Cómo determinar que el DEP de hardware está disponible y configurado en el equipo

  • Artículo

En este artículo se describe cómo determinar que el DEP de hardware está disponible y configurado en el equipo.

Se aplica a: Windows Server 2012 R2, Windows 10, todas las ediciones
Número de KB original: 912923

Introducción

Prevención de ejecución de datos (DEP) es un conjunto de tecnologías de hardware y software que realizan comprobaciones adicionales en la memoria para ayudar a protegerse frente a vulnerabilidades de seguridad de código malintencionados.

El DEP aplicado por hardware marca todas las ubicaciones de memoria de un proceso como no ejecutable a menos que la ubicación contenga explícitamente código ejecutable. Un tipo de ataques de código malintencionado intenta insertar y ejecutar código desde ubicaciones de memoria no ejecutables. DEP ayuda a evitar estos ataques interceptándolos y generando una excepción.

En este artículo se describen los requisitos para usar DEP aplicado por hardware. En este artículo también se describe cómo confirmar que el DEP de hardware funciona en Windows.

Más información

Requisitos para usar DEP aplicado por hardware

Para usar DEP aplicado por hardware, debe cumplir todas las condiciones siguientes:

  1. El procesador del equipo debe admitir el DEP aplicado por hardware.

    Muchos procesadores recientes admiten DEP aplicado por hardware. Tanto Los microdispositivos avanzados (AMD) como Intel Corporation han definido y enviado arquitecturas compatibles con Windows que son compatibles con DEP. Esta compatibilidad con procesadores puede conocerse como nx (sin ejecución) o tecnología XD (deshabilitar ejecución). Para determinar si el procesador del equipo admite ELP aplicado por hardware, póngase en contacto con el fabricante del equipo.

  2. El DEP aplicado por hardware debe estar habilitado en el BIOS.

    En algunos equipos, puede deshabilitar la compatibilidad del procesador con DEP aplicado por hardware en el BIOS. Esta compatibilidad no se puede deshabilitar. Según el fabricante del equipo, la opción para deshabilitar esta compatibilidad puede etiquetarse como "Prevención de ejecución de datos", "XD", "Ejecutar deshabilitación" o "NX".

  3. El equipo debe tener instalado Windows XP con Service Pack 2 o Windows Server 2003 con Service Pack 1.

    Nota:

    Tanto las versiones de 32 bits como las versiones de 64 bits de Windows admiten DEP aplicado por hardware. Windows XP Media Center Edition 2005 y Microsoft Windows XP Tablet PC Edition 2005 incluyen todas las características y componentes de Windows XP SP2.

  4. El DEP aplicado por hardware debe estar habilitado para los programas del equipo.

    En las versiones de 64 bits de Windows, el DEP aplicado por hardware siempre está habilitado para los programas nativos de 64 bits. Sin embargo, en función de la configuración, el DEP aplicado por hardware puede deshabilitarse para los programas de 32 bits.

Para obtener información sobre cómo configurar la protección de memoria en Windows XP con Service Pack 2, visite el siguiente sitio web de Microsoft:
https://technet.microsoft.com/library/cc700810.aspx

Cómo confirmar que el DEP de hardware funciona en Windows

Para confirmar que el DEP de hardware funciona en Windows, use uno de los métodos siguientes.

Método 1: Uso de la Wmic herramienta de línea de comandos

Puede usar la Wmic herramienta de línea de comandos para examinar la configuración de DEP. Para determinar si el DEP aplicado por hardware está disponible, siga estos pasos:

  1. Haga clic en Inicio, en Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    wmic OS Get DataExecutionPrevention_Available

Si la salida es "TRUE", el DEP aplicado por hardware está disponible.

Para determinar la directiva de soporte técnico de DEP actual, siga estos pasos.

  1. Haga clic en Inicio, en Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    wmic OS Get DataExecutionPrevention_SupportPolicy

    El valor devuelto será 0, 1, 2 o 3. Este valor corresponde a una de las directivas de soporte técnico de DEP que se describen en la tabla siguiente.

    valor de la propiedad DataExecutionPrevention_SupportPolicy Nivel de directiva Descripción
    2 OptIn (configuración predeterminada) Solo los componentes y servicios del sistema de Windows tienen DEP aplicado
    3 OptOut DEP está habilitado para todos los procesos. Los administradores pueden crear manualmente una lista de aplicaciones específicas que no tienen deP aplicado
    1 Alwayson DEP está habilitado para todos los procesos
    0 AlwaysOff DEP no está habilitado para ningún proceso

    Nota:

    Para comprobar que Windows se ejecuta con el DEP de hardware habilitado, examine la propiedad DataExecutionPrevention_Drivers de la clase Win32_OperatingSystem. En algunas configuraciones del sistema, el DEP de hardware se puede deshabilitar mediante los modificadores /nopae o /execute en el archivo Boot.ini. Para examinar esta propiedad, escriba el siguiente comando en un símbolo del sistema:
    wmic OS Get DataExecutionPrevention_Drivers

Método 2: Uso de la interfaz gráfica de usuario

Para usar la interfaz gráfica de usuario para determinar si DEP está disponible, siga estos pasos:

  1. Haga clic en Inicio, en Ejecutar, escriba wbemtest en el cuadro Abrir y, a continuación, haga clic en Aceptar.
  2. En el cuadro de diálogo Probador de instrumentación de administración de Windows , haga clic en Conectar.
  3. En el cuadro de la parte superior del cuadro de diálogo Conectar , escriba root\cimv2 y, a continuación, haga clic en Conectar.
  4. Haga clic en Enum Instances (Instancias de enumeración).
  5. En el cuadro de diálogo Información de clase , escriba Win32_OperatingSystem en el cuadro Escribir nombre de superclase y, a continuación, haga clic en Aceptar.
  6. En el cuadro de diálogo Resultado de la consulta , haga doble clic en el elemento superior.

    Nota:

    Este elemento comienza con "Win32_OperatingSystem.Name=Microsoft..."

  7. En el cuadro de diálogo Editor de objetos, busque la propiedad DataExecutionPrevention_Available en el área Propiedades .
  8. Haga doble clic en DataExecutionPrevention_Available.
  9. En el cuadro de diálogo Propiedad Editor, anote el valor en el cuadro Valor.
    Si el valor es TRUE, el DEP de hardware está disponible.

Nota:

  • Para determinar el modo en el que se ejecuta DEP, examine la propiedad DataExecutionPrevention_SupportPolicy de la clase Win32_OperatingSystem. La tabla al final del método 1 describe cada valor de directiva de soporte técnico.

  • Para comprobar que el DEP de hardware está habilitado en Windows, examine la propiedad DataExecutionPrevention_Drivers de la clase Win32_OperatingSystem. En algunas configuraciones del sistema, el DEP de hardware se puede deshabilitar mediante los modificadores /nopae o /execute en el archivo Boot.ini.

Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, implícita o de otro tipo, respecto al rendimiento o la confiabilidad de estos productos.