JP2023517531A - 認可されていないファイル変更からフォルダを保護するためのシステム及び方法 - Google Patents
認可されていないファイル変更からフォルダを保護するためのシステム及び方法 Download PDFInfo
- Publication number
- JP2023517531A JP2023517531A JP2022552835A JP2022552835A JP2023517531A JP 2023517531 A JP2023517531 A JP 2023517531A JP 2022552835 A JP2022552835 A JP 2022552835A JP 2022552835 A JP2022552835 A JP 2022552835A JP 2023517531 A JP2023517531 A JP 2023517531A
- Authority
- JP
- Japan
- Prior art keywords
- folder
- remote device
- determining
- determining whether
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 111
- 238000012986 modification Methods 0.000 title claims abstract description 50
- 230000004048 modification Effects 0.000 title claims abstract description 50
- 230000004044 response Effects 0.000 claims abstract description 39
- 230000008569 process Effects 0.000 claims description 79
- 238000012508 change request Methods 0.000 claims description 70
- 239000003550 marker Substances 0.000 claims description 23
- 230000000903 blocking effect Effects 0.000 claims description 15
- 238000012795 verification Methods 0.000 claims description 11
- KJLPSBMDOIVXSN-UHFFFAOYSA-N 4-[4-[2-[4-(3,4-dicarboxyphenoxy)phenyl]propan-2-yl]phenoxy]phthalic acid Chemical compound C=1C=C(OC=2C=C(C(C(O)=O)=CC=2)C(O)=O)C=CC=1C(C)(C)C(C=C1)=CC=C1OC1=CC=C(C(O)=O)C(C(O)=O)=C1 KJLPSBMDOIVXSN-UHFFFAOYSA-N 0.000 claims description 10
- 230000008859 change Effects 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 8
- 230000009471 action Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000010076 replication Effects 0.000 description 2
- 239000004984 smart glass Substances 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/176—Support for shared access to files; File sharing support
- G06F16/1767—Concurrency control, e.g. optimistic or pessimistic approaches
- G06F16/1774—Locking methods, e.g. locking methods for file systems allowing shared and concurrent access to files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
Abstract
認可されていないファイル変更からフォルダを保護するための開示されるコンピュータ実装方法は、リモートデバイスから、フォルダ内のターゲットファイルの変更要求を受信することと、フォルダが保護フォルダであるかどうかを判定することと、を含み得る。方法はまた、フォルダが保護フォルダであると判定することに応答して、リモートデバイスが信頼できるホストであるかどうかを判定することも含み得る。方法は、リモートデバイスが信頼できるホストであると判定することに応答して、ターゲットファイルの変更要求を許可することを更に含み得る。様々な他の方法、システム、及びコンピュータ可読媒体もまた開示される。【選択図】図3
Description
バックアップアプリケーションは、多くの場合、オペレーティングシステム、ファイル、アプリケーションなどのソフトウェア環境をバックアップするためのバックアップイメージを作成する。バックアップイメージは、マシンを安定状態に復元するため、マシンを更新するため、又は他のメンテナンス機能を実施するために使用され得る。バックアップイメージは、集中型サーバからアクセスされ得るか、又はローカルに配備され、例えば、ローカルフォルダ内若しくは共有フォルダ内に記憶され得る。バックアップイメージにリモートアクセスすること、例えば、管理サーバがクライアントマシン上のバックアップイメージにアクセスすることは、柔軟性を提供し得る。信頼できるホスト上で実行され得る正規プロセスは、バックアップイメージを更新するか、又は他のメンテナンス動作を実施するために、共有フォルダにアクセスする必要があり得る。
しかしながら、バックアップイメージへのリモートアクセスを可能にすることは、セキュリティの脆弱性を引き起こす可能性がある。例えば、ランサムウェアソフトウェアが、バックアップイメージを含むフォルダにアクセスして、身代金のためにバックアップイメージを暗号化する可能性がある。他のマルウェアが、バックアップイメージにアクセスして破損する可能性がある。共有フォルダへのアクセスを制限することは、そのようなセキュリティの脆弱性を防止し得るが、正規プロセスが、適切に機能することを妨げられる可能性がある。バックアップアプリケーションに加えて、アーカイブソフトウェア、複製ソフトウェア、セキュリティソフトウェアなどの他のアプリケーションもまた、正規プロセスへのアクセスを許可しながら、マルウェアからデータを保護することを必要とし得る。
したがって、本開示は、認可されていないファイル変更からフォルダを保護するためのシステム及び方法の必要性を特定し、それに対処する。
以下でより詳細に説明されるように、本開示は、リモートデバイスから、フォルダ内のターゲットファイルの変更要求を受信することと、フォルダが保護フォルダであると判定することと、リモートデバイスが信頼できるホストであると判定することと、ターゲットファイルの変更要求を許可することとにより、認可されていないファイル変更からフォルダを保護するための様々なシステム及び方法を記載する。
一実施形態では、認可されていないファイル変更からフォルダを保護するための方法は、(i)リモートデバイスから、フォルダ内のターゲットファイルの変更要求を受信することと、(ii)フォルダが保護フォルダであるかどうかを判定することと、(iii)フォルダが保護フォルダであると判定することに応答して、リモートデバイスが信頼できるホストであるかどうかを判定することと、(iv)リモートデバイスが信頼できるホストであると判定することに応答して、ターゲットファイルの変更要求を許可することと、を含み得る。
いくつかの例では、リモートデバイスは、(a)リモートデバイス上のプロセスからの変更要求を検出することと、(b)ターゲットファイルが保護フォルダ内にあるかどうかを判定することと、(c)ターゲットファイルが保護フォルダ内にあると判定することに応答して、プロセスが認可されたプロセスであるかどうかを判定することと、(d)プロセスが認可されたプロセスであると判定することに応答して、変更要求を送信することと、に応答して、変更要求を送信し得る。
いくつかの例では、ターゲットファイルが保護フォルダ内にあるかどうかを判定することは、フォルダがマーカーファイルを含むかどうかを判定することと、フォルダがマーカーファイルを含むと判定することに応答して、フォルダが保護フォルダであると判定することを更に含み得る。
いくつかの例では、変更要求を検出することは、リモートデバイスのミニフィルタによって、変更要求を阻止することを含み得る。いくつかの例では、変更要求は、リモートデバイスのネットワークアドレスを含み得る。いくつかの例では、リモートデバイスが信頼できるホストであるかどうかを判定することは、ネットワークアドレスに基づき得る。いくつかの例では、変更要求は、ロックダウンサーバによって維持された鍵のハッシュを含み得、リモートデバイスが信頼できるホストであるかどうかを判定することは、ハッシュを認識することに基づき得る。
いくつかの例では、変更要求を受信することは、ミニフィルタによって、変更要求を阻止することを更に含み得る。いくつかの例では、ミニフィルタは、ロックダウンサーバと通信して、リモートデバイスが信頼できるホストであるかどうかを判定し得る。いくつかの例では、リモートデバイスが信頼できるホストであるかどうかを判定することは、リモートデバイスに連絡することによって、変更要求を確認することを更に含み得る。いくつかの例では、ミニフィルタは、リモートデバイスと関連付けられたリモートミニフィルタと通信して、リモートデバイスが信頼できるホストであるかどうかを判定し得る。
一例では、認可されていないファイル変更からフォルダを保護するためのシステムは、(i)リモートデバイスから、フォルダ内のターゲットファイルの変更要求を受信するための、メモリに記憶された受信モジュールと、(ii)フォルダが保護フォルダであるかどうかを判定するための、メモリに記憶されたフォルダモジュールと、(iii)フォルダが保護フォルダであると判定することに応答して、リモートデバイスが信頼できるホストであるかどうかを判定するための、メモリに記憶されたホスト検証モジュールと、(iv)リモートデバイスが信頼できるホストであると判定することに応答して、ターゲットファイルの変更要求を許可するための、メモリに記憶された変更モジュールと、(v)受信モジュール、フォルダモジュール、ホスト検証モジュール、及び変更モジュールを実行する、少なくとも1つの物理プロセッサとを含む、メモリに記憶されたいくつかのモジュールを含み得る。
いくつかの例では、リモートデバイスは、(a)リモートデバイス上のプロセスからの変更要求を検出することと、(b)ターゲットファイルが保護フォルダ内にあるかどうかを判定することと、(c)ターゲットファイルが保護フォルダ内にあると判定することに応答して、プロセスが認可されたプロセスであるかどうかを判定することと、(d)プロセスが認可されたプロセスであると判定することに応答して、変更要求を送信することと、に応答して、変更要求を送信し得る。
いくつかの例では、ターゲットファイルが保護フォルダ内にあるかどうかを判定することは、フォルダがマーカーファイルを含むかどうかを判定することと、フォルダがマーカーファイルを含むと判定することに応答して、フォルダが保護フォルダであると判定することを更に含み得る。
いくつかの例では、変更要求を検出することは、リモートデバイスのミニフィルタによって、変更要求を阻止することを含み得る。いくつかの例では、変更要求は、リモートデバイスのネットワークアドレスを含み得る。いくつかの例では、リモートデバイスが信頼できるホストであるかどうかを判定することは、ネットワークアドレスに基づき得る。
いくつかの例では、システムは、ミニフィルタを更に含み得る。変更要求を受信することは、ミニフィルタによって、変更要求を阻止することを更に含み得る。いくつかの例では、ミニフィルタは、ロックダウンサーバと通信して、リモートデバイスが信頼できるホストであるかどうかを判定し得る。
いくつかの例では、上記の方法は、非一時的コンピュータ可読媒体上にコンピュータ可読命令としてコード化されてもよい。例えば、コンピュータ可読媒体は、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、コンピューティングデバイスに、(i)リモートデバイスから、フォルダ内のターゲットファイルの変更要求を受信することと、(ii)フォルダが保護フォルダであるかどうかを判定することと、(iii)フォルダが保護フォルダであると判定することに応答して、リモートデバイスが信頼できるホストであるかどうかを判定することと、(iv)リモートデバイスが信頼できるホストであると判定することに応答して、ターゲットファイルの変更要求を許可することと、を行わせ得る1つ以上のコンピュータ実行可能命令を含み得る。
いくつかの例では、リモートデバイスは、(a)リモートデバイス上のプロセスからの変更要求を検出することと、(b)フォルダがマーカーファイルを含むかどうかを判定することによって、ターゲットファイルが保護フォルダ内にあるかどうかを判定することと、(c)ターゲットファイルが保護フォルダ内にあると判定することに応答して、プロセスが認可されたプロセスであるかどうかを判定することと、(d)プロセスが認可されたプロセスであると判定することに応答して、変更要求を送信することと、に応答して、変更要求を送信し得る。
いくつかの例では、変更要求を検出することは、リモートデバイスのミニフィルタによって、変更要求を阻止することを含み得る。いくつかの例では、変更要求を受信することは、ミニフィルタによって、変更要求を阻止することを更に含み得る。
本明細書で述べた実施形態のうちのいずれかからの特性は、本明細書で説明する一般原理に従って互いと組み合わせて使用されてもよい。これらの及び他の実施形態、特性、及び利点は、添付の図面及び請求項と併せて、以下の詳細な説明を一読することで、より完全に理解されよう。
添付の図面は、いくつかの例示的な実施形態を例解し、かつ本明細書の一部である。以下の説明と共に、これらの図面は、本開示の種々の原理を実証及び説明する。
認可されていないファイル変更からフォルダを保護するための例示的なシステムブのロック図である。
認可されていないファイル変更からフォルダを保護するための追加の例示的なシステムのブロック図である。
認可されていないファイル変更からフォルダを保護するための例示的な方法のフロー図である。
認可されていないファイル変更からフォルダを保護するための例示的なミニフィルタのブロック図である。
保護される新しいフォルダを作成するデータフロー図である。
図面を通じて、同一の参照文字及び説明は、類似であるが、必ずしも同一ではない要素を示す。本明細書において説明される例示的な実施形態は、種々の変更及び代替的な形態が可能であるが、具体的な実施形態が、図面において、例として示されており、かつ本明細書において詳細に説明される。しかしながら、本明細書において説明される例示的な実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の請求項の範囲内にある全ての変更物、同等物、及び代替物を網羅する。
本開示は、概して、認可されていないファイル変更からフォルダを保護するためのシステム及び方法に関する。以下でより詳細に説明されるように、フォルダ内のターゲットファイルの変更要求を阻止することと、フォルダを保護フォルダとして識別することと、変更要求を行っているリモートデバイスを信頼できるホストとして認証することと、信頼できるホストからの変更要求を許可することとにより、本明細書に記載の様々なシステム及び方法は、正規プロセスがファイルを変更することを可能にしながら、マルウェアが、共有フォルダ内のファイルの認可されていない変更を行うことを制限し得る。リモートデバイスからの変更要求を阻止することにより、本明細書に記載の様々なシステム及び方法は、正規プロセスの認証を簡素化することによって、バンド幅消費を潜在的に軽減し得る。代替的又は追加的に、システム及び方法は、ネットワークを介してアクセスされる保護フォルダの識別を容易にし得る。
更に、本明細書に記載のシステム及び方法は、オーバーヘッドを増加させることなく、保護フォルダ上の変更要求を効率的に認証することによって、ネットワークコンピュータの機能及び/又はパフォーマンスを改善し得る。これらのシステム及び方法はまた、バックアップイメージの保護を提供することによって、ネットワークセキュリティ及び/又はバックアップシステムの分野を改善し得る。
以下では、図1及び図2を参照して、認可されていないファイル変更からフォルダを保護するための例示的なシステムの詳細な説明を提供する。また、対応するコンピュータ実装方法の詳細な説明が、図3に関連して提供される。加えて、例示的なミニフィルタ及びフォルダの詳細な説明が、図4及び図5に関連して提供される。
図1は、認可されていないファイル変更からフォルダを保護するための例示的なシステム100のブロック図である。この図に示されているように、例示的なシステム100は、1つ以上のタスクを実施するための1つ以上のモジュール102を含んでもよい。以下でより詳細に説明されるように、モジュール102は、受信モジュール104と、フォルダモジュール106と、ホスト検証モジュール108と、変更モジュール110とを含み得る。別個の要素として示されるが、図1のモジュール102のうちの1つ以上は、単一のモジュール又はアプリケーションの一部分を表し得る。
特定の実施形態では、図1のモジュール102のうちの1つ以上は、コンピューティングデバイスによって実行されるとき、コンピューティングデバイスに、1つ以上のタスクを実施させてもよい1つ以上のソフトウェアアプリケーション又はプログラムを表してもよい。例えば、以下でより詳細に説明されるように、モジュール102のうちの1つ以上は、図2に例示されたデバイス(例えば、コンピューティングデバイス202、リモートデバイス208、及び/又はサーバ206)などの、1つ以上のコンピューティングデバイス上で記憶され、動作するように構成されたモジュールを表し得る。図1のモジュール102のうちの1つ以上はまた、1つ以上のタスクを実施するように構成された1つ以上の特殊目的のコンピュータの全て又は一部分を表してもよい。
図1に示されているように、例示的なシステム100はまた、メモリ140など、1つ以上のメモリデバイスも含み得る。メモリ140は、概して、データ及び/又はコンピュータ可読命令を記憶できる、任意の種類又は形式の揮発性又は不揮発性の記憶デバイス又は媒体を表す。一例では、メモリ140は、モジュール102のうちの1つ以上を記憶、ロード、及び/又は維持し得る。メモリ140の例としては、限定することなく、ランダムアクセスメモリ(Random Access Memory、RAM)、読み取り専用メモリ(Read Only Memory、ROM)、フラッシュメモリ、ハードディスクドライブ(Hard Disk Drive、HDD)、ソリッドステートドライブ(Solid-State Drive、SSD)、光ディスクドライブ、キャッシュ、これらのうちの1つ以上の変形若しくは組み合わせ、又は任意の他の好適なストレージメモリが挙げられる。
図1に示されているように、例示的なシステム100はまた、物理プロセッサ130など、1つ以上の物理プロセッサも含み得る。物理プロセッサ130は、概して、コンピュータ可読命令を解釈でき、かつ/又は実行できる任意のタイプ又は形式のハードウェア実装処理ユニットを表す。一例では、物理プロセッサ130は、メモリ140に記憶されたモジュール102のうちの1つ以上にアクセスし得、かつ/又はこれらを変更し得る。追加的又は代替的に、物理プロセッサ130は、モジュール102のうちの1つ以上を実行して、認可されていないファイル変更からフォルダを保護することを容易にし得る。物理プロセッサ130の例としては、マイクロプロセッサ、マイクロコントローラ、中央処理ユニット(Central Processing Unit、CPU)、ソフトコアプロセッサを実装しているフィールドプログラマブルゲートアレイ(Field-Programmable Gate Array、FPGA)、特定用途向け集積回路(Application-Specific Integrated Circuit、ASIC)、これらのうちの1つ以上の部分、これらのうちの1つ以上の変形若しくは組み合わせ、又は任意の他の好適な物理プロセッサが挙げられるが、これらに限定されない。
図1に示されるように、例示的なシステム100はまた、フォルダ122、ターゲットファイル124、マーカーファイル126、ミニフィルタ128、及びプロセス132などの1つ以上の追加要素120を含み得る。フォルダ122は、ローカルアクセス及びリモートアクセスされ得る共有フォルダであり得る。ターゲットファイル124は、リモートアクセスされる対象であり得るフォルダ122内のファイルであり得る。ターゲットファイル124は、例えば、バックアップイメージファイル又は任意の他のタイプのデータファイルであり得る。マーカーファイル126は、以下で更に説明されるように、フォルダ122が保護フォルダである可能性があることのインジケータであり得る。ミニフィルタ128は、以下で更に説明されるように、ファイルシステム動作をフィルタリングするためのカーネルモードフィルタであり得る。プロセス132は、フォルダ122及び/又はターゲットファイル124にアクセスし得る、バックアップアプリケーションなどのプロセスであり得る。
図1の例示的なシステム100は、様々な態様で実装され得る。例えば、例示的なシステム100の全て又は一部分は、図2の例示的なシステム200の部分を表し得る。図2に示されるように、システム200は、ネットワーク204を介してサーバ206と通信するコンピューティングデバイス202及びリモートデバイス208を含み得る。一例では、モジュール102の機能の全て又は一部分は、コンピューティングデバイス202、リモートデバイス208、サーバ206、及び/又は任意の他の好適なコンピューティングシステムによって実施され得る。以下でより詳細に説明されるように、図1のモジュール102のうちの1つ以上は、コンピューティングデバイス202、リモートデバイス208、及び/又はサーバ206のうちの少なくとも1つのプロセッサによって実行されるとき、コンピューティングデバイス202、リモートデバイス208、及び/又はサーバ206が、認可されていないファイル変更からフォルダを保護することを可能にし得る。
コンピューティングデバイス202は、コンピュータ実行可能命令を読み出すことができる任意のタイプ又は形式のコンピューティングデバイスを概して表す。コンピューティングデバイス202は、例えば、クライアント側バックアップソフトウェアを実行するエンドポイントデバイスであり得る。コンピューティングデバイス202の追加例としては、ノートブック、タブレット、デスクトップ、サーバ、携帯電話、パーソナルデジタルアシスタント(Personal Digital Assistant、PDA)、マルチメディアプレイヤー、組み込みシステム、ウェアラブルデバイス(例えば、スマートウォッチ、スマートグラスなど)、スマートビークル、いわゆるIoTデバイス(例えば、スマート家電など)、ゲーム機、これらのうちの1つ以上の変形若しくは組み合わせ、又は任意の他の好適なコンピューティングデバイスが挙げられるが、これらに限定されない。
リモートデバイス208は、コンピュータ実行可能命令を読み出すことができる任意のタイプ又は形態のコンピューティングデバイスを概して表す。リモートデバイス208は、例えば、エンドポイントデバイスを維持するための管理デバイスであり得る。リモートデバイス208の追加例としては、ノートブック、タブレット、デスクトップ、サーバ、携帯電話、パーソナルデジタルアシスタント(PDA)、マルチメディアプレイヤー、組み込みシステム、ウェアラブルデバイス(例えば、スマートウォッチ、スマートグラスなど)、スマートビークル、いわゆるIoTデバイス(例えば、スマート家電など)、ゲーム機、これらのうちの1つ以上の変形若しくは組み合わせ、又は任意の他の好適なコンピューティングデバイスが挙げられるが、これらに限定されない。
サーバ206は、セキュリティのアクセス許可を管理することができる任意のタイプ又は形態のコンピューティングデバイスを概して表す。例えば、サーバ206は、ロックダウンサーバ又は集中型管理サーバであり得る。サーバ206の付加的な例としては、特定のソフトウェアアプリケーションを動作させ、かつ/又は様々なストレージ、データベース、及び/若しくはウェブサービスを提供するように構成された、ストレージサーバ、データベースサーバ、アプリケーションサーバ、及び/又はウェブサーバが挙げられるが、これらに限定されない。図2において単一体として例解されるが、サーバ206は、互いに連動して働き、かつ/又は動作する複数のサーバを含み、かつ/又は表してもよい。
ネットワーク204は、通信又はデータ転送を容易にすることができる任意の媒体又はアーキテクチャを概して表す。一例では、ネットワーク204は、コンピューティングデバイス202と、リモートデバイス208と、サーバ206との間の通信を容易にし得る。この例では、ネットワーク204は、無線及び/又は有線接続を使用して、通信又はデータ転送を容易にし得る。ネットワーク204の例としては、限定するものではないが、イントラネット、ワイドエリアネットワーク(Wide Area Network、WAN)、ローカルエリアネットワーク(Local Area Network、LAN)、パーソナルエリアネットワーク(Personal Area Network、PAN)、インターネット、電力線通信(Power Line Communication、PLC)、セルラネットワーク(例えば、汎欧州デジタル移動電話方式(Global System for Mobile Communication、GSM)ネットワーク)、1つ以上の上記の部分、上記のうちの1つ以上の変形若しくは組み合わせ、又は任意の他の好適なネットワークを含む。
多くの他のデバイス又はサブシステムは、図1のシステム100及び/又は図2のシステム200に接続され得る。逆に、図1及び図2に示す構成要素及びデバイスの全てが、本明細書において説明及び/又は例示される実施形態を実践するために存在する必要があるわけではない。上記で述べたデバイス及びサブシステムはまた、図2に示すものとは異なる様式で相互接続されてもよい。システム100及び200はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェア構成を採用してもよい。例えば、本明細書において開示される例示的な実施形態のうちの1つ以上は、コンピュータ可読媒体上に、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、及び/又はコンピュータ制御論理とも称される)としてコード化され得る。
「コンピュータ可読媒体」という用語は、本明細書において使用される際、概して、コンピュータ可読命令を記憶又は担持することが可能な任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、限定することなく、搬送波などの伝送タイプ媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光記憶媒体(例えば、コンパクトディスク(Compact Disk、CD)、デジタルビデオディスク(Digital Video Disk、DVD)、及びBLU-RAYディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュ媒体)などの非一時的タイプ媒体、並びに他の分散システムが挙げられる。
図3は、認可されていないファイル変更からフォルダを保護するための例示的なコンピュータ実装方法300のフローチャートである。図3に示されている工程は、図1のシステム100、図2のシステム200、及び/又はこれらのうちの1つ以上の変形若しくは組み合わせを含む、任意の好適なコンピュータ実行可能コード及び/又はコンピューティングシステムによって実施され得る。一例では、図3に示されている工程のそれぞれは、複数の副工程を含む及び/又はそれらによって表される構造を有するアルゴリズムを表すものであり得、これらの例を以下に詳細に示す。
図3に示されるように、工程302で、本明細書に記載のシステムのうちの1つ以上が、リモートデバイスから、フォルダ内のターゲットファイルの変更要求を受信し得る。例えば、受信モジュール104は、図2のコンピューティングデバイス202の一部として、リモートデバイス208から、フォルダ122内のターゲットファイル124の変更要求を受信し得る。
本明細書で使用されるとき、「変更要求」という用語は、一般に、指定されたファイルに対して動作を実施する要求を指す。変更要求の例としては、指定されたファイルのデータを変えるための書き込み動作、指定されたファイルを異なるフォルダに移動させるための移動動作、指定されたファイルの名前及び/又は経路を変えるための名前変更動作、指定されたファイルを圧縮するための圧縮動作、指定されたファイルを暗号化するための暗号化動作、並びに指定されたファイル、その属性、そのメタデータなどを変えるための他の動作が挙げられるが、これらに限定されない。
本明細書に記載のシステムは、様々な方法で、工程302を実施し得る。一例では、変更要求を受信することは、ミニフィルタ128によって、変更要求を阻止することを含み得る。
本明細書で使用されるとき、「ミニフィルタ」という用語は、概して、I/O要求がファイルシステムに到達する前に、ファイルシステムに対する入力/出力(input/output、I/O)要求を阻止し得る、オペレーティングシステムのファイルシステムのフィルタを指す。ミニフィルタの例としては、限定するものではないが、オペレーティングシステムで利用可能であり得るような、ファイルシステムの上にある任意のカーネルモードフィルタが挙げられる。図4は、ミニフィルタ128に対応し得る例示的なミニフィルタ428を示す。
図4は、ファイルシステム442の動作環境400を示し、ファイルシステムドライバ444及びミニフィルタ428を含む。ファイルシステム442は、メモリ140などのメモリ又は記憶デバイスに記憶されたファイルを編成及び管理するためのファイルシステムを含み得る。ファイルシステムドライバ444は、ファイルシステム442にアクセスするためのソフトウェアサポートを提供し得、読み取り452、書き込み454、移動456、及び作成458を含むユーザモード動作をサポートし得る。
図4に見られるように、ミニフィルタ428は、特定の動作を阻止することができ、かつ特定の他の動作を可能する(例えば、無視する)ことができる。図4では、ミニフィルタ428は、書き込み454及び移動456を阻止し得るが、読み取り452及び作成458を自動的に許可し得る。いくつかの実装例では、ミニフィルタ428は、特定のタイプの全ての動作(例えば、全ての書き込み及び移動動作)を阻止し、他の特定のタイプの動作(例えば、全ての読み取り及び作成動作)を無視し得る。図4には示されていないが、他の実装例では、所与の動作が、ファイルシステム442に到達する前に、様々なミニフィルタを通してフィルタリングされ得るように、追加のミニフィルタが、動作を更にフィルタリングし得る。ミニフィルタ428が動作を阻止すると、以下で更に説明されるように、ミニフィルタ428は、動作を許可又は拒否する前に、追加の処理を実施し得る。
工程302に戻ると、受信モジュール104の一部であるか、又は受信モジュール104に関連して動作し得るミニフィルタ128は、受信モジュール104が、リモートデバイス208から変更要求を受信した後、ターゲットデバイス、例えば、コンピューティングデバイス202で変更要求を阻止し得る。例えば、ミニフィルタ128は、コンピューティングデバイス202のフォルダ122内のターゲットファイル124を変更するための、リモートデバイス208のプロセス132からの変更要求を阻止し得る。ミニフィルタ128は、変更要求を許可する前に、更なる処理のためのあらゆる変更要求を阻止するように構成され得る。
いくつかの実装例では、リモートデバイス208は、リモートデバイス208が、変更要求をコンピューティングデバイス202に送信する前に、変更要求を阻止するための独自のミニフィルタ128を含み得る。そのような実装例では、リモートデバイス208のミニフィルタ128は、コンピューティングデバイス202のフォルダ122内のターゲットファイル124を変更するための、リモートデバイス208上のプロセス132からの変更要求を検出し得る。リモートデバイス208のミニフィルタ128は、工程304に関して以下に説明されるものと同様の決定因子を使用して、ターゲットファイル124が保護フォルダ内にあるかどうかを判定することを決定し得る。いくつかの実装例では、フォルダ122が保護フォルダではない場合、ミニフィルタ128は、変更要求が送信されることを許可し得る。
ミニフィルタ128は、ターゲットファイル124が保護フォルダ内にある(例えば、フォルダ122が保護フォルダである)と判定することに応答して、リモートデバイス208のプロセス132(例えば、変更要求を行っているプロセス)が認可されたプロセスであるかどうかを判定し得る。例えば、ミニフィルタ128は、プロセス132のデジタル署名をチェックし得るか、又はさもなければ、プロセス132を識別し得る(例えば、プロセスIDを検出する)。ミニフィルタ128は、サーバ206などのロックダウンサーバと通信して、プロセス132を認可する(例えば、プロセス132のデジタル署名を検証する)ことができる。他の実装例では、ミニフィルタ128は、ホワイトリスト又は他の認証方法に基づいて、プロセス132を認可し得る。ミニフィルタ132がプロセス132を認可すると、ミニフィルタ128は、その後の変更要求に対するプロセス132の認可を容易にするために、プロセス132を、例えばそのプロセスIDによって覚えることができる。そのような実装例では、受信モジュール104又は別のモジュール102は、期限切れプロセスID(例えば、終了したプロセスに対応するプロセスID)が、対応する終了したプロセスをもはや認可しないように無効にされ得るように、プロセス作成及び終了を追跡し得る。例えば、プロセス132が終了する場合、ミニフィルタ128は、対応するプロセスIDをもはや認可しなくてもよい。プロセス132の新しいインスタンスが作成される場合、ミニフィルタ128は、プロセス132の新しいインスタンスを再認可し得る。
ミニフィルタ128は、プロセス132が認可されたプロセスであると判定することに応答して、変更要求をコンピューティングデバイス202に送信し得る。プロセス132が認可されない場合、ミニフィルタ128は、例えば、変更要求を廃棄することによって、変更要求が送信されることをブロックし得る。いくつかの実装例では、変更要求はまた、変更要求を行っているリモートデバイス208を識別するための、ネットワークアドレスなどの識別子を含み得る。
図3に示されるように、工程304で、本明細書に記載のシステムのうちの1つ以上は、フォルダが保護フォルダであるかどうかを判定し得る。例えば、フォルダモジュール106は、図2のコンピューティングデバイス202の一部として、フォルダ122が保護フォルダであるかどうかを判定し得る。
本明細書で使用されるとき、「保護フォルダ」という用語は、一般に、ファイルを有するフォルダ(例えば、ディレクトリ、パス、レポジトリなど)を指す。保護フォルダ内のファイルへのアクセスは、認可されたプロセス及び/又は信頼できるホストに限定され得る。
本明細書に記載のシステムは、様々な方法で、工程304を実施し得る。一例では、フォルダモジュール106は、コンピューティングデバイス202上の保護フォルダを列挙するリスト又はテーブルにアクセスし得る。例えば、ミニフィルタ128は、例えばローカルメモリに、保護フォルダのリストを維持し、リスト内のフォルダ122を認識し得る。しかしながら、ネットワーク環境におけるパス名の可変性により、そのようなリストは、特にリモートデバイス208などのリモートデバイスによってアクセスされる場合、保護フォルダを確実に識別しないことがある。
いくつかの例では、ミニフィルタ128は、フォルダモジュール106の一部として、フォルダ122が、マーカーファイル126などのマーカーファイルを含むかどうかに基づいて、フォルダ122を保護フォルダとして識別し得る。ミニフィルタ128は、リモートデバイス208が、フォルダ122の内容を読み取り、かつマーカーファイル126の存在に基づいて、フォルダ122を保護フォルダとして識別することができるように、フォルダ122に対する読み取り要求を許可し得る。したがって、リモートデバイス208は、フォルダ122のパス名への任意の変動にもかかわらず、フォルダ122を保護フォルダとして確実に識別し得る。
図5は、新しい保護フォルダを作成するための環境500を示す。プロセス132に対応し得るプロセス533は、新しい保護フォルダを作成し得る。プロセス533は、例えば、データをバックアップするためのバックアップアプリケーション、セキュリティアプリケーション、又は認可されていない変更から中にあるファイルを保護するための保護フォルダを作成し得る他の管理アプリケーションであり得る。プロセス533は、フォルダ122に対応し得るフォルダ522を作成し得る。プロセス533はまた、サーバ206に対応し得るサーバ506と通信し得る。サーバ506は、ロックダウンサーバ、集中型管理サーバ、又はセキュリティソフトウェアを管理することができる他のサーバなどのセキュリティサーバであり得る。プロセス533は、フォルダ522が保護フォルダであることをサーバ506に通知し得る。
プロセス533によって通知されることに応答して、サーバ506は、ミニフィルタ128に対応し得るミニフィルタ528を通信することができる。ミニフィルタ528は、フォルダ522をホストするファイルシステム上に構成されたミニフィルタであり得る。ミニフィルタ528は、フォルダ522をレジストリ562及びミニフィルタメモリ564に追加し得る。レジストリ562は、ミニフィルタ528の範囲内の保護フォルダのリストを記憶するための永続的な記憶装置であり得る。ミニフィルタメモリ564は、ミニフィルタ528のランタイム中、保護フォルダのリストを保持するためのカーネルメモリであり得る。いくつかの実装例では、ミニフィルタメモリ564は、ミニフィルタ528が初期化すると、保護フォルダのリストをレジストリ562からロードし得る。
ミニフィルタ528は、マーカーファイル526をフォルダ522に更に追加し得る。フォルダ522にマーカーファイル526を含めることは、フォルダ522が保護ファイルであることを示し得、その結果、マーカーファイル526自体は、データを含む必要はない。いくつかの実装例では、マーカーファイル526は、フォルダ522に関するメタデータなどのデータを含み得る。
図3に戻ると、工程306で、本明細書に記載のシステムのうちの1つ以上は、フォルダが保護フォルダであることに応答して、リモートデバイスが信頼できるホストであるかどうかを判定し得る。例えば、ホスト検証モジュール108は、図2のコンピューティングデバイス202の一部として、フォルダが保護フォルダであると判定することに応答して、リモートデバイス208が信頼できるホストであるかどうかを判定し得る。
本明細書で使用されるとき、「信頼できるホスト」という用語は、概して、認可又はさもなければ検証され得るコンピューティングデバイスを指す。信頼できるホストは、識別及びホワイトリスト、パスワード、鍵、又はトークンなどを介してなど、様々な方法で認証され得る。
本明細書に記載のシステムは、様々な方法で、工程306を実施し得る。一例では、変更要求は、リモートデバイス208のネットワークアドレス又は他の識別子などの識別子を含み得る。ホスト検証モジュール108の一部であり得るミニフィルタ128は、識別子を用いて、サーバ206にクエリすることができる。ロックダウンサーバ又は他のセキュリティサーバであり得るサーバ206は、識別子に基づいて、リモートデバイス208を信頼できるホストとして認証し得る。
他の例では、ホスト検証モジュール108及び/又はミニフィルタ128は、インバンドプロトコルを使用して、リモートデバイス208が信頼できるホストであるかどうかを確認し得る。例えば、変更要求は、ターゲットファイル124のファイル名を含み得る。このファイル名は、サーバ206によって維持される動的秘密鍵又は他の鍵のハッシュを含み得る。ホスト検証モジュール108は、サーバ206でハッシュを確認するか、又はさもなければ、ハッシュを認識し得る。ハッシュを含めることにより、サーバ206は、そのようなハッシュを信頼できるホストと共有し得るため、リモートデバイス208が信頼できるホストであることが、確立され得る。次いで、ホスト検証モジュール108は、ターゲットファイル124を識別するために、ファイル名からハッシュをストリップし得る。
更に他の例では、ホスト検証モジュール108は、リモートデバイス208に連絡することによって、変更要求を確認し得る。例えば、コンピューティングデバイス202のミニフィルタ128は、リモートデバイス208のミニフィルタ128と通信して、リモートデバイス208が信頼できるホストであるかどうかを確認し得る。追加的又は代替的に、ホスト検証モジュール108は、リモートデバイス208が変更要求を送信したことを確認するために、リモートデバイス208と通信することをサーバ206に要求するか、又はさもなければ通知することができる。上で説明されたように、リモートデバイス208のミニフィルタ128は、最初に、リモートデバイス208から発信された変更要求を阻止し得、かつ変更要求がリモートデバイス208からであることをコンピューティングデバイス202及び/又はサーバ206のミニフィルタ128に知らせ得る。
工程308で、本明細書に記載のシステムのうちの1つ以上は、リモートデバイスが信頼できるホストであると判定することに応答して、ターゲットファイルの変更要求を許可し得る。例えば、変更モジュール110は、図2のコンピューティングデバイス202の一部として、リモートデバイス208が信頼できるホストであると判定することに応答して、ターゲットファイル124の変更要求を許可し得る。
本明細書に記載のシステムは、様々な方法で工程308を実施し得る。一例では、ミニフィルタ128は、ターゲットファイル124が、変更要求に従って変更され得るように、変更要求を許可し得る。
図1~図5に関連して上で説明されたように、バックアップアプリケーションは、ローカルマシンのローカルディスクフォルダ内にバックアップイメージを記憶するための一次記憶装置として、ディスクを使用し得る。ローカルディスクフォルダは、様々な管理サーバ上で実行されるバックアップサービスが、共有フォルダ内のバックアップイメージを協働して作成及び/又は更新することができるように、ネットワークアクセスのために共有され得る。共有フォルダは、共有フォルダが、保護されたネットワークフォルダであることを示すマーカーファイルを含み得る。
一例では、管理サーバ上のバックアッププロセスは、共有フォルダ内のバックアップイメージを更新することを試行し得る。管理サーバ上のミニフィルタは、マーカーファイルの存在によって、共有フォルダが保護されたネットワークフォルダであることを認識し得る。次いで、ミニフィルタは、プロセスを認証し、プロセスが認証されると、更新試行をローカルマシンに送信し得る。ローカルマシン上のローカルミニフィルタは、更新試行を阻止し、フォルダを保護フォルダとして認識し、管理サーバを認証し、認証されると、更新試行が進行することを許可することができる。
別の例では、管理サーバ上の編集プロセスは、共有フォルダ内のバックアップイメージを更新することを試行し得る。管理サーバ上のミニフィルタは、マーカーファイルの存在によって、共有フォルダが保護されたネットワークフォルダであることを認識し得る。ミニフィルタは、編集プロセスの認証を試行し得る。しかしながら、編集プロセスは、バックアップイメージを変更することを認可されない場合があり、ミニフィルタは、更新要求がローカルマシンに送信されないように、更新を拒否し得る。
更に別の例では、ローカルマシンは、リモートマシンから、共有フォルダ内のバックアップイメージの更新要求を受信し得る。リモートマシンは、更新要求が送信されるように、更新要求の発信プロセスを認証するように構成されたミニフィルタを有しない場合がある。ローカルミニフィルタは、共有フォルダが保護フォルダであることを認識し、更新要求が、信頼できるホストから送信されなかったことを判定し、最終的に更新要求を拒否し得る。
したがって、リモートマシン及び/又はローカルマシン内のミニフィルタを利用することにより、本明細書に記載のシステム及び方法は、共有フォルダ内のファイルを保護し得る。更新要求は、リモートマシン及び/又はローカルマシンで拒否され得る。更に、マーカーファイルを使用することにより、リモートミニフィルタが保護フォルダを識別することが容易になり得る。本開示は、バックアップソフトウェアの共有フォルダを保護することについて記載しているが、本明細書に記載の発明概念は、アーカイブソフトウェア、複製ソフトウェア、セキュリティソフトウェア、管理ソフトウェア、データベースなどを含む、データ保護を必要とする他のソフトウェアと共に使用され得る。
上述の開示は、具体的なブロック図、フローチャート、及び実施例を使用して、種々の実施形態を記載するが、本明細書において説明及び/又は例解される各ブロック図の構成要素、フローチャートの工程、動作、及び/又は構成要素は、広範なハードウェア、ソフトウェア、又はファームウェア(又はこれらの任意の組み合わせ)構成を使用して、個々に、かつ/又は集合的に実装され得る。加えて、他の構成要素内に含まれる構成要素のいずれの開示も、多くの他のアーキテクチャを実装して、同じ機能を達成することができるため、事実上、例としてみなされるべきである。
いくつかの例では、図1の例示的なシステム100の全て又は一部分は、クラウドコンピューティング又はネットワークベース環境の部分を表してもよい。クラウドコンピューティング環境は、インターネットを介して、種々のサービス及びアプリケーションを提供し得る。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてプラットフォーム、サービスとしてのインフラストラクチャなど)は、ウェブブラウザ又は他のリモートインターフェースを通じて、アクセス可能であり得る。本明細書において説明される種々の機能は、リモートデスクトップ環境又は任意の他のクラウドベースのコンピューティング環境を通じて提供され得る。
種々の実施形態において、図1の例示的なシステム100の全て又は一部分は、クラウドベースのコンピューティング環境内のマルチテナンシーを容易にし得る。換言すると、本明細書において説明されるモジュールは、本明細書において説明される機能のうちの1つ以上に対するマルチテナンシーを容易にするように、コンピューティングシステム(例えば、サーバ)を構成し得る。例えば、本明細書において説明されるモジュールのうちの1つ以上は、2つ以上のクライアント(例えば、顧客)が、サーバ上で実行されているアプリケーションを共有することを可能にするように、サーバをプログラムし得る。このようにプログラムされたサーバは、複数の顧客(すなわち、テナント)間でアプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有し得る。本明細書において説明されるモジュールのうちの1つ以上はまた、ある顧客が別の顧客のデータ及び/又は構成情報にアクセスすることができないように、各顧客に対して、マルチテナントアプリケーションのデータ及び/又は構成情報を分割し得る。
種々の実施形態によれば、図1の例示的なシステム100の全て又は一部分は、仮想環境内で実装され得る。例えば、本明細書において説明されるモジュール及び/又はデータは、仮想マシン内に存在し得る、かつ/又はそこで実行し得る。本明細書において使用される際、「仮想マシン」という用語は、概して、仮想マシンマネージャ(例えば、ハイパーバイザ)によって、コンピューティングハードウェアから抽象化される任意のオペレーティングシステム環境を指す。
いくつかの例では、図1の例示的なシステム100の全て又は一部分は、モバイルコンピューティング環境の部分を表し得る。モバイルコンピューティング環境は、モバイル電話、タブレットコンピュータ、電子書籍リーダ、パーソナルデジタルアシスタント、ウェアラブルコンピューティングデバイス(例えば、頭部装着型ディスプレイ、スマートウォッチなどを有するコンピューティングデバイス)、これらのうちの1つ以上の変形若しくは組み合わせ、又は任意の他の好適なモバイルコンピューティングデバイスを含む、広範なモバイルコンピューティングデバイスによって実装され得る。いくつかの例において、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意の所与の時間に1つのフォアグラウンドアプリケーションのみを提示すること、遠隔管理特性、タッチスクリーン特性、場所及び移動データ(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)、システムレベルの構成への変更を制限する、かつ/又は第3者のソフトウェアが他のアプリケーションの挙動を検査する能力を制限する、制限されたプラットフォーム、アプリケーションのインストールを制限する(例えば、承認されたアプリケーションストアのみから得る)管理などを含む、1つ以上の異なる特性を含み得る。本明細書において説明される種々の機能は、モバイルコンピューティング環境に対して提供され得る、かつ/又はモバイルコンピューティング環境と相互作用し得る。
本明細書において説明及び/又は例解される工程のプロセスパラメータ及び順序は、例として示されるに過ぎず、所望に応じて変化させることができる。例えば、本明細書において例解及び/又は説明される工程は、特定の順序で図示又は考察されるが、これらの工程は、必ずしも例解又は考察される順序で実施される必要はない。本明細書において説明及び/又は例解される種々の例示的な方法もまた、本明細書において説明若しくは例解される工程のうちの1つ以上を省略し得るか、又は開示されるものに加えて追加の工程を含み得る。
種々の実施形態が、完全に機能的なコンピューティングシステムの文脈で、本明細書において説明及び/又は例解されているが、これらの例示的な実施形態のうちの1つ以上は、分散を実際に行うために使用される特定のタイプのコンピュータ可読媒体にかかわらず、様々な形態のプログラム製品として分散され得る。本明細書において開示される実施形態はまた、あるタスクを実施するモジュールを使用して、実装され得る。これらのモジュールは、コンピュータ可読記憶憶媒体上に、又はコンピューティングシステム内に記憶され得る、スクリプト、バッチ、又は他の実行可能なファイルを含み得る。いくつかの実施形態では、これらのモジュールは、本明細書において開示される例示的な実施形態のうちの1つ以上を実施するように、コンピューティングシステムを構成し得る。
先述の説明は、当業者が、本明細書において開示される例示的な実施形態の種々の態様を最良に利用することを可能にするために提供されている。この例示的な説明は、網羅的であることを意図するものでも、開示されたいずれかの正確な形態に限定されることを意図するものでもない。多くの変更及び改変が、本開示の趣旨及び範囲から逸脱することなく、可能である。本明細書において開示される実施形態は、全ての点において、例解的であり、制限的ではないとみなされるべきである。本開示の範囲を判定する上では、添付の請求項及びそれらの同等物を参照するべきである。
別途記載されない限り、「~に接続される(connected to)」及び「~に連結される(coupled to)」という用語(及びそれらの派生語)は、本明細書及び請求項において使用される際、直接的及び間接的(すなわち、他の要素又は構成要素を介した)接続の両方を許容するとして解釈されるものとする。加えて、「a」又は「an」という用語は、本明細書及び請求項において使用される際、「~のうちの少なくとも1つ(at least one of)」を意味するとして解釈されるものとする。最後に、使用を容易にするために、「含む(including)」及び「有する(having)」という用語(及びそれらの派生語)は、本明細書及び請求項において使用される際、「備える(comprising)」という語と同義的であり、かつ同じ意味を有する。
Claims (20)
- 認可されていないファイル変更からフォルダを保護するためのコンピュータ実装方法であって、前記方法の少なくとも一部分が、少なくとも1つのプロセッサを備えるコンピューティングデバイスによって実施され、前記方法が、
リモートデバイスから、フォルダ内のターゲットファイルの変更要求を受信することと、
前記フォルダが保護フォルダであるかどうかを判定することと、
前記フォルダが前記保護フォルダであると判定することに応答して、前記リモートデバイスが信頼できるホストであるかどうかを判定することと、
前記リモートデバイスが前記信頼できるホストであると判定することに応答して、前記ターゲットファイルの前記変更要求を許可することと、を含む、コンピュータ実装方法。 - 前記リモートデバイスが、
前記リモートデバイス上のプロセスからの前記変更要求を検出することと、
前記ターゲットファイルが前記保護フォルダ内にあるかどうかを判定することと、
前記ターゲットファイルが前記保護フォルダ内にあると判定することに応答して、前記プロセスが認可されたプロセスであるかどうかを判定することと、
前記プロセスが前記認可されたプロセスであると判定することに応答して、前記変更要求を送信することと、に応答して、前記変更要求を送信する、請求項1に記載の方法。 - 前記ターゲットファイルが前記保護フォルダ内にあるかどうかを判定することが、
前記フォルダがマーカーファイルを含むかどうかを判定することと、
前記フォルダが前記マーカーファイルを含むと判定することに応答して、前記フォルダが前記保護フォルダであると判定することと、を更に含む、請求項2に記載の方法。 - 前記変更要求を検出することが、前記リモートデバイスのミニフィルタによって、前記変更要求を阻止することを含む、請求項2に記載の方法。
- 前記変更要求が、前記リモートデバイスのネットワークアドレスを含み、前記リモートデバイスが前記信頼できるホストであるかどうかを判定することが、
前記ネットワークアドレスに基づく、請求項1に記載の方法。 - 前記変更要求が、ロックダウンサーバによって維持された鍵のハッシュを含み、前記リモートデバイスが前記信頼できるホストであるかどうかを判定することが、前記ハッシュを認識することに基づく、請求項1に記載の方法。
- 前記変更要求を受信することが、ミニフィルタによって、前記変更要求を阻止することを更に含む、請求項1に記載の方法。
- 前記ミニフィルタが、ロックダウンサーバと通信して、前記リモートデバイスが前記信頼できるホストであるかどうかを判定する、請求項7に記載の方法。
- 前記リモートデバイスが前記信頼できるホストであるかどうかを判定することが、前記リモートデバイスに連絡することによって、前記変更要求を確認することを更に含む、請求項1に記載の方法。
- 認可されていないファイル変更からフォルダを保護するためのシステムであって、前記システムが、
リモートデバイスから、フォルダ内のターゲットファイルの変更要求を受信するための、メモリに記憶された受信モジュールと、
前記フォルダが保護フォルダであるかどうかを判定するための、前記メモリに記憶されたフォルダモジュールと、
前記フォルダが前記保護フォルダであると判定することに応答して、前記リモートデバイスが信頼できるホストであるかどうかを判定するための、前記メモリに記憶されたホスト検証モジュールと、
前記リモートデバイスが前記信頼できるホストであると判定することに応答して、前記ターゲットファイルの前記変更要求を許可するための、前記メモリに記憶された変更モジュールと、
前記受信モジュール、前記フォルダモジュール、前記ホスト検証モジュール、及び前記変更モジュールを実行する、少なくとも1つの物理プロセッサと、を備える、システム。 - 前記リモートデバイスが、
前記リモートデバイス上のプロセスからの前記変更要求を検出することと、
前記ターゲットファイルが前記保護フォルダ内にあるかどうかを判定することと、
前記ターゲットファイルが前記保護フォルダ内にあると判定することに応答して、前記プロセスが認可されたプロセスであるかどうかを判定することと、
前記プロセスが前記認可されたプロセスであると判定することに応答して、前記変更要求を送信することと、に応答して、前記変更要求を送信する、請求項10に記載のシステム。 - 前記ターゲットファイルが前記保護フォルダ内にあるかどうかを判定することが、
前記フォルダがマーカーファイルを含むかどうかを判定することと、
前記フォルダが前記マーカーファイルを含むと判定することに応答して、前記フォルダが前記保護フォルダであると判定することと、を更に含む、請求項11に記載のシステム。 - 前記変更要求を検出することが、前記リモートデバイスのミニフィルタによって、前記変更要求を阻止することを含む、請求項11に記載のシステム。
- 前記変更要求が、前記リモートデバイスのネットワークアドレスを含み、前記リモートデバイスが前記信頼できるホストであるかどうかを判定することが、前記ネットワークアドレスに基づく、請求項10に記載のシステム。
- ミニフィルタを更に備え、前記変更要求を受信することが、前記ミニフィルタによって、前記変更要求を阻止することを更に含む、請求項10に記載のシステム。
- 前記ミニフィルタが、ロックダウンサーバと通信して、前記リモートデバイスが前記信頼できるホストであるかどうかを判定する、請求項15に記載のシステム。
- 1つ以上のコンピュータ実行可能命令を含む非一時的コンピュータ可読媒体であって、前記命令は、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されるとき、前記コンピューティングデバイスに、
リモートデバイスから、フォルダ内のターゲットファイルの変更要求を受信することと、
前記フォルダが保護フォルダであるかどうかを判定することと、
前記フォルダが前記保護フォルダであると判定することに応答して、前記リモートデバイスが信頼できるホストであるかどうかを判定することと、
前記リモートデバイスが前記信頼できるホストであると判定することに応答して、前記ターゲットファイルの前記変更要求を許可することと、を行わせる、非一時的コンピュータ可読媒体。 - 前記リモートデバイスが、
前記リモートデバイス上のプロセスからの前記変更要求を検出することと、
前記フォルダがマーカーファイルを含むかどうかを判定することによって、前記ターゲットファイルが前記保護フォルダ内にあるかどうかを判定することと、
前記ターゲットファイルが前記保護フォルダ内にあると判定することに応答して、前記プロセスが認可されたプロセスであるかどうかを判定することと、
前記プロセスが前記認可されたプロセスであると判定することに応答して、前記変更要求を送信することと、に応答して、前記変更要求を送信する、請求項17に記載の非一時的コンピュータ可読媒体。 - 前記変更要求を検出することが、前記リモートデバイスのミニフィルタによって、前記変更要求を阻止することを含む、請求項18に記載の非一時的コンピュータ可読媒体。
- 前記変更要求を受信することが、ミニフィルタによって、前記変更要求を阻止することを更に含む、請求項17に記載の非一時的コンピュータ可読媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/822,821 | 2020-03-18 | ||
| US16/822,821 US20210294910A1 (en) | 2020-03-18 | 2020-03-18 | Systems and methods for protecting a folder from unauthorized file modification |
| PCT/US2021/022822 WO2021188716A1 (en) | 2020-03-18 | 2021-03-17 | Systems and methods for protecting a folder from unauthorized file modification |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2023517531A true JP2023517531A (ja) | 2023-04-26 |
Family
ID=75581607
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022552835A Pending JP2023517531A (ja) | 2020-03-18 | 2021-03-17 | 認可されていないファイル変更からフォルダを保護するためのシステム及び方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210294910A1 (ja) |
| EP (1) | EP4121881A1 (ja) |
| JP (1) | JP2023517531A (ja) |
| CN (1) | CN115244535A (ja) |
| WO (1) | WO2021188716A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220358235A1 (en) * | 2021-05-05 | 2022-11-10 | EMC IP Holding Company LLC | Access Control of Protected Data Using Storage System-Based Multi-Factor Authentication |
| CN114048469B (zh) * | 2022-01-10 | 2022-06-14 | 荣耀终端有限公司 | 目录操作管理方法、电子设备及可读存储介质 |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5860153A (en) * | 1995-11-22 | 1999-01-12 | Sun Microsystems, Inc. | Memory efficient directory coherency maintenance |
| US7478418B2 (en) * | 2001-12-12 | 2009-01-13 | Guardian Data Storage, Llc | Guaranteed delivery of changes to security policies in a distributed system |
| US7143113B2 (en) * | 2001-12-21 | 2006-11-28 | Cybersoft, Inc. | Apparatus, methods and articles of manufacture for securing and maintaining computer systems and storage media |
| WO2003079213A1 (en) * | 2002-03-15 | 2003-09-25 | Shinkuro, Inc. | Data replication system and method |
| US7146388B2 (en) * | 2003-10-07 | 2006-12-05 | International Business Machines Corporation | Method, system, and program for archiving files |
| US7640404B2 (en) * | 2005-10-31 | 2009-12-29 | Microsoft Corporation | File system write filtering for selectively permitting or preventing data from being written to write-protected storage |
| WO2007058907A2 (en) * | 2005-11-10 | 2007-05-24 | Pkware, Inc. | Systems and methods for trusted information exchange |
| JP2007280096A (ja) * | 2006-04-07 | 2007-10-25 | Hitachi Ltd | ログ保全方法、プログラムおよびシステム |
| JP2007328400A (ja) * | 2006-06-06 | 2007-12-20 | Ntt Data Corp | ポリシー管理装置、ポリシー管理方法、及び、コンピュータプログラム |
| JP5035873B2 (ja) * | 2006-09-26 | 2012-09-26 | 株式会社日立ソリューションズ | 共有暗号ファイルの暗号化・復号処理方法及びプログラム |
| CN101452454A (zh) * | 2007-11-30 | 2009-06-10 | 华为技术有限公司 | 文件集共享方法及装置 |
| KR20100114066A (ko) * | 2008-01-31 | 2010-10-22 | 인터내셔널 비지네스 머신즈 코포레이션 | 암호화된 파일 엑세스를 위한 방법 및 시스템 |
| US9400891B2 (en) * | 2009-01-23 | 2016-07-26 | Randall Stephens | Owner controlled transmitted file protection and access control system and method |
| US8364984B2 (en) * | 2009-03-13 | 2013-01-29 | Microsoft Corporation | Portable secure data files |
| CN101853363B (zh) * | 2010-05-07 | 2012-08-08 | 飞天诚信科技股份有限公司 | 一种文件保护方法及系统 |
| US8707457B2 (en) * | 2010-05-09 | 2014-04-22 | Citrix Systems, Inc. | Methods and systems for forcing an application to store data in a secure storage location |
| US9098520B2 (en) * | 2012-04-03 | 2015-08-04 | Baloota Applications Ltd. | Apparatus and methods for restoring data objects |
| US10007795B1 (en) * | 2014-02-13 | 2018-06-26 | Trend Micro Incorporated | Detection and recovery of documents that have been compromised by malware |
| US10372685B2 (en) * | 2014-03-31 | 2019-08-06 | Amazon Technologies, Inc. | Scalable file storage service |
| US8943105B1 (en) * | 2014-06-02 | 2015-01-27 | Storagecraft Technology Corporation | Exposing a proprietary disk file to a hypervisor as a native hypervisor disk file |
| US20170187527A1 (en) * | 2015-12-23 | 2017-06-29 | ThinAir Labs, Inc. | Obtaining A Decryption Key From a Mobile Device |
| US11100107B2 (en) * | 2016-05-16 | 2021-08-24 | Carbonite, Inc. | Systems and methods for secure file management via an aggregation of cloud storage services |
| US10122752B1 (en) * | 2016-06-10 | 2018-11-06 | Vmware, Inc. | Detecting and preventing crypto-ransomware attacks against data |
| KR101883713B1 (ko) * | 2016-09-22 | 2018-07-31 | 주식회사 위드네트웍스 | 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법 |
| US9817675B1 (en) * | 2017-01-31 | 2017-11-14 | Hytrust, Inc. | Methods and systems for attaching an encrypted data partition during the startup of an operating system |
| WO2018222766A1 (en) * | 2017-05-30 | 2018-12-06 | Cyemptive Technologies, Inc. | Real-time detection of and protection from malware and steganography in a kernel mode |
| US10938854B2 (en) * | 2017-09-22 | 2021-03-02 | Acronis International Gmbh | Systems and methods for preventive ransomware detection using file honeypots |
| US11290459B2 (en) * | 2018-05-15 | 2022-03-29 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Granting guest devices access to a network using out-of-band authorization |
| US10977381B2 (en) * | 2018-06-28 | 2021-04-13 | Mohammad Mannan | Protection system and method against unauthorized data alteration |
| US11080416B2 (en) * | 2018-10-08 | 2021-08-03 | Microsoft Technology Licensing, Llc | Protecting selected disks on a computer system |
| US10503905B1 (en) * | 2019-06-26 | 2019-12-10 | Capital One Services, Llc | Data lineage management |
| US11782790B2 (en) * | 2019-07-10 | 2023-10-10 | Centurion Holdings I, Llc | Methods and systems for recognizing unintended file system changes |
| US11204877B2 (en) * | 2019-10-18 | 2021-12-21 | Dell Products L.P. | Minimizing data written to disk and enabling directory change notifications in multi-volume filter environments |
| US11113393B2 (en) * | 2019-11-04 | 2021-09-07 | Dell Products L.P. | Providing security features in write filter environments |
| US11176266B2 (en) * | 2020-01-02 | 2021-11-16 | Citrix Systems, Inc. | Restrictions on virtualized sessions using risk factor assessment |
-
2020
- 2020-03-18 US US16/822,821 patent/US20210294910A1/en active Pending
-
2021
- 2021-03-17 JP JP2022552835A patent/JP2023517531A/ja active Pending
- 2021-03-17 WO PCT/US2021/022822 patent/WO2021188716A1/en unknown
- 2021-03-17 EP EP21720044.3A patent/EP4121881A1/en active Pending
- 2021-03-17 CN CN202180019498.4A patent/CN115244535A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20210294910A1 (en) | 2021-09-23 |
| WO2021188716A1 (en) | 2021-09-23 |
| CN115244535A (zh) | 2022-10-25 |
| EP4121881A1 (en) | 2023-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3374922B1 (en) | Systems and methods for protecting backed-up data from ransomware attacks | |
| US9076004B1 (en) | Systems and methods for secure hybrid third-party data storage | |
| US9729579B1 (en) | Systems and methods for increasing security on computing systems that launch application containers | |
| US10268827B2 (en) | Method and system for securing data | |
| JP6473499B2 (ja) | 所有ファクタの証明書を更新するためのシステム及び方法 | |
| US9342705B1 (en) | Systems and methods for searching shared encrypted files on third-party storage systems | |
| US8904503B2 (en) | Systems and methods for providing access to data accounts within user profiles via cloud-based storage services | |
| US10326733B2 (en) | Systems and methods for facilitating single sign-on for multiple devices | |
| JP6196393B2 (ja) | プリインストールアプリケーションのスキャンを最適化するためのシステム及び方法 | |
| US9203815B1 (en) | Systems and methods for secure third-party data storage | |
| US10015173B1 (en) | Systems and methods for location-aware access to cloud data stores | |
| EP3449607B1 (en) | Systems and methods for managing encryption keys for single-sign-on applications | |
| JP2023517531A (ja) | 認可されていないファイル変更からフォルダを保護するためのシステム及び方法 | |
| US20140041053A1 (en) | Data block access control | |
| US10033732B1 (en) | Systems and methods for detecting cloning of security tokens | |
| US11048809B1 (en) | Systems and methods for detecting misuse of online service access tokens | |
| US10469457B1 (en) | Systems and methods for securely sharing cloud-service credentials within a network of computing devices | |
| US9887979B1 (en) | Systems and methods for enabling users to launch applications without entering authentication credentials | |
| US10673888B1 (en) | Systems and methods for managing illegitimate authentication attempts | |
| US10547637B1 (en) | Systems and methods for automatically blocking web proxy auto-discovery protocol (WPAD) attacks | |
| US20200169581A1 (en) | Endpoint security client embedded in storage drive firmware | |
| WO2011085101A1 (en) | Network encryption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220902 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220902 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20220909 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20230105 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230920 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230926 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231214 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240227 |