Debugging Tools for Windows

用于配置DEP和PAE的引导参数

本主题说明了如何在支持这些特性的系统上使用引导参数启用、禁用和配置数据执行保护(DEP)和物理地址扩展(PAE)。

获取Windows Vista之前的操作系统和DEP有关的引导选项的信息,包括系统支持的和默认的参数,查看/noexecute/execute。关于PAE的类似信息,查看/pae/nopae

获取Windows Vista上和DEP、PAE有关的引导参数信息,查看 BCDEdit /set命令和nxpae 选项。

重要 DEP能很大的提高系统的安全特性,如果没有特殊原因不要关闭它。默认的DEP和PAE设置在大多数系统上都是最优的。如果它们没有妨碍基本的处理任务,就不要修改默认设置。本节包含如何配置这些特性的内容,但是并不推荐修改这些默认设置。

DEP和PAE引导参数

在Windows Vista之前的操作系统中,DEP和PAE在引导时就启用,并且有下面四个引导参数配置:

在Windows Vista上,DEP和PAE在引导时启用,并通过使用BCDEdit /set命令和nxpae 参数配置。

这些引导参数有些冲突的效果。要配置DEP和PAE,只能按照文档和本主题中对每个参数组合的描述。不要试验这些冲突的参数,特别是在业务使用的系统上。

DEP和PAE引导参数的交互作用

有两种类型的DEP

Windows SP2、Windows Server 2003 SP1 、Windows Vista和之后的Windows版本支持DEP。

在32位Windows中,硬件DEP要求PAE的支持。所有支持DEP的Windows操作系统都支持PAE。当使用支持硬件DEP的处理器的机器上的DEP启用时,Windows自动启用PAE,并跳过所有试图禁用它的引导参数。

在每个Windows操作系统上这些参数的组合在下节中概括描述。

DEP和PAE参数的结合使用

下表说明了用于配置DEP和PAE的参数的组合

Note  In the examples for Windows Vista and later, the optional {ID} is the GUID for the specific Windows boot loader boot entry that you want to configure. If you do not specify an {ID}, the command modifies the current operating system boot entry. For more information, see the BCDEdit /set command .

作用 Windows Vista之前的系统 Windows Vista
启用DEP

(选择一个参数组合)

当在支持硬件DEP的机器上启用DEP时,这些参数组合也启用PAE
/noexecute=alwayson
/noexecute=optin
/noexecute=optout
/set [{ID}] nx AlwaysOn

/set [{ID}] nx OptIn

/set [{ID}] nx OptOut

在软件DEP的系统上启用DEP和PAE

(选择一个参数组合)

在支持硬件DEP的机器上,当DEP启用时,自动启用PAE。

/noexecute=alwayson /pae
/noexecute=optin /pae
/noexecute=optout /pae
/set {ID} nx AlwaysOn

/set {ID} pae default



/set {ID} nx OptIn

/set {ID} pae default



/set {ID} nx OptOut

/set {ID} pae default

禁用DEP,但是启用PAE /noexecute=alwaysoff /pae

(Windows XP SP2)

/set {ID} nx AlwaysOff

/set {ID} pae ForceEnable



禁用DEP,但是启用PAE /noexecute=alwayoff
/noexecute=alwaysoff /pae

(仅Windows Server 2003 SP1)

(这些参数组合是等价的。)

/set {ID} nx AlwaysOff

/set {ID} pae ForceEnable

同时禁用DEP和PAE /noexecute=alwaysoff
/noexecute=alwaysoff /nopae

(Windows XP SP2)

(这些参数组和是等价的。)

/set {ID} nx AlwaysOff

/set {ID} pae ForceDisable

同时禁用DEP和PAE /execute

(仅Windows Server 2003 SP1)

Build machine: CAPEBUILD