Beveiliging tijdens externe foutopsporing
In dit onderwerp worden verschillende technieken beschreven om de beveiliging tijdens foutopsporing op afstand te verbeteren.
Toegang tot de foutopsporingssessie beheren
Als u externe foutopsporing uitvoert via het foutopsporingsprogrammaof een processerver gebruikt of KD-verbindingsserver, kan elke computer in uw lokale netwerk proberen verbinding te maken met uw foutopsporingssessie.
Als u de TCP-, COM- of named pipe-protocollen gebruikt, kunt u vereisen dat de client voor foutopsporing een wachtwoord opgeeft. Dit wachtwoord wordt echter niet versleuteld tijdens de verzending en daarom zijn deze protocollen niet veilig.
Als u wilt dat uw foutopsporingsserver veiliger is, moet u het SSL-protocol (Secure Sockets Layer) of het SPIPE-protocol (Secure Pipe) gebruiken.
Verbindingen van niet-geautoriseerde gebruikers verbieden
Als u externe foutopsporing via remote.exeuitvoert, kunt u de parameter /u gebruiken om verbindingen van onbevoegde gebruikers te verbieden.
Isolatie van netwerksegmenten
Om protocoldraadaanvallen te voorkomen, kunt u overwegen het netwerksegment te isoleren waarop de client en server worden uitgevoerd. U kunt bijvoorbeeld een lokale netwerkswitch gebruiken om de twee systemen te verbinden, zodat deze niet is verbonden met internet of de rest van het LAN
Gebruik het veiligste transport dat beschikbaar is
Gebruik de veiligste en nieuwste beschikbare versie van het transport. Zie Protocollen in TLS/SSL (Schannel SSP)voor meer informatie over beveiligde transportprotocollen die beschikbaar zijn in Windows.
Veilige modus gebruiken in kernelmodus
Wanneer u foutopsporing in de kernelmodus uitvoert, kunt u het foutopsporingsprogramma uitvoeren in beveiligde modus. Dit helpt om te voorkomen dat het foutopsporingsprogramma van invloed is op de hostcomputer, maar vermindert de vrijheid niet aanzienlijk om fouten op te sporen op de doelcomputer. Veilige modus wordt aanbevolen als u externe clients wilt toestaan deel te nemen aan uw foutopsporingssessie. Zie functies van de beveiligde modus en het activeren van de beveiligde modusvoor meer informatie.
De bevoegdheden van de client beperken in de gebruikersmodus
In de gebruikersmodus is de beveiligde modus niet beschikbaar. U kunt voorkomen dat een intrusieve client Microsoft MS-DOS-opdrachten uitgeeft en externe programma's uitvoert door de .noshell-opdracht uit te geven (Shell-opdrachten verbieden) opdracht. Er zijn echter veel andere manieren waarop een client uw computer kan verstoren.
Houd er rekening mee dat zowel de beveiligde modus als .noshell- verhindert dat zowel de foutopsporingsclient als de foutopsporingsserver bepaalde acties uitvoert. Er is geen manier om een beperking op de client te plaatsen, maar niet op de server.
Vergeten process-servers beëindigen
Wanneer u een processerver op een externe computer start, wordt de processerver op de achtergrond uitgevoerd. Als u externe foutopsporing via deze processerver uitvoert en vervolgens de sessie beëindigt, blijft de processerver actief. Een vergeten processerver is een potentieel doelwit voor een aanval. U moet altijd een overbodige processerver afsluiten. Gebruik Taakbeheer of het hulpprogramma Kill.exe om de processerver te beëindigen.