Win11 开启DEP保护内存防恶意代码

Windows 11 用户若想大幅提升系统安全性、有效抵御缓冲区溢出等常见恶意代码攻击，关键一步就是启用数据执行保护（DEP）——这项依赖CPU硬件级NX/XD位的底层防护机制，能强制将堆栈等数据内存区域标记为不可执行，从根本上阻断恶意代码在非代码页中运行；文章详尽介绍了通过图形界面、管理员命令行（bcdedit）、Windows安全中心三种主流方式开启DEP的操作步骤，并强调必须结合msinfo32和PowerShell命令双重验证才能确保防护真正生效，是每位重视系统安全的Win11用户不容忽视的核心加固措施。

如果您希望增强 Windows 11 系统对缓冲区溢出类攻击的防御能力，防止恶意代码在数据内存页中执行，则需启用“数据执行保护”（Data Execution Prevention，DEP）。该功能依赖 CPU 的 NX（AMD）或 XD（Intel）硬件位，通过将堆、栈等内存区域标记为不可执行，强制拦截非法代码执行行为。以下是多种启用方式：

一、通过系统属性图形界面启用 DEP

此方法使用 Windows 内置控制面板路径，适用于所有 Win11 版本，操作直观且无需命令行权限，可选择全局启用或为特定程序设置例外。

1、右键单击桌面上的“此电脑”图标，选择“属性”。

2、在打开的“系统”窗口中，点击左侧的“高级系统设置”。

3、在“系统属性”对话框中，切换到“高级”选项卡。

4、在“性能”区域点击“设置”按钮。

5、在“性能选项”窗口中，切换到“数据执行保护”选项卡。

6、勾选“为除下列选定程序之外的所有程序和服务启用 DEP”单选框。

7、如需添加例外程序，点击“添加”按钮，浏览并选择对应 .exe 文件；否则直接跳过此步。

8、点击“应用”，再点击“确定”关闭所有窗口。

9、重启计算机以使 DEP 设置生效。

二、通过管理员命令提示符强制启用 DEP

此方法绕过图形界面限制，直接修改启动配置数据库（BCD），实现无条件全局启用 DEP，适用于高级用户或 GUI 失效场景，需以管理员身份运行。

1、在任务栏搜索框中输入 cmd，按住 Ctrl + Shift 后按回车，确认 UAC 提示。

2、在打开的命令提示符窗口中，输入以下命令并按回车：

bcdedit.exe /set {current} nx AlwaysOn

3、若返回结果包含 “操作成功完成”，表示设置已写入。

4、重启计算机。

三、通过 Windows 安全中心启用 DEP（部分版本支持）

此方法依托 Windows 安全中心的“攻击防护”模块，提供集成化安全策略入口，但仅在部分 Win11 更新版本中可见，状态显示更直观，适合快速验证。

1、按下 Win + I 打开“设置”。

2、依次进入“隐私和安全性” → “Windows 安全中心”。

3、点击“应用和浏览器控制”卡片。

4、点击“攻击防护”下的“管理攻击防护”。

5、向下滚动至“基于硬件的缓解措施”，找到“数据执行保护（DEP）”。

6、若开关可操作，将其切换为“开”状态；若灰显，说明已由系统级策略（如 BCD 或组策略）接管。

7、系统可能提示重启，请保存工作后立即重启。

四、验证 DEP 是否已启用

启用完成后必须验证实际运行状态，避免因硬件不支持或配置冲突导致功能未激活；验证需结合系统信息与命令行双重确认。

1、按下 Win + R，输入 msinfo32 并回车，打开系统信息。

2、在右侧列表中查找“数据执行保护”项，确认其值为“可用”且状态描述含“已启用”字样。

3、以管理员身份打开 PowerShell，输入以下命令并回车：

Get-ProcessMitigation -System | Select-Object -ExpandProperty DEP

4、输出结果中若显示 "Enabled: True"，表明 DEP 已在内核层强制启用。

终于介绍完啦！小伙伴们，这篇关于《Win11 开启DEP保护内存防恶意代码》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！