Cómo determinar que el DEP de hardware está disponible y configurado en el equipo

En este artículo se describe cómo determinar que el DEP de hardware está disponible y configurado en el equipo.

Se aplica a:   Windows Server 2012 R2, Windows 10, todas las ediciones
Número KB original:   912923

Introducción

Prevención de ejecución de datos (DEP) es un conjunto de tecnologías de hardware y software que realizan comprobaciones adicionales en la memoria para ayudar a proteger contra vulnerabilidades de código malintencionados.

DEP aplicado por hardware marca todas las ubicaciones de memoria de un proceso como no ejecutables a menos que la ubicación contenga explícitamente código ejecutable. Un tipo de ataques de código malintencionado intenta insertar y ejecutar código desde ubicaciones de memoria no ejecutables. DEP ayuda a evitar estos ataques interceptándolos y generando una excepción.

En este artículo se describen los requisitos para usar DEP aplicado por hardware. En este artículo también se describe cómo confirmar que el DEP de hardware funciona en Windows.

Más información

Requisitos para usar DEP aplicado por hardware

Para usar DEP aplicado por hardware, debe cumplir todas las condiciones siguientes:

  1. El procesador del equipo debe admitir DEP aplicado por hardware.

    Muchos procesadores recientes admiten DEP aplicado por hardware. Tanto los dispositivos micro avanzados (AMD) como Intel Corporation han definido y enviado arquitecturas compatibles Windows compatibles con DEP. Esta compatibilidad con procesadores puede conocerse como tecnología NX (sin ejecución) o XD (deshabilitar la ejecución). Para determinar si el procesador del equipo admite DEP aplicado por hardware, póngase en contacto con el fabricante del equipo.

  2. El DEP aplicado por hardware debe estar habilitado en el BIOS.

    En algunos equipos, puede deshabilitar la compatibilidad con procesadores para DEP aplicado por hardware en el BIOS. Esta compatibilidad no se puede deshabilitar. Según el fabricante del equipo, la opción para deshabilitar esta compatibilidad puede estar etiquetada como "Prevención de ejecución de datos", "XD", "Deshabilitar ejecución" o "NX".

  3. El equipo debe tener Windows XP con Service Pack 2 o Windows Server 2003 con Service Pack 1 instalado.

    Nota

    Tanto las versiones de 32 bits como las de 64 bits de Windows admiten DEP aplicado por hardware. Windows XP Media Center Edition 2005 y Microsoft Windows XP Tablet PC Edition 2005 incluyen todas las características y componentes de Windows XP SP2.

  4. El DEP aplicado por hardware debe estar habilitado para los programas del equipo.

    En las versiones de 64 bits de Windows, DEP aplicado por hardware siempre está habilitado para programas nativos de 64 bits. Sin embargo, según la configuración, el DEP aplicado por hardware puede deshabilitarse para programas de 32 bits.

Para obtener información sobre cómo configurar la protección de memoria en Windows XP con Service Pack 2, visite el siguiente sitio web de Microsoft:
https://technet.microsoft.com/library/cc700810.aspx

Cómo confirmar que ELP de hardware funciona en Windows

Para confirmar que DEP de hardware funciona Windows, use uno de los métodos siguientes.

Método 1: Usar la herramienta Wmic de línea de comandos

Puede usar la herramienta Wmic de línea de comandos para examinar la configuración de DEP. Para determinar si DEP aplicado por hardware está disponible, siga estos pasos:

  1. Haga clic en Inicio, en Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    wmic OS Get DataExecutionPrevention_Available  
    

Si el resultado es "TRUE", el DEP aplicado por hardware está disponible.

Para determinar la directiva de soporte técnico de DEP actual, siga estos pasos.

  1. Haga clic en Inicio, en Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    wmic OS Get DataExecutionPrevention_SupportPolicy  
    

    El valor devuelto será 0, 1, 2 o 3. Este valor corresponde a una de las directivas de soporte técnico de DEP que se describen en la tabla siguiente.

    DataExecutionPrevention_SupportPolicy valor de la propiedad Nivel de directiva Descripción
    2 OptIn (configuración predeterminada) Solo Windows componentes y servicios del sistema han aplicado DEP
    3 OptOut DEP está habilitado para todos los procesos. Los administradores pueden crear manualmente una lista de aplicaciones específicas que no tienen DEP aplicado
    1 AlwaysOn DEP está habilitado para todos los procesos
    0 AlwaysOff DEP no está habilitado para ningún proceso

    Nota

    Para comprobar que Windows se está ejecutando con DEP de hardware habilitado, examine la DataExecutionPrevention_Drivers propiedad de la Win32_OperatingSystem clase. En algunas configuraciones del sistema, el DEP de hardware puede deshabilitarse mediante los modificadores /nopae o /execute del archivo Boot.ini usuario. Para examinar esta propiedad, escriba el siguiente comando en un símbolo del sistema:
    wmic OS Get DataExecutionPrevention_Drivers

Método 2: Usar la interfaz gráfica de usuario

Para usar la interfaz gráfica de usuario para determinar si DEP está disponible, siga estos pasos:

  1. Haga clic en Inicio, en Ejecutar, escriba wbemtest el cuadro Abrir y, a continuación, haga clic en Aceptar.
  2. En el cuadro de Windows evaluador de instrumentación de administración, haga clic en Conectar.
  3. En el cuadro de la parte superior del cuadro de diálogo Conectar, escriba root\cimv2 y, a continuación, haga clic en Conectar.
  4. Haga clic en Instancias de enumeración.
  5. En el cuadro de diálogo Información de clase, escriba Win32_OperatingSystem en el cuadro Escribir nombre de superclase y, a continuación, haga clic en Aceptar.
  6. En el cuadro de diálogo Resultado de consulta, haga doble clic en el elemento superior.

    Nota

    Este elemento comienza con "Win32_OperatingSystem.Name=Microsoft..."

  7. En el cuadro de diálogo Editor de objetos, busque DataExecutionPrevention_Available propiedad en el área Propiedades.
  8. Haga doble clic en DataExecutionPrevention_Available.
  9. En el cuadro de diálogo Editor de propiedades, anote el valor en el cuadro Valor.
    Si el valor es TRUE, el DEP de hardware está disponible.

Nota

  • Para determinar el modo en el que se ejecuta DEP, examine la propiedad DataExecutionPrevention_SupportPolicy de la Win32_OperatingSystem clase. La tabla al final del método 1 describe cada valor de directiva de compatibilidad.

  • Para comprobar que DEP de hardware está habilitado en Windows, examine la DataExecutionPrevention_Drivers propiedad de la Win32_OperatingSystem clase. En algunas configuraciones del sistema, el DEP de hardware puede deshabilitarse mediante los modificadores /nopae o /execute del archivo Boot.ini usuario.

Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, implícita o de otro tipo, respecto al rendimiento o la confiabilidad de estos productos.