"DEP" Disponibilidad y políticas

Tras las últimas noticias sobre el nuevo 0day de Internet Explorer, una de las opciones para protegernos es activar DEP (Data Execution Prevention).
¿Cuáles son los requisitos para usar DEP forzada por hardware?

1. El procesador del equipo debe admitir forzada por hardware DEP.
2. DEP forzada por hardware debe habilitarse en el BIOS.
3. El equipo debe tener Windows XP con Service Pack 2 o Windows Server 2003 con Service Pack 1 instalado.
4. DEP forzada por hardware debe estar habilitado para los programas en el equipo.

Primero deberemos consultar al fabricante de nuestro procesador. Lo siguiente será habilitarla en BIOS, dicha opción vendrá referenciada por "Prevención de ejecución de datos", "XD", "Ejecutar deshabilitar" ó "NX".
Con referencia al sistema operativo debemos contar con WXP SP2 ó W2K3 SP1.
Y por último a nivel del sistema operativo podremos verificar la disponibilidad y políticas de DEP consultando al
WMI con los siguientes parámetros:

wmic OS GET DataExecutionPrevention_Available
wmic OS GET DataExecutionPrevention_SupportPolicy


La primera instrucción nos devolverá TRUE en caso afirmativo de que podamos utilizar DEP y la segunda nos dirá el tipo de política que tenemos habilitada:

0-AlwaysOff-DEP no está habilitado para los procesos
1-AlwaysOn-DEP está habilitado para todos los procesos
2-OptIn (default)-Sólo los componentes del sistema de Windows y servicios tienen DEP aplicada
3-OptOut-DEP está habilitado para todos los procesos. Los administradores pueden crear manualmente una lista de aplicaciones específicas que no tienen DEP aplicada

Así que ya podéis ir comprobando...

Comentarios