文件系统驱动程序可以根据用户 ID 过滤过滤操作吗？

Question

跟进：Windows Filesystem Minifilter Drivers: can I monitor and prevent FS operations using them?

我正在寻找一种方法来过滤对某些文件系统资源的访问。 这包括可移动媒体和非 ntfs 文件系统 - 因此标准 ACL 不起作用。

根据我的阅读，文件系统驱动程序过滤器可能会有所帮助 - 但我没有找到获取启动用户的用户 ID 的方法。 这可能吗？

也欢迎其他建议\参考现有工具。

Answer 1

我不确定“用户 ID”是什么意思。但这可能有用：

1. 处理 IRP_MJ_CREATE 时，请查看 IrpSp->Parameters.Create.SecurityContext->AccessState。
2. ACCESS_STATE 包含 SecurityDescriptor 和 SubjectSecurityContext。
3. 如果需要，您可以从 SubjectSecurityContext 检索 PACCESS_TOKEN（调用 SeLockSubjectContext 和 SeQuerySubjectContextToken）。

祝你有美好的一天！

Answer 2

在大多数情况下，获取发起调用的用户的安全信息（令牌）是可能的，至少对于文件打开和目录枚举等操作（当您计划阻止用户访问时，这些是过滤的要点）到资源）。然后您可以根据需要取消或修改请求。我能想到的唯一限制是网络重定向器代表模拟为本地系统帐户的远程用户访问磁盘时。但这些是边界案例，您需要在特定任务中自行调查。