Sicurezza durante il debug di Kernel-Mode

La sicurezza durante il debug in modalità kernel non riguarda mai la protezione del computer di destinazione . La destinazione è completamente vulnerabile al debugger, ovvero la natura del debug.

Se una connessione di debug è stata abilitata durante l'avvio, rimarrà vulnerabile tramite la porta di debug fino al successivo avvio.

Tuttavia, è necessario preoccuparsi della sicurezza nel computer host . In una situazione ideale, il debugger viene eseguito come applicazione nel computer host, ma non interagisce con altre applicazioni in questo computer. Esistono tre possibili modi in cui potrebbero verificarsi problemi di sicurezza:

• Se si usano DLL di estensione danneggiate o distruttive, il debugger potrebbe eseguire azioni impreviste, eventualmente interessando il computer host.

• È possibile che i file di simboli danneggiati o distruttivi possano anche causare l'esecuzione di azioni impreviste del debugger, eventualmente interessando il computer host.

• Se si esegue una sessione di debug remoto, un client imprevisto potrebbe tentare di collegare il server. O forse il client che si prevede potrebbe tentare di eseguire azioni che non si prevede.

Se si vuole impedire a un utente remoto di eseguire azioni nel computer host, usare la modalità sicura.

Per suggerimenti su come proteggere le connessioni remote impreviste, vedere Sicurezza durante il debug remoto.

Se non si esegue il debug remoto, è consigliabile tenere presente che i file di simboli e le DLL di estensione non sono corretti. Non caricare simboli o estensioni non attendibili.

Debug del kernel locale

Solo gli utenti con privilegi di debug possono avviare una sessione di debug del kernel locale. Se si è l'amministratore di un computer con più account utente, è consigliabile tenere presente che qualsiasi utente con questi privilegi può avviare una sessione di debug del kernel locale, dando loro il controllo di tutti i processi nel computer e quindi concedendole l'accesso a tutte le periferiche.