Информационная безопасность / Общий_лекция
.pdf431
Windows 2000 поддерживает следующие файловые системы: FAT, FAT32 и NTFS. В данной главе содержатся краткие обзорные сведения об этих файловых системах. На выбор файловой системы оказывают влияние следующие факторы:
·Цель, для которой предполагается использовать компьютер;
·Аппаратная платформа;
·Количество жестких дисков и их объем;
·Требования к безопасности;
·Используемые в системе приложения;
Windows 2000 поддерживает распределенную файловую систему
(Distributed File System, DFS) и шифрующую файловую систему (Encrypting File System, EFS). Хотя DFS и EFS и названы "файловыми системами", они не являются таковыми в строгом понимании этого термина. Так, DFS представляет собой расширение сетевого сервиса, позволяющее объединить в единый логический том сетевые ресурсы, расположенные в разделах с различными файловыми системами. DFS развертывается только на Windows 2000 Server. Что касается EFS, то это — надстройка над NTFS, которая дополняет NTFS возможностями шифрования данных. EFS может использоваться на всех системах Windows 2000.
5.5.1. Особенности файловых систем FAT и FAT32
FAT (чаще всего под FAT подразумевается FAT16) представляет собой простую файловую систему, разработанную для небольших дисков и простых структур каталогов. Ее название происходит от названия метода, применяемого для организации файлов — таблица размещения файлов (File Allocation Table, FAT). Эта таблица размещается в начале тома. В целях защиты тома на нем хранятся две копии FAT. В случае повреждения первой копии FAT дисковые утилиты (например, Scandisk) могут воспользоваться второй копией для восстановления тома. Таблица размещения файлов и корневой каталог должны располагаться по строго фиксированным адресам, чтобы файлы, необходимые для запуска системы, были размещены корректно.
По принципу построения FAT похожа на оглавление книги, т. к. операционная система использует ее для поиска файла и определения кластеров, которые этот файл занимает на жестком диске. Изначально компания Microsoft разработала FAT для управления файлами на дискетах, и только затем приняла ее в качестве стандарта для управления дисками в MSDOS. Сначала для дискет и небольших жестких дисков (менее 16 Мбайт)
432
использовалась 12-разрядная версия FAT (так называемая FAT12). В MSDOS v. 3.0 была введена 16-разрядная версия FAT для более крупных дисков. К настоящему моменту FAT 12 применяется на носителях очень малого объема (или на очень старых дисках). Например, все 3,5-дюймовые дискеты емкостью 1,44 Мбайт форматируются для FAT16, а все 5,25-дюймовые — для FAT12.
Том, отформатированный под FAT12 и FAT16, размечается по кластерам. Стандартный размер кластера, устанавливаемый по умолчанию, определяется размером тома (более подробная информация о размерах кластеров приведена далее в этой главе). Таблица расположения файлов и ее резервная копия содержат следующую информацию о каждом кластере тома:Unused (кластер не используется).
Cluster in use by a file (кластер используется файлом).
Bad cluster (плохой кластер).
Last cluster in a file (последний кластер файла).
Корневая папка содержит записи для каждого файла и каждой папки, расположенных в корневой папке. Единственным отличием корневой папки от остальных является то, что она занимает четко определенное место на диске и имеет фиксированный размер (не более 512 записей для жесткого диска; для дискет этот размер определяется их объемом).
Папки содержат 32-байтные записи для каждого содержащегося в них файла и каждой вложенной папки. Эти записи содержат следующую информацию:Имя (в формате 8.3).
Байт атрибутов (8 бит полезной информации, которая подробно описана ниже).
Время создания (24 бит).Дата создания (16 бит).
Дата последнего доступа (16 бит).Время последней модификации (16 бит).Дата последней модификации (16 бит).
Номер начального кластера файла в таблице расположения файлов (16 бит).
Размер файла (32 бита).
Структура папки FAT не имеет четкой организации, и файлам присваиваются первые доступные адреса кластеров на томе. Номер начального кластера файла представляет собой адрес первого кластера, занятого файлом, в таблице расположения файлов. Каждый кластер содержит указатель на следующий кластер, использованный файлом, или индикатор (OxFFFF), указывающий, что данный кластер является последним кластером файла.
433
Информация папок используется операционными системами, поддерживающими файловую систему FAT. Кроме того, Windows 2000 может хранить в записи папки дополнительную временную информацию (time stamps). Эти дополнительные временные атрибуты указывают, когда файл был создан и когда к нему в последний раз предоставлялся доступ. Главным образом, дополнительные атрибуты используются приложениями POSIX.Файлы на дисках имеют 4 атрибута, которые могут сбрасываться и устанавливаться пользователем — Archive (архивный), System (системный), Hidden (скрытый) и Read-only (только чтение).
ВWindows NT, начиная с версии 3.5, файлы, созданные или переименованные на томах FAT, используют биты атрибутов для поддержки длинных имен файлов методом, не вступающим в конфликт с методами доступа к тому, используемыми операционными системами MS-DOS и OS/2. Для файла с длинным именем Windows NT/2000 генерирует короткое имя в формате 8.3. Кроме этого стандартного элемента Windows NT/2000 создает для файла одну или несколько дополнительных записей, по одной на каждые 13 символов длинного имени. Каждая из этих дополнительных записей содержит соответствующую часть длинного имени файла в формате Unicode. Windows NT/2000 устанавливает для дополнительных записей атрибуты тома, а также скрытого системного файла, предназначенного только для чтения, чтобы пометить их как части длинного имени файла. MSDOS и OS/2 обычно игнорируют записи папок, для которых установлены все эти атрибуты, поэтому такие записи для них невидимы. Вместо этого MSDOS и OS/2 получают доступ к файлу по стандартному короткому имени файла в формате 8.3.
Windows NT, начиная с версии 3.5, поддерживает длинные имена файлов на томах FAT. Эту устанавливаемую по умолчанию опцию можно отключить, задав значение 1 для параметра реестра Win31 FileSystem, входящего в состав следующего ключа реестра:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlFileSystem.
Установка этого значения не позволит Windows NT создавать на томах FAT файлы с длинными именами, но не повлияет на уже созданные длинные имена.
ВWindows NT/2000 FAT16 работает точно так же, как и в MS-DOS, Windows 95/98. Поддержка этой файловой системы была включена в Windows 2000, поскольку она совместима с большинством операционных систем других фирм-поставщиков программного обеспечения. Помимо этого, применение FAT16 обеспечивает возможность обновления более ранних версий операционных систем семейства Windows до Windows 2000.
434
32-разрядная файловая система FAT32 была введена с выпуском Windows 95 OSR2 и поддерживается в Windows 98 и Windows 2000. Она обеспечивает оптимальный доступ к жестким дискам, CD-ROM и сетевым ресурсам, повышая скорость и производительность всех операций ввода/вывода. FAT32 представляет собой усовершенствованную версию FAT, предназначенную для использования на томах, объем которых превышает 2 Гбайт.
Том, отформатированный для использования FAT32, как и том FAT16, размечается по кластерам. Размер кластера по умолчанию определяется размером тома. В табл. 10.1 приведено сравнение размеров кластеров для FAT16 и FAT32 в зависимости от размера диска.
Таблица 10.1. Размеры кластеров по умолчанию для FAT16 и FAT32
Для обеспечения максимальной совместимости с существующими прикладными программами, сетями и драйверами устройств, FAT32 была реализована с минимумом возможных изменений в архитектуре и внутренних структурах данных. Все утилиты Microsoft, предназначенные для работы с дисками (Format, Fdisk, Defrag и ScanDisk), были переработаны для обеспечения поддержки FAT32. Кроме того, Microsoft проводит большую работу по поддержке ведущих фирм-производителей драйверов устройств и утилит для работы с диском, чтобы помочь и в обеспечении поддержки FAT32 в их продуктах. В табл. 10.2 сделана попытка сравнения характеристик FAT16 и FAT32. FAT16 FAT32
Поддерживается большинством операционных систем, в том числе MS-DOS, WINDOWS 98, WINDOWS NT, OS/2 и UNIX Поддерживается операционными системами WINDOWS 98, WINDOWS 95 OSR2 и
WINDOWS 2000
435
Эффективна только на логических дисках, размер которых не превышает 256
Мбайт |
Не поддерживаются диски, размер которых меньше 512 Мбайт |
|
Поддерживает сжатие диска с помощью таких утилит, как Drvspace |
Не |
|
поддерживается сжатие диска |
|
|
Ограничена по размеру 65525 кластеров. Каждый кластер имеет фиксированный размер в зависимости от размера логического диска. Ограничения по количеству кластеров и их размеру (32 Кбайта) приводят к общему ограничению размера диска (не более 2 Гбайт). Имеет ограничение по количеству файлов и папок, которые могут содержаться в корневом каталоге. Максимальный размер кластера – 32 Кбайта, максимальный размер диска – 2 Тбайта
FAT32 обеспечивает следующие преимущества по сравнению с прежними реализациями FAT:
Поддержка дисков размером до 2 Гбайт. Следует, правда, отметить, что команда format, включенная в Windows 2000, не позволяет форматировать для использования FAT32 тома, размер которых превышает 32 Гбайт. Поэтому при форматировании томов объемом более 32 Гбайт следует использовать файловую систему NTFS. Однако драйвер FASTFAT, имеющийся в составе Windows 2000, позволяет монтировать и поддерживать любые тома FAT32, в том числе и такие, объем которых превышает 32 Гбайт. За исключением упомянутого выше ограничения FAT32 в Windows 2000 работает точно так же, как в Windows 95 OSR2 и Windows 98.
Более эффективное расходование дискового пространства. FAT32 использует более мелкие кластеры (см. табл. 1.1), что позволяет повысить эффективность использования дискового пространства на 10—15% по сравнению с FAT.
Повышенная надежность и более быстрая загрузка программ. В отличие от FAT12 и FAT16, FAT32 обладает возможностью перемещать корневой каталог и использовать резервную копию FAT, если первая копия получила повреждения. Кроме того, загрузочный сектор FAT32 был расширен по сравнению с FAT16 и содержит резервные копии жизненно важных структур данных. Повышенная устойчивость FAT32 обусловлена именно этими факторами.
5.5.2. Файловая система NTFS
Файловая система Windows NT (NTFS) обеспечивает такое сочетание производительности, надежности и эффективности, которое невозможно предоставить с помощью любой из реализаций FAT (как FAT16, так и FAT32). Основными целями разработки NTFS являлись обеспечение
436
скоростного выполнения стандартных операций над файлами (включая чтение, запись, поиск) и предоставления дополнительных возможностей, включая восстановление поврежденной файловой системы на чрезвычайно больших дисках.
Файловая система NTFS может теоретически поддерживать жесткие диски объемом до 16 эксабайт (1024 петабайт = 2**60 байт), но поскольку таблицы разделов базовых дисков (дисков, включающих главную загрузочную запись) поддерживают только разделы размером до 2 ТБ, вам потребуется использовать динамические тома для создания разделов NTFS, превышающих 2 ТБ. Максимальный размер тома и раздела начинается с 2 ТБ и достигает почти 16 ТБ, в зависимости от того, какой том используется - базовый или динамический и форматировался ли он с помощью стандартных единичных блоков размером 4 КБ.
NTFS обладает характеристиками защищенности, поддерживая контроль доступа к данным и привилегии владельца, играющие исключительно важную роль в обеспечении целостности жизненно важных конфиденциальных данных. Папки и файлы NTFS могут иметь назначенные им права доступа вне зависимости от того, являются они общими или нет. NTFS — единственная файловая система в Windows NT/2000, которая позволяет назначать права доступа к отдельным файлам. Однако если файл будет скопирован из раздела или тома NTFS в раздел или на том FAT, все права доступа и другие уникальные атрибуты, присущие NTFS, будут утрачены.
Файловая система NTFS, как и FAT, в качестве фундаментальной единицы дискового пространства использует кластеры. В NTFS размер кластера по умолчанию (когда он не задается ни командой Format, ни в оснастке управление дисками) зависит от размера тома. Если для форматирования тома NTFS используется утилита командной строки Format, то нужный размер кластера можно указать в качестве параметра этой команды. Размеры кластеров по умолчанию приведены в табл. 10.3.
Таблица 10.3. Зависимость размера кластера по умолчанию от размера
раздела для NTFS
Размер кластера |
Количество секторов кластере |
Размер кластера |
|
До 512 Мбайт включительно |
1 |
512 байт |
|
513 – 1024 Мбайт (1 Гбайт) |
2 |
1 Кбайт |
|
10252048 Мбайт (2 Гбайт) |
4 |
2 Кбайт |
|
20494096 Мбайт (4 Гбайт) |
8 |
4 Кбайт |
|
|
437 |
|
40978192 Мбайт (8 Гбайт) |
16 |
8 Кбайт |
819316 384 Мбайт (16 Гбайт) |
32 |
16 Кбайт |
16 38532 768 Мбайт (32 Гбайт) |
64 |
32 Кбайт |
От 32 678Мбайт |
128 |
64 Кбайт |
Основную информацию о томе NTFS содержит загрузочный сектор раздела (Partition Boot Sector), который начинается с сектора 0 и может иметь длину до 16 секторов. Он состоит из двух структур:
Блок параметров BIOS. Эта структура содержит информацию о строении тома и структурах файловой системы.
Код, описывающий, как найти и загрузить файлы для любой из установленных на компьютере операционных систем. Для систем Windows NT/2000, установленных на компьютерах х86, этот код вызывает загрузку
NTLDR.
Форматирование тома для NTFS приводит к созданию нескольких системных файлов и главной таблицы файлов (Master File Table, MFT). MFT содержит информацию обо всех файлах и папках, имеющихся на томе NTFS.
NTFS — это объектно-ориентированная файловая система, которая обрабатывает все файлы как объекты с атрибутами. Практически все объекты, существующие на томе, представляют собой файлы, а все что имеется в файле, представляет собой атрибуты — включая атрибуты данных, атрибуты системы безопасности, атрибуты имени файла. Каждый занятый сектор на томе NTFS принадлежит какому-нибудь файлу. Частью файла являются даже метаданные файловой системы (информация, которая представляет собой описание самой файловой системы).
В Windows 2000 была введена новая версия NTFS — NTFS 5.0. Новые структуры данных, появившиеся в составе этой реализации, позволяют использовать новые возможности Windows 2000, например, квоты на использование диска для каждого пользователя, шифрование файлов, отслеживание ссылок, точки перехода (junction points), встроенные наборы свойств (native property sets). Кроме того, добавлять дополнительное дисковое пространство к томам NTFS 5.0 можно без перезагрузки. Новые возможности NTFS 5.0 приведены в табл. 10.4. Таблица 10.4. Дополнительные возможности, обеспечиваемые NTFS 4 и NTFS 5 NTFS — наилучший выбор для работы с томами большого объема. При этом следует учесть, что если к системе предъявляются повышенные требования (к числу которых относятся обеспечение безопасности и использование эффективного алгоритма сжатия), то часть из них можно реализовать только с помощью NTFS. Поэтому в ряде случаев нужно использовать NTFS даже на небольших томах.
438
В приведенной ниже таблице (табл. 10.5) собраны данные о совместимости файловых систем NTFS и FAT, а также ограничения, налагаемые на каждую из этих файловых систем.
Таблица 10.5. Поддержка файловых систем операционными системами
Тема 4.3. Особенности защита файловой системы и паролей в современных операционных системах
1.Защита файлов в в WINDOWS 2000
2.Защита паролей в Windows 2000
1. Защита файлов в WINDOWS 2000
1.1. Разрешения для файлов и папок
439
Устанавливая пользователям, определенные разрешения для файлов и каталогов (папок), администраторы системы могут защищать конфиденциальную информацию от несанкционированного доступа. Каждый пользователь должен иметь определенный набор разрешений на доступ к конкретному объекту файловой системы. Кроме того, он может быть владельцем файла или папки, если сам их создает. Администратор может назначить себя владельцем любого объекта файловой системы (файла или папки). Cследует, однако, помнить, что обратная передача владения от администратора к пользователю невозможна. Администратор должен зарегистрироваться в системе под именем того пользователя, которому он хочет передать владение файлом или папкой, а затем стать владельцем нужного объекта.
Разрешения пользователя на доступ к объектам файловой системы работают по принципу дополнения (аддитивности). Это значит, что действующие разрешения, то есть те разрешения, которые пользователь реально имеет в отношении конкретного каталога или файла, образуются из всех прямых и косвенных разрешений, назначенных пользователю для данного объекта с помощью логической функции ИЛИ. Например, если пользователь имеет прямо назначенное разрешение для каталога на чтение, а косвенно через членство в группе ему дано разрешение на запись, то в результате пользователь сможет читать информацию в файлах каталога и записывать в них данные. Следует все же заметить, что правило сложения разрешений с помощью логического ИЛИ не выполняется, когда пользователь имеет определенное разрешение, а группе, в которую он входит, отказано в этом разрешении (или наоборот). В этом случае отказ в разрешении имеет более высокий приоритет над предоставлением разрешения, т. е. в результате пользователь не будет иметь данного разрешения. Появление возможности отказа пользователю или группе в разрешении для файлов и каталогов сделало ненужным разрешение No Access, применявшееся в Windows NT 4.0. Теперь для отказа пользователю в разрешении на доступ к какому-либо файлу или папке следует включить пользователя в группу, которой отказано в разрешении Полный доступ (Full Control) для данного объекта файловой системы.
ПРИМЕР. Назначения разрешений для файлов Для назначения пользователю или группе разрешения на доступ к определенному файлу:
1. Укажите файл мышью и нажмите правую кнопку. Выберите команду Свойства (Properties) контекстного меню. В появившемся окне свойств файла перейдите на вкладку Безопаcность
440
2. В группе Имя (Name) показан список пользователей и групп, которым уже предоставлены разрешения для данного файла. Для того чтобы добавить или удалить пользователей или группы, нажмите кнопку Добавить (Add) или Удалить (Remove). При добавлении пользователей появится окно диалога Выбор: Пользователи, Компьютеры, или Группы (Select Users, Computers, or Groups).
3.Выделите нужный объект в группе Имя и нажмите кнопки Добавить (Add) и ОК, чтобы вернуться на вкладку Безопасность.
4. В группе Разрешения (Permissions) можно назначить или запретить стандартные разрешения для файлов — Полный доступ (Full Control), Изменить (Modify), Чтение и выполнение (Read&Execute), Чтение (Read) и Запись (Write). Для получения разрешения или отказа в разрешении служат флажки Разрешить (Allow) и Запретить (Deny). На вкладке также присутствуют кнопка Дополнительно (Advanced) и флажок Переносить наследуемые от родительского объекта разрешения на этот объект (Allow inheritable permissions from parent to propagate to this object).