Artigo: 875352 - �ltima revis�o: segunda-feira, 23 de Outubro de 2006 - Revis�o: 14.1

Descri��o detalhada da funcionalidade de preven��o de execu��o de dados (DEP) do Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 e Windows Server 2003

Ver produtos para os quais este artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

A preven��o de execu��o de dados (DEP, Data Execution Prevention) � um conjunto de tecnologias de hardware e software que efectuam verifica��es adicionais da mem�ria para ajudar a impedir a execu��o de c�digo malicioso no sistema. No Microsoft Windows XP Service Pack 2 (SP2) e no Microsoft Windows XP Tablet PC Edition 2005, a DEP � aplicada por hardware e por software.

A principal vantagem da DEP � ajudar a impedir a execu��o de c�digo a partir de p�ginas de dados. Normalmente, n�o � executado c�digo a partir da �rea de dados din�micos (heap) e da pilha. A DEP aplicada por hardware detecta c�digo em execu��o a partir destas localiza��es e origina uma excep��o quando ocorre a execu��o. A DEP aplicada por software pode ajudar a impedir que c�digo malicioso tire partido de mecanismos de tratamento de excep��es no Windows.

Voltar ao topo

INTRODU��O

Este artigo descreve a funcionalidade DEP no Windows XP SP2 e no Microsoft Windows Server 2003 com o Service Pack 1 (SP1) e aborda os seguintes t�picos:

DEP aplicada por hardware
DEP aplicada por software
Vantagens
Configura��o da DEP ao n�vel do sistema
Configura��o da DEP por programa

Voltar ao topo

Mais Informa��o

DEP aplicada por hardware

A DEP aplicada por hardware marca todas as localiza��es de mem�ria de um processo como n�o execut�veis, a menos que a localiza��o contenha explicitamente c�digo execut�vel. Existe uma classe de ataques que tenta inserir e executar c�digo a partir de localiza��es de mem�ria n�o execut�veis. A DEP ajuda a evitar estes ataques interceptando-os e originado uma excep��o.

A DEP aplicada por hardware depende do hardware do processador para marcar a mem�ria com um atributo que indica que n�o deve ser executado c�digo a partir dessa mem�ria. A DEP funciona por p�gina de mem�ria virtual e, normalmente, altera um bit na entrada de tabela de p�ginas (PTE, Page Table Entry) para marcar a p�gina da mem�ria.

A arquitectura do processador determina o modo como a DEP � implementada no hardware e o modo como marca a p�gina de mem�ria virtual. No entanto, os processadores que suportam DEP aplicada por hardware podem originar uma excep��o quando for executado c�digo a partir de uma p�gina marcada com o atributo adequado definido.

A Advanced Micro Devices (AMD) e a Intel definiram e forneceram arquitecturas compat�veis com o Windows que s�o compat�veis com a DEP.

A partir do Windows XP SP2, a vers�o de 32 bits do Windows utiliza uma das seguintes funcionalidades:

A funcionalidade de processador de protec��o de p�gina de n�o-execu��o (NX, no-execute page-protection), como definida pela AMD.
A funcionalidade de bit de desactiva��o de execu��o (XD, Execute Disable Bit), como definida pela Intel.

Para utilizar estas funcionalidades do processador, este tem de estar a funcionar no modo de extens�o de endere�amento f�sico (PAE, Physical Address Extension). No entanto, o Windows activar� automaticamente o modo PAE para suportar a DEP. Os utilizadores n�o t�m de activar a PAE separadamente utilizando o par�metro de arranque /PAE.

Nota: uma vez que os kernels de 64 bits detectam as AWE (Address Windowing Extensions), n�o existe um kernel PAE independente em vers�es de 64 bits do Windows.
Para obter mais informa��es sobre PAE e AWE no Windows Server 2003, clique no n�mero de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

283037� (http://support.microsoft.com/kb/283037/ ) Est� dispon�vel suporte para mem�ria de grandes dimens�es no Windows Server 2003 e no Windows 2000

Voltar ao topo

DEP aplicada por software

Foi inclu�do um conjunto adicional de verifica��es de seguran�a da DEP no Windows XP SP2. Estas verifica��es, conhecidas como DEP aplicada por software, foram concebidas para bloquear c�digo malicioso que tire partido de mecanismos de tratamento de excep��es no Windows. A DEP aplicada por software � executada em qualquer processador que tenha capacidade para executar o Windows XP SP2. Por predefini��o, a DEP aplicada por software ajuda a proteger apenas bin�rios de sistema limitados, independentemente das capacidades de DEP aplicada por hardware do processador.

Voltar ao topo

Vantagens

A principal vantagem da DEP � ajudar a impedir a execu��o de c�digo a partir de p�ginas de dados, como as p�ginas predefinidas de �rea de dados din�micos, as diversas p�ginas de pilha e as p�ginas de blocos de mem�ria. Normalmente, n�o � executado c�digo a partir da �rea de dados din�micos (heap) e da pilha predefinidas. A DEP aplicada por hardware detecta c�digo em execu��o a partir destas localiza��es e origina uma excep��o quando ocorre a execu��o. Se a excep��o n�o for tratada, o processo ser� parado. A execu��o de c�digo a partir de mem�ria protegida no modo kernel provoca um erro de Stop.

A DEP pode ajudar a bloquear uma classe de intrus�es de seguran�a. Especificamente, a DEP pode ajudar a bloquear um programa malicioso no qual um v�rus ou outro tipo de ataque tenha introduzido um processo com c�digo adicional e, em seguida, tente executar o c�digo introduzido. Num sistema com DEP, a execu��o do c�digo introduzido provoca uma excep��o. A DEP aplicada por software pode ajudar a bloquear programas que tirem partido de mecanismos de tratamento de excep��es no Windows.

Voltar ao topo

Configura��o da DEP ao n�vel do sistema

A configura��o da DEP para o sistema � controlada por par�metros no ficheiro Boot.ini. Se tiver sess�o iniciada como administrador, poder� agora configurar facilmente defini��es da DEP utilizando a caixa de di�logo Sistema (System) do Painel de controlo (Control Panel).

O Windows suporta quatro configura��es de sistema da DEP aplicada por hardware e da DEP aplicada por software.

Reduzir esta tabelaExpandir esta tabela

Configura��o	Descri��o
OptIn	Esta defini��o � a configura��o predefinida. Em sistemas com processadores com capacidade para implementar a DEP aplicada por hardware, a DEP � activada por predefini��o para bin�rios de sistema limitados e programas que optem ("opt-in") pela mesma. Com esta op��o, apenas os bin�rios de sistema do Windows s�o abrangidos, por predefini��o, pela DEP.
OptOut	A DEP � activada por predefini��o para todos os processos. Pode criar manualmente uma lista de programas espec�ficos que n�o tenham a DEP aplicada utilizando a caixa de di�logo Sistema (System) do Painel de controlo (Control Panel). Os profissionais de tecnologias de informa��o (TIs) podem utilizar o Application Compatibility Toolkit para excluir ("opt-out") um ou mais programas da protec��o da DEP. Correc��es de compatibilidade do sistema, ou shims, para a DEP t�m efeito.
AlwaysOn	Esta defini��o permite que a DEP abranja todo o sistema. Todos os processos s�o sempre executados com a DEP aplicada. A lista de excep��es para excluir programas espec�ficos da protec��o da DEP n�o est� dispon�vel. Correc��es de compatibilidade do sistema para a DEP n�o t�m efeito. Programas que tenham sido exclu�dos utilizando o Application Compatibility Toolkit s�o executados com a DEP aplicada.
AlwaysOff	Esta defini��o n�o fornece qualquer protec��o da DEP a nenhuma parte do sistema, independentemente do suporte de DEP de hardware. O processador n�o funciona no modo PAE, a menos que a op��o /PAE esteja presente no ficheiro Boot.ini.

A DEP aplicada por hardware e aplicada por software � configurada da mesma forma. Se a pol�tica de DEP do sistema for OptIn, os mesmos bin�rios principais e programas do Windows ser�o protegidos por ambas. Se o sistema n�o tiver capacidade para utilizar a DEP aplicada por hardware, os bin�rios principais e programas do Windows ser�o protegidos apenas pela DEP aplicada por software.

Da mesma forma, se a pol�tica de DEP do sistema estiver definida como OptOut, os programas que tenham sido exclu�dos da protec��o da DEP ser�o exclu�dos da DEP aplicada por hardware e aplicada por software.

As defini��es do ficheiro Boot.ini s�o as seguintes:

/noexecute=n�vel_pol�tica

Nota: n�vel_pol�tica � definido como AlwaysOn, AlwaysOff, OptIn ou OptOut.

Defini��es /noexecute existentes no ficheiro Boot.ini n�o s�o alteradas quando o Windows XP SP2 � instalado. Estas defini��es tamb�m n�o s�o alteradas se uma imagem do sistema operativo Windows for passada para outros computadores, com ou sem suporte para DEP aplicada por hardware.

Durante a instala��o do Windows XP SP2 e do Windows Server 2003 SP1 ou vers�es posteriores, o n�vel de pol�tica OptIn � activado por predefini��o, a menos que seja especificado um n�vel de pol�tica diferente numa instala��o autom�tica. Se a defini��o /noexecute=n�vel_pol�tica n�o estiver presente no ficheiro Boot.ini para uma vers�o do Windows que suporte a DEP, o comportamento ser� id�ntico ao que se verificaria com a defini��o /noexecute=OptIn inclu�da.

Se tiver sess�o iniciada como administrador, poder� configurar a DEP manualmente para alternar entre as pol�ticas OptIn e OptOut utilizando o separador Preven��o de execu��o de dados (Data Execution Prevention) das Propriedades do sistema (System Properties). O procedimento que se segue descreve como configurar a DEP manualmente no computador:

Clique em Iniciar (Start), clique em Executar (Run), escreva sysdm.cpl e clique em OK.
No separador Avan�adas (Advanced), em Desempenho (Performance), clique em Defini��es (Settings).
No separador Preven��o de execu��o de dados (Data Execution Prevention), utilize um dos seguintes procedimentos:
- Clique em Activar a DEP apenas para programas e servi�os essenciais do Windows (Turn on DEP for essential Windows programs and services only) para seleccionar a pol�tica OptIn.
- Clique em Activar a DEP apenas para todos os programas e servi�os excepto os seleccionados por mim (Turn on DEP for all programs and services except those I select) para seleccionar a pol�tica OptOut e clique em Adicionar (Add) para adicionar os programas que pretende que n�o utilizem a funcionalidade DEP.
Clique em OK duas vezes.

Os profissionais de TIs podem controlar a configura��o de sistema da DEP utilizando v�rios m�todos. O ficheiro Boot.ini pode ser modificado directamente com mecanismos de script ou com a ferramenta Bootcfg.exe, inclu�da no Windows XP SP2.

Para configurar a DEP para mudar para a pol�tica AlwaysOn utilizando o ficheiro Boot.ini, siga estes passos:

Clique em Iniciar (Start), clique com o bot�o direito do rato em O meu computador (My Computer) e clique em Propriedades (Properties).
Clique no separador Avan�adas (Advanced) e clique em Defini��es (Settings), no campo Arranque e recupera��o (Startup and Recovery).
No campo Arranque do sistema (System startup), clique em Editar (Edit). O ficheiro Boot.ini � aberto no Bloco de notas (Notepad).
No Bloco de notas (Notepad), clique em Localizar (Find) no menu Editar (Edit).
Na caixa Localizar (Find what), escreva /noexecute e clique em Localizar seguinte (Find Next).
Na caixa de di�logo Localizar (Find), clique em Cancelar (Cancel).
Substitua n�vel_pol�tica por AlwaysOn.

AVISO: certifique-se de que introduz correctamente o texto. O par�metro do ficheiro Boot.ini dever� ser:
/noexecute=AlwaysOn
No Bloco de notas (Notepad), clique em Guardar (Save) no menu Ficheiro (File).
Clique em OK duas vezes.
Reinicie o computador.

Para instala��es autom�ticas do Windows XP SP2 ou vers�es posteriores, pode utilizar o ficheiro Unattend.txt para preencher previamente uma configura��o de DEP espec�fica. Pode utilizar a entrada OSLoadOptionsVar da sec��o [Data] do ficheiro Unattend.txt para especificar uma configura��o de sistema da DEP.

Voltar ao topo

Configura��o da DEP por programa

Para efeitos de compatibilidade de programas, pode desactivar selectivamente a DEP para determinados programas de 32 bits, quando a DEP estiver definida com o n�vel de pol�tica OptOut. Para o fazer, utilize o separador Preven��o de execu��o de dados (Data Execution Prevention) das Propriedades do sistema (System Properties) para desactivar selectivamente a DEP para determinado programa. Para os profissionais de TIs, foi inclu�da no Windows XP SP2 uma nova correc��o de compatibilidade de programas denominada DisableNX. A correc��o de compatibilidade DisableNX desactiva a preven��o de execu��o de dados para o programa a que a correc��o for aplicada.

A correc��o de compatibilidade DisableNX pode ser aplicada a um programa utilizando o Application Compatibility Toolkit. Para obter mais informa��es sobre a compatibilidade de aplica��es do Windows, consulte Windows Application Compatibility no seguinte Web site da Microsoft:

http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx (http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx)

Voltar ao topo

Para obter mais informa��es, clique no n�mero de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

912923� (http://support.microsoft.com/kb/912923/ ) How to determine that hardware DEP is available and configured on your computer

Voltar ao topo

Refer�ncias

Para obter mais informa��es, clique no n�mero de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

899298� (http://support.microsoft.com/kb/899298/ ) The "Understanding Data Execution Prevention" help topic incorrectly states the default setting for DEP in Windows Server 2003 Service Pack 1

Voltar ao topo