Descrizione dettagliata della funzionalità Protezione esecuzione programmi di Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 e Windows Server 2003

In questo articolo viene descritta la funzionalità Protezione esecuzione programmi di Microsoft Windows XP SP2 e di Microsoft Windows Server 2003 con Service Pack 1 (SP1) e vengono trattati i seguenti argomenti:

• Protezione esecuzione programmi applicata all'hardware
• Protezione esecuzione programmi applicata al software
• Vantaggi
• Configurazione della funzionalità Protezione esecuzione programmi a livello di sistema
• Configurazione della funzionalità Protezione esecuzione programmi per singoli programmi

Protezione esecuzione programmi applicata all'hardware

Con la funzionalità Protezione esecuzione programmi applicata all'hardware tutti i percorsi di memoria di un processo vengono contrassegnati come non eseguibili a meno che un percorso non contenga esplicitamente codice eseguibile. Esiste un tipo di attacco che cerca di inserire ed eseguire codice da percorsi di memoria non eseguibili. La funzionalità Protezione esecuzione programmi consente di impedire questi attacchi intercettandoli e generando un'eccezione.

Questa funzionalità si basa sull'hardware del processore per contrassegnare la memoria con un attributo che indica che non deve essere eseguito codice da quella memoria. Protezione esecuzione programmi funziona in base alla pagina di memoria virtuale e la funzionalità stessa cambia in genere un bit nella voce PTE (Page Table Entry) per contrassegnare la pagina di memoria.

La modalità di implementazione di Protezione esecuzione programmi nell'hardware e il modo in cui viene contrassegnata la pagina di memoria virtuale sono determinati dall'architettura del processore. Tuttavia i processori che supportano la funzionalità Protezione esecuzione programmi applicata all'hardware possono generare un'eccezione quando il codice viene eseguito da una pagina contrassegnata da un insieme di attributi appropriato.

AMD (Advanced Micro Devices) e Intel hanno definito e reso disponibili architetture compatibili con Windows e con la funzionalità Protezione esecuzione programmi.

A partire da Windows XP SP2 la versione a 32 bit di Windows utilizza uno dei seguenti elementi:

• La funzionalità del processore di protezione della pagina che impedisce l'esecuzione (NX, No Execute) definita da AMD.
• La funzionalità del bit di disattivazione dell'esecuzione (XD, Execute Disable Bit) definito da Intel.

Per utilizzare queste funzionalità del processore, quest'ultimo deve essere in esecuzione in modalità PAE (Physical Address Extension). Tuttavia in Windows la modalità PAE è attivata automaticamente per supportare la funzionalità Protezione esecuzione programmi, quindi gli utenti non devono attivare separatamente la modalità PAE mediante l'opzione di avvio /PAE.

Nota Poiché i kernel a 64 bit supportano la modalità AWE (Address Windowing Extensions), non esiste un kernel PAE separato nelle versioni a 64 bit di Windows.
Per ulteriori informazioni sulle tecnologie PAE e AWE di Windows Server 2003, fare clic sul numero dell'articolo della Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):

Protezione esecuzione programmi applicata al software

In Windows XP SP2 è stato aggiunto un ulteriore insieme di verifiche della protezione mediante Protezione esecuzione programmi. Queste verifiche, note come Protezione esecuzione programmi applicata al software, sono progettate per bloccare codice dannoso che sfrutta i meccanismi di gestione delle eccezioni di Windows. La funzionalità Protezione esecuzione programmi applicata al software viene eseguita su qualsiasi processore in grado di eseguire Windows XP SP2. Per impostazione predefinita, questo tipo di funzionalità consente di proteggere solo file binari di sistema limitati, indipendentemente dalle capacità del processore relative alla Protezione esecuzione programmi applicata all'hardware.

Vantaggi

Il vantaggio principale della funzionalità Protezione esecuzione programmi è la capacità di impedire l'esecuzione di codice dalle pagine di dati, ad esempio le pagine di heap predefinite, diverse pagine dello stack e pagine del pool di memoria. In genere il codice non viene eseguito dall'heap e dallo stack predefiniti. La funzionalità Protezione esecuzione programmi applicata all'hardware rileva il codice in esecuzione da questi percorsi e genera un'eccezione al momento dell'esecuzione. Se l'eccezione non viene gestita, il processo viene interrotto. L'esecuzione di codice dalla memoria protetta in modalità kernel causa un errore di interruzione.

La Protezione esecuzione programmi consente di bloccare una serie di intrusioni nella protezione e, in modo specifico, un programma dannoso in cui un virus o un altro tipo di attacco abbia introdotto un processo con ulteriore codice e il successivo tentativo di esecuzione di tale codice. In un sistema con attivata la funzionalità Protezione esecuzione programmi l'esecuzione del codice inserito causa un'eccezione. La funzionalità Protezione esecuzione programmi applicata al software può impedire ai programmi di trarre vantaggio dai meccanismi di gestione delle eccezioni di Windows.

Configurazione della funzionalità Protezione esecuzione programmi a livello di sistema

La configurazione della funzionalità Protezione esecuzione programmi per il sistema viene controllata mediante opzioni contenute nel file Boot.ini. Se si è connessi come amministratore, è possibile configurare facilmente le impostazioni della Protezione esecuzione programmi utilizzando la finestra di dialogo Sistema nel Pannello di controllo.

In Windows sono supportare quattro configurazioni a livello di sistema per la Protezione esecuzione programmi applicata all'hardware e al software.La Protezione esecuzione programmi applicata all'hardware e al software viene configurata nello stesso modo. Se il criterio della Protezione esecuzione programmi a livello di sistema è impostato su OptIn, gli stessi file binari principali e i programmi di Windows verranno protetti dalla funzionalità applicata all'hardware e al software. Se il sistema non è in grado di utilizzare la funzionalità applicata all'hardware, i file binari principali e i programmi di Windows verranno protetti solo dalla funzionalità applicata al software.

In modo analogo, se il criterio della Protezione esecuzione programmi a livello di sistema è impostato su OptOut, i programmi esclusi dalla protezione della funzionalità saranno esclusi anche dalla funzionalità applicata all'hardware e al software.

Le impostazioni del file boot.ini hanno il seguente formato:Nota livello_criterio è definito come AlwaysOn, AlwaysOff, OptIn oppure OptOut.

Le impostazioni /noexecute esistenti nel file Boot.ini non vengono modificate quando si installa Windows XP SP2. Non vengono modificate nemmeno se un'immagine del sistema operativo Windows viene spostata da un computer all'altro con o senza il supporto della funzionalità Protezione esecuzione programmi applicata all'hardware.

Durante l'installazione di Windows XP SP2 e Windows Server 2003 SP1 o versioni successive il livello del criterio OptIn è attivato per impostazione predefinita, a meno che non venga specificato un diverso livello di criterio in un'installazione automatica. Se l'impostazione /noexecute=livello_criterio non è presente nel file Boot.ini per una versione di Windows che supporti la funzionalità Protezione esecuzione programmi, il comportamento sarà uguale al caso in cui fosse inclusa l'impostazione /noexecute=OptIn.

Se si è connessi come amministratore, è possibile configurare manualmente la funzionalità Protezione esecuzione programmi per passare tra i criteri OptIn e OptOut mediante la scheda Protezione esecuzione programmi delle proprietà del sistema. Nella procedura riportata di seguito consente di configurare manualmente la funzionalità Protezione esecuzione programmi nel computer in uso:

1. Fare clic sul pulsante Start, scegliere Esegui, digitare sysdm.cpl, quindi scegliere OK.
2. Nella scheda Avanzate in Prestazioni fare clic su Impostazioni.
3. Nella scheda Protezione esecuzione programmi utilizzare una delle seguenti procedure:
   • Fare clic su Attiva Protezione esecuzione programmi solo per i programmi e i servizi essenziali di Windows per selezionare il criterio OptIn.
   • Fare clic su Attiva Protezione esecuzione programmi per tutti i programmi e i servizi tranne quelli selezionati per selezionare il criterio OptOut, quindi scegliere Aggiungi per aggiungere i programmi ai quali non dovrà essere applicata la funzionalità in questione.
4. Scegliere OK due volte.

I professionisti IT possono controllare la configurazione della Protezione esecuzione programmi a livello di sistema utilizzando diversi metodi. Il file Boot.ini può essere modificato direttamente con meccanismi di scripting o con lo strumento Bootcfg.exe incluso in Windows XP SP2.

Per configurare la funzionalità Protezione esecuzione programmi per passare al criterio AlwaysOn utilizzando il file Boot.ini, attenersi alla seguente procedura:

1. Fare clic sul pulsante Start, fare clic con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
2. Scegliere la scheda Avanzate, quindi fare clic su Impostazioni nella sezione Avvio e ripristino.
3. In Avvio del sistema scegliere Modifica. Il file Boot.ini verrà aperto in Blocco note.
4. Nel Blocco note scegliere Trova dal menu Modifica.
5. Nella casella Trova digitare /noexecute, quindi scegliere Trova successivo.
6. Nella finestra di dialogo Trova fare clic su Cancella.
7. Sostituire livello_criterio con AlwaysOn.
   
   AVVISO Assicurarsi di immettere il testo con precisione. Ora è possibile leggere l'opzione del file Boot.ini:
   /noexecute = AlwaysOn
8. Nel Blocco note scegliere Salva dal menu File.
9. Scegliere OK due volte.
10. Riavviare il computer.

Per le installazioni automatiche di Windows XP SP2 o versioni successive è possibile utilizzare il file Unattend.txt per predefinire una specifica configurazione della funzionalità Protezione esecuzione programmi. È possibile utilizzare la voce OSLoadOptionsVar nella sezione [Data] del file Unattend.txt per specificare una configurazione della funzionalità Protezione esecuzione programmi a livello di sistema.

Configurazione della funzionalità Protezione esecuzione programmi per singoli programmi

Per garantire la compatibilità dei programmi, è possibile disattivare in modo selettivo la funzionalità Protezione esecuzione programmi per singoli programmi a 32 bit quando la funzionalità è impostata sul livello del criterio OptOut. Per effettuare questa operazione, utilizzare la scheda Protezione esecuzione programmi delle proprietà del sistema per disattivare in modo selettivo la funzionalità per un programma. Per i professionisti IT è disponibile in Windows XP SP2 una nuova correzione relativa alla compatibilità dei programmi denominata DisableNX. Tale correzione consente di disattivare la funzionalità Protezione esecuzione programmi per il programma a cui viene applicata.

La correzione può anche essere applicata a un programma mediante l'Application Compatibility Toolkit. Per ulteriori informazioni sulla compatibilità delle applicazioni Windows, vedere Compatibilità applicazioni Windows sul seguente sito Web Microsoft:

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito: