内核模式调试期间的安全性
内核模式调试期间的安全性绝不是保护 目标 计算机。 目标完全容易受到调试器攻击 -- 这就是调试的本质。
如果在启动期间启用了调试连接,则在下次启动之前,它仍会通过调试端口受到攻击。
但是,你应关注 主 计算机上的安全性。 在理想情况下,调试器在主计算机上作为应用程序运行,但不与此计算机上的其他应用程序交互。 出现安全问题的可能方式有三种:
如果使用损坏或破坏性的扩展 DLL,它们可能会导致调试器执行意外操作,从而可能影响主计算机。
损坏或破坏性的符号文件也可能导致调试器执行意外操作,从而可能影响主计算机。
如果运行的是远程调试会话,则意外的客户端可能会尝试链接到服务器。 或者,你期望的客户端可能会尝试执行你未预料到的操作。
如果要阻止远程用户在主计算机上执行操作,请使用 安全模式。
有关如何防范意外远程连接的建议,请参阅 远程调试期间的安全性。
如果不执行远程调试,仍应注意错误的符号文件和扩展 DLL。 不要加载不信任的符号或扩展!
本地内核调试
只有具有调试权限的用户才能启动本地内核调试会话。 如果你是具有多个用户帐户的计算机的管理员,则应注意,任何拥有这些权限的用户都可以启动本地内核调试会话,从而有效地让他们控制计算机上的所有进程,从而也允许他们访问所有外围设备。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈