Windows XP Service Pack 2:n, Windows XP Tablet PC Edition 2005:n ja Windows Server 2003:n Tietojen suorittamisen estämistoiminnon yksityiskohtainen kuvaus

Yhteenveto

Tietojen suorittamisen estämistoiminto on joukko laitteisto- ja ohjelmistotekniikoita, jotka tekevät muistin lisätarkistuksia estääkseen haitalliseksi suunnitellun koodin suorittamisen järjestelmässä. Microsoft Windows XP Service Pack 2:ssa (SP2) ja Microsoft Windows XP Tablet PC Edition 2005:ssä tietojen suorittamisen estämisen tekee laitteisto ja ohjelmisto.

Tietojen suorittamisen estämisen päähyöty on auttaa estämään tietosivujen koodin suorittamista. Yleensä koodia ei suoriteta oletusarvon mukaisesta keosta ja pinosta. Laitteiston tekemä tietojen suorittamisen estäminen tunnistaa näistä sijainneista suoritettavan koodin ja aiheuttaa tällöin poikkeuksen. Ohjelmiston tekemä tietojen suorittamisen estäminen voi estää haitalliseksi suunniteltua koodia hyödyntämästä Windowsin poikkeustenkäsittelymekanismeja.

ESITTELY

Tässä artikkelissa kuvataan Windows XP SP2:n, Microsoft Windows Server 2003 Service Pack 1:n (SP1) Tietojen suorittamisen estämistoiminto ja käsitellään seuraavia aiheita:

Enemmän tietoa

Laitteiston tekemä tietojen suorittamisen estäminen

Laitteiston tekemä tietojen suorittamisen estäminen merkitsee kaikki prosessin muistisijainnit sellaisiksi, että niiden koodia ei voi suorittaa, ellei sijainti eksplisiittisesti sisällä suoritettavaa koodia. On olemassa hyökkäysten luokka, joka yrittää lisätä koodia muistisijaintiin, jossa ei ole suoritettavaksi tarkoitettua koodia, ja suorittaa sen. Tietojen suorittamisen estämistoiminto auttaa estämään näitä hyökkäyksiä sieppaamalla ne ja aiheuttamalla poikkeuksen.

Laitteiston tekemä tietojen suorittamisen estäminen merkitsee suoritinlaitteen avulla muistiin määritteen, joka ilmaisee, että kyseisestä muistista ei saa suorittaa koodia. Tietojen suorittamisen estäminen toimii näennäismuistisivukohtaisesti, ja se merkitsee muistisivun yleensä muuttamalla bitin sivutaulukon merkinnästä.

Suoritinarkkitehtuuri määrittää, miten tietojen suorittamisen estäminen toteutetaan laitteistossa ja miten se merkitsee näennäismuistisivun. Laitteiston tekemää tietojen suorittamisen estämistä tukevat suorittimet voivat kuitenkin aiheuttaa poikkeuksen, kun koodi suoritetaan sivulta, jossa on asiaankuuluva määrite.

AMD (Advanced Micro Devices) ja Intel ovat määrittäneet ja toimittaneet Windows-yhteensopivia ja Tietojen suorittamisen estämistoiminnon kanssa yhteensopivia arkkitehtuureja.

Windows XP SP2:sta lähtien Windowsin 32-bittinen versio käyttää jompaakumpaa seuraavista:
 • AMD:n määrittämä suorittimen NX (No eXecute) -sivusuojaus
 • Intelin määrittämä XD (Execute Disable Bit) -ominaisuus.
Jotta suoritin voi käyttää näitä ominaisuuksia, sen on toimittava fyysisen osoitelaajennuksen tilassa eli PAE (Physical Address Extension) -tilassa. Windows ottaa PAE-tilan kuitenkin automaattisesti käyttöön tukeakseen tietojen suorittamisen estämistä. Käyttäjien ei tarvitse ottaa PAE-tilaa erikseen käyttöön /PAE-käynnistysvalitsimen avulla.

Huomautus Koska 64-bittiset ytimet käyttävät AWE (Address Windowing Extensions) -laajennuksia, niille ei ole erillistä PAE-ydintä.
Saat lisätietoja Windows Server 2003:n PAE- ja AWE-laajennuksista napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

283037 Suuren muistimäärän tuki on käytettävissä Windows Server 2003:ssa ja Windows 2000:ssa (tämä artikkeli saattaa olla englanninkielinen)
Palaa alkuun

Ohjelmiston tekemä tietojen suorittamisen estäminen

Windows XP SP2:een on lisätty joukko tietojen suorittamisen estämisen suojaustarkistuksia. Nämä tarkistukset, jotka ovat ohjelmiston tekemä tietojen suorittamisen estäminen, on suunniteltu estämään haitalliseksi suunniteltu koodi, joka hyödyntää Windowsin poikkeuksenkäsittelymekanismeja. Ohjelmiston tekemä tietojen suorittamisen estäminen toimii missä tahansa suorittimessa, joka pystyy suorittamaan Windows XP SP2:n. Oletusarvon mukaan ohjelmiston tekemä tietojen suorittamisen estäminen auttaa suojaamaan vain rajallista määrää järjestelmäbinaareja riippumatta siitä, tukeeko suoritin laitteiston tekemää tietojen suorittamisen estämistä.

Palaa alkuun

Hyödyt

Tietojen suorittamisen estämisen päähyöty on se, että se estää koodin suorittamisen tietosivuilta, kuten oletuskekosivuilta, eri pinosivuilta ja muistivarantosivuilta. Yleensä koodia ei suoriteta oletusarvon mukaisesta keosta ja pinosta. Laitteiston tekemä tietojen suorittamisen estäminen tunnistaa näistä sijainneista suoritettavan koodin ja aiheuttaa tällöin poikkeuksen. Jos poikkeusta ei käsitellä, prosessi pysäytetään. Koodin suorittaminen suojatusta muistista ydintilassa aiheuttaa Stop-virheen.

Tietojen suorittamisen estäminen voi auttaa suojautumaan tietoturvahyökkäysten luokalta. Tietojen suorittamisen estäminen voi erityisesti auttaa estämään haitallisen ohjelman, johon virus tai muu hyökkäyslaji on lisännyt prosessin ja koodia, jonka se yrittää sitten suorittaa. Jos järjestelmä käyttää tietojen suorittamisen estämistä, lisätyn koodin suorittaminen aiheuttaa poikkeuksen. Ohjelmiston tekemä tietojen suorittamisen estäminen voi estää ohjelmat, jotka hyödyntävät Windowsin poikkeustenkäsittelymekanismeja.


Palaa alkuun

Tietojen suorittamisen estämisen määrittäminen järjestelmänlaajuisesti

Järjestelmän tietojen suorittamisen estämisen määritystä ohjataan Boot.ini-tiedoston valitsinten avulla. Jos olet kirjautuneena järjestelmänvalvojana, voit nyt määrittää Tietojen suorittamisen estämistoiminnon asetukset helposti Ohjauspaneelin Järjestelmä-valintaikkunan avulla.

Windows tukee neljää järjestelmänlaajuista määritystä laitteiston ja ohjelmiston tekemälle tietojen suorittamisen estämiselle.
MääritysKuvaus
OptInTämä on oletusasetus. Järjestelmissä, joiden suorittimet tukevat laitteiston tekemää tietojen suorittamisen estämistä, tietojen suorittamisen estäminen on käytössä oletusarvon mukaan osalle järjestelmäbinaareja ja sisällytetyille ohjelmille. Tämän asetuksen avulla tietojen suorittamisen estäminen käsittelee oletusarvon mukaan ainoastaan Windowsin järjestelmäbinaareja.
OptOutTietojen suorittamien estäminen on oletusarvon mukaan käytössä kaikille prosesseille. Voit luoda Ohjauspaneelin Järjestelmä-valintaikkunan avulla manuaalisesti luettelon tietyistä ohjelmista, joille tietojen suorittamisen estäminen ei ole käytössä. Application Compatibility Toolkitiä käyttävät tietotekniikan ammattilaiset voivat ohittaa tietojen suorittamisen estämisen haluamiensa ohjelmien osalta. Tietojen suorittamisen estämisen järjestelmän yhteensopivuuskorjaukset toimivat.
AlwaysOnTämä asetus käyttää tietojen suorittamisen estämistä koko järjestelmälle. Kaikki prosessit suoritetaan aina niin, että tietojen suorittamisen estäminen on käytössä. Tietojen suorittamisen estämisen käyttämättä jättäminen poikkeusluettelossa oleville tietyille ohjelmille ei ole käytettävissä. Tietojen suorittamisen estämisen järjestelmän yhteensopivuuskorjaukset eivät toimi. Ohjelmat, jotka on määritetty suojauksen ulkopuolelle Application Compatibility Toolkitin avulla, suoritetaan käyttäen tietojen suorittamisen estämistä.
AlwaysOffTämä asetus poistaa tietojen suorittamisen estämisen käytöstä koko järjestelmälle riippumatta siitä, tukeeko laitteisto tietojen suorittamisen estämistä. Suoritin ei toimi PAE-tilassa, ellei Boot.ini-tiedostossa ole määritetty /PAE-asetusta.
Laitteiston ja ohjelmiston tekemä tietojen suorittamisen estäminen määritetään samalla tavalla. Jos järjestelmänlaajuisen tietojen suorittamisen estämisen asetus on OptIn, samat Windowsin järjestelmäbinaarit suojataan sekä laitteiston että ohjelmiston tekemällä tietojen suorittamisen estämisellä. Jos järjestelmä ei pysty käyttämään laitteiston tekemää tietojen suorittamisen estämistä, Windowsin järjestelmäbinaarit ja ohjelmat suojataan vain ohjelmiston tekemän tietojen suorittamisen estämisen avulla.

Vastaavasti jos järjestelmänlaajuinen tietojen suorittamisen estämisen asetus on OptOut, suojauksen ulkopuolelle määritetyt ohjelmat jätetään sekä laitteiston että ohjelmiston tekemän tietojen suorittamisen estämisen ulkopuolelle.

Boot.ini-tiedoston asetukset ovat seuraavat:
/noexecute=käytäntötaso
HuomautusKäytäntötaso on AlwaysOn, AlwaysOff, OptIn tai OptOut.

Aiemmin määritettyjä Boot.ini-tiedoston /noexecute-asetuksia ei muuteta, kun Windows XP SP2 asennetaan. Näitä asetuksia ei muuteta myöskään, jos Windows-käyttöjärjestelmävedos siirretään tietokoneesta toiseen riippumatta siitä, käytetäänkö laitteiston tekemää tietojen suorittamisen estämistä vai ei.

Windows XP SP2:n ja Windows Server 2003 SP1:n tai uudempien versioiden asennuksen aikana OptIn-käytäntötaso otetaan käyttöön oletusarvon mukaan, ellei eri käytäntötasoa määritetä valvomattomassa asennuksessa. Jos /noexecute=käytäntöaso-asetusta ei ole Boot.ini-tiedostossa tietojen suorittamisen estämistä tukevassa Windows-versiossa, vaikutus on sama kuin jos asetus /noexecute=OptIn olisi tiedostossa.

Jos olet kirjautunut järjestelmänvalvojana, voit määrittää tietojen suorittamisen estämisen manuaalisesti vaihtamaan OptIn- ja OptOut-käytäntöjen välillä Ominaisuudet: Järjestelmä -valintaikkunan Tietojen suorittamisen estämistoiminto -välilehdessä. Seuraavissa toimissa kuvataan, miten tietojen suorittamisen estäminen määritetään tietokoneessa manuaalisesti:
 1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita sysdm.cpl ja valitse sitten OK.
 2. Valitse Lisäasetukset-välilehdessä Suorituskyky-kohdasta Asetukset.
 3. Käytä Tietojen suorittamisen estämistoiminto -välilehdessä jompikumpi seuraavista:
  • Valitse OptIn-käytäntö valitsemalla Ota tietojen suorittamisen estämistoiminto käyttöön vain tärkeimmille Windowsin ohjelmille ja palveluille.
  • Valitse OptOut-käytäntö valitsemalla Ota tietojen suorittamisen estämistoiminto käyttöön kaikille ohjelmille ja palveluille paitsi seuraaville ja lisää sitten ne ohjelmat, joiden et halua käyttävän Tietojen suorittamisen estämistoimintoa, valitsemalla Lisää.
 4. Valitse OK kahdesti.
Tietotekniikan ammattilaiset voivat hallita järjestelmänlaajuista tietojen suorittamisen estämisen määritystä useilla tavoilla. Boot.ini-tiedostoa voidaan muokata suoraan komentosarjamekanismien tai Windows XP SP2:een sisältyvän Bootcfg.exe-työkalun avulla.

Voit määrittää Tietojen suorittamisen estämistoiminnon vaihtamaan AlwaysOn-käytäntöön Boot.ini-tiedoston avulla seuraavasti:
 1. Napsauta Käynnistä-painiketta, napsauta Oma tietokone -kuvaketta hiiren kakkospainikkeella ja valitse sitten Ominaisuudet.
 2. Valitse Lisäasetukset-välilehden Käynnistys ja palautuminen -kohdasta Asetukset.
 3. Valitse Järjestelmän käynnistys -kentässä Muokkaa. Boot.ini-tiedosto avautuu Muistioon.
 4. Valitse Muistion Muokkaa-valikosta Etsi.
 5. Kirjoita Etsittävä-ruutuun /noexecute ja valitse sitten Etsi seuraava.
 6. Valitse Etsi-valintaikkunassa Peruuta.
 7. Korvaa käytäntötaso tekstillä AlwaysOn.

  VAROITUS Kirjoita teksti täsmälleen kerrotussa muodossa. Boot.ini-tiedostossa pitäisi nyt olla seuraava teksti:
  /noexecute=AlwaysOn
 8. Valitse Muistion Tiedosto-valikosta Tallenna.
 9. Valitse OK kahdesti.
 10. Käynnistä tietokone uudelleen.
Windows XP SP2:n tai uudempien versioiden valvomattomissa asennuksissa voidaan Unattend.txt-tiedoston avulla esivalita tietty tietojen suorittamisen estämisen määritys. Voit valita järjestelmänlaajuisen tietojen suorittamisen estämisen määrityksen Unattend.txt-tiedoston [Data]-osan OSLoadOptionsVar-merkinnän avulla.

Palaa alkuun

Tietojen suorittamisen estämisen määrittäminen ohjelmakohtaisesti

Ohjelmien yhteensopivuuden takaamiseksi voit poistaa tietojen suorittamisen estämisen käytöstä yksittäisten 32-bittisten ohjelmien osalta, kun tietojen suorittamisen estämiselle on asetettu OptOut-käytäntötaso. Voit tehdä tämän poistamalla tietojen suorittamisen estämisen käytöstä ohjelman osalta Ominaisuudet: Järjestelmä -valintaikkunan Tietojen suorittamisen estämistoiminto -välilehdessä. Windows XP SP2:n mukana toimitetaan tietotekniikan ammattilaisille tarkoitettu uusi ohjelmien DisableNX-yhteensopivuuskorjaus. DisableNX-yhteensopivuuskorjaus poistaa tietojen suorittamisen estämisen käytöstä sen ohjelman osalta, johon korjausta käytetään.

DisableNX-yhteensopivuuskorjausta voidaan käyttää ohjelmalle Application Compatibility Toolkitin avulla. Lisätietoja Windows-sovellusten yhteensopivuudesta on seuraavan Microsoftin Web-sivuston Windows Application Compatibility -osassa:Palaa alkuun
Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

912923 Tietokoneen Laitteiston tietojen suorittamisen estämistoiminnon käytettävyyden ja määritysten selvittäminen (tämä artikkeli saattaa olla englanninkielinen)

Suositukset

Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

899298 Tietojen suorittamisen estämisen toiminnan ohjeaihe ilmoittaa Windows Server 2003 Service Pack 1:n tietojen suorittamisen estämisen oletusasetuksen virheellisesti (tämä artikkeli saattaa olla englanninkielinen)
Ominaisuudet

Artikkelin tunnus: 875352 – Viimeisin tarkistus: 10.6.2013 – Versio: 1

Palaute