4.3.1 Windows NT文件系统安全
建立文件权限,必须使用Windows NT的文件系统(NTFS),FAT不支持文件级的权限。
下表是基于文件的权限
NTFS权限
|
基于目录
|
基于文件
|
读取(R)
|
显示目录名、属性、所有者及权限
|
显示文件数据、属性、所有者及权限
|
写入(W)
|
添加文件和目录,改变一个属性以及显示所有者和权限
|
显示所有者和权限,改变文件的属性,在文件内加入数据
|
执行(X)
|
显示属性,可进入目录中的目录,显示所有者和权限
|
显示文件属性、所有者和权限,如果是可执行文件,可运行
|
删除(D)
|
可删除目录
|
可删除文件
|
改变权限(P)
|
改变目录的权限
|
改变文件的权限
|
取得所有权(O)
|
取得目录的所有权
|
取得文件的所有权
|
通常,Windows NT在分配权限的时候,使用组合权限而不是单独的权限。
Windows NT有关权限的标准
标准权限
|
基于目录
|
基于文件
|
不可访问
|
无
|
无
|
列出
|
RX
|
不适用
|
读取
|
RX
|
RX
|
添加
|
WX
|
不适用
|
添加和读取
|
RWS
|
RX
|
更改
|
RWXD
|
RWXD
|
完全控制
|
ALL
|
ALL
|
在这些权限的管理上,可以达到根据需要来控制。但是,确定什么是需要的最小权限是很困难的。默认情况下,everyone组对任何目录拥有完全控制的权限。但是如果不加选择地删除everyone组,可能会损坏系统安装。因为任何用户都是属于everyone组的,并且未登录之前,必须使用everyone组来提供访问。
磁盘分区
因为操作系统的目录权限是非常严格的,因此把Windows NT/2k单独放在一个分区内是明智的选择。在这个分区上只安装Windows,不安装应用程序。
这种策略可能会带来额外的磁盘开销,但是其结果就是易于管理文件和权限。
复制和移动文件
当一个文件被复制到一个新的目录中时,这个文件将继承目标目录的权限。当文件在相同分区内移动,Windows更新对于新目录的目录分配表。当文件在不同分区移动时,Windows首先把这个文件复制到新位置,在复制成功之后,Windows删除原始位置的文件。一个新文件被建立后,继承目标目录的权限。
远程文件访问控制
远程访问一个文件或目录是通过共享权限来提供的。当用户配置共享时,需要设置相应的权限。共享权限类似于NTFS权限,但没有NTFS精细。只能提供不可访问、读取、更改和完全控制的权限。
权限
|
允许
|
完全控制
|
改变文件的权限;在NTFS卷上取得文件的所有权;能够完成所有更改权限所执行的任务
|
更改
|
创建目录和添加文件;更改文件内的数据;更改文件的属性;删除目录和文件;能完成所有读取权限的任务
|
读取
|
显示目录和文件名;显示文件;数据和属性;运行应用程序文件;在目录里可转到另一目录
|
不可访问
|
仅能和共享目录建立连接,拒绝访问,而且目录里的内容不可见
|
结合使用本地和远程权限
Windows 2K
的设计是要综合使用NTFS
和共享权限。Windows 2K作为服务器,用户很少直接访问文件。当结合使用NTFS和共享权限时,更为严格的权限被优先使用。
文件系统是在硬盘上存储信息的格式,每个操作系统都有与之对应的文件系统,它规定了计算机对文件和文件夹进行操作处理的各种标准和机制。用户对文件和文件加的操作都是通过文件系统来完成的。
Windows 2K支持的文件系统包括:
·标准文件系统(FAT):运行Windows NT、95、MS-Dos或OS/2可以存取主分区或者逻辑分区FAT上的文件
·增强的文件分配表(FAT32):在超过512MB的磁盘上极为有效,可以比多创建几百兆的额外空间,更高效地存储数据,消耗更少的资源
·Windows 2K中推荐的文件系统(NTFS)
只有运行Windows NT或更高的系统,才可以存取NTFS上的文件
4.3.2
几种文件系统类型
FAT16文件系统
采用FAT文件系统格式化的卷以簇的形式进行分配。默认的簇大小由卷的大小句顶。对于FAT文件系统,簇树木必须可以用16位的二进制数字表示,并且是2的乘方。
FAT文件系统默认的簇大小
分区大小
|
扇区数/每簇
|
簇大小(字节)
|
0M~32M
|
1
|
512
|
33M~64M
|
2
|
1K
|
65M~128M
|
4
|
2K
|
129M~255M
|
8
|
4K
|
256M~511M
|
16
|
8K
|
512M~1023M
|
32
|
16K
|
1024M~2047M
|
64
|
32K
|
2048M~4095M
|
128
|
64K
|
FAT文件系统最好被用于Windows 95或早期系统上。FAT只能被用于较小的卷上,不计算簇的大小,卷也不能大于4GB。由于FAT16没有安全设置,因此在有安全需求的卷上不推荐使用。
FAT32文件系统
FAT32提供了比FAT16更为先进的文件管理特征。支持超过32GB的卷以及使用更小的簇来更有效率地使用磁盘空间。它可以在512MB到2TB的驱动器上使用。
只有Windows 95 OEM Release 2以及更新的系统才能访问FAT32卷,更早的系统既不能访问FAT32卷,也不能从FAT32卷上启动。
在大于2G的分区上使用FAT32文件系统;对于大于32G的分区,建议使用NTFS;FAT32没有安全设置,因此,在有安全要求的文件系统上不推荐使用FAT32。
NTFS文件系统
Windows 2000所推荐使用的NTFS文件系统提供了FAT和FAT32文件系统所没有的、全面的性能,可靠性和兼容性。
在NTFS文件系统中,默认的簇的大小取决于卷的大小。
分区大小(字节)
|
扇区数/每簇
|
簇大小(字节)
|
215M或更小
|
1
|
512
|
513~1024M
|
2
|
1k
|
1025~2048M
|
4
|
2K
|
2049~4096M
|
8
|
4K
|
4097~8192M
|
16
|
8K
|
8193~16384M
|
32
|
16K
|
16385~32768M
|
64
|
32K
|
>32769M
|
128
|
64K
|
Windows 2000中使用的NFTS支持以下特性
·活动目录 使网络管理者和网络用户可以方便灵活地查看和控制网络资源
·域 是活动目录的一部分,兼顾管理的简单性和网络的安全性
·文件加密 能够大大提高信息的安全性
·稀松文件 生成一种尺寸非常大,但占用空间很少的文件,只有实际写入才分配磁盘空间
·其它的数据存储模式
·磁盘活动的恢复日志 帮助用户在电源失效或其他故障时快速恢复信息
·磁盘配额 控制每个用户所能使用的最大磁盘空间
·对于大容量驱动器的良好扩展性
·更为安全的文件
·更好的磁盘压缩性能
·支持最大达2TB的大硬盘
·双重启动配置
DFS(分布式文件系统)
DFS在NT 4中已经存在,但在Windows 2k中得到增强,可以把文件组织成树状结构,便于用户访问网络资源,加强容错能力和负载均衡等。
DFS的安全性在于,让所有的文件和文件夹看起来都像是在一台服务器上,这一伪装使得黑客难以确定该文件的实际位置。