики Intel. Работает она через проводное сетевое подключение (для работы через беспроводное все же понадобится ОС и сетевые драйвера), создавая отдельный независимый канал обмена данными. Для обеспечения конфиденциальности используется шифрование. Прошивка Intel ® AMT находится обычно на той же микросхеме, что и BIOS, и обновляется вместе с ним.
АМТ существенно упрощает жизнь подразделениям техподдержки, т.к. позволяет решать программные проблемы компьютера (включая перенастройку BIOS) без физического доступа к рабочему месту сотрудника. AMT дает возможность включить и выключить компьютер, что полезно дежурному администратору при обновлении ОС или ПО после окончания рабочего дня.
Intel Turbo Boost
Intel ® Turbo Boost — технология автоматического разгона процессора, которая позволяет увеличивать тактовую частоту его работы при краткосрочной нагрузке, выходя за рамки, разрешенные теплопакетом (TDP).
Последние годы производители стремятся делать корпуса устройств (особенно ноутбуков и планшетов) все тоньше, что не позволяет размещать в них эффективную систему охлаждения: ее возможностей зачастую не хватает даже для современных энергоэффективных решений. Это заставляет ограничивать тактовую частоту процессора, чтобы не допускать перегрева и троттлинга.
При этом большую часть времени процессор современного ПК (при обычных офисных или домашних сценариях) проводит в простое с редкими всплесками краткосрочной интенсивной нагрузки. Поскольку процесс нагрева процессора и реакции системы охлаждения на это событие не мгновенные, первый короткое время может работать и на более высокой частоте, чем это позволяют заданные параметры системы охлаждения. Встроенные службы мониторинга отслеживают потребление энергии и температуру процессора и при превышении порогов снижают тактовую частоту до безопасного уровня.
Таким образом, короткие, но интенсивные задачи процессор будет выполнять быстрее, создавая позитивное впечатление у пользователя о более высокой «отзывчивости» системы. Если же нагрузка длительная, то через некоторое время частота опускается до уровня, на котором система охлаждения справляется с отводом тепла.
Эффективность работы Turbo Boost зависит в первую очередь от системы охлаждения: при наличии мощного вентилятора и радиатора процессор может работать на максимальной частоте неограниченно долго. В последних поколениях Intel позволяет производителям самостоятельно указывать TDP для своих систем, т.е. одна и та же модель процессора будет вести себя по-разному в зависимости от возможностей конкретного устройства.
Intel XD-Bit
Intel ® XD-Bit (Intel Execute Disable Bit) — технология, предназначенная для предотвращения переполнения буфера с помощью «бита запрета на исполнение».
Современные процессоры работают с памятью в так называемом страничном режиме. Страница памяти может содержать либо программный код, либо данные. Intel ® XD-Bit, добавляет к каждой странице данных атрибут запрета, то есть запрещает процессору выполнять код. Это не дает возможности допускать «переполнения буфера», который предполагает перезапись области памяти одной программы другой программой с последующим выполнением программного кода с перезаписанной области с правами суперпользователя. Иными словами: если в программе не реализована проверка длины вводимых данных в буфер, то при вводе бесконечно длинной последовательности данных происходит перезапись области памяти, находящейся за буфером. Злоумышленник перезаписывает область памяти, находящуюся за буферов, вставляя в нее необходимые машинные инструкции.
Intel ® XD-Bit позволяет обезопасить ПК от вирусов, использующие «переполнение буфера», на аппаратном уровне.
Intel WiDi
Intel ® WiDi позволяет подключаться к внешнему экрану (монитору, телевизору или проектору) по беспроводному каналу связи – фактически, по отдельному каналу WiFi. Подключение к внешнему экрану или проектору – например, на конференции — становится гораздо проще, а пользователь избавляется от проводов (длины которых может и не хватить).
Основная сфера применения технологии – проведение презентаций, т.к. она позволяет практически мгновенно подключиться к экрану в чужом офисе и не зависеть от проводов.
Intel Wireless Docking
Эта технология является логическим развитием WiDi и позволяет подключаться по беспроводному каналу не только к монитору (кстати говоря, FullHD-поток можно передать на несколько дисплеев), но и к любой другой периферии. Поэтому ее удобно использовать и на своем рабочем месте: Wireless docking позволяет мгновенно получить доступ ко всей периферии (клавиатура, мышь, внешний монитор и пр.), но при этом не нужно подключать к устройству провода. Поскольку в основе технологии лежит 128-битное AES-шифрование, обеспечивается достаточно высокая безопасность.
У этой технологии большое будущее, т.к. она позволяет просто и очень быстро подключить не только ноутбук, но и мобильное устройство – планшет или даже смартфон, и работать на нем, как на обычном ПК, с помощью клавиатуры и мыши. И при это не нужно возиться с проводными подключениями и делать на устройстве сложные интерфейсы для док-станции.
Заключение
Intel ® vPro объединяет ряд технологий, которые делают жизнь работника и компании проще: одни облегчают обслуживание, другие обеспечивают безопасность, третьи повышают производительность систем. Присутствие логотипа vPro гарантирует, что устройство поддерживает ряд технологий, важных для работы в корпоративной среде.
Выигрыш от vPro ощутим и в малом бизнесе: АМТ, VT и другие технологии принесут немало пользы небольшим предприятиям. Правда, тут есть важный момент: необходимо заранее, при приобретении техники, выбрать системы и компоненты с поддержкой vPro. То есть осознанно принять решение об использовании этих технологий и быть готовым к тому, что техника с их поддержкой будет стоить дороже.
Использование технологий vPro способно сэкономить немало времени и денег. Дело за малым: начать их использовать.
Атрибут (бит) NX-Bit (англ. no execute bit в терминологии фирмы AMD) или XD-Bit (англ. execute disable bit в терминологии фирмы Intel) — бит запрета исполнения, добавленный в страницы (см. таблицы страниц (англ.) ) для реализации возможности предотвращения выполнения данных как кода. Используется для предотвращения уязвимости типа «переполнение буфера», позволяющей выполнять произвольный код на атакуемой системе локально или удалённо. Технология требует программной поддержки (см. DEP) со стороны ядра операционной системы.
Содержание
Основные сведения [ править | править код ]
Технология NX-bit может работать только при соблюдении следующих условий:
Некоторое ПО несовместимо с технологией NX-bit, поэтому BIOS предоставляет возможность отключения технологии.
Описание [ править | править код ]
NX (XD) — атрибут (бит) страницы памяти в архитектурах x86 и x86-64, добавленный для защиты системы от ошибок программ, а также использующих их вирусов, троянских коней и прочих вредоносных программ.
Поскольку в современных компьютерных системах память разделяется на страницы, имеющие определённые атрибуты, разработчики процессоров добавили ещё один: запрет исполнения кода на странице. То есть, такая страница может быть использована для хранения данных, но не программного кода. При попытке передать управление на такую страницу возникнет прерывание, ОС получит управление и завершит программу. Атрибут защиты от исполнения давно присутствовал в других [ каких? ] микропроцессорных архитектурах; однако, в x86-системах такая защита реализовывалась только на уровне программных сегментов, механизм которых давно не используется современными ОС. Теперь она добавлена ещё и на уровне отдельных страниц.
Современные программы чётко разделяют на сегменты кода («text»), данных («data»), неинициализированных данных («bss»), а также динамически распределяемую область памяти, которая подразделяется на кучу («heap») и программный стек («stack»). Если программа написана без ошибок, указатель команд никогда не выйдет за пределы сегментов кода; однако, в результате программных ошибок, управление может быть передано в другие области памяти. При этом процессор перестанет выполнять какие-то запрограммированные действия, а будет выполнять случайную последовательность команд, за которые он будет принимать хранящиеся в этих областях данные, до тех пор, пока не встретит недопустимую последовательность, или не попытается выполнить операцию, нарушающую целостность системы, которая вызовет срабатывание системы защиты. В обоих случаях программа завершится аварийно. Также процессор может встретить последовательность, интерпретируемую как команды перехода к уже пройденному адресу. В таком случае процессор войдёт в бесконечный цикл, и программа «зависнет», забрав 100 % процессорного времени. Для предотвращения подобных случаев и был введён этот дополнительный атрибут: если некоторая область памяти не предназначена для хранения программного кода, то все её страницы должны помечаться NX-битом, и в случае попытки передать туда управление процессор сформирует исключение и ОС тут же аварийно завершит программу, сигнализировав выход за пределы сегмента (SIGSEGV).
Основным мотивом введения этого атрибута было не столько обеспечение быстрой реакции на подобные ошибки, сколько то, что очень часто такие ошибки использовались злоумышленниками для несанкционированного доступа к компьютерам, а также написания вирусов. Появилось огромное количество таких вирусов и червей, использующих уязвимости в распространённых программах.
Один из сценариев атак состоит в том, что воспользовавшись переполнением буфера в программе (зачастую это демон, предоставляющий некоторый сетевой сервис), специально написанная вредоносная программа (эксплойт) может записать некоторый код в область данных уязвимой программы таким образом, что в результате ошибки этот код получит управление и выполнит действия, запрограммированные злоумышленником (зачастую это запрос выполнить программу-оболочку ОС, с помощью которой злоумышленник получит контроль над уязвимой системой с правами владельца уязвимой программы; очень часто это root).
Технические детали [ править | править код ]
Переполнение буфера часто возникает, когда разработчик программы выделяет некоторую область данных (буфер) фиксированной длины, считая, что этого будет достаточно, но потом, манипулируя данными, никак не проверяет выход за её границы. В результате поступающие данные займут области памяти, им не предназначенные, уничтожив имеющуюся там информацию. Очень часто временные буферы выделяются внутри процедур (подпрограмм), память для которых выделяется в программном стеке, в котором также хранятся адреса возвратов в вызывающую подпрограмму. Тщательно исследовав код программы, злоумышленник может обнаружить такой баг, и теперь ему достаточно передать в программу такую последовательность данных, обработав которую программа ошибочно заменит адрес возврата в стеке на адрес, нужный злоумышленнику, который также передал под видом данных некоторый программный код. После завершения подпрограммы команда возврата (RET) из процедуры передаст управление не вызывающей процедуре, а процедуре злоумышленника, — контроль над компьютером получен.
Благодаря атрибуту NX такое становится невозможным. Область стека помечается NX-битом и любое выполнение кода в нём запрещено. Теперь же, если передать управление стеку, то сработает защита. Хоть программу и можно заставить аварийно завершиться, но использовать её для выполнения произвольного кода становится очень сложно (для этого потребуется ошибочное снятие программой NX-защиты).
NX-бит является самым старшим разрядом элемента 64-битных таблиц страниц, используемых процессором для распределения памяти в адресном пространстве. 64-разрядные таблицы страниц используются операционными системами, работающими в 64-битном режиме, либо с включённым расширением физических адресов (PAE). Если ОС использует 32-разрядные таблицы, то возможности использовать защиту страниц от исполнения нет.
