第6章 NTFS磁盘的安全与管理.ppt

2020年2月14日 第4章利用NTFS实现文件系统的安全 4 1文件系统的概述4 1 1FAT文件系统4 1 2FAT32文件系统4 1 3NTFS文件系统4 1 4NTFS与FAT文件系统的区别4 2NTFS文件系统4 2 1NTFS磁盘结构4 2 2NTFS权限的设置4 2 3NTFS权限的应用规则 4 2 4NTFS所有权4 2 5NTFS压缩4 2 6加密文件系统EFS 第4章利用NTFS实现文件系统的安全 续 本章提要 文件系统的概述各种NTFS权限及其所有权NTFS权限的设置方法NTFS压缩的方法加密文件系统的实现 基本内容 文件系统是任何操作系统最显而易见的组成部分 大多数操作系统把可由用户命名的对象称做文件 不同的操作系统都有其独特的文件类型 WindowsServer2008使用独有的NTFS文件类型在文件系统的安全方面提供了强大的功能 本章将介绍WindowsServer2008中有关文件系统方面的内容 主要介绍文件系统的基本概念 NTFS文件系统与FAT文件系统的区别 NTFS文件系统在安全方面的特性 以及如何在WindowsServer2008中配置NTFS的权限 最后将介绍实现加密文件系统的方法 4 1文件系统的概述 所谓文件系统 是操作系统在存储设备上保存封包的数据所用的结构和机制 用户在安装WindowsServer2008之前 应该先决定选择的文件系统 WindowsServer2008支持使用NTFS文件系统和文件分配表文件系统 FAT或FAT32 本节以下内容将对这3种文件系统进行简单介绍 4 1 1FAT文件系统FAT FileAllocationTable 是 文件分配表 的意思 其意义在于对硬盘分区的管理 FAT文件系统最初用于小型磁盘和简单文件结构的简单文件系统 FAT文件系统得名于它的组织方法 放置在卷起始位置的文件分配表 4 1 1FAT文件系统 为了保护卷 使用了两份复制 即使损坏了一份也能确保正常工作 另外 为确保正确装卸启动系统所必须的文件 文件分配表和根文件夹必须存放在固定的位置 采用FAT文件系统格式化的卷以簇的形式进行分配 默认的簇大小由卷的大小决定 对于FAT文件系统 簇数目必须可以用16位的二进制数字表示 并且是2的乘方 默认的簇大小如表4 2所示 4 1 1FAT文件系统 续 4 1 1FAT文件系统 续 需要注意的是 FAT文件系统最好用在较小的卷上 因为 在不考虑簇大小的情况下 使用FAT文件系统卷不能大于4GB 4 1 1FAT32文件系统 4 1 2FAT32文件系统FAT32文件系统提供了比FAT文件系统更为先进的文件管理特性 与FAT16相比 FAT32主要具有以下特点 1 与FAT16相比FAT32最大的优点是可以支持的磁盘容量达到2TB 2048GB 但是不能支持小于512MB的分区 4 1 2FAT32文件系统 2 由于采用了更小的簇 FAT32文件系统可以更有效地保存信息 4 1 2FAT32文件系统 续 3 FAT32文件系统可以重新定位根目录和使用FAT的备份副本 另外FAT32分区的启动记录包含在一个含有关键数据的结构中 减少了计算机系统崩溃的可能性 注意 由于这种格式的文件系统增加了在系统重新启动时WindowsServer2008计算机引导卷中闲置空间的时间 因此 在WindowsServer2008中不支持用户使用格式化程序来创建超过32GB的FAT32卷 4 1 2FAT32文件系统 续 4 1 3NTFS文件系统WindowsServer2008推荐使用NTFS文件系统 并且其系统安装盘必须使用NTFS文件系统 WindowsServer2008提供了FAT和FAT32文件系统所没有的 全面的性能 可靠性和兼容性 类似于FAT文件系统 NTFS文件系统使用簇作为磁盘分配的基本单元 在NTFS文件系统中 默认的簇大小取决于卷的大小 4 1 3NTFS文件系统 4 1 3NTFS文件系统 续 4 1 3NTFS文件系统 续 NTFS文件系统是一个基于安全性的文件系统 它是建立在保护文件和目录数据基础上 同时照顾节省存储资源 减少磁盘占用量的一种先进的文件系统 NTFS5 0的特点主要体现在以下几个方面 1 NTFS可以支持的分区容量可以达到2TB 如果是FAT32文件系统 支持分区的容量最大为32GB 2 NTFS是一个可恢复的文件系统 3 NTFS支持对分区 文件夹和文件的压缩 4 NTFS采用了更小的簇 可以更有效率地管理磁盘空间 4 1 3NTFS文件系统 续 5 在NTFS分区上 可以为共享资源 文件夹以及文件设置访问许可权限 6 在WindowsServer2008的NTFS文件系统下可以进行磁盘配额管理 7 NTFS使用一个 变更 日志来跟踪记录文件所发生的变更 注意 只有在NTFS文件系统中用户才可以使用诸如 活动目录 和基于域的安全策略等重要特性 NTFS的主要弱点是它只能被WindowsNT 2000 XP WindowsServer2003 WindowsVista以及WindowsServer2008所识别 因此如果使用双重启动配置 则可能无法从计算机上的另一个操作系统访问NTFS分区上的文件 所以 需要注意的是 如果要使用双重启动配置 FAT32或者FAT文件系统将是更适合的选择 4 1 3NTFS文件系统 续 WindowsServer2008的系统盘必须是NFTF格式 并且安装WindowsServer2008的用户建议使用NTFS文件系统 NTFS具有FAT文件系统的所有基本功能 以下介绍FAT或FAT32文件系统所没有的优点 1 更为安全的文件 2 更好的磁盘压缩性能 3 支持最大达2TB的硬盘 4 双重启动配置 4 1 4NTFS与FAT文件系统的区别 只有一种情况用户可能需要使用FAT或FAT32文件系统 就是确有必要配置WindowsServer2008和早期操作系统的双重启动 如表4 5所示比较了每一种文件系统可能的磁盘和文件大小 4 1 4NTFS与FAT文件系统的区别 续 注意 如果用户在安装过程中选择的FAT分区大于2GB 则安装程序自动地把它格式化为FAT32格式 对于大于32GB的卷建议使用NTFS而不是FAT32 4 1 4NTFS与FAT文件系统的区别 续 NTFS的英文全称为 NewTechnologyFileSystem 中文指NT文件系统 在WindowsServer2008中 它在安全性和稳定性方面的优点得到了更好的体现 本节将帮助用户了解NTFS的磁盘结构并利用NTFS实现文件系统的安全性 4 2NTFS文件系统 NTFS是一个比FAT和FAT32复杂得多的文件系统 它在安全性和容错性方面具有很强的功能 本节将对NTFS的磁盘结构进行剖析 1 卷NTFS是以卷为基础的 卷建立在磁盘分区之上 分区是磁盘的基本组成部分 是一个能够被格式化和单独使用的逻辑单元 一个磁盘可以有多个卷 一个卷也可以由多个磁盘组成 4 2 1NTFS磁盘结构 例如 一个36GB硬盘的3种磁盘配置的如图4 1所示 4 2 1NTFS磁盘结构 续 图4 1硬盘配置方案 2 簇NTFS与FAT一样 使用簇作为磁盘空间分配和回收的基本单位 即一个文件占用若干个整簇 而最后一簇的剩余空间不再使用 NTFS使用逻辑簇号 LCN 和虚拟簇号 VCN 来进行簇的定位 LCN是对整个卷中所有的簇从头到尾所进行的简单编号 卷因子乘以LCN NTFS就能够得到卷上的物理字节偏移量 从而得到物理磁盘地址 4 2 1NTFS磁盘结构 续 3 主控文件表 MFT 文件通过主文件表 MFT 来确定其在磁盘上的存储位置 主文件表是一个对应的数据库 由一系列文件记录组成的 卷中每一个文件都有一个文件记录 对于大型文件还可能有多个记录与之相对应 MFT是NTFS卷结构的核心 是NTFS最重要的系统文件 MFT以文件记录数组实现 每个文件大小为1KB 卷上每个文件 包括MFT本身 都有一行MFT记录 4 2 1NTFS磁盘结构 续 4 文件引用号NTFS卷上的每个文件都有一个64位 bit 称为文件引用号 FileReferenceNumber 也称文件索引号 的唯一标识 文件引用号由两部分组成 一是文件号 二是文件顺序号 5 文件记录NTFS不是将文件仅仅视为一个文本库或二进制数据 而是将文件作为许多属性 属性值的集合来处理 除数据属性外 其他文件属性包括文件名 文件时间标记 文件拥有者等 4 2 1NTFS磁盘结构 续 6 文件名NTFS和FAT路径中的每个文件名 目录名长度可达255个字节 可以包含Unicode字符 多个句点和空格 7 常驻属性和非常驻属性当一个文件很小时 其所有属性和属性值可存放在MFT的文件记录中 当属性值能直接存放在MFT中时 该属性就称为常驻属性 有些属性总是常驻的 这样NTFS才可以确定其他非常驻属性 例如 标准信息属性和根索引就总是常驻属性 4 2 1NTFS磁盘结构 续 8 文件名索引在NTFS中 文件目录仅仅是文件名的一个索引 即为了便于快速访问而用一种特殊的方式组织起来的文件名的集合 要创建一个目录 NTFS应对目录中文件的文件名属性进行索引 4 2 1NTFS磁盘结构 续 1 NTFS权限的含义NTFS权限可以实现高度的本地安全性 通过对用户赋予NTFS权限可以有效地控制用户对文件和文件夹的访问 NTFS分区上的每一个文件和文件夹都有一个列表 称为ACL AccessControlList 访问控制列表 该列表记录了每一用户和组对该资源的访问权限 4 2 2NTFS权限的设置 在新的NTFS5 0中 微软将这些权限进行了升级 在普通权限的基础上进行了加强 称之为特殊权限 在WindowsServer2008中如图4 2所示 4 2 2NTFS权限的设置 续 图4 2NTFS权限 1 遍历文件夹 执行文件 2 列出文件夹 读取数据 3 读取属性 4 读取扩展属性 5 创建文件 写入数据 6 创建文件夹 附加数据 7 写入属性 8 写入扩展属性 4 2 2NTFS权限的设置 续 9 删除 10 读取权限 11 变更权限 12 取得所有权 这些权限设置中比较重要的是变更权限和获得所有权 通常情况下 这两个特殊权限要慎重使用 一旦赋予了某个用户修改权限 便可以改变相应文件或者文件夹的权限设置 同样 一旦赋予了某个用户获得所有权权限 他就可以作为文件的所有者对文件做出查阅并更改 4 2 2NTFS权限的设置 续 2 NTFS权限的设置方法进行NTFS权限设置实际上就是设置 谁 有 什么 权限 如图4 3所示的选项卡上端的窗口和按钮用于选取用户和组账户 解决 谁 的问题 下端的窗口和按钮用于为上面窗口中选中的用户或组设置相应的权限 解决 什么 的问题 4 2 2NTFS权限的设置 续 4 2 2NTFS权限的设置 续 图4 3 属性 对话框的 安全 选项卡 1 添加 删除用户和组单击图4 3中的 编辑 按钮后 在弹出的对话框中单击 添加 按钮将出现如图4 4所示的对话框 在这个对话框中可以直接在文本框中输入用户 账户名称 如图4 4 a 所示 再单击 检查名称 对该名称进行核实 如图4 4 b 所示 4 2 2NTFS权限的设置 续 4 2 2NTFS权限的设置 续 a 直接输入名称 b 核实所输入的名称 图4 4输入名称并核实 如果希望以选取的方式添加用户和组账户名称 可以单击 高级 按钮 在如图4 5所示的对话框中单击 对象类型 按钮缩小搜索账户类型的范围 然后单击 位置 按钮指定搜索账户的位置 然后单击 立即查找 按钮 4 2 2NTFS权限的设置 续 图4 5搜索并选择用户和组账户 此时 在 属性 对话框的 安全 选项卡上端的窗口中已经可以看到新添加的用户和组 如图4 6所示 4 2 2NTFS权限的设置 续 图4 6新添加的用户和组账户名称 2 为用户和组设置权限在如图4 7所示的对话框上端选取一个账户 就可以在下端的窗口中设置相应的NTFS权限 图4 7高级安全设置 4 2 2NTFS权限的设置 续 思考 假设 系统除了管理员用户administrator外 还有两个用户userA和userB 以及相对应的文件夹A和B 如何让文件夹A只能被userA读取 而不能被userB读取 4 2 2NTFS权限的设置 续 1 权限的组合当一个用户属于多个组时 这个用户会得到各个组的累加权限 一旦有一个组的相应权限被拒绝 此用户的此权限也会被拒绝 举例 假设有一个用户Bob 如果Bob属于A和B两个组 A组对某文件有读取权限 B组对此文件有写入权限 Bob自己对此文件有修改权限 那么Bob对此文件的最终权限为 读取 写入 修改 4 2 3NTFS权限的应用规则 2 权限的继承继承就是指新建的文件或者文件夹会自动继承上一级目录或者驱动器的NTFS权限 但是从上一级继承下来的权限是不能直接修改的 只能在此基础上添加其他权限 3 移动和复制操作对权限继承性的影响 1 在同一个分区内移动文件或文件夹时的影响 2 在同一个NTFS分区内复制文件或文件夹时的影响 3 当从NTFS分区向FAT分区中复制或移动文件和文件夹都将导致文件和文件夹的权限丢失 4 2 3NTFS权限的应用规则 续 4 共享权限和NTFS权限的组合权限关于Windows系统共享问题最大的困扰是 NTFS和共享权限都会影响用户访问网络资源的能力 共享权限只有三种 读取 更改和完全控制 WindowsServer2008默认的共享文件设置权限是CreatorOwner 并且没有任何读取权限 WindowsServer2003默认的共享文件设置权限是Everyone 用户只具有读取权限 4 2 3NTFS权限的应用规则 续 1 读取 读取权限是指派给Everyone组的默认权限 查看文件名和子文件夹名 查看文件中的数据 运行程序文件 2 更改 更改权限不是任何组的默认权限 更改权限除允许所有的读取权限外 还增加以下权限 添加文件和子文件夹 更改文件中的数据 删除子文件夹和文件 4 2 3NTFS权限的应用规则 续 3 完全控制 完全控制权限是指派给本机上的Administrators组的默认权限 完全控制权限除允许全部读取权限外 还具有更改权限 共享权限只对通过网络访问的用户有效 所以有时需要和NTFS权限配合 如果分区是FAT FAT32文件系统 则不需要考虑 才能严格控制用户的访问 当一个共享文件夹设置了共享权限和NTFS权限后 就要受到两种权限的控制 4 2 3NTFS权限的应用规则 续 文件和文件夹被建立在WindowsServer2008的NTFS分区上时就具有了所有权属性 称之为 NTFS所有权 默认的所有权归创建这个文件或文件夹的用户 1 NTFS所有权概述NTFS所有权即NTFS文件和文件夹所有权 当用户对某个文件或文件夹具有所有权时 就具备了更改该文件或文件夹权限设置的能力 4 2 4NTFS所有权 4 2 4NTFS所有权 续 以鼠标右键单击一个文件或文件夹并在弹出菜单中选择 属性 命令 在弹出的 属性 对话框中打开 安全 选项卡 然后单击 高级 按钮 在弹出对话框中单击 所有者 标签 将看到如图4 8所示的 所有者 选项卡 图4 8查看所有权 2 更改所有权更改所有权的前提条件是进行此操作的用户必须具备 取得所有权 的权限 或者具备获得 取得所有权 这个权限的能力 举例如下 1 Administrator组的成员拥有 取得所有权 的权限 可以修改所有文件和文件夹的所有权设置 2 对于某个文件夹具备读取权限和更改权限的用户 就可以为自身添加 取得所有权 权限 也就是具备获得 取得所有权 的权限能力 4 2 4NTFS所有权 续 WindowsServer2008的数据压缩功能是NTFS文件系统的内置功能 该功能可以对单个文件 整个目录或卷上的整个目录树进行压缩 利用这项功能 可以节省一定的硬盘使用空间 以下是压缩文件或文件夹的步骤 1 打开 我的电脑 双击驱动器或文件夹 右键单击要压缩的文件或文件夹 然后单击 属性 按钮 可以看到 常规 选项卡 如图4 9所示 4 2 5NTFS压缩 4 2 5NTFS压缩 续 图4 9压缩文件夹设置 2 在 常规 选项卡中 单击 高级 按钮 选中 压缩内容以便节省磁盘空间 复选框 然后单击 确定 按钮 如图4 10所示 3 在 属性 对话框中 单击 确定 按钮 在 确认属性更改 中选择需要的选项 如图4 11所示 4 2 5NTFS压缩 续 图4 10压缩文件夹设置 图4 11压缩文件夹设置 在WindowsServer2008中压缩对于移动和复制文件的影响 主要有4种情况 它们分别是 1 当在同一个NTFS分区中复制文件或文件夹时 2 当在不同的NTFS分区之间复制文件或文件夹时 3 当在同一个NTFS分区中移动文件或文件夹时 4 当在不同的NTFS分区之间移动文件或文件夹时 注意 任何被压缩的NTFS文件移动或复制到FAT卷时将自动解压 此外 使用NTFS压缩的文件和文件夹不能被加密 4 2 5NTFS压缩 续 EFS采用高级的标准加密算法实现透明的文件加密和解密 任何不拥有合适密钥的个人或者程序都不能读取加密数据 即便是物理上拥有驻留加密文件的计算机 加密文件仍然受到保护 甚至是有权访问计算机及其文件系统的用户 也无法读取这些数据 WindowsServer2008操作系统中包含的加密文件系统 EFS 是以公钥加密为基础的 并利用了WindowsServer2008中的CryptoAPI体系结构 4 2 6加密文件系统EFS 4 2 6加密文件系统EFS 续 下面介绍两种利用EFS对文件夹进行加密的方法 1 在资源管理器中操作 1 选择需要加密的文件夹 右键单击该文件夹 单击 属性 按钮 在弹出的属性对话框中单击 高级 如图4 12所示 2 在弹出的高级属性对话框中 选择 加密内容以保护数据 然后单击 确定 如图4 12所示 3 出现 确认属性更改 对话框 如图4 13所示 选择 仅将更改应用于该文件夹 系统将只对文件夹加密 里面的内容并没经过加密 但是在其中创建的文件或文件夹将被加密 选择 将更改应用于该文件夹 子文件夹和文件 文件夹内部的所有内容被加密 4 2 6加密文件系统EFS 续 图4 12利用EFS加密文件 图4 13利用EFS加密文件 4 单击 确定 按钮 文件夹颜色会彩色显示 完成加密 注意 加密和压缩属性不可同时选择 文件的解密与加密一样操作 2 命令行方式操作通过命令行加密和解密文件更加方便快速 适合高级用户使用 系统使用CIPHER命令来进行加密和解密操作 以下进行简要介绍 4 2 6加密文件系统EFS 续 C DocumentsandSettings Administrator cipher 显示或更改NTFS分区上的目录 文件 的加密CIPHER E D S directory A I F Q H pathname CIPHER KCIPHER R filenameCIPHER U N CIPHER W directoryCIPHER X efsfile filename 4 2 6加密文件系统EFS 续 例如 默认情况下Cipher加密文件夹命令并不会加密文件夹中已经存在的文件 而是让Windows加密文件中的新文件 因此 若需要加密C EFSFolder文件夹以及其中已存在的文件 需要输入以下命令 Cipher EC EFSFolder 加密文件夹 但不加密文件 Cipher EC EFSFolder 加密文件夹中的文件 也可以输入以下命令实现 Cipher E S C EFSFolder 注意 S和后面的文件夹路径不能留空格 解密命令 Cipher DC EFSFolder 解密文件夹 但不包含文件 Cipher DC EFS