Windows Server 2003 文件系统

NTFS新特性51．FAT文件系统简介FAT文件系统FAT32是FAT16的派生文件系统，支持大到2TB（2048GB）的磁盘分区，它使用的簇比FAT16小，从而有效地节约了磁盘空间。FAT文件系统是一种最初用于小型磁盘和简单文件夹结构的简单文件系统，它向后兼容，最大的优点是适用于所有的Windows操作系统。2．FAT文件系统的优缺点容易受损害单用户非最佳更新策略没有防止碎片的最佳措施文件名长度受限1．NTFS简介NTFS文件系统NTFS是从WindowsNT开始使用的文件系统，它是一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统包括了文件服务器和高端个人计算机所需的安全特性，它还支持对于关键数据以及十分重要的数据访问控制和私有权限。NTFS是唯一允许为单个文件指定权限的文件系统。NTFS文件系统设计简单但功能强大.2．NTFS文件系统的优点•更安全的文件保障·更好的磁盘压缩功能•支持最大达2TB的大硬盘•可以赋予单个文件和文件夹权限•NTFS文件恢复能力•NTFS文件夹B-Tree结构速度快•可以压缩单个文件和文件夹•支持活动目录和域•支持磁盘配额·支持稀疏文件3．NTFS的安全性NTFS的安全性（1）许可权。（2）审计。（3）拥有权。（4）可靠的文件清除。（5）上次访问时间标记。（6）自动缓写功能。（7）热修复功能。（8）磁盘镜像功能。（9）有校验的磁盘条带化。（10）文件加密。NTFS权限的概述NTFS权限只适用于NTFS磁盘分区。NTFS权限不能用于由FAT或者FAT32文件系统格式化的磁盘分区。Windows2000/2003只为用NTFS进行格式化的磁盘分区提供NTFS权限。1.NTFS权限的类型（1）NTFS文件夹权限读取（Read）写入（Write）列出文件夹内容（ListFolderContents）读取和运行（Read&Execute）修改（Modify）完全控制（FullControl）NTFS权限的概述（2）NTFS文件权限读取（Read）写入（Write）读取和运行（Read&Execute）修改（Modify）完全控制（FullControl）2.多重NTFS权限（1）权限是累积的（2）文件权限超越文件夹权限（3）拒绝权限超越其他权限共享文件夹权限与NTFS文件系统权限的组合共享文件夹权限具有以下特点：•共享文件夹权限只适用于文件夹，而不适用于单独的文件。•共享文件夹权限并不对直接登录到计算机上的用户起作用，它们只适用于通过网络连接该文件夹的用户。•在FAT/FAT32系统卷上，共享文件夹权限是保证网络资源被安全访问的唯一方法。•默认的共享文件夹权限是读取，并被指定给Everyone组。当在NTFS卷上为共享文件夹授予权限时，应遵循如下规则：•可以对共享文件夹中的文件和子文件夹应用NTFS权限。可以对共享文件夹中包含的每个文件和子文件夹应用不同的NTFS权限。•除共享文件夹权限外，用户必须要有该共享文件夹包含的文件和子文件夹的NTFS权限，才能访问那些文件和子文件夹。•在NTFS卷上必须要求NTFS权限。默认Everyone组具有“完全控制”权限。NTFS权限的继承性1.权限的继承性默认情况下，授予父文件夹的任何权限也将应用于包含在该文件夹中的子文件夹和文件。当授予访问某个文件夹的NTFS权限时，就将授予该文件夹的NTFS权限授予了该文件夹中任何现有的文件和子文件夹，以及在该文件夹中创建的任何新文件和新的子文件夹。2.阻止权限的继承性阻止权限的继承，也就是阻止子文件夹和文件从父文件夹继承权限。为了阻止权限的继承，要删除继承来的权限，只保留被明确授予的权限。•NTFS权限可以实现高度的本地安全性，通过对用户赋予NTFS权限可以有效地控制用户对文件和文件夹的访问。•NTFS分区上的每一个文件和文件夹都有一个列表，被称为ACL（AccessControlList，访问控制列表），该列表记录了每一用户和组对该资源的访问权限。•在默认情况下NTFS权限具有继承性，即文件和文件夹继承来自其上层文件夹的权限。NTFS权限介绍文件权限文件夹权限完全控制修改读取和执行写入读取列出文件夹目录完全控制修改读取和运行写入读取标准NTFS文件权限的类型NTFS文件夹权限允许访问类型读取（Read）查看文件夹中的文件和子文件夹，查看文件夹属性、拥有人和权限。写入（Write）在文件夹内创建新的文件和子文件夹，修改文件夹属性，和查看文件夹的拥有人和权限。列出文件夹内容（ListFolderContents）查看文件夹中的文件和子文件夹的名。读取和运行（Read&Execute）遍历文件夹，和执行允许“读取”权限和“列出文件夹内容”权限的动作。修改（Modify）删除文件夹、执行“写入”权限和“读取和运行”权限的动作。完全控制（FullControl）改变权限，成为拥有人，删除子文件夹和文件，以及执行允许所有其他NTFS文件夹权限进行的动作。NTFS权限介绍NTFS分区ACLUser1User2读取Group1User1读取Group1完全控制完全控制使用NTFS权限控制文件与文件夹的访问文件夹属性——可以看到添加的用户高级安全设置权限项目对话框高级安全设置——所有者选项卡高级安全设置——有效权限多个NTFS权限NTFS权限的累积文件权限超越文件夹权限拒绝权限超越其它权限File1File2GroupBGroupADenyWritetoFile2WriteUser1ReadRead/WriteFolderANTFSPartitionNTFS权限的使用法则•权限最大法则（权限的累加性）用户对每个资源的有效权限是其所有权限的总和•文件权限超越文件夹权限•拒绝权限超越其它所有权限•权限的两种状态：“允许”和“拒绝”。•不允许，也不拒绝NTFS权限继承AccesstoFolderBFolderAFolderB权限继承Read/Write阻止权限继承NoaccesstoFolderBFolderAFolderBFolderCRead/WriteNTFS权限继承•权限继承授予父文件夹的任何权限也将应用于包含在该文件夹中的子文件夹和文件．包括新建的文件和文件夹。•阻止权限继承删除继承来的权限，只保留被明确授予的权限.这时，被阻止从父文件夹继承权限的子文件夹就成新的父文件夹。利用NTFS权限管理数据1.授予标准NTFS权限（1）NTFS文件夹权限（2）NTFS文件权限2.授予特殊访问权限有13项Special访问权限，把他们组合在一起就构成了标准的NTFS权限。其中两个Special访问权限，对于管理文件和文件夹的访问来说特别有用。（1）更改权限。（2）获得所有权。复制和移动文件夹是NTFS权限的变化实验之前在目标和本地创建新的文件夹和文件，首先确定目标和本地的权限，移动或复制之后，得出结论，复制或移动的文件是保留源文件夹的权限，还是继承目的文件夹的权限NTFSPartitionC:\NTFSPartitionE:\NTFSPartitionD:\MoveCopyCopyOrMove移动和拷贝对NTFS权限的影响同一NTFS分区同一NTFS分区Inherits继承目标不同NTFS分区不同NTFS分区D继承目标C复制移动A复制保留原有B移动复制和移动文件和文件夹1.复制文件和文件夹当从一个文件夹向另一个文件夹复制文件或者文件夹时，或者从一个磁盘分区向另一个磁盘分区复制文件或者文件夹时，这些文件或者文件夹具有的权限可能发生变化。2.移动文件和文件夹当移动某个文件或者文件夹的位置时，依赖于目的地文件夹的权限情况，针对这些文件或者文件夹的权限可能发生变化。课堂实验:应用NTFS权限UsersGroup对文件夹１有读的权限SalesGroup对文件夹２有写的权限UsersGroup对文件夹１有修改的权限文件２只能被salesgroup组访问，并且是读的权限File2文件夹1文件夹２File1UsersGroupSalesGroupUser11？2？NTFSPartitionUsersGroup对文件夹1有写的权限SalesGroup对文件夹1有读的权限关于授予NTFS权限的最佳实践尽量用为组授权代替为用户授权将资源分类分组管理只授予用户要求级别的访问权限针对应用程序文件夹授权时,授予“读和执行”权限按照组的成员所要求的对资源的访问方式创建组EFS所使用的加密方式•对称式加密(Symmetric)–在加密和解密时使用同一把密钥进行运算。•非对称式加密(Asymmetric)–加密和解密时使用两把不同的密钥，一把称为公开密钥(Publickey)，另一把称为私有密钥(Privatekey)。–在多数场合，都是以公开密钥加密，而以私有密钥解密。•EFS同时采用两种加密方式，不但具有对称式加密处理速度快的长处，也保留了非对称式加密较好的安全性。EFS的运行方式•当用户将文件设为加密时，EFS会自动为用户产生一把公开密钥和一把私有密钥，并执行以下动作：–对于每一个需要加密的文件，随机产生一把用来加密的密钥，该密钥称为FEK(FileEncryptionKey)。–使用FEK以对称式加密法将文件加密。–以用户的公开密钥，将这把FEK以非对称式加密法加密。–将加密后的FEK与加密后的文件一同存放。•用户读取自己加密的文件时，EFS会执行以下动作：–以用户的私有密钥解开加密的FEK。–用FEK将文件解密。注意事项•加密功能可应用在文件夹或单独的文件上。•具有“系统”属性的文件不能加密，也不能对%systemroot%文件夹加密。%systemroot%默认是C:\Windows。•加密和压缩不能同时使用。•不能对整个磁盘驱动器加密。文件夹加密(1)文件夹加密(2)文件夹加密(3)文件夹加密(4)文件加密(1)文件加密(2)文件加密(3)文件加密(4)文件加密(5)若将加密的文件移动到FAT/FAT32文件系统的磁盘，该文件就会自动被解密。若将加密的文件移动/复制到NTFS文件系统的磁盘，则无论目的文件夹是否设置加密或压缩，移动/复制过去的文件仍然保持加密。允许他人将文件解密(1)允许他人将文件解密(2)允许他人将文件解密(3)如果选择用户对话框只有加密者一个用户，通常是因为要加入的用户先前未做过加密动作。此时必须请该用户先登录，并加密任意文件，EFS便会产生该用户的证书。有了证书之后，他的帐户名称才会出现在上面的对话框中。允许他人将文件解密(4)加密数据修复代理•利用修复代理(RecoveryAgent)，系统管理员可指定特定帐户为修复代理人，而修复代理人可将任何用户加密的文件解密。•WindowsServer2003默认的修复代理人便是Administrator。修复代理的原理•EFS在加密时，会将FEK以文件加密者的公开密钥加密后，与文件一起存放；同时EFS也会将FEK以修复代理人的公开密钥加密后，与文件一起存放。•修复代理是不能向前进行的。如果某些文件是在user成为修复代理人之前，就已经加密，则user成为修复代理后，并不会回头将这些文件加上以自己公开密钥加密的FEK，自然也解不开这些加密文件。指定修复代理人•假设要指定用户test为修复代理，步骤如下：–将test临时加入Administrators组；–通过runas命令以test的身份运行cipher.exe；–将test的.cer文件（包含公开密钥）导入组策略；–执行gpupdate.exe更新组策略；–将test用户自Administrators组删除，恢复其原有权限；–将test用户的.pfx文件（包含私有密钥）导入；–test用户登录后便能够解读所有人加密的文件。生成.cer和.pfx文件(1)Runas/user:test“cipher/r:c:\test_key”生成.cer和.pfx文件(2)生成.cer和.pfx文件(3)生成.cer和.pfx文件(4)导入.cer文件(1)导入.cer文件(2)导入.cer文件(3)导入.