控制计算机系统上的未授权驱动程序的安装技术方案

服务器内核处理系统从用户模式计算环境接收输入/输出(I/O)请求。该I/O请求被分析以确定它是否为文件打开请求。如果是，则目标分析逻辑确定文件打开请求是针对驱动程序文件还是针对存储驱动程序白名单文件的受保护卷中的文件。如果文件打开请求针对被存储在受保护卷中的文件，则该请求被阻止。如果文件打开请求针对驱动程序文件，则驱动程序白名单文件被检查以确定目标驱动程序是否在白名单上。如果不是，则文件打开请求也被阻止。则文件打开请求也被阻止。则文件打开请求也被阻止。

【技术实现步骤摘要】
【国外来华专利技术】控制计算机系统上的未授权驱动程序的安装

技术介绍

[0001]计算机系统当前被广泛使用。一些这样的计算机系统包括数据中心。
[0002]数据中心由可以按照多种不同方式而被使用的大批联网计算机服务器组成。企业或其他组织经常使用它们来存储、处理和传播大量信息。
[0003]一些数据中心还托管或服务于应用，诸如电子邮件应用、即时消息传递应用、电子商务交易和各种各样的其他应用。类似地，某些数据中心可以为访问数据中心的用户存储和提供网站。
[0004]多个不同组织在单个数据中心上使用资源并不罕见。这样的数据中心可以包括提供期望访问的大量不同服务器。
[0005]数据中心的数据的数据安全性被广泛认为是重要特征。通过使用各种形式的数据加密和各种形式的认证，可以获取不同程度的安全性。
[0006]上面的讨论仅是针对一般背景信息而提供的，而非旨在用于帮助确定所要求保护的主题的范围。

技术实现思路

[0007]服务器内核处理系统从用户模式计算环境接收输入/输出(I/O)请求。分析该I/O请求以确定它是否为文件打开请求。如果是，则目标分析逻辑确定文件打开请求是针对驱动程序文件还是针对存储驱动程序白名单文件的受保护卷中的文件。如果文件打开请求针对被存储在受保护卷中的文件，则阻止该请求。如果文件打开请求针对驱动程序文件，则检查驱动程序白名单文件以确定目标驱动程序是否在白名单上。如果不是，则也阻止文件打开请求。
[0008]提供本“
技术实现思路
”以便以简化的形式介绍一些概念，这些概念将在下面的“具体实施方式”中进一步描述。本“
技术实现思路
”既不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。所要求保护的主题不限于解决
技术介绍
中指出的任何或所有缺点的实现。
附图说明
[0009]图1是计算系统架构的一个示例的框图。
[0010]图2是更详细地示出图1所示的计算系统架构的各部分的一个示例的框图。
[0011]图3是更详细地示出图1所示的计算系统架构的各部分的另一示例的框图。
[0012]图4是示出服务器内核处理系统在处理输入/输出(I/O)请求时的操作的一个示例的流程图。
[0013]图5是示出以云计算架构部署的图1所示的架构的框图。。
[0014]图6是示出可以按照先前附图中示出的架构而被使用的计算环境的一个示例的框图。
具体实施方式
[0015]图1是计算系统架构100的一个示例的框图。架构100示出了可以由多个用户104
‑
106使用用户设备108
‑
110通过网络112访问的数据中心计算系统102。图1还示出了管理员或工程师114可以使用管理员/工程师设备116访问数据中心计算系统102。管理员/工程师114可以如箭头118所示直接访问计算系统102，或者如箭头120所示通过网络112访问计算系统102。
[0016]在图1所示的示例中，示出了用户设备108
‑
110分别生成用于由用户104
‑
106进行交互的用户界面122
‑
124。用户104
‑
106与其相应用户界面122
‑
124交互，以控制和操纵对应用户设备108
‑
110、和数据中心计算系统102的某些部分。
[0017]类似地，设备116被示出为生成用于由用户114进行交互的界面126。用户114说明性地与界面126交互，以控制和操纵设备116、和数据中心计算系统102的某些部分。用户104
‑
106说明性地访问由数据中心计算系统102提供的资源(诸如数据存储、被托管服务和其他资源)。
[0018]网络112可以是各种各样不同类型的网络中的任何一种。例如，它可以是广域网、局域网、近场通信网络、蜂窝网络、或各种各样的其他网络或网络组合中的任何一种。
[0019]管理员/工程师114说明性地在数据中心计算系统102上执行管理或工程操作。因此，用户114可以访问数据中心计算系统102的某些部分以执行维护操作，部署代码以修复错误，部署新特征，或者执行其他操作。为了这样做，经常向用户114提供认证信息或安全凭证，这些认证信息或安全凭证允许他或她访问否则无法访问的计算系统102的各个部分。
[0020]图1示出，在一个示例中，数据中心计算系统102说明性地包括前端功能130、服务器系统132、数据存储系统134，并且它可以包括各种各样的其他数据中心功能136。服务器系统132包括多个不同服务器机器138
‑
140。数据存储系统134说明性地包括多个不同数据存储设备142
‑
144。
[0021]简要地，在操作中，前端功能130说明性地从使用由数据中心计算系统102托管的资源和服务的各种用户104
‑
106接收请求，并且将这些请求提供给服务器系统132。服务器机器138
‑
140说明性地处理请求，从而使得用户104
‑
106可以操纵或访问被存储在数据存储系统134中并且尤其是在不同数据存储设备142
‑
144上的数据。由前端功能130接收的请求的结果可以由服务器系统132返回到前端功能130。前端功能130然后可以将所请求的操作的结果返回给请求其的用户。
[0022]可以部署有多种不同类型的安全系统或技术以保护数据中心计算系统102中的数据和其他项目。例如，可能要求用户104
‑
106提供认证信息以便访问不同信息。类似地，可能需要管理员/工程师用户114提供某些安全凭证。另外，在用户114希望在数据中心计算系统102上部署代码的情况中，在可以将代码部署到数据中心计算系统102之前，可能要求用户114对代码进行签名、认证或验证。
[0023]作为示例，用户104可以提供针对数据存储设备142中存储的数据执行某些操作的输入/输出(I/O)请求。工程用户114可以将一段代码部署到旨在在执行I/O请求时执行操作的服务器机器138的内核。在一个示例中，由工程用户114部署的逻辑可以对I/O请求执行管理操作，诸如创建文件，打开文件或文档，关闭文件，删除文件，枚举文件，读取和写入文件数据，等等。
[0024]作为特定示例，在数据存储设备142
‑
144中的数据根据文件系统和目录被布置的情况中，由用户114部署以帮助管理I/O操作的代码可以被称为过滤器驱动程序。过滤器驱动程序附接到内存卷或文件系统，并且被加载到与该卷或文件系统对应的驱动程序堆栈中。当接收到针对该卷或文件系统的I/O请求时，该过滤器驱动程序通过I/O管理逻辑被转发到正确的文件系统或卷。
[0025]附接到该文件系统或卷的驱动程序堆栈包括为对应文件系统或卷而加载的驱动程序，并且I/O请求被提供给该驱动程序堆栈中的驱动程序。这些驱动程序可以包括过滤器驱动程序本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算系统，包括：在服务器内核中的数据访问逻辑，其接收对被存储在数据存储设备上的数据执行操作的请求；在所述服务器内核中的调用拦截逻辑，其在所述请求被执行之前拦截所述请求，并且如果所述请求是打开目标文件的文件打开请求，则确定所述目标文件是否为驱动程序文件，并且如果所述目标文件不是驱动程序文件，则标识所述目标文件被存储的存储位置；在所述服务器内核中的目标分析逻辑，如果所述目标文件是驱动程序文件，则其确定所述驱动程序文件是否由白名单文件授权，并且如果所述目标文件不是驱动程序文件，则其确定所述存储位置是否在包括所述白名单文件的受保护位置中；以及调用阻止逻辑，如果所述目标文件是未由所述白名单文件授权的驱动程序文件，则其阻止所述请求被执行，并且如果所述目标文件不是驱动程序文件但被存储在所述受保护位置中，则其阻止所述请求被执行。2.根据权利要求1所述的计算系统，还包括：在所述服务器内核中的调用类型标识符逻辑，其被配置为标识所述请求是否为打开所述目标文件的所述文件打开请求。3.根据权利要求2所述的计算系统，其中所述调用拦截逻辑包括：目标文件类型标识符逻辑，其被配置为标识所述目标文件的类型，以确定所述目标文件是否为驱动程序文件。4.根据权利要求3所述的计算系统，其中所述调用拦截逻辑包括：目标卷标识符逻辑，其被配置为标识所述目标文件被存储的所述存储位置。5.根据权利要求4所述的计算系统，其中所述目标分析逻辑包括：驱动程序/白名单比较和保护逻辑，其被配置为如果所述目标文件类型标识符逻辑标识所述目标文件是驱动程序文件，则访问所述白名单文件并且将标识所述驱动程序文件的驱动程序文件标识符与所述白名单文件中的条目比较，以确定所述驱动程序文件标识符是否由所述白名单文件中的条目标识，并且如果所述驱动程序文件标识符由所述白名单文件中的条目标识，则生成指示所述驱动程序文件由所述白名单文件授权的授权输出。6.根据权利要求5所述的计算系统，其中所述目标分析逻辑包括：目标卷分析逻辑，其被配置为如果所述目标文件类型标识符逻辑未将所述目标文件标识为驱动程序文件，则将所述目标文件的存储位置与包括所述受保护卷的一系列存储位置比较，以确定所述目标文件的所述存储位置是否在所述受保护卷中，并且如果所述目标文件的所述存储位置不在所述受保护卷中，则生成指示所述目标文件未被存储在所述受保护卷中的授权输出。7.根据权利要求6所述的计算系统，其中所述请求是访问文件系统中的文件，所述文件系统具有被加载到所述服务器内核中以用于由所述服务器内核执行的被加载过滤器驱动程序的附接驱动程序堆栈。8.根据权利要求7所述的计算系统，其中所述调用拦截逻辑包括在所述驱动程序堆栈中的、被附接到所述文件系统的过滤器驱动程序。9.根据权利要求7所述的计算系统，其中所述调用目标分析逻辑包括在所述驱动程序堆栈中的、被附接到所述文件系统的过滤器驱动程序。
10.根据权利要求7所述的计算系统，其中所述调用阻止逻辑包括...

【专利技术属性】
技术研发人员：M，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：