Podrobn� popis funkcie Zamedzenie spustenia �dajov v syst�moch Windows�XP Service Pack�2, Windows�XP Tablet�PC Edition�2005 a Windows Server�2003

Tento �l�nok popisuje funkciu Zamedzenie spustenia �dajov v syst�moch Windows�XP�SP2 a Microsoft Windows Server�2003 s bal�kom Service Pack�1 (SP1) a obsahuje nasledovn� t�my:

• Hardv�rom vynucovan� Zamedzenie spustenia �dajov
• Softv�rom vynucovan� Zamedzenie spustenia �dajov
• Pr�nosy
• Celosyst�mov� konfigur�cia Zamedzenia spustenia �dajov
• Konfigur�cia Zamedzenia spustenia �dajov pre jednotliv� programy

Hardv�rom vynucovan� Zamedzenie spustenia �dajov

Hardv�rom vynucovan� Zamedzenie spustenia �dajov ozna�uje v�etky pam�ov� umiestnenia v procese ako nespustite�n�, pokia� ur�it� umiestnenie explicitne neobsahuje spustite�n� k�d. Existuje skupina �tokov, ktor� sa pok��aj� vlo�i� a spusti� k�d z nespustite�n�ch pam�ov�ch umiestnen�. Zamedzenie spustenia �dajov pom�ha predch�dza� t�mto �tokom tak, �e ich zachyt� a vyvol� v�nimku.

Pri ozna�ovan� pam�te atrib�tom, ktor� ozna�uje, �e by sa z tejto pam�te nemal sp���a� k�d, sa hardv�rom vynucovan� Zamedzenie spustenia �dajov spolieha na sp���anie �dajov v hardv�ri procesora. Zamedzenie spustenia �dajov funguje na z�klade jednotliv�ch str�nok virtu�lnej pam�te a oby�ajne str�nku pam�te ozna�� zmenou bitu v polo�ke str�nkovacej tabu�ky (PTE).

Sp�sob implement�cie Zamedzenia spustenia �dajov v hardv�ri a sp�sob ozna�enia str�nky virtu�lnej pam�te funkciou Zamedzenie spustenia �dajov z�vis� od architekt�ry procesora. Procesory, ktor� podporuj� hardv�rom vynucovan� Zamedzenie spustenia �dajov, v�ak m��u vyvola� v�nimku, ke� sa k�d spust� zo str�nky ozna�enej pr�slu�nou mno�inou atrib�tov.

Architekt�ry kompatibiln� so syst�mom Windows, ktor� podporuj� Zamedzenie spustenia �dajov, definovali a uviedli na trh spolo�nosti Advanced Micro Devices (AMD) a Intel.

Od syst�mu Windows�XP�SP2 pou��vaj� 32-bitov� verzie syst�mu Windows jednu z nasledovn�ch technol�gi�:

• funkciu procesora ochrany str�nky nesp���an�m (NX) definovan� spolo�nos�ou AMD,
• funkciu XD (Execute Disable Bit, Bit pre zamedzenie spustenia) definovan� spolo�nos�ou Intel.

Aby bolo mo�n� pou��va� tieto procesorov� funkcie, mus� by� procesor spusten� v re�ime Pr�pona fyzickej adresy (PAE, Physical Address Extension). Syst�m Windows v�ak re�im Pr�pona fyzickej adresy povol� automaticky, aby bolo podporovan� Zamedzenie spustenia �dajov. Pou��vatelia nemusia tento re�im samostatne povo�ova� sp���ac�m prep�na�om /PAE.

Pozn�mka: Vzh�adom na to, �e 64-bitov� jadr� automaticky podporuj� technol�giu Address Windowing Extensions (AWE), neobsahuj� 64-bitov� verzie syst�mu Windows samostatn� jadro pre re�im Pr�pona fyzickej adresy.
�al�ie inform�cie o technol�gi�ch PAE a AWE v syst�me Windows Server�2003 z�skate po kliknut� na nasledovn� ��slo �l�nku datab�zy Microsoft Knowledge Base:

Softv�rom vynucovan� Zamedzenie spustenia �dajov

Do bal�ka Windows�XP�SP2 bola pridan� doplnkov� skupina bezpe�nostn�ch kontrol funkcie Zamedzenie spustenia �dajov. Tieto kontroly, ozna�ovan� ako softv�rom vynucovan� Zamedzenie spustenia �dajov, maj� blokova� �kodliv� k�d, ktor� zneu��va mechanizmus spracovania v�nimiek v syst�me Windows. Softv�rom vynucovan� Zamedzenie spustenia �dajov funguje na ka�dom procesore, na ktorom mo�no prev�dzkova� syst�m Windows�XP�SP2. V predvolenom nastaven� pom�ha softv�rom vynucovan� Zamedzenie spustenia �dajov chr�ni� len niektor� bin�rne s�bory syst�mu, bez oh�adu na podporu procesora pre hardv�rom vynucovan� Zamedzenie spustenia �dajov.

Pr�nosy

Hlavn�m pr�nosom funkcie Zamedzenie spustenia �dajov je pomoc pri zabra�ovan� spusteniu k�du z �dajov�ch str�nok, ako s� napr�klad str�nky predvolenej haldy, r�zne z�sobn�kov� str�nky a str�nky pam�ov�ho fondu. K�d sa oby�ajne nesp���a z predvolenej haldy a z�sobn�ka. Zamedzenie spustenia �dajov vynucovan� hardv�rom zist� k�d spusten� z t�chto umiestnen� a po spusten� vyvol� v�nimku. Ak sa v�nimka nespracuje, proces sa zastav�. Spustenie k�du z chr�nenej pam�te v re�ime jadra sp�sob� chybu Stop.

Zamedzenie spustenia �dajov pom�ha zablokova� ur�it� triedu naru�en� zabezpe�enia. Konkr�tne m��e pom�c� zablokova� �kodliv� program, do procesu ktor�ho v�rus alebo in� typ �toku vlo�il pr�davn� k�d, ktor� sa n�sledne pok��a spusti�. V syst�me s akt�vnou funkciou Zamedzenie spustenia �dajov sp�sob� spustenie tohto vlo�en�ho k�du v�nimku. Softv�rom vynucovan� Zamedzenie spustenia �dajov m��e pom�c� zablokova� programy, ktor� zneu��vaj� mechanizmus spracovania v�nimiek v syst�me Windows.

Celosyst�mov� konfigur�cia Zamedzenia spustenia �dajov

Konfigur�ciu Zamedzenia spustenia �dajov pre syst�m riadia prep�na�e v s�bore Boot.ini. Ak ste prihl�sen� ako spr�vca, m��ete nastavenia Zamedzenia spustenia �dajov jednoducho nakonfigurova� pomocou dial�gov�ho okna Syst�m v ovl�dacom paneli.

Syst�m Windows podporuje �tyri celosyst�mov� konfigur�cie pre hardv�rom aj softv�rom vynucovan� Zamedzenie spustenia �dajov.Zamedzenie spustenia �dajov sa konfiguruje rovnako, �i je vynucovan� hardv�rom alebo softv�rom. Ak je celosyst�mov� z�sada Zamedzenie spustenia �dajov nastaven� na mo�nos� OptIn, bud� bin�rne s�bory jadra a aplik�cie syst�mu Windows chr�nen� hardv�rov�m aj softv�rov�m Zamedzen�m spustenia �dajov. Ak syst�m nem��e hardv�rom vynucovan� Zamedzenie spustenia �dajov pou��va�, bud� tieto s�bory a programy chr�nen� len softv�rom vynucovan�m Zamedzen�m spustenia �dajov.

Podobne plat�, �e ak je celosyst�mov� z�sada Zamedzenie spustenia �dajov nastaven� na mo�nos� OptOut, bud� programy vy�at� z ochrany Zamedzenia spustenia �dajov vy�at� z hardv�rovom aj softv�rom vynucovan�ho Zamedzenia spustenia �dajov.

Nastavenia s�boru Boot.ini s� nasledovn�:Pozn�mka: �rove�_z�sady je definovan� ako AlwaysOn, AlwaysOff, OptIn alebo OptOut.

Existuj�ce nastavenia /noexecute v s�bore Boot.ini sa po in�tal�cii bal�ka Windows�XP�SP2 nezmenia. Toto nastavenie sa nezmen� ani po presune bitovej k�pie syst�mu Windows do in�ho po��ta�a, �i u� hardv�rom vynucovan� Zamedzenie spustenia �dajov podporuje alebo nepodporuje.

Pri in�tal�cii syst�mov Windows�XP�SP2 a Windows Server�2003�SP1 alebo ich nov��ch verzi� je v predvolenom nastaven� povolen� �rove� politiky OptIn, pokia� nie je v automatickej in�tal�cii zadan� in� �rove� politiky. Ak nastavenie /noexecute=�rove�_z�sady nie je v s�bore Boot.ini zadan� pre verziu syst�mu Windows, ktor� podporuje Zamedzenie spustenia �dajov, bude spr�vanie rovnak�, ako keby bolo zadan� nastavenie /noexecute=OptIn.

Ak ste prihl�sen� ako spr�vca, m��ete Zamedzenie spustenia �dajov manu�lne nakonfigurova� na prep�nanie medzi z�sadami OptIn a OptOut pomocou karty Zamedzenie spustenia �dajov v ovl�dacom paneli Vlastnosti syst�mu. Nasledovn� postup popisuje manu�lnu konfigur�ciu Zamedzenia spustenia �dajov v po��ta�i:

1. Kliknite na tla�idlo �tart, kliknite na pr�kaz Spusti�, zadajte pr�kaz sysdm.cpl a potom kliknite na tla�idlo OK.
2. Na karte Spresnenie kliknite v r�m�eku V�kon na tla�idlo Nastavenie.
3. Na karte Zamedzenie spustenia �dajov pou�ite jeden z nasledovn�ch postupov:
   • Kliknut�m na prep�na� Zapn�� zamedzenie spustenia �dajov len pre d�le�it� syst�mov� programy a slu�by vyberte z�sadu OptIn.
   • Kliknut�m na prep�na� Zapn�� zamedzenie spustenia �dajov pre v�etky programy a slu�by okrem vyberte z�sadu OptOut a potom po kliknut� na tla�idlo Prida� pridajte programy, ktor� nemaj� pou��va� funkciu Zamedzenie spustenia �dajov.
4. Dvakr�t kliknite na tla�idlo OK.

Odborn�ci v oblasti IT m��u riadi� celosyst�mov� konfigur�ciu Zamedzenia spustenia �dajov pomocou r�znych met�d. S�bor Boot.ini mo�no upravi� priamo skriptovac�mi mechanizmami alebo n�strojom Bootcfg.exe, ktor� je s��as�ou bal�ka Windows�XP�SP2.

Ak chcete pomocou s�boru Boot.ini konfigurova� funkciu Zamedzenie spustenia �dajov na prepnutie politiky AlwaysOn, pou�ite nasledovn� postup:

1. Kliknite na tla�idlo �tart, prav�m tla�idlom my�i kliknite na polo�ku Tento po��ta� a potom kliknite na polo�ku Vlastnosti.
2. Kliknite na kartu Spresnenie a potom kliknite na tla�idlo Nastavenie v poli Sp���anie a obnovovanie.
3. V poli Spustenie syst�mu kliknite na tla�idlo Upravi�. S�bor Boot.ini sa otvor� v programe Pozn�mkov� blok.
4. V programe Pozn�mkov� blok kliknite na pr�kaz H�ada� v ponuke �pravy.
5. Do pol��ka H�ada� zadajte /noexecute a potom kliknite na tla�idlo H�ada� �alej.
6. V dial�govom okne H�adanie kliknite na tla�idlo Zru�i�.
7. Nahra�te text policy_level textom AlwaysOn.
   
   UPOZORNENIE Skontrolujte, �i ste zadali presn� znenie textu. Prep�na� s�boru Boot.ini by teraz mal obsahova� nasleduj�ci text:
   /noexecute=AlwaysOn
8. V programe Pozn�mkov� blok kliknite na pr�kaz Ulo�i� v ponuke S�bor.
9. Dvakr�t kliknite na tla�idlo OK.
10. Re�tartujte po��ta�.

Pri automatickej in�tal�cii bal�ka Windows�XP�SP2 alebo nov��ch verzi� je mo�n� pomocou s�boru Unattend.txt vopred zada� konkr�tnu konfigur�ciu funkcie Zamedzenie spustenia �dajov. Celosyst�mov� konfigur�ciu funkcie Zamedzenie spustenia �dajov m��ete ur�i� pomocou polo�ky OSLoadOptionsVar v �asti [Data] s�boru Unattend.txt.

Konfigur�cia Zamedzenia spustenia �dajov pre jednotliv� programy

Ak je Zamedzenie spustenia �dajov nastaven� na �rove� OptOut, m��ete z d�vodu kompatibility programov selekt�vne zak�za� Zamedzenie spustenia �dajov pre jednotliv� 32-bitov� programy. Vykona� to m��ete na karte Zamedzenie spustenia �dajov v ovl�dacom paneli Vlastnosti syst�mu, kde m��ete zak�za� Zamedzenie spustenia �dajov pre vybran� programy. Pre odborn�kov v oblasti IT je v bal�ku Windows�XP�SP2 k dispoz�cii oprava s n�zvom DisableNX pre ��ely kompatibility programov. Oprava kompatibility DisableNX zak�e Zamedzenie spustenia �dajov pre program, na ktor� bola t�to oprava aplikovan�.

Opravu DisableNX mo�no na program aplikova� pomocou s�pravy Application Compatibility Toolkit. �al�ie inform�cie o kompatibilite aplik�ci� v syst�me Windows n�jdete v t�me Windows Application Compatibility na nasledovnej webovej lokalite spolo�nosti Microsoft:

�al�ie inform�cie z�skate po kliknut� na nasledovn� ��slo �l�nku datab�zy Microsoft Knowledge Base: