Partager via

Sécurité pendant le débogage de Kernel-Mode

  • Article

La sécurité pendant le débogage en mode noyau n'est jamais de protéger l'ordinateur cible. La cible est complètement vulnérable au débogueur -- c'est la nature même du débogage.

Si une connexion de débogage a été activée pendant le démarrage, elle reste vulnérable via le port de débogage jusqu’à son prochain démarrage.

Toutefois, vous devez vous soucier de la sécurité sur l’ordinateur hôte . Dans une situation idéale, le débogueur s’exécute en tant qu’application sur votre ordinateur hôte, mais n’interagit pas avec d’autres applications sur cet ordinateur. Il existe trois façons possibles de poser des problèmes de sécurité :

  • Si vous utilisez des DLL d’extension endommagées ou destructrices, votre débogueur peut prendre des mesures inattendues, ce qui peut affecter l’ordinateur hôte.

  • Il est possible que les fichiers de symboles endommagés ou destructeurs puissent également entraîner des actions inattendues de votre débogueur, ce qui peut affecter l’ordinateur hôte.

  • Si vous exécutez une session de débogage à distance, un client inattendu peut tenter de lier votre serveur. Ou peut-être le client que vous attendez peut-être tenter d’effectuer des actions que vous n’attendez pas.

  • Si vous souhaitez empêcher un utilisateur distant d’effectuer des actions sur votre ordinateur hôte, utilisez mode sécurisé.

  • Une approche pour réduire les risques consiste à issoler l’hôte et la cible sur un réseau privé isolé, sur un hub de réseau local.

  • Pour obtenir des suggestions sur la façon de se protéger contre les connexions distantes inattendues, consultez Sécurité pendant le débogage à distance.

Si vous n’effectuez pas de débogage à distance, vous devez toujours vous méfier des fichiers de symboles incorrects et des DLL d’extension. Ne chargez pas de symboles ou d’extensions dont vous vous méfiez.

Débogage local du noyau

Seuls les utilisateurs disposant de privilèges de débogage peuvent démarrer une session de débogage de noyau local. Si vous êtes l’administrateur d’un ordinateur disposant de plusieurs comptes d’utilisateur, sachez que tous les utilisateurs disposant de ces privilèges peuvent démarrer une session de débogage de noyau local, ce qui leur donne le contrôle de tous les processus sur l’ordinateur et leur donne donc accès à tous les périphériques.