用于配置 DEP 和 PAE 的启动参数
本主题说明如何使用启动参数在支持这些功能的操作系统上启用、禁用和配置数据执行保护 (DEP) 和物理地址扩展 (PAE) 。
有关 DEP 和 PAE 的启动参数的信息,请参阅 BCDEdit /set 命令以及 nx 和 pae 选项。
重要 DEP 是一种非常有效的安全功能,除非你别无选择,否则不应禁用该功能。 DEP 和 PAE 的默认设置最适合大多数系统。 除非默认设置干扰基本处理任务,否则请勿更改默认设置。 本部分旨在说明如何配置这些功能,但不应将其解释为更改默认设置的建议。
DEP 和 PAE 启动参数
DEP 和 PAE 在启动时启用,并通过使用 BCDEdit /set 命令设置 nx 和 pae 参数的值进行配置。
这些启动参数具有冲突的效果。 若要配置 DEP 和 PAE,请仅使用文档中介绍的每个参数以及本主题中讨论的参数组合。 不要尝试冲突的参数,尤其是在生产系统上。
DEP 和 PAE 启动参数的交互
DEP 有两种类型:
- 硬件强制执行的 DEP 为内核模式和用户模式进程启用 DEP。 它必须受处理器和操作系统的支持。
- 软件强制执行的 DEP 仅在用户模式进程上启用 DEP。 它必须受操作系统支持。
在 32 位版本的 Windows 上, 硬件强制实施 DEP 需要 PAE,所有支持 DEP 的 Windows 操作系统都支持 PAE。 在使用支持硬件强制实施 DEP 的处理器的计算机上启用 DEP 时,Windows 会自动启用 PAE 并忽略禁用 PAE 的启动参数值。
下一节汇总了每个 Windows 操作系统的参数组合。
DEP 和 PAE 参数组合
以下列表描述了可用于配置 DEP 和 PAE 的启动参数组合。
注意 可选的 {ID} 是要配置的特定 Windows 启动加载程序启动项的 GUID。 如果未指定 {ID},该命令将修改当前操作系统启动项。 有关详细信息,请参阅 BCDEdit /set 命令 。
| 操作 | Windows Vista 及更高版本 | |
|---|---|---|
启用 DEP (选择一个参数组合) 在支持硬件强制 DEP 的计算机上启用 DEP 时,这些参数组合也会启用 PAE。 |
/set [{ID}] nx AlwaysOn /set [{ID}] nx OptIn /set [{ID}] nx OptOut |
|
在使用软件强制实施 DEP 的系统上启用 DEP 和 PAE (选择一个参数组合) 在支持硬件强制实施 DEP 的计算机上,启用 DEP 时会自动启用 PAE。 |
/set [{ID}] nx AlwaysOn /set [{ID}] pae default /set [{ID}] nx OptIn /set [{ID}] pae default /set [{ID}] nx OptOut /set [{ID}] pae default |
|
禁用 DEP,但启用 PAE |
/set [{ID}] nx AlwaysOff /set [{ID}] pae ForceEnable |
|
禁用 DEP,但启用 PAE |
/set [{ID}] nx AlwaysOff /set [{ID}] pae ForceEnable |
|
禁用 DEP 和 PAE |
/set [{ID}] nx AlwaysOff /set [{ID}] pae ForceDisable |
|
禁用 DEP 和 PAE |