Zabezpečení během vzdáleného ladění
Toto téma popisuje různé techniky zvýšení zabezpečení během vzdáleného ladění.
Řízení přístupu k ladicí relaci
Pokud provádíte vzdálené ladění prostřednictvímladicího programu nebo pomocí procesového serveru nebo serveru připojení KD, může se jakýkoli počítač v místní síti pokusit připojit k ladicí relaci.
Pokud používáte protokoly TCP, COM nebo pojmenované kanály, můžete požadovat, aby klient ladění zadal heslo. Toto heslo však není během přenosu šifrované, a proto tyto protokoly nejsou zabezpečené.
Pokud chcete, aby byl ladicí server bezpečnější, musíte použít protokol SSL (Secure Sockets Layer) nebo protokol SPIPE (Secure Pipe).
Zakázání připojení neoprávněným uživatelům
Pokud provádíte vzdálené ladění prostřednictvím remote.exe, můžete k zakázání připojení neoprávněných uživatelů použít parametr /u.
Izolace segmentů sítě
Abyste se vyhnuli útokům na drátové protokoly, zvažte izolování síťového segmentu, na kterém běží klient a server. K propojení těchto dvou systémů můžete použít například přepínač místní sítě, který zajistí, že není připojený k internetu nebo ke zbytku sítě LAN.
Použití nejbezpečnějšího dostupného přenosu
Používejte nejbezpečnější a nejnovější dostupnou verzi přenosu. cs-CZ: Další informace o zabezpečených dopravních protokolech dostupných ve Windows najdete v tématu Protokoly v TLS/SSL (Schannel SSP).
Použití zabezpečeného režimu v režimu jádra
Při ladění v režimu jádra můžete spustit ladicí program v Zabezpečeném Režimu. To pomáhá zabránit ladicímu programu v ovlivnění hostitelského počítače, ale výrazně nesnižuje jeho volnost při ladění cílového počítače. Zabezpečený režim se doporučuje, pokud chcete vzdáleným klientům povolit připojení k ladicí relaci. Další informace naleznete v tématu Funkce zabezpečeného režimu a Aktivace zabezpečeného režimu.
Omezení možností klienta v uživatelském režimu
V uživatelském režimu není zabezpečený režim k dispozici. Rušivého klienta můžete zastavit ve vydávání příkazů Microsoft MS-DOS a spouštění externích programů tak, že vydáte příkaz .noshell (Zákaz příkazů shellu). Existuje však mnoho dalších způsobů, jak může klient kolidovat s vaším počítačem.
Všimněte si, že jak zabezpečený režim, tak .noshell zabrání ladicímu klientovi i ladicímu serveru provádět určité akce. Neexistuje způsob, jak na klienta umístit omezení, ale ne na server.
Zastavit zapomenuté procesní servery
Když na vzdáleném počítači spustíte procesový server, procesový server běží bezobslužně. Pokud provádíte vzdálené ladění prostřednictvím tohoto procesového serveru a pak ukončíte relaci, procesový server bude dál spuštěn. Zapomenutý procesový server je potenciálním cílem útoku. Vždy byste měli vypnout nepotřebný procesový server. Pomocí Správce úloh nebo nástroje Kill.exe ukončete procesový server.