Freigeben über

Sicherheitsrichtlinien für auslagerungsfähige Miniporttreiber – Übersicht

  • Artikel

Um die Leistung zu erhöhen, kann der Microsoft TCP/IP-Transport Aufgaben oder Verbindungen auf eine Netzwerkschnittstellenkarte (NIC) auslagern, die über die entsprechenden TCP/IP-Auslagerungsfunktionen verfügt. Ausgelagerte TCP/IP-Netzwerkkommunikationsaufgaben werden von der NIC-Hardware übernommen. Miniporttreiber kündigen dem Betriebssystem die verschiedenen Auslagerungsfunktionen der NIC-Hardware an und konfigurieren die NIC-Hardware. Die NIC-Hardware führt die angekündigten Auslagerungsaufgaben für ausgehende und eingehende Pakete in den Sende- und Empfangshandlern aus. Die Hardware führt Vorgänge wie das Berechnen der IP-Header-Prüfsumme usw. aus.

Um eine sichere Umgebung sicherzustellen, sollte der Miniporttreiber nur die Auslagerungsfunktionen ankündigen, die die NIC-Hardware bereitstellen kann, und keine anderen. Der Miniporttreiber sollte die Hardware so konfigurieren, dass die angekündigten Aufgaben für die Pakete ausgelagert werden, die den angekündigten Kriterien entsprechen. Für den Sendepfad benötigt das Betriebssystem keinen Treiber zum Auslagern von Aufgaben, die der Miniporttreiber nicht angekündigt hat. Für den Empfangspfad sollten Miniporttreiber und NIC keine Aufgaben ausführen, die nicht in den vom Miniporttreiber angekündigten Funktionen der NIC-Hardware enthalten sind.

Wenn der Miniporttreiber oder die NIC keine Auslagerungsaufgabe für ein empfangenes Paket ausführen kann, sollte der Miniporttreiber dieses Paket ohne Ausführen einer Aktion nach oben im Treiberstapel angeben. In diesem Fall behandeln die übergeordneten Treiber das Paket als normales Paket.

Der Miniporttreiber sollte niemals Funktionen ankündigen, die von der NIC-Hardware nicht unterstützt werden. Der Miniporttreiber sollte die Sende- oder Empfangshandler niemals verwenden, um die Softwareemulation der Auslagerungsvorgänge auszuführen, die die Hardware nicht bereitstellen kann. Wenn der Miniporttreiber eine solche Softwareemulation bereitstellt, muss er die Paketdaten in der Software prüfen. Wenn der Treiber die Paketdaten in der Software prüft, ist der Computer möglicherweise Sicherheitsangriffen ausgesetzt.

Die folgenden Themen enthalten weitere Informationen zu Sicherheitsangriffen und zur Vermeidung von Sicherheitsproblemen in NDIS-Treibern:

Sicherheitsrisiko bei NDIS-Treibern

Leistungseinbußen und Denial-of-Service-Angriffe in NDIS-Treibern

Zusätzliche Kosten für das Testen anfälliger NDIS-Treiber

Sicherheitsprüfliste für NDIS-Treiber