隨緣小棧

參考資料:http://support.microsoft.com/kb/875352/zh-tw

DEP 的系統範圍設定

系統的 DEP 設定是透過 Boot.ini 檔案中的參數控制的。如果您以系統管理員的身分登入，現在，您可以使用 [控制台] 中的 [系統] 對話方塊輕鬆地設定 DEP 設定。

Windows 對於硬體強制執行的 DEP 和軟體強制執行的 DEP 都支援四種系統範圍的設定。

硬體強制執行的 DEP 和軟體強制執行的 DEP 都是以相同的方式設定。如果系統範圍的 DEP 原則是設定為 OptIn，相同的 Windows 核心二進位檔案和程式將會同時受到硬體強制執行的 DEP 和軟體強制執行的 DEP 的保護。如果系統無法使用硬體強制執行的 DEP，Windows 核心二進位檔案和程式將只會受到軟體強制執行的 DEP 的保護。

同樣地，如果系統範圍的 DEP 原則是設定為 OptOut，已從 DEP 保護範圍剔除的程式將不會受到硬體強制執行的 DEP 和軟體強制執行的 DEP 的保護。

Boot.ini 檔案的設定如下：

注意policy_level 會定義為 AlwaysOn、AlwaysOff、OptIn 或 OptOut。

安裝 Windows XP SP2 時，Boot.ini 檔案中現有的 /noexecute 設定不會變更。如果 Windows 作業系統影像在電腦間移動，或者不受硬體強制執行的 DEP 的支援，這些設定也不會遭到變更。

安裝 Windows XP SP2 與 Windows Server 2003 SP1 或更新版本期間，預設會啟用 OptIn 原則層級，除非自動安裝另指定了其他原則層級。如果 /noexecute=policy_level 設定未包含在支援 DEP 的 Windows 版本的 Boot.ini 檔案中，就會依照像是加入 /noexecute=OptIn 設定的相同方式運作。

如果您以系統管理員的身分登入，就可以使用 [系統內容] 中的 [資料執行防止] 索引標籤，在 OptIn 和 OptOut 原則之間進行切換，以手動設定 DEP。下列程序將告訴您，如何手動設定電腦的 DEP：

1. 按一下 [開始]，再按一下 [執行]，輸入 sysdm.cpl，然後按一下 [確定]。
2. 在 [進階] 索引標籤上，按一下 [效能] 下方的 [設定]。
3. 在 [資料執行防止] 索引標籤上，使用下列其中一個程序：
   • 按一下 [只為基本的 Windows 程式和服務開啟 DEP] 以選取 OptIn 原則。
   • 按一下 [為所有的 Windows 程式和服務開啟 DEP，除了我選擇的這些] 以選取 OptOut 原則，然後按一下 [新增]，以新增您不想要使用 DEP 功能的程式。
4. 按兩次 [確定]。

IT 專業人員可以利用不同的方法來控制系統範圍的 DEP 設定。Boot.ini 檔案可以藉由 Windows XP SP2 所隨附的指令檔機制或 Bootcfg.exe 工具，直接修改。

如果要使用 Boot.ini 檔案將 DEP 切換為 AlwaysOn 原則，請依照下列步驟執行：

1. 按一下 [開始]，用滑鼠右鍵按一下 [我的電腦]，然後按一下 [內容]。
2. 按一下 [進階] 索引標籤，然後按一下 [啟動及修復] 欄位下方的 [設定]。
3. 在 [系統啟動] 欄位中，按一下 [編輯]。隨即 Boot.ini 檔案會在「記事本」中開啟。
4. 在「記事本」中，按一下 [編輯] 功能表上的 [尋找]。
5. 在 [尋找目標] 方塊中，輸入 /noexecute，然後按一下 [找下一個]。
6. 在 [尋找] 對話方塊中，按一下 [取消]。
7. 使用 AlwaysOn 取代 policy_level。
   
   警告 請務必正確無誤地輸入文字。Boot.ini 檔案參數現在應該為：
   /noexecute=AlwaysOn
8. 在「記事本」中，按一下 [檔案] 功能表上的 [儲存檔案]。
9. 按兩次 [確定]。
10. 重新啟動電腦。