Podrobný popis funkcie Zamedzenie spustenia údajov v systémoch Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 a Windows Server 2003

S U H R N

Zamedzenie spustenia údajov je skupina hardvérových a softvérových technológií, ktoré vykonávajú doplnkové kontroly pamäte za účelom zabránenia spusteniu škodlivého kódu v systéme. V systémoch Microsoft Windows XP Service Pack 2 (SP2) a Microsoft Windows XP Tablet PC Edition 2005 sa funkcia Zamedzenie spustenia údajov vynucuje hardvérovo a softvérovo.

Hlavným prínosom funkcie Zamedzenie spustenia údajov je pomoc pri zabraňovaní spusteniu kódu z údajových stránok. Kód sa obyčajne nespúšťa z predvolenej haldy a zásobníka. Zamedzenie spustenia údajov vynucované hardvérom zistí kód spustený z týchto umiestnení a po spustení vyvolá výnimku. Softvérom vynucované Zamedzenie spustenia údajov môže pomôcť zabrániť škodlivému kódu v zneužití mechanizmu spracovania výnimiek v systéme Windows.

ÚVOD

Tento článok popisuje funkciu Zamedzenie spustenia údajov v systémoch Windows XP SP2 a Microsoft Windows Server 2003 s balíkom Service Pack 1 (SP1) a obsahuje nasledovné témy:

D A L S I E I N F O R M A C I E

Hardvérom vynucované Zamedzenie spustenia údajov

Hardvérom vynucované Zamedzenie spustenia údajov označuje všetky pamäťové umiestnenia v procese ako nespustiteľné, pokiaľ určité umiestnenie explicitne neobsahuje spustiteľný kód. Existuje skupina útokov, ktoré sa pokúšajú vložiť a spustiť kód z nespustiteľných pamäťových umiestnení. Zamedzenie spustenia údajov pomáha predchádzať týmto útokom tak, že ich zachytí a vyvolá výnimku.

Pri označovaní pamäte atribútom, ktorý označuje, že by sa z tejto pamäte nemal spúšťať kód, sa hardvérom vynucované Zamedzenie spustenia údajov spolieha na spúšťanie údajov v hardvéri procesora. Zamedzenie spustenia údajov funguje na základe jednotlivých stránok virtuálnej pamäte a obyčajne stránku pamäte označí zmenou bitu v položke stránkovacej tabuľky (PTE).

Spôsob implementácie Zamedzenia spustenia údajov v hardvéri a spôsob označenia stránky virtuálnej pamäte funkciou Zamedzenie spustenia údajov závisí od architektúry procesora. Procesory, ktoré podporujú hardvérom vynucované Zamedzenie spustenia údajov, však môžu vyvolať výnimku, keď sa kód spustí zo stránky označenej príslušnou množinou atribútov.

Architektúry kompatibilné so systémom Windows, ktoré podporujú Zamedzenie spustenia údajov, definovali a uviedli na trh spoločnosti Advanced Micro Devices (AMD) a Intel.

Od systému Windows XP SP2 používajú 32-bitové verzie systému Windows jednu z nasledovných technológií:
 • funkciu procesora ochrany stránky nespúšťaním (NX) definovanú spoločnosťou AMD,
 • funkciu XD (Execute Disable Bit, Bit pre zamedzenie spustenia) definovanú spoločnosťou Intel.
Aby bolo možné používať tieto procesorové funkcie, musí byť procesor spustený v režime Prípona fyzickej adresy (PAE, Physical Address Extension). Systém Windows však režim Prípona fyzickej adresy povolí automaticky, aby bolo podporované Zamedzenie spustenia údajov. Používatelia nemusia tento režim samostatne povoľovať spúšťacím prepínačom /PAE.

Poznámka: Vzhľadom na to, že 64-bitové jadrá automaticky podporujú technológiu Address Windowing Extensions (AWE), neobsahujú 64-bitové verzie systému Windows samostatné jadro pre režim Prípona fyzickej adresy.
Ďalšie informácie o technológiách PAE a AWE v systéme Windows Server 2003 získate po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:

283037 Podpora veľkej pamäte je k dispozícii v systémoch Windows Server 2003 a Windows 2000 (Toto prepojenie môže smerovať na obsah, ktorý je z časti alebo celý v angličtine)
Späť na začiatok

Softvérom vynucované Zamedzenie spustenia údajov

Do balíka Windows XP SP2 bola pridaná doplnková skupina bezpečnostných kontrol funkcie Zamedzenie spustenia údajov. Tieto kontroly, označované ako softvérom vynucované Zamedzenie spustenia údajov, majú blokovať škodlivý kód, ktorý zneužíva mechanizmus spracovania výnimiek v systéme Windows. Softvérom vynucované Zamedzenie spustenia údajov funguje na každom procesore, na ktorom možno prevádzkovať systém Windows XP SP2. V predvolenom nastavení pomáha softvérom vynucované Zamedzenie spustenia údajov chrániť len niektoré binárne súbory systému, bez ohľadu na podporu procesora pre hardvérom vynucované Zamedzenie spustenia údajov.

Späť na začiatok

Prínosy

Hlavným prínosom funkcie Zamedzenie spustenia údajov je pomoc pri zabraňovaní spusteniu kódu z údajových stránok, ako sú napríklad stránky predvolenej haldy, rôzne zásobníkové stránky a stránky pamäťového fondu. Kód sa obyčajne nespúšťa z predvolenej haldy a zásobníka. Zamedzenie spustenia údajov vynucované hardvérom zistí kód spustený z týchto umiestnení a po spustení vyvolá výnimku. Ak sa výnimka nespracuje, proces sa zastaví. Spustenie kódu z chránenej pamäte v režime jadra spôsobí chybu Stop.

Zamedzenie spustenia údajov pomáha zablokovať určitú triedu narušení zabezpečenia. Konkrétne môže pomôcť zablokovať škodlivý program, do procesu ktorého vírus alebo iný typ útoku vložil prídavný kód, ktorý sa následne pokúša spustiť. V systéme s aktívnou funkciou Zamedzenie spustenia údajov spôsobí spustenie tohto vloženého kódu výnimku. Softvérom vynucované Zamedzenie spustenia údajov môže pomôcť zablokovať programy, ktoré zneužívajú mechanizmus spracovania výnimiek v systéme Windows.


Späť na začiatok

Celosystémová konfigurácia Zamedzenia spustenia údajov

Konfiguráciu Zamedzenia spustenia údajov pre systém riadia prepínače v súbore Boot.ini. Ak ste prihlásení ako správca, môžete nastavenia Zamedzenia spustenia údajov jednoducho nakonfigurovať pomocou dialógového okna Systém v ovládacom paneli.

Systém Windows podporuje štyri celosystémové konfigurácie pre hardvérom aj softvérom vynucované Zamedzenie spustenia údajov.
KonfiguráciaPopis
OptInToto nastavenie je predvolenou konfiguráciou. V systémoch s procesormi, ktoré podporujú hardvérom vynucované Zamedzenie spustenia údajov, je Zamedzenie spustenia údajov v predvolenom nastavení povolené pre niektoré binárne súbory a programy, ktoré sa k tejto možnosti prihlásia (opt-in). S touto možnosťou sú v predvolenom nastavení Zamedzenia spustenia údajov pokryté len binárne súbory systému Windows.
OptOutZamedzenie spustenia údajov je v predvolenom nastavení povolené pre všetky procesy. Pomocou dialógového okna Systém v ovládacom paneli môžete manuálne vytvoriť zoznam konkrétnych programov, pre ktoré sa Zamedzenie spustenia údajov nepoužije. Odborníci v oblasti IT môžu pomocou súpravy Application Compatibility Toolkit odhlásiť (opt-out) jeden alebo viaceré programy z ochrany Zamedzenia spustenia údajov. Opravy kompatibility systému, nazývané shim, sú pre Zamedzenie spustenia údajov účinné.
AlwaysOnToto nastavenie poskytuje úplné pokrytie celého systému funkciou Zamedzenie spustenia údajov. Všetky procesy sa vždy spúšťajú s použitím Zamedzenia spustenia údajov. Zoznam výnimiek pre konkrétne programy, na ktoré by sa ochrana Zamedzenia spustenia údajov nevzťahovala, nie je k dispozícii. Opravy kompatibility systému nie sú pre Zamedzenie spustenia údajov účinné. S aktívnou funkciou Zamedzenie spustenia údajov sa spúšťajú aj programy, ktoré boli z ochrany odhlásené pomocou súpravy Application Compatibility Toolkit.
AlwaysOffToto nastavenie neposkytuje žiadnej časti systému ochranu funkciou Zamedzenie spustenia údajov, bez ohľadu na hardvérovú podporu Zamedzenia spustenia údajov. Procesor sa nespustí v režime Prípona fyzickej adresy, pokiaľ súbor Boot.ini nebude obsahovať parameter /PAE.
Zamedzenie spustenia údajov sa konfiguruje rovnako, či je vynucované hardvérom alebo softvérom. Ak je celosystémová zásada Zamedzenie spustenia údajov nastavená na možnosť OptIn, budú binárne súbory jadra a aplikácie systému Windows chránené hardvérovým aj softvérovým Zamedzením spustenia údajov. Ak systém nemôže hardvérom vynucované Zamedzenie spustenia údajov používať, budú tieto súbory a programy chránené len softvérom vynucovaným Zamedzením spustenia údajov.

Podobne platí, že ak je celosystémová zásada Zamedzenie spustenia údajov nastavená na možnosť OptOut, budú programy vyňaté z ochrany Zamedzenia spustenia údajov vyňaté z hardvérovom aj softvérom vynucovaného Zamedzenia spustenia údajov.

Nastavenia súboru Boot.ini sú nasledovné:
/noexecute=úroveň_zásady
Poznámka: úroveň_zásady je definovaná ako AlwaysOn, AlwaysOff, OptIn alebo OptOut.

Existujúce nastavenia /noexecute v súbore Boot.ini sa po inštalácii balíka Windows XP SP2 nezmenia. Toto nastavenie sa nezmení ani po presune bitovej kópie systému Windows do iného počítača, či už hardvérom vynucované Zamedzenie spustenia údajov podporuje alebo nepodporuje.

Pri inštalácii systémov Windows XP SP2 a Windows Server 2003 SP1 alebo ich novších verzií je v predvolenom nastavení povolená úroveň politiky OptIn, pokiaľ nie je v automatickej inštalácii zadaná iná úroveň politiky. Ak nastavenie /noexecute=úroveň_zásady nie je v súbore Boot.ini zadané pre verziu systému Windows, ktorá podporuje Zamedzenie spustenia údajov, bude správanie rovnaké, ako keby bolo zadané nastavenie /noexecute=OptIn.

Ak ste prihlásení ako správca, môžete Zamedzenie spustenia údajov manuálne nakonfigurovať na prepínanie medzi zásadami OptIn a OptOut pomocou karty Zamedzenie spustenia údajov v ovládacom paneli Vlastnosti systému. Nasledovný postup popisuje manuálnu konfiguráciu Zamedzenia spustenia údajov v počítači:
 1. Kliknite na tlačidlo Štart, kliknite na príkaz Spustiť, zadajte príkaz sysdm.cpl a potom kliknite na tlačidlo OK.
 2. Na karte Spresnenie kliknite v rámčeku Výkon na tlačidlo Nastavenie.
 3. Na karte Zamedzenie spustenia údajov použite jeden z nasledovných postupov:
  • Kliknutím na prepínač Zapnúť zamedzenie spustenia údajov len pre dôležité systémové programy a služby vyberte zásadu OptIn.
  • Kliknutím na prepínač Zapnúť zamedzenie spustenia údajov pre všetky programy a služby okrem vyberte zásadu OptOut a potom po kliknutí na tlačidlo Pridať pridajte programy, ktoré nemajú používať funkciu Zamedzenie spustenia údajov.
 4. Dvakrát kliknite na tlačidlo OK.
Odborníci v oblasti IT môžu riadiť celosystémovú konfiguráciu Zamedzenia spustenia údajov pomocou rôznych metód. Súbor Boot.ini možno upraviť priamo skriptovacími mechanizmami alebo nástrojom Bootcfg.exe, ktorý je súčasťou balíka Windows XP SP2.

Ak chcete pomocou súboru Boot.ini konfigurovať funkciu Zamedzenie spustenia údajov na prepnutie politiky AlwaysOn, použite nasledovný postup:
 1. Kliknite na tlačidlo Štart, pravým tlačidlom myši kliknite na položku Tento počítač a potom kliknite na položku Vlastnosti.
 2. Kliknite na kartu Spresnenie a potom kliknite na tlačidlo Nastavenie v poli Spúšťanie a obnovovanie.
 3. V poli Spustenie systému kliknite na tlačidlo Upraviť. Súbor Boot.ini sa otvorí v programe Poznámkový blok.
 4. V programe Poznámkový blok kliknite na príkaz Hľadať v ponuke Úpravy.
 5. Do políčka Hľadať zadajte /noexecute a potom kliknite na tlačidlo Hľadať ďalej.
 6. V dialógovom okne Hľadanie kliknite na tlačidlo Zrušiť.
 7. Nahraďte text policy_level textom AlwaysOn.

  UPOZORNENIE Skontrolujte, či ste zadali presné znenie textu. Prepínač súboru Boot.ini by teraz mal obsahovať nasledujúci text:
  /noexecute=AlwaysOn
 8. V programe Poznámkový blok kliknite na príkaz Uložiť v ponuke Súbor.
 9. Dvakrát kliknite na tlačidlo OK.
 10. Reštartujte počítač.
Pri automatickej inštalácii balíka Windows XP SP2 alebo novších verzií je možné pomocou súboru Unattend.txt vopred zadať konkrétnu konfiguráciu funkcie Zamedzenie spustenia údajov. Celosystémovú konfiguráciu funkcie Zamedzenie spustenia údajov môžete určiť pomocou položky OSLoadOptionsVar v časti [Data] súboru Unattend.txt.

Späť na začiatok

Konfigurácia Zamedzenia spustenia údajov pre jednotlivé programy

Ak je Zamedzenie spustenia údajov nastavené na úroveň OptOut, môžete z dôvodu kompatibility programov selektívne zakázať Zamedzenie spustenia údajov pre jednotlivé 32-bitové programy. Vykonať to môžete na karte Zamedzenie spustenia údajov v ovládacom paneli Vlastnosti systému, kde môžete zakázať Zamedzenie spustenia údajov pre vybrané programy. Pre odborníkov v oblasti IT je v balíku Windows XP SP2 k dispozícii oprava s názvom DisableNX pre účely kompatibility programov. Oprava kompatibility DisableNX zakáže Zamedzenie spustenia údajov pre program, na ktorý bola táto oprava aplikovaná.

Opravu DisableNX možno na program aplikovať pomocou súpravy Application Compatibility Toolkit. Ďalšie informácie o kompatibilite aplikácií v systéme Windows nájdete v téme Windows Application Compatibility na nasledovnej webovej lokalite spoločnosti Microsoft:Späť na začiatok
Ďalšie informácie získate po kliknutí na nasledujúce číslo článku databázy Microsoft Knowledge Base:

912923 Ako zistiť, či je hardvér Zamedzenie spustenia údajov v počítači k dispozícii a nakonfigurovaný (Toto prepojenie môže smerovať na obsah, ktorý je z časti alebo celý v angličtine)

O D K A Z Y

Ďalšie informácie získate po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:

899298 Téma Pomocníka „Understanding Data Execution Prevention“ (Vysvetlenie Zamedzenia spustenia údajov) nesprávne uvádza predvolené nastavenie pre Zamedzenie spustenia údajov v balíku Server 2003 Service Pack 1. (Toto prepojenie môže smerovať na obsah, ktorý je z časti alebo celý v angličtine)
Vlastnosti

ID článku: 875352 – Posledná kontrola: 15. 8. 2008 – Revízia: 1

Pripomienky