Sicurezza durante il debug remoto
In questo argomento vengono descritte diverse tecniche per aumentare la sicurezza durante il debug remoto.
Controllare l'accesso alla sessione di debug
Se esegui il debug remoto tramite il debuggero utilizzi un server di processo o un server di connessione KD , qualsiasi computer della rete locale può tentare di collegarsi alla tua sessione di debug.
Se si usano i protocolli TCP, COM o named pipe, è possibile richiedere al client di debug di fornire una password. Tuttavia, questa password non viene crittografata durante la trasmissione e pertanto questi protocolli non sono sicuri.
Se si vuole che il server di debug sia più sicuro, è necessario usare il protocollo SSL (Secure Sockets Layer) o SPIPE (Secure Pipe).
Impedire le connessioni da utenti non autorizzati
Se si esegue debug remoto tramite remote.exe, è possibile usare il parametro /u per impedire le connessioni da utenti non autorizzati.
Isolamento del segmento di rete
Per evitare attacchi di collegamento al protocollo, è consigliabile isolare il segmento di rete su cui sono in esecuzione il client e il server. Ad esempio, è possibile usare un commutatore di rete locale per connettere i due sistemi, assicurandosi che non sia connesso a Internet o al resto della LAN
Usare il trasporto più sicuro disponibile
Utilizzare la versione più sicura e più recente disponibile del trasporto. Per ulteriori informazioni sui protocolli di trasporto sicuri disponibili in Windows, consultare Protocolli in TLS/SSL (Schannel SSP).
Usare la modalità protetta in modalità kernel
Quando si esegue il debug in modalità kernel, è possibile eseguire il debugger in modalità protetta. Ciò consente di impedire al debugger di influire sul computer host, ma non riduce significativamente la libertà di eseguire il debug del computer di destinazione. La modalità protetta è consigliata se si prevede di consentire ai client remoti di partecipare alla sessione di debug. Per ulteriori informazioni, vedere Funzionalità della modalità protetta e Attivazione della modalità protetta.
Limitare le potenze del client in modalità utente
In modalità utente la modalità protetta non è disponibile. È possibile impedire a un client intrusivo di eseguire comandi di Microsoft MS-DOS ed eseguire programmi esterni eseguendo il comando
Si noti che sia la modalità protetta che .noshell impediranno sia al client di debug che al server di debug di eseguire determinate azioni. Non esiste alcun modo per inserire una restrizione sul client, ma non sul server.
Terminare i Process Server dimenticati
Quando si avvia un process server su un computer remoto, il process server viene eseguito in modo silenzioso. Se si esegue il debugging remoto tramite questo server di elaborazione e dopo si termina la sessione, il server di elaborazione continua a funzionare. Un server di elaborazione dimenticato è un potenziale bersaglio per un attacco. È consigliabile arrestare sempre un server di elaborazione non necessario. Usare Gestione attività o lo strumento Kill.exe per terminare il server di elaborazione.