本主题介绍如何使用启动参数在支持这些功能的作系统上启用、禁用和配置数据执行防护(DEP)和物理地址扩展(PAE)。
有关 DEP 和 PAE 的启动参数的信息,请参阅 BCDEdit /set 命令和 nx 和 pae 选项。
重要 DEP 是一项非常有效的安全功能,除非你别无选择,否则不应禁用此功能。 DEP 和 PAE 的默认设置最适合大多数系统。 除非默认设置干扰基本处理任务,否则不要更改默认设置。 本部分介绍如何配置这些功能,但不应将其解释为更改默认设置的建议。
DEP 和 PAE 启动参数
DEP 和 PAE 在启动时启用,并通过使用 BCDEdit /set 命令为 nx 和 pae 参数设置值进行配置。
这些启动参数具有冲突的效果。 若要配置 DEP 和 PAE,请仅使用文档中介绍的每个参数的参数组合,并在本主题中讨论。 不要试验冲突的参数,尤其是在生产系统上。
DEP 和 PAE 启动参数的交互
DEP 有两种类型:
- 由硬件执行的 DEP 为内核模式和用户模式进程启用 DEP。 处理器和作系统必须支持它。
- 软件强制 DEP 仅在用户模式进程中启用 DEP。 它必须由操作系统支持。
在 32 位版本的 Windows 上, 硬件强制 DEP 需要 PAE,所有支持 DEP 的 Windows作系统都支持 PAE。 在具有支持硬件强制 DEP 的处理器的计算机上启用 DEP 时,Windows 会自动启用 PAE 并忽略禁用它的启动参数值。
以下部分汇总了每个 Windows作系统的参数组合。
DEP 和 PAE 参数组合
以下列表描述了可用于配置 DEP 和 PAE 的启动参数组合。
注意 可选的 {ID} 是要配置的特定 Windows 启动加载程序启动项的 GUID。 如果未指定 {ID},该命令将修改当前作系统启动条目。 有关详细信息,请参阅 BCDEdit /set 命令。
| 行动 | Windows Vista 及更高版本 | |
|---|---|---|
启用 DEP (选择一个参数组合) 在支持硬件强制 DEP 的计算机上启用 DEP 时,这些参数组合也会启用 PAE。 |
/set [{ID}] nx AlwaysOn /set [{ID}] nx OptIn /set [{ID}] nx OptOut |
|
在具有软件强制 DEP 的系统上启用 DEP 和 PAE (选择一个参数组合) 在支持硬件强制 DEP 的计算机上,启用 DEP 时会自动启用 PAE。 |
/set [{ID}] nx AlwaysOn /set [{ID}] pae default /set [{ID}] nx OptIn /set [{ID}] pae default /set [{ID}] nx OptOut /set [{ID}] pae default |
|
禁用 DEP,但启用 PAE |
/set [{ID}] nx AlwaysOff /set [{ID}] pae ForceEnable |
|
禁用 DEP,但启用 PAE |
/set [{ID}] nx AlwaysOff /set [{ID}] pae ForceEnable |
|
禁用 DEP 和 PAE |
/set [{ID}] nx AlwaysOff /set [{ID}] pae ForceDisable |
|
禁用 DEP 和 PAE |