Virtual Serial Port Driver权限配置与安全策略设置

Virtual Serial Port Driver：一场静默的内核权限博弈

在某次PLC远程调试现场，工程师发现HMI软件突然无法连接Modbus从站——不是线缆松动，也不是串口被占用，而是COM7在设备管理器中“凭空消失”。排查三天后，真相令人后怕：一台未打补丁的Windows 10工作站上，某款免签名VSPD驱动被恶意DLL劫持，在DriverEntry()中悄悄将\\Device\\VSPD0的ACL设为D:P(A;;GA;;;WD)（Everyone全控），随后一个普通域用户进程通过CreateFile("\\\\.\\COM7", ...)拿到了设备句柄，再调用自定义IOCTL清空了整个FIFO缓冲区——这不是功能故障，而是一次教科书级的内核级串口劫持。

这并非孤例。Virtual Serial Port Driver（VSPD）这类看似“只是配个虚拟COM口”的小工具，实则是Windows内核中一条裸露的神经末梢：它不经过HAL抽象、直连I/O管理器、可注册任意IRP派遣函数、能绕过大多数用户态沙箱监控。它的便利性与危险性，从来就是一枚硬币的两面。

服务账户：别让驱动替你当“皇帝”

很多团队部署VSPD时，第一反应是右键服务 → “属性” → “登录”选项卡 → 勾选“此账户”，然后填入一个高权限域账号。这种操作看似稳妥，实则埋下巨大隐患。

Windows服务账户的本质，不是“谁来运行这个程序”，而是“谁来代表这个驱动向内核申领特权”。当SCM以LocalSystem启动VSPD服务时，DriverEntry()获得的执行上下文自带SeLoadDriverPrivilege、SeDebugPrivilege，甚至隐式持有SeTcbPrivilege——这意味着驱动代码中任意一处ZwOpenProcess()调用，都可能打开系统进程中任意线程句柄；一次疏忽的ProbeForRead()遗漏，就可能触发BSOD或内存越界读取。

真正的解法，是让驱动“只拿该拿的权”。

从Windows 8开始，系统支持专用服务SID（Service SID）。它不对应真实用户，而是一个仅存在于LSASS令牌中的抽象标识符，形如NT SERVICE\VSPD。这个SID天然不具备任何用户组成员资格，也不会继承LocalSystem的默认特权集。你必须显式授予它所需权限——这恰恰是安全设计的起点。

# 创建服务时强制使用专用SID（推荐方式） sc create VSPD binPath= "C:\Drivers\VSPD.sys" type= kernel start= auto sc sidtype VSPD u