Реализация защиты на уровне драйвера MUP
Как уже отмечалось ранее, драйвер mup.sys вовлекается
при попытке достижения удаленных разделяемых ресурсов, используя UNC имена.
Этот компонент во взаимодействии с сетевыми редиректорами отвечает за
интеграцию пространства имен удаленных файловых систем в локальное пространство
имен. Этот драйвер является простейшим драйвером файловой системы.
После запроса на создание/открытие файла по имени UNC драйвер mup.sys
уже не вовлекается в обработку дальнейших запросов к этому файлу. То есть
через драйвер mup.sys данные пользователя не проходят, но этот драйвер
играет важную роль при открытии файлов и устройств по имени UNC. В связи
с этим стоит рассмотреть возможность регистрации и аудита открытия файлов
и устройств с помощью драйвера-фильтра, присоединенного к драйверу mup.sys.
Так как драйвер mup.sys, является довольно простым драйвером, то реализация
драйвера-фильтра в данном случае допустима.