TechNet
Knihovna TechNet

Ochrana aktualizace jádra pro operační systémy založené na procesoru x64

K čemu slouží ochrana aktualizace jádra?

Ochrana aktualizace jádra zakazuje ovladače režimu jádra, které rozšiřují nebo nahrazují služby jádra nedokumentovanými prostředky. Tato funkce popisuje změny v nastavení zásad, které se týkají aktualizace jádra u operačních systémů Microsoft Windows Server 2003 Service Pack 1 založených na procesoru x64.

Koho se tato funkce týká?

I když se tato funkce primárně týká vývojářů ovladačů, mohou být zmíněné informace užitečné i pro odborníky v oboru informačních technologií (IT).

Jaké stávající funkce se změnily v aktualizaci Service Pack 1 pro systém Windows Server 2003?

Zásady aktualizací pro systémy s procesory x64.

Podrobný popis

Operační systém Microsoft Windows Server 2003 SP1 a pozdější verze systémů Windows pro počítače s procesorem x64 umožňují aktualizaci jádra pouze pomocí oprávněných oprav hotfix od společnosti Microsoft.

Proč je tato změna důležitá?

Ovladače režimu jádra, které rozšiřují nebo nahrazují služby jádra nedokumentovanými prostředky (jako jsou například úpravy tabulek systémových služeb), mohou kolidovat s jiným softwarem, a tím nepříznivě ovlivnit stabilitu operačního systému. U počítačů s procesorem x86 není tato praxe společností Microsoft doporučována, zároveň však není cíleně omezována, protože by to mohlo vést k problémům s kompatibilitou u významného množství softwaru na trhu. Protože pro počítače s procesorem x64 neexistuje na trhu podobná softwarová základna, je možné tuto úroveň ochrany k jádru přidat bez narušení kompatibility.

Co funguje jinak?

V počítačích s procesorem x64 je chráněna celá řada systémových struktur, včetně tabulek odbavování systémových služeb, tabulky popisovače přerušení IDT (Interrupt Descriptor Table) a tabulky globálního popisovače GDT (Global Descriptor Table). Operační systém také neumožňuje softwaru jiného výrobce přidělovat „vedlejší“ paměť a používat ji jako zásobník jádra. Jestliže operační systém rozpozná některou z těchto modifikací nebo jakoukoli jinou neoprávněnou aktualizaci, bude generována kontrola chyb s chybou Stop 0x109 a systém bude ukončen.

Jak lze tyto problémy vyřešit?

Z důvodu kompatibility se systémem Windows pro počítače s procesorem x64 nelze jádro upravit pomocí ovladačů. V systému Windows Server 2003 SP1 pro počítače s procesorem x64 jsou blokovány tyto akce:

  • modifikovat tabulky systémových služeb, například úpravou tabulky KeService Descriptor,
  • upravovat tabulku IDT,
  • upravovat tabulku GDT,
  • používat zásobníky jádra, které nejsou přidělovány jádrem,
  • aktualizovat některou část jádra (rozpoznáno pouze v počítačích s procesorem AMD64).

Je možné, že jak budou zjištěny nové chyby zabezpečení, bude ochrana aktualizace jádra v budoucích aktualizacích systému rozšířena tak, aby poskytovala obranu před dalšími aktualizačními postupy prováděnými se zlými úmysly. Aby se zabránilo problémům s kompatibilitou u těchto aktualizací, neměly by se ovladače pokoušet o aktualizaci jádra pomocí jiných mechanismů.

Pro aktualizaci jádra by se taky neměly používat ovladače pro jiné platformy z důvodu zajištění stability a spolehlivosti operačního systému a bezproblémové činnosti pro uživatele.

Je nutné změnit kód, aby bylo možné pracovat se systémem Windows Server 2003 s aktualizací Service Pack 1?

Systém Windows Server 2003 SP1 pro počítače s procesorem x64 je novou platformou, která vyžaduje nové ovladače. Tyto nové ovladače musejí splňovat zásady pro aktualizaci počítačů s procesorem x64, které jsou dokumentovány na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=38447.

Další informace naleznete v sadě Microsoft Windows Driver Development Kit (DDK) na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=38448.

Obsah vytvořený komunitou

Zobrazit:
© 2016 Microsoft