Uma descrição detalhada do recurso DEP (Prevenção de execução de dados) no Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 e Windows Server 2003

ID do artigo: 875352 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Nesta página

Sumário

A Prevenção de execução de dados (DEP) é um conjunto de tecnologias de hardware e software que realiza verificações adicionais na memória para ajudar a evitar que códigos mal-intencionados executem em um sistema. No Microsoft Windows XP Service Pack 2 (SP2) e Microsoft Windows XP Tablet PC Edition 2005, a DEP é imposto pelo hardware e pelo software.

O principal benefício da DEP é ajudar a evitar a execução de código a partir de páginas de dados. Normalmente, o código não é executado a partir do heap padrão e da pilha. DEP imposta por hardware detecta o código em execução a partir destes locais e eleva uma exceção quando a execução ocorre. DEP imposta por software pode ajudar a evitar que um código mal-intencionado beneficie-se de um mecanismo para lidar com exceções no Windows.
Voltar para o início | Submeter comentários

INTRODUÇÃO

Este artigo descreve o recurso DEP no Windows XP SP2 e no Microsoft Windows Server 2003 com Service Pack 1 (SP1) e discute os seguintes tópicos:
Voltar para o início | Submeter comentários

Mais Informações

DEP imposta por hardware

A DEP imposta por hardware marca todos os locais da memória em um processo não executável, a não ser que o local explicitamente contenha código executável. Existe uma classe de ataques que tenta inserir e executar um código a partir de locais de memória não executáveis. A DEP ajuda a evitar estes ataques, interceptando-os e aumento uma exceção.

A DEP imposta por hardware depende de um processador de hardware para marcar a memória com um atributo que indica que um código não poderia ser executado a partir dessa memória. A DEP funciona em uma base de página de memória pré-virtual e normalmente altera um pouco PTE (entrada da tabela de página) para marcar a página de memória.

A arquitetura do processador determina como a DEP é implementada no hardware e como a DEP marca a página de memória virtual. No entanto, processadores que dão suporte à DEP imposta por hardware podem elevar uma exceção quando um código é executado a partir de uma página marcado com o conjunto de atributos apropriado.

O Advanced Micro Devices (AMD) e a Intel definiram e enviaram arquiteturas compatíveis com o Windows que são compatíveis com a DEP.

Começando com Windows XP SP2, a versão de 32-bit do Windows usa um dos seguintes recursos:
  • O recurso do processador de proteção de página não executável (NX) como definido pelo AMD.
  • O recurso Execute Disable Bit (XD) como definido pela Intel.
Para usar estes recursos do processador, o processador deve estar executando no modo PAE (Extensão de endereço físico). No entanto, o Windows automaticamente habilitará o modo PAE para dar suporte à DEP. Usuários não têm de habilitar separadamente a PAE usando a opção de reinicialização /PAE.

Observação Como os kernels de 64-bit são conhecimentos de Extensões AWE (Address Windowing Extensions), não há um kernel PAE separado nas versões de 64-bit do Windows.
Para obter informações adicionais sobre PAE e AWE no Windows Server 2003, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
283037
(http://support.microsoft.com/kb/283037/ )
Suporte para memória grande está disponível no Windows Server 2003 e no Windows 2000

DEP imposta por software

Um conjunto adicional de verificações de segurança da Prevenção de execução de dados foi adicionado ao Windows XP SP2. Estas verificações, conhecidas como DEP imposta por software, são destinadas a bloquear o código mal-intencionado que se beneficia dos mecanismos para lidar com exceções no Windows. A DEP imposta por software executa em qualquer processador que possa executar Windows XP SP2. Por padrão, a DEP imposta por software ajuda a proteger apenas binários de sistema limitado, independentemente das capacidades DEP imposta por hardware do processador.

Benefícios

O principal benefício da DEP é que ela ajuda a evitar a execução de código nas páginas heap, várias páginas de pilha e páginas de pool de memória. Normalmente, o código não é executado a partir do heap padrão e da pilha. DEP imposta por hardware detecta o código em execução a partir destes locais e eleva uma exceção quando a execução ocorre. Se a exceção não for tratada, o processo será interrompido. A execução de código a partir da memória protegida no modo kernel causa uma mensagem de erro Stop.

A DEP pode ajudar a bloquear uma classe de intrusões de segurança. Especificamente, a DEP pode ajudar a bloquear um programa mal-intencionado no qual um vírus ou outro tipo de invasor injetou um processo com código adicional e, então, tenta executar o código injetado. Em um sistema com DEP, a execução do código injetado causa uma exceção. DEP imposta por software pode ajudar a evitar que um código mal-intencionado beneficie-se de um mecanismo para lidar com exceções no Windows.

Configuração de sistema grande de DEP

A configuração DEP para o sistema é controlado por meio de opções no arquivo Boot.ini. Se estiver conectado como um administrador, você pode facilmente configurar as configurações DEP usando a caixa de diálogo Sistema no Painel de controle.

Windows dá suporte a quatro configurações de sistema grande para a DEP imposta por hardware e por software.
Recolher esta tabelaExpandir esta tabela
ConfiguraçãoDescrição
OptInEsta configuração é a configuração padrão. Em sistemas com processadores que possam implementar a DEP imposta por hardware, a DEP é habilitada por padrão para binários de sistema limitados e programas que "consentem". Com esta opção, apenas os binários de sistema do Windows são cobertos pela DEP por padrão.
OptOutPor padrão, a DEP é habilita para todos os processos. Pode-se manualmente criar uma lista de programas específicos que não têm a DEP aplicada, usando a caixa de diálogo Sistema no Painel de controle. Profissionais de TI (Tecnologia de informação) podem usar o Kit de Ferramentas de Compatibilidade de Aplicativos para "consentir" um ou mais programas da proteção DEP. Correções de compatibilidade de sistema, ou calço, para a DEP fazer funcionam.
Sempre VisívelEsta configuração fornece cobertura DEP total para todo o sistema. Todos os processos sempre executam com a DEP aplicada. A lista de exceções para isentar programas específicos da proteção DEP não está disponível. Correções de compatibilidade de sistema para DEP não funciona. Programas recusados usando a Ferramentas de Compatibilidade de Aplicativos executam com a DEP aplicada.
Sempre DesativadoEsta configuração não fornece nenhuma cobertura DEP para qualquer parte do sistema, independentemente do suporte DEP de hardware. O processador não executa no modo PAE, a não ser que a opção /PAE esteja presente no arquivo Boot.ini.
DEPs impostas por hardware e por software são configuradas da mesma forma. Se a diretiva DEP de sistema grande for definida para consentir, os mesmos binários e programas principais do Windows serão protegidos tanto pela DEP imposta por hardware quanto pela DEP imposta por software. Se o sistema não puder usar a DEP imposta por hardware, os binários e programas principais do Windows serão protegidos apenas pela DEP imposta por software.

Similarmente, se a diretiva DEP de sistema grande estiver definida para recusar, programas que foram isentos da proteção DEP serão isentos das DEPs impostas por hardware e por software.

As configurações do arquivo Boot.ini são as seguintes:
/noexecute=policy_level
Observação policy_level é definido como AlwaysOn, AlwaysOff, OptIn ou OptOut.

Configurações /noexecute existentes no arquivo Boot.ini não são alteradas quando o Windows XP SP2 é instalado. Estas configurações também não alteram se uma imagem do sistema operacional do Windows é movida entre computadores com o sem suporte para a DEP imposta por hardware.

Durante a instalação do Windows XP SP2 e Windows Server 2003 SP1 ou versões posteriores, o nível da diretiva OptIn é habilitado por padrão, a não ser que um nível de diretiva diferente seja especificado em uma instalação autônoma. Se a configuração /noexecute=policy_level não estiver presente no arquivo Boot.ini para uma versão do Windows que dá suporte à DEP, o comportamento será o mesmo que seria se a configuração /noexecute=OptIn estivesse incluída.

Se estiver conectado como um administrador, pode-se configurar manualmente a DEP para alternar entre as diretivas OptIn e OptOut, usando a guia Prevenção de execução de dados em Propriedades do sistema. O seguinte procedimento descreve como configurar manualmente a DEP no computador.
  1. Clique em Iniciar, em Executar, digite sysdm.cpl e clique em OK.
  2. Na guia Avançado, em Configurações, clique em Configurações.
  3. Na guia Prevenção de execução de dados, use um dos seguintes procedimentos:
    • Clique em Ativar a DEP só para programas e serviços essenciais do Windows para selecionar a diretiva OptIn.
    • Clique em Ativar a DEP para todos os programas e serviços, exceto aqueles que selecionei para selecionar a diretiva OptOut e em Adicionar para adicionar os programas que você não quer que use o recurso DEP.
  4. Clique em OK duas vezes.
Profissionais de TI podem controlar configurações DEP de sistemas grandes usando vários métodos. O arquivo Boot-ini pode ser modificado diretamente com mecanismos de script ou com a ferramenta Bootcfg.exe incluída no Windows XP SP2.

Para configurar a DEP para alternar para a diretiva AlwaysOn, usando o arquivo Boot.ini, execute as seguintes etapas:
  1. Clique em Iniciar, clique com o botão direito do mouse em Meu computador e clique em Propriedades.
  2. Clique na guia Avançado e em Configurações no campo Inicialização e Recuperação.
  3. No campo Inicialização do sistema, clique em Editar. O arquivo Boot.ini abre no Bloco de Notas.
  4. No Bloco de notas, clique em Localizar no menu Editar.
  5. Na caixa Localizar, digite /noexecute e clique em Localizar próxima.
  6. Na caixa de diálogo Localizar, clique em Cancelar.
  7. Substitua policy_level por Sempre Visível.

    AVISO Certifique-se de que você insira o texto com precisão. A opção de arquivo Boot.ini deve ler:
    /noexecute=AlwaysOn
  8. No Bloco de notas, clique em Salvar no menu Arquivo.
  9. Clique em OK duas vezes.
  10. Reinicie o computador.
Para instalações autônomas do Windows XP SP2 ou versões posteriores, você pode usar o arquivo Unattend.txt para pré-preencher uma configuração DEP específica. Você pode usar a entrada OSLoadOptionsVar na seção [Dados] do arquivo Unattend.txt para especificar uma configuração DEP de sistema grande.

Configuração DEP pré-programada

Para propósitos de compatibilidade de programa, você pode desabilitar de forma seletiva a DEP para programas individuais de 32-bit quando a DEP estiver definida para o nível da diretiva OptOut. Para fazer isto, use a guia Prevenção de execução de dados em Propriedades do sistema para desabilitar de forma seletiva a DEP para um programa. Para profissionais de TI, uma nova correção de compatibilidade de programa chamada DisableNX está incluída no Windows XP SP2. A correção de compatibilidade DisableNX desabilita a Prevenção de execução de dados para o programa ao qual a correção é aplicada.

A correção de compatibilidade DisableNX pode ser aplicada a um programa usando o Kit de ferramentas de compatibilidade de aplicativo. Para obter informações adicionais sobre a compatibilidade de aplicativos do Windows, consulte Windows Application Compatibility no seguinte site da Microsoft (em inglês):
http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx
(http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx)
Voltar para o início | Submeter comentários
Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
912923
(http://support.microsoft.com/kb/912923/ )
Como determinar se a DEP de hardware está disponível e configurada em seu computador
Voltar para o início | Submeter comentários

Referências

Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
899298
(http://support.microsoft.com/kb/899298/ )
O tópico da ajuda "Entendendo a prevenção de execução de dados" informa incorretamente a configuração padrão de DEP no Windows Server 2003 Service Pack 1
Voltar para o início | Submeter comentários

Propriedades

ID do artigo: 875352 - Última revisão: sexta-feira, 13 de julho de 2007 - Revisão: 15.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows XP Home Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Media Center Edition Service Pack 2 (SP2)
  • Microsoft Windows XP Tablet PC Edition 2005
Palavras-chave: 
kbinfo kbtshoot KB875352
Voltar para o início | Submeter comentários

Submeter comentários

 
Voltar para o inícioVoltar para o início