Студопедия  
Главная страница | Контакты | Случайная страница

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Файловая система NTFS и разграничения прав пользователей

Читайте также:
  1. ERP — информационная система масштаба предприятия
  2. I Операционная система ОС Unix
  3. I Операционная система ОС Unix
  4. I Операционная система ОС Unix
  5. I. Система социального регулирования общественных отношений.
  6. I. Система социального регулирования общественных отношений.
  7. II. Общество как социальная система, её основные системные признаки
  8. II. Система культуры и её структура.
  9. III. Систематизація і доповнення знань
  10. Internet и система права.

 

Файловая система NTFS (New Technology File System) является файловой системой нового поколения. При ее проектиро­вании ставились цели сделать ее как можно более надежной, мощной, ус­тойчивой к сбоям и безопасной. Главным отличием системы NTFS от системы FAT являет­ся устойчивость к сбоям и система разграничения доступа.

Устойчивость к сбоям файловой системы нового поколения обеспечивается за счет метода журналирования. Во избежа­ние сбоев перед каждым изменением служебной информации файловой системы создается специальная запись, говорящая о начале такой операции. И если эта операция прошла успешно, то запись о ней удаляется из файловой системы. Если же операция не завершилась успехом, то система может сделать откат операции, зная по записи, в каком состоянии находилась система до нее. Наличие данного ме­ханизма делает ненужным наличие программ проверки дис­ков. Это связано с тем, что система каждый раз при перезагрузке проверяет все файловые системы на локальных накопителях жестких дисков. И если какая-либо система имеет ошибки, то они сразу и целенаправленно, исправляются, т.к. всю информацию ОС узнает из журнала операций файловой системы.

Разграничение доступа является второй важнейшей особенностью файловой системы NTFS. Так как данная система реализована в защищенном режиме ОС и меняется от версии к версии ОС, то узнать ее структуру или даже попытаться счи­тать какие-либо данные в обход ядра ОС для приложе­ний становится практически невозможно. В NTFS введена система прав, когда каждый пользователь может иметь (или не иметь) определенные права на пользование файлом (папкой): возмож­ность чтения, записи, исполнения и пр. Для того чтобы пользователь мог просмотреть ее содержимое, необходимо, чтобы он имел на это право. Данный механизм позволяет пользователям сохранять свои данные и информацию.

Для того чтобы посмотреть или изменить права на любой файл в файловой системе NTFS, необходимо убедиться в ее наличие на жестком диске. Для этого следует:

- запустить Проводник;

- выбрать требуемый диск и вызвать контекстное меню правой кнопкой мыши;

- выбрать команду Свойства;

- появится окно Свойства: Локального диска С: (рис.1.1.).

 

 

Рис.1.1 Окно Свойства жесткого диска

 

Данный жесткий диск имеет файловую систему NTFS, приво­дится его суммарная емкость, объем занятого и свободного места. Наряду с этим система предлагает, посредством кнопки Очистка диска, вызов специ­альной программы для увеличения свободного места за счет удаления или перемещения редко используемых или неиспользуемых файлов, приложений и документов. Внизу окна предлагаются флажки для определения некоторых свойств данного диска, специфичных только для системы NTFS.

Режим Сжимать диск для эконо­мии места ответственен за сжатие ин­формации посредством ядра ОС при ее записи на диск. Таким образом, объем диска за счет некоторого уменьшения производительности может возрасти до полутора раз. Процесс записи при сжатии файлов и процесс их декомпрессии при чтении с диска происходит для пользователя совершенно прозрачно и незаметно. Возможность сжатия информации защищает от кракеров, т.к. разжать сжатую файловой системой информацию на другом компьютере невозможно.

В н.в. на рынке программного обеспечения существует ряд продуктов, способных к чтению файловой системы NTFS с жесткого диска Windows ХР машины. Для этого нужно загрузиться с какой-либо иной ОС, обычно с DOS -дискеты или загрузочного компакт-диска, а по­том, поставив специальный драйвер, перейти к работе нужного тома с NTFS. Также можно использовать другой компьютер с установленной Windows XP. Данное программное обеспечение позволяет не обращать внимания на права доступа и работать с NTFS также прозрачно и небезопасно, как с FAT. Это означает, что вся система безопасности обходится. И человек, имеющий доступ к ком­пьютеру, а также имеющий возможность произвести загрузку с компакт-диска или дискеты, потенциально способен на обход любой системы безопасности NTFS.

Режим Разрешить индексирование диска для быстрого поиска отвечает за работу системы поиска по файлам на диске, по умол­чанию он включен.

Одно из важнейших свойств NTFS – самовосстановление. При неожиданном сбое системы информация о структуре папок и файлов на томе FAT может быть утеряна. NTFS протоколирует все вносимые изменения, что позволяет избежать разрушения данных о структуре тома (в некоторых случаях данные файлов могут быть утеряны).

Способность самовосстановления и поддержка целостности реализуется за счет использования протокола выполняемых действий и ряда других механизмов. NTFS рассматривает каждую операцию, модифицирующую системные файлы на NTFS -томах, как транзакцию [2] и сохраняет информацию о такой транзакции в протоколе. Начатая транзакция может быть либо полностью завершена (commit), либо откатывается (rollback). В последнем случае NTFS -том возвращается в состояние, предшествующее началу транзакции. Для того чтобы управлять транзакциями, NTFS записывает все операции, входящие в транзакцию, в файл протокола, перед тем как осуществить запись на диск. После того как транзакция завершена, все операции выполняются. Таким образом, под управлением NTFS не может быть незавершенных операций. В случае дисковых сбоев незавершенные операции отменяются.

Под управлением NTFS также выполняются операции, позволяющие определять дефектные кластеры и отводить новые кластеры для файловых операций. Этот механизм называется cluster remapping. NTFS, по сравнению с FAT, поддерживает ряд дополнительных возможностей, основные из них:

- защита файлов и каталогов;

- сжатие файлов;

- поддержка многопоточных файлов;

- отслеживание связей;

- дисковые квоты;

- шифрование;

- точки повторной обработки;

- точки соединения;

- теневые копии.

Защита файлов и папок. Структурой NTFS предусмотрено хранение для каждого файла и каждой папки специального блока безопасности, который содержит следующую информацию:

- идентификатор (имя) пользователя, создавшего файл;

- список контроля доступа, в котором перечислены разрешения доступа к файлу или папке для пользователей и групп;

- системный список контроля доступа, в котором перечислено, какие действия (например, чтение, запись и т.п.) для каких пользователей и групп необходимо фиксировать в журнале аудита.

Это позволяет операционной системе: обеспечивать разграничение доступа к файлам и папкам и фиксировать действия, выполняемые пользователями над объектами. Поскольку на томах FAT подобная информация не хранится, то защита файлов и папок на них не осуществляется.

Сжатие файлов и каталогов. NTFS обеспечивает динамическое сжатие файлов и каталогов. Сжатие является атрибутом файла или каталога, который можно снять или установить. Сжатие возможно только на разделах, размер блока которых не превышает 4096 байтов. Если каталог имеет атрибут сжатый (compressed), все файлы, копируемые в него, тоже получат этот атрибут. Производительность компьютера при использовании сжатых файлов возрастает до 50% в зависимости от типа хранимых данных. Такой результат достигается за счет повышения загрузки процессора в 3-5 раз. Однако на больших (более 4 Гб) разделах и на отказоустойчивых томах производительность заметно снижается. Поэтому рекомендуется использовать функцию сжатия на небольших томах в компьютерах с быстрыми процессорами или в многопроцессорных системах.

Многопоточные файлы. Например, нужно иметь две версии текста контракта: одну на русском, другую на языке, приемлемом для фирмы. Можно создать несколько разных версий файлов и пересылать их вместе, но удобнее использовать специальную версию текстового процессора, в меню которого можно указать желаемый язык документа, и он будет извлечен из одного общего файла. Для реализации такой функциональности применяются именованные потоки NTFS. При создании нового файла (например, текстовым редактором), данные по умолчанию заносятся в неименованный поток файла.

Однако у того же файла могут быть и именованные потоки, которые записываются следующим образом: файл.txt: первый поток; файл.txt: второй поток; файл.txt: третий поток. В каждый из этих потоков заносится своя информация. Именованные потоки используются только на NTFS. При копировании многопоточного файла на диск, отформатированный под FAT, операционная система предупредит о потере данных; при копировании посредством командной строки скопирован будет только неименованный поток и система не предупредит о потере данных.

Отслеживание связей. Ярлыки играют важную роль организации доступа пользователя к программам и файлам. Однако они имеют и недостатки, одним из которых является нарушение связи между ярлыком и соответствующим ему ресурсом, если ресурс переносится в другое место или переименовывается. В Windows XP / Windows 2003 работает служба отслеживания изменившихся связей (Distributed Link Tracking), позволившая приложениям находить ресурс, соответствующий данному ярлыку, и связи OLE даже в случае, если этот ресурс был переименован или перенесен в другое место дерева папок.

Каждая связь состоит из двух частей – клиента и источника. Например, если документ Word содержит связь OLE с электронной таблицей Excel, сам документ является клиентом связи, а электронная таблица – источником связи. Служба отслеживания восстанавливает разрушенную связь в случаях, если:

- источник связи был переименован;

- источник связи был перемещен с одного тома NTFS 5.0 на другой в пределах одного компьютера;

- источник связи был перемешен с тома NTFS 5.0 одного компьютера на том NTFS 5.0 другого компьютера;

- том NTFS 5.0 с источником связи был физически перемещен с одного компьютера на другой компьютер в пределах одного домена;

- компьютер, на котором находится том NTFS 5.0 с источником связи, был переименован, но остался в том же домене;

- изменилось имя общего ресурса, где находится файл-источник связи, и образовалась любая комбинация описанных выше случаев.

Отслеживаются только источники связей, находящиеся на томах NTFS 5.0. Если источник перемещен в другую файловую систему, то попытки отследить изменившуюся связь будут предприняты, но вероятность успешного результата мала. Если источник опять будет перенесен в NTFS 5.0, связь будет восстановлена. В текущей версии NTFS 5.0 во время работы службы отслеживания связей, тома NTFS 5.0 не могут быть блокированы. Поэтому для них нельзя выполнить такие операции, как форматирование или запуск утилиты chkdsk /f. Выполнять подобные операции можно только после остановки работы службы отслеживания связей.

Квоты дискового пространства. В случае одновременной работы нескольких пользователей возникают ситуации учета дискового пространства, занятого их файлами. Ситуация разрешается с помощью введения квот на дисковое пространство, доступное для работы каждому пользователю. Администратор может квотировать дисковое пространство по каждому тому и для каждого пользователя. (Нельзя задать квоту для подкаталога или для группы.). Windows учитывает пространство, занимаемое файлами, владельцем которых является контролируемый пользователь: если пользователь владеет файлом, размер последнего добавляется к общей сумме занимаемого пользователем дискового пространства. Поскольку квотирование выполняется по каждому тому, то не имеет значение, находятся ли тома на одном физическом диске или на различных устройствах.

После установки квот дискового пространства пользователь может хранить на томе ограниченный объем данных, в то время как на этом томе может оставаться свободное пространство. Если пользователь превышает выданную ему квоту, в журнал событий вносится соответствующая запись. Затем, в зависимости от конфигурации системы, пользователь либо сможет записать информацию на том (более мягкий режим), либо ему будет отказано в записи из-за отсутствия свободного пространства. Устанавливать и просматривать квоты на диске можно только в разделе с NTFS 5.0 и при наличии необходимых полномочий (задаваемых с помощью локальных или доменных групповых политик) у пользователя, устанавливающего квоты.

Точки повторной обработки (reparse points). Точки позволяют выполнять при открытии папки или файла заранее созданный программный код. Точка повторной обработки – это контролируемый системой атрибут, который может быть ассоциирован с папкой или файлом. Значением атрибута являются задаваемые пользователем данные, максимальный размер которых может достигать 16 Кбайт. Они представляют собой 32-разрядный ярлык (определяемый Microsoft), указывающий, какой фильтр файловой системы должен быть извещен о попытке получения доступа к данной папке или файлу. Фильтр выполняет заранее определенный код, предназначенный для управления процессом доступа. Поскольку размер данных атрибута точки повторной обработки может достигать 16 Кбайт, помимо ярлыка в атрибуте можно сохранить информацию, имеющую значение для соответствующего фильтра. Фильтр файловой системы может полностью изменить способ отображения данных файла. Поэтому фильтры устанавливаются только администраторами системы. Если по каким-либо причинам система не может найти фильтр, соответствующий определенному ярлыку повторной обработки, доступ к папке или файлу не будет предоставлен, однако они могут быть удалены. Точки повторной обработки используются при создании соединений папок NTFS, позволяющих перенаправлять запрос к папке или файлу в другое место файловой системы.

Точки соединения NTFS. Точки соединения NTFS (junction point) представляют собой новое средство, позволяющее отображать целевую папку в пустую, находящуюся в пространстве имен файловой системы NTFS 5.0 локального компьютера. Целевой папкой может служить любой допустимый путь Windows. Точки соединения поддерживаются только в NTFS 5.0 и служат для создания общего пространства имен хранения информации. Точки соединения прозрачны для приложений. Исключение составляет случай, когда информация об определенной точке соединения необходима программе для работы. Прозрачность означает, что приложение или пользователь, осуществляющий доступ к локальной папке NTFS, автоматически перенаправляются к другой папке. Доступ к локальным томам файловой системы, подключенным с помощью точки соединения, может быть получен даже в случае, если томам не присвоены имена.

Шифрование данных. Шифрование обеспечивается дополнительным компонентом операционной системы «Шифрованной файловой системой» (Encrypted File System, EFS), который представляет собой серьезный механизмом защиты данных, поскольку зашифрованные данные могут быть доступны только пользователю, имеющему специальный ключ для расшифровки. EFS обеспечивает следующие функции:

- прозрачное шифрование – шифрование/расшифровка происходят прозрачно при чтении или записи файла на диск и не требуют от владельца файла расшифровывать/зашифровывать файл при каждом к нему обращении;

- защита ключей шифрования – в EFS ключи, используемые для шифрования файла, зашифрованы наиболее эффективным открытым ключом сертификата пользователя (стандарт Х.509 v3), который хранится вместе со списком зашифрованных уникальных ключей, использованных для шифрования файла; для расшифровки этих ключей владелец файла использует свой закрытый ключ;

- восстановление данных – если закрытый ключ владельца не доступен, агент восстановления откроет файл своим закрытым ключом; в системе может быть несколько агентов восстановления, каждый со своим открытым ключом, но для восстановления файла, при его шифровании должен существовать и использоваться минимум один открытый ключ восстановления;

- безопасные временные и страничные файлы – в связи с тем, что многие приложения в процессе редактирования документов создают временные файлы, система EFS шифрует временные копии зашифрованного файла; EFS располагается в ядре операционной системы Windows и хранит ключи шифрования в невыгружаемом пуле, что позволяет предотвратить их копирование в страничный файл.

Теневые копии. Служба теневого копирования реализуется только на томах NTFS -формата и позволяет создавать копии томов по расписанию, она создает мгновенные снимки состояния томов, обеспечивая архивацию файлов. Благодаря такой технологии пользователь быстро восстанавливать удаленные файлы или старые версии файлов.

Windows XP содержит утилиту CONVERT.EXE, которая преобразует тома FAT или FAT32 в эквивалентные тома NTFS. Также преобразовать файловую систему в NTFS можно при установке Windows XP, положительно ответив на вопрос о преобразовании в процессе установки.

 

Размеры кластеров на томах NTFS

 

№ п/п Размер тома (Мб) Размер кластера
  512 Мб и менее 512 байт
  513 - 1024 Мб 1 Кб
  1025 -2048 Мб 2 Кб
  более 2048 Мб (2 Гб) 4 Кб

 

 



Дата добавления: 2014-12-19; просмотров: 96 | Поможем написать вашу работу | Нарушение авторских прав


lektsii.net - Лекции.Нет - 2014-2024 год. (0.01 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав