Podrobný popis funkce Omezení spouštění dat v systémech Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 a Windows Server 2003

Překlady článku Překlady článku
ID článku: 875352 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Omezení spouštění dat je sada hardwarových a softwarových technologií, které provádějí dodatečné kontroly paměti, aby pomohly zabránit spuštění škodlivého kódu v systému. V systémech Microsoft Windows XP Service Pack 2 (SP2) a Microsoft Windows XP Tablet PC Edition 2005 je Omezení spouštění dat vynucováno hardwarově a softwarově.

Primárním přínosem funkce Omezení spouštění dat je pomoc při zabraňování spuštění kódu z datových stránek. Kód obvykle není spouštěn z výchozí haldy (zásobníkové paměti) a zásobníku. Omezení spouštění dat vynucované hardwarem zjistí kód spuštěný z těchto umístění a po spuštění vyvolá výjimku. Softwarem vynucované omezení spouštění dat může pomoci zabránit škodlivému kódu ve zneužití mechanismu zpracování výjimek v systému Windows.

ÚVOD

Tento článek popisuje funkci Omezení spouštění dat v systémech Windows XP SP2 a Microsoft Windows Server 2003 s aktualizací Service Pack 1 (SP1) a obsahuje následující témata:

Další informace

Hardwarem vynucované omezení spouštění dat

Hardwarem vynucované omezení spouštění dat označuje všechna paměťová umístění v procesu jako nespustitelná, avšak kromě případů, kdy určité umístění explicitně obsahuje spustitelný kód. Existuje skupina útoků, které se pokoušejí vložit a spustit kód z nespustitelných paměťových umístění. Omezení spouštění dat pomáhá předcházet těmto útokům tak, že je zachytí a vyvolá výjimku.

Při označování paměti atributem, který označuje, že by z této paměti neměl být spouštěn kód, spoléhá hardwarem vynucované omezení spouštění dat na hardware procesoru. Omezení spouštění dat funguje na základě jednotlivých stránek virtuální paměti a obvykle stránku paměti označí změnou bitu v položce stránkovací tabulky (PTE).

Způsob implementace omezení spouštění dat v hardwaru a způsob označení stránky virtuální paměti funkcí Omezení spouštění dat závisí na architektuře procesoru. Procesory, které podporují hardwarem vynucované omezení spouštění dat, však mohou vyvolat výjimku, pokud je kód spuštěn ze stránky označené příslušnou sadou atributů.

Architektury kompatibilní se systémem Windows, které podporují omezení spouštění dat, definovaly a uvedly na trh společnosti Advanced Micro Devices (AMD) a Intel.

Počínaje systémem Windows XP SP2 používají 32bitové verze systému Windows jednu z následujících technologií:
  • funkci procesoru ochrany stránky nespouštěním (NX) definovanou společností AMD,
  • funkci XD (Execute Disable Bit, Bit pro zabránění spuštění) definovanou společností Intel.
Aby bylo možné používat tyto procesorové funkce, musí být procesor spuštěn v režimu Rozšíření fyzické adresy (PAE, Physical Address Extension). Systém Windows však režim Rozšíření fyzické adresy povolí automaticky, aby bylo podporováno omezení spouštění dat. Uživatelé tento režim nemusejí samostatně povolovat spouštěcím přepínačem /PAE.

Poznámka: Vzhledem k tomu, že 64bitová jádra automaticky podporují ?technologii Address Windowing Extensions (AWE), neobsahují 64bitové verze systému Windows samostatné jádro pro režim Rozšíření fyzické adresy.
Další informace o technologiích PAE a AWE v systému Windows Server 2003 naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
283037 V systémech Windows Server 2003 a Windows 2000 je k dispozici podpora velkých pamětí

Softwarem vynucované omezení spouštění dat

Do aktualizace Windows XP SP2 byla přidána dodatečná sada kontrol zabezpečení funkce Omezení spouštění dat. Tyto kontroly, označované jako softwarem vynucované omezení spouštění dat, mají blokovat škodlivý kód, který zneužívá mechanismus zpracování výjimek v systému Windows. Softwarem vynucované omezení spouštění dat funguje na každém procesoru, na němž lze provozovat systém Windows XP SP2. Ve výchozím nastavení pomáhá softwarem vynucované omezení spouštění dat chránit pouze některé binární soubory systému, bez ohledu na podporu procesoru pro hardwarem vynucované omezení spouštění dat.

Přínosy

Hlavním přínosem funkce Omezení spouštění dat je pomoc při zabraňování spuštění kódu z datových stránek, jako jsou stránky výchozí haldy, různé stránky zásobníku a stránky fondu paměti. Kód obvykle není spouštěn z výchozí haldy (zásobníkové paměti) a zásobníku. Omezení spouštění dat vynucované hardwarem zjistí kód spuštěný z těchto umístění a po spuštění vyvolá výjimku. Není-li výjimka zpracována, proces se zastaví. Spuštění kódu z chráněné paměti v režimu jádra způsobí chybu Stop.

Omezení spouštění dat pomáhá zablokovat určitou třídu bezpečnostních narušení. Konkrétně může pomoci zablokovat škodlivý program, do jehož procesu virus nebo jiný typ útoku vložil dodatečný kód, který se následně pokouší spustit. V systému s aktivní funkcí Omezení spouštění dat způsobí spuštění tohoto vloženého kódu výjimku. Softwarem vynucované omezení spouštění dat může pomoci zablokovat programy, které zneužívají mechanismus zpracování výjimek v systému Windows.

Celosystémová konfigurace omezení spouštění dat

Konfigurace omezení spouštění dat v systému je řízena přepínači v souboru Boot.ini. Jste-li přihlášeni jako správce, můžete nastavení omezení spouštění dat snadno nakonfigurovat pomocí dialogového okna Systém v Ovládacích panelech.

Systém Windows podporuje čtyři celosystémové konfigurace pro hardwarem i softwarem vynucované omezení spouštění dat.
Zmenšit tuto tabulkuRozšířit tuto tabulku
KonfiguracePopis
OptInToto nastavení je výchozí konfigurace. V systémech s procesory, které mohou implementovat hardwarem vynucované omezení spouštění dat, je ve výchozím nastavení omezení spuštění dat povoleno pro omezené systémové binární soubory a aplikace, které tuto možnost samy povolí (opt-in). Ve výchozím nastavení této možnosti jsou omezením spouštění dat kryty pouze binární soubory systému Windows.
OptOutOmezení spouštění dat je ve výchozím nastavení povoleno pro všechny procesy. Pomocí dialogového okna Systém v Ovládacích panelech můžete ručně vytvořit seznam konkrétních aplikací, u kterých nebude použito Omezení spouštění dat. Oborníci v oblasti IT mohou pomocí sady Application Compatibility Toolkit odhlásit (opt-out) jednu nebo více aplikací z ochrany Omezení spouštění dat. Opravy kompatibility systému, nazývané shim, jsou pro omezení spouštění dat účinné.
AlwaysOnToto nastavení poskytuje úplné pokrytí celého systému funkcí omezení spouštění dat. Všechny procesy jsou vždy spuštěny s použitím omezení spouštění dat. Seznam výjimek pro konkrétní aplikace, na které by se ochrana Omezení spouštění dat nevztahovala, není k dispozici. Opravy kompatibility systému nejsou pro omezení spouštění dat účinné. S aktivní funkcí omezení spouštění dat jsou spouštěny i aplikace, které byly z ochrany odhlášeny pomocí sady Application Compatibility Toolkit.
AlwaysOffToto nastavení neposkytuje žádné části systému ochranu funkcí Omezení spouštění dat, bez ohledu na hardwarovou podporu omezení spouštění dat. Procesor nebude spuštěn v režimu Rozšíření fyzické adresy, pokud soubor Boot.ini nebude obsahovat parametr /PAE.
Omezení spouštění dat je konfigurováno stejně, ať je vynucováno hardwarem nebo softwarem. Je-li celosystémová zásada Omezení spouštění dat nastavena na možnost OptIn, budou binární soubory jádra a aplikace systému Windows chráněny hardwarovým i softwarovým omezení spouštění dat. Jestliže systém nemůže hardwarem vynucované omezení spouštění dat používat, budou tyto soubory a aplikace chráněny pouze softwarem vynucovaným omezením spouštění dat.

Podobně platí, že pokud je celosystémová zásada Omezení spouštění dat nastavena na možnost OptOut, budou aplikace vyjmuté z ochrany Omezení spouštění dat vyjmuty z hardwarového i softwarového omezení spouštění dat.

Nastavení souboru Boot.ini jsou následující:
/noexecute=úroveň_zásady
Poznámka: úroveň_zásady je definována jako AlwaysOn, AlwaysOff, OptIn nebo OptOut.

Stávající nastavení /noexecute v souboru Boot.ini se po instalaci aktualizace Windows XP SP2 nezmění. Toto nastavení se nezmění ani při přesunu bitové kopie systému Windows do jiného počítače, ať už hardwarem vynucované omezení spouštění dat podporuje či nepodporuje.

Při instalaci aktualizací Windows XP SP2 a Windows Server 2003 SP1 nebo novějších verzí je ve výchozím nastavení povolena úroveň zásad OptIn, pokud není při bezobslužné instalaci zadána jiná úroveň. Pokud nastavení /noexecute=úroveň_zásady není v souboru Boot.ini zadáno pro verzi systému Windows, která podporuje omezení spouštění dat, bude chování stejné, jako by bylo zadáno nastavení/noexecute=OptIn.

Jste-li přihlášeni jako správce, můžete ručně nakonfigurovat omezení spouštění dat na přepínání mezi zásadami OptIn a OptOut pomocí karty Omezení spouštění dat na ovládacím panelu Vlastnosti systému. Následující postup popisuje ruční konfiguraci omezení spouštění dat v počítači.
  1. Klepněte na tlačítko Start, potom na příkaz Spustit, zadejte příkaz sysdm.cpl a klepněte na tlačítko OK.
  2. Na kartě Upřesnit klepněte v rámečku Výkon na tlačítko Nastavení.
  3. Na kartě Omezení spouštění dat (DEP) použijte jeden z následujících postupů:
    • Klepnutím na přepínač Zapnout omezení spouštění dat pouze pro důležité systémové programy a služby vyberte zásadu OptIn.
    • Klepnutím na přepínač Zapnout omezení spouštění dat pro všechny programy a služby kromě vyberte zásadu OptOut a potom po klepnutí na tlačítko Přidat přidejte aplikace, u kterých nechcete, aby používaly funkci Omezení spouštění dat.
  4. Dvakrát klepněte na tlačítko OK.
Odborníci v oblasti IT mohou řídit celosystémovou konfiguraci omezení spouštění dat pomocí různých metod. Soubor Boot.ini lze upravit přímo skriptovacími mechanismy nebo nástrojem Bootcfg.exe obsaženým v aktualizaci Windows XP SP2.

Chcete-li konfigurovat omezení spouštění dat a nastavit zásadu AlwaysOn v souboru Boot.ini, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte pravým tlačítkem na položku Tento počítač a poté na příkaz Vlastnosti.
  2. Klepněte na kartu Upřesnit a ve skupinovém rámečku Spuštění a zotavení systému klepněte na tlačítko Nastavení.
  3. Ve skupinovém rámečku Spuštění systému klepněte na tlačítko Upravit. Soubor Boot.ini se otevře v Poznámkovém bloku.
  4. V Poznámkovém bloku klepněte v nabídce Úpravy na příkaz Najít.
  5. Do pole Najít zadejte /noexecute a klepněte na tlačítko Najít další.
  6. V dialogovém okně Najít klepněte na tlačítko Storno.
  7. Nahraďte text úroveň_zásady řetězcem AlwaysOn.

    Upozornění: Zkontrolujte, zda jste text zadali přesně. Přepínač souboru Boot.ini by měl nyní vypadat takto:
    /noexecute=AlwaysOn
    .
  8. V Poznámkovém bloku klepněte v nabídce Soubor na příkaz Uložit.
  9. Klepněte dvakrát na tlačítko OK.
  10. Restartujte počítač.
Při bezobslužné instalaci aktualizace Windows XP SP2 nebo pozdějších je možné pomocí souboru Unattend.txt předem zadat konkrétní konfiguraci funkce Omezení spouštění dat. Celosystémovou konfiguraci funkce Omezení spouštění dat můžete určit ?pomocí položky OSLoadOptionsVar v oddílu [Data] souboru Unattend.txt.

Konfigurace omezení spouštění dat pro jednotlivé aplikace

Je-li omezení spouštění dat nastaveno na úroveň OptOut, můžete z důvodu kompatibility aplikací selektivně zakázat omezení spouštění dat pro jednotlivé 32bitové aplikace. ?Provedete ?to na kartě Omezení spouštění dat na ovládacím panelu Vlastnosti systému, kde můžete zakázat omezení spouštění dat pro vybrané aplikace. Pro odborníky v oblasti IT je v aktualizaci Windows XP SP2 k dispozici oprava s názvem DisableNX pro účely kompatibility aplikací. Oprava kompatibility DisableNX zakáže omezení spouštění dat pro aplikaci, u které byla oprava použita.

Opravu DisableNX lze pro aplikaci použít pomocí sady Application Compatibility Toolkit. Další informace o kompatibilitě aplikací v systému Windows najdete v části Windows Application Compatibility (Kompatibilita aplikací v systému Windows) na následujícím webu společnosti Microsoft:
http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx
Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
912923 Jak zjistit, že omezení spuštění dat je dostupné a konfigurované ve vašem počítači (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Odkazy

Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
899298 Téma nápovědy „Princip funkce Omezení spouštění dat“ nesprávně uvádí výchozí nastavení pro funkci Omezení spouštění dat v systému Windows Server 2003 Service Pack 1 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Vlastnosti

ID článku: 875352 - Poslední aktualizace: 10. června 2013 - Revize: 14.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003 Service Pack 1 na těchto platformách
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Klíčová slova: 
kbtshoot kbinfo KB875352

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com