Файл: Общий_лекция.pdf

436 

скоростного  выполнения  стандартных  операций  над  файлами  (включая 
чтение,  запись,  поиск)  и  предоставления  дополнительных  возможностей, 
включая  восстановление  поврежденной  файловой  системы  на  чрезвычайно 
больших дисках. 
Файловая  система  NTFS  может  теоретически  поддерживать  жесткие  диски 
объемом до 16 эксабайт (1024 петабайт = 2**60 байт), но поскольку таблицы 
разделов базовых дисков (дисков, включающих главную загрузочную запись) 
поддерживают  только  разделы  размером  до  2  ТБ,  вам  потребуется 
использовать  динамические  тома  для  создания  разделов  NTFS, 
превышающих 2 ТБ. Максимальный размер тома и раздела начинается с 2 ТБ 
и  достигает  почти  16  ТБ,  в  зависимости  от  того,  какой  том  используется  - 
базовый или динамический и форматировался ли он с помощью стандартных 
единичных блоков размером 4 КБ.  
NTFS  обладает  характеристиками  защищенности,  поддерживая  контроль 
доступа  к  данным  и  привилегии  владельца,  играющие  исключительно 
важную 

роль 

в 

обеспечении 

целостности 

жизненно 

важных 

конфиденциальных данных. Папки и файлы NTFS могут иметь назначенные 
им  права  доступа  вне  зависимости  от  того,  являются  они  общими  или  нет. 
NTFS  —  единственная  файловая  система  в  Windows  NT/2000,  которая 
позволяет  назначать  права  доступа  к  отдельным  файлам.  Однако  если  файл 
будет  скопирован  из  раздела  или  тома  NTFS  в  раздел  или  на  том  FAT,  все 
права  доступа  и  другие  уникальные  атрибуты,  присущие  NTFS,  будут 
утрачены. 
Файловая  система  NTFS,  как  и  FAT,  в  качестве  фундаментальной  единицы 
дискового  пространства  использует  кластеры.  В  NTFS  размер  кластера  по 
умолчанию  (когда  он  не  задается  ни  командой  Format,  ни  в  оснастке 
управление  дисками)  зависит  от  размера  тома.  Если  для  форматирования 
тома  NTFS  используется  утилита  командной  строки  Format,  то  нужный 
размер кластера можно указать в качестве параметра этой команды. Размеры 
кластеров по умолчанию приведены в табл. 10.3. 
 

Таблица 10.3.  

Зависимость размера кластера по умолчанию от размера  

раздела для NTFS 

 
Размер кластера           Количество секторов кластере      Размер кластера 
До 512 Мбайт включительно           1 

                           512 байт 

513 – 1024 Мбайт (1 Гбайт)            2 

                           1 Кбайт 

1025- 2048 Мбайт (2 Гбайт)            4 

                           2 Кбайт 

2049- 4096 Мбайт (4 Гбайт)            8 

                           4 Кбайт 

437 

4097- 8192 Мбайт (8 Гбайт)            16 

                           8 Кбайт 

8193- 16 384 Мбайт (16 Гбайт) 

32 

                           16 Кбайт 

16 385- 32 768 Мбайт (32 Гбайт) 

64 

                           32 Кбайт 

От 32 678Мбайт                                 128                             64 Кбайт 
 
 Основную информацию о томе  NTFS содержит загрузочный сектор раздела 
(Partition Boot Sector), который начинается с сектора 0 и может иметь длину 
до 16 секторов. Он состоит из двух структур:  



Блок  параметров  BIOS.  Эта  структура  содержит  информацию  о  строении 

тома и структурах файловой системы. 



Код,  описывающий,  как  найти  и  загрузить  файлы  для  любой  из 

установленных  на  компьютере  операционных  систем.  Для  систем  Windows 
NT/2000,  установленных  на  компьютерах  х86,  этот  код  вызывает  загрузку 
NTLDR. 
Форматирование тома для NTFS приводит к созданию нескольких системных 
файлов  и  главной  таблицы файлов  (Master  File  Table,  MFT).  MFT  содержит 
информацию обо всех файлах и папках, имеющихся на томе NTFS. 
NTFS  —  это  объектно-ориентированная  файловая  система,  которая 
обрабатывает  все  файлы  как  объекты  с  атрибутами.  Практически  все 
объекты,  существующие  на  томе,  представляют  собой  файлы,  а  все  что 
имеется в файле, представляет собой атрибуты — включая атрибуты данных, 
атрибуты  системы  безопасности,  атрибуты  имени  файла.  Каждый  занятый 
сектор  на  томе  NTFS  принадлежит  какому-нибудь  файлу.  Частью  файла 
являются  даже  метаданные  файловой  системы  (информация,  которая 
представляет собой описание самой файловой системы). 
 В  Windows  2000  была  введена  новая  версия  NTFS  —  NTFS  5.0.  Новые 
структуры  данных,  появившиеся  в  составе  этой  реализации,  позволяют 
использовать  новые  возможности  Windows  2000,  например,  квоты  на 
использование  диска  для  каждого  пользователя,  шифрование  файлов, 
отслеживание  ссылок,  точки  перехода  (junction  points),  встроенные  наборы 
свойств  (native  property  sets).  Кроме  того,  добавлять  дополнительное 
дисковое  пространство  к  томам  NTFS  5.0  можно  без  перезагрузки.  Новые 
возможности  NTFS  5.0  приведены  в  табл.  10.4.  Таблица  10.4. 
Дополнительные  возможности,  обеспечиваемые  NTFS  4  и  NTFS  5  NTFS  — 
наилучший выбор для работы с томами большого объема. При этом следует 
учесть, что если к системе предъявляются повышенные требования (к числу 
которых относятся обеспечение безопасности и использование эффективного 
алгоритма  сжатия),  то  часть  из  них  можно  реализовать  только  с  помощью 
NTFS. Поэтому в ряде случаев нужно использовать NTFS даже на небольших 
томах.   

438 

В  приведенной  ниже  таблице  (табл.  10.5)  собраны  данные  о  совместимости 
файловых систем NTFS и FAT, а также ограничения, налагаемые на каждую 
из этих файловых систем. 

Таблица 10.5. Поддержка файловых систем операционными системами   

Тема  4.3.  Особенности  защита  файловой  системы  и  паролей  в 
современных операционных системах 

1. Защита файлов в в WINDOWS 2000 
2. Защита паролей в Windows 2000 

1. Защита файлов в  WINDOWS 2000 
 
1.1. Разрешения для файлов и папок  
 

439 

Устанавливая  пользователям,  определенные  разрешения  для  файлов  и 
каталогов 

(папок), 

администраторы 

системы 

могут 

защищать 

конфиденциальную информацию от несанкционированного доступа. Каждый 
пользователь  должен  иметь  определенный  набор  разрешений  на  доступ  к 
конкретному  объекту  файловой  системы.  Кроме  того,  он  может  быть 
владельцем  файла  или  папки,  если  сам  их  создает.  Администратор  может 
назначить  себя  владельцем  любого  объекта  файловой  системы  (файла  или 
папки).  Cследует,  однако,  помнить,  что  обратная  передача  владения  от 
администратора  к  пользователю  невозможна.  Администратор  должен 
зарегистрироваться  в  системе  под  именем  того  пользователя,  которому  он 
хочет  передать  владение  файлом  или  папкой,  а  затем  стать  владельцем 
нужного объекта. 
Разрешения пользователя на доступ к объектам файловой системы работают 
по  принципу  дополнения  (аддитивности).  Это  значит,  что  действующие 
разрешения,  то  есть  те  разрешения,  которые  пользователь  реально  имеет  в 
отношении  конкретного  каталога  или  файла,  образуются  из  всех  прямых  и 
косвенных  разрешений,  назначенных  пользователю  для  данного  объекта  с 
помощью  логической  функции  ИЛИ.  Например,  если  пользователь  имеет 
прямо  назначенное  разрешение  для  каталога  на  чтение,  а  косвенно  через 
членство  в  группе  ему  дано  разрешение  на  запись,  то  в  результате 
пользователь сможет читать информацию в файлах каталога и записывать в 
них  данные.  Следует  все  же  заметить,  что  правило  сложения  разрешений  с 
помощью  логического  ИЛИ  не  выполняется,  когда  пользователь  имеет 
определенное  разрешение,  а  группе,  в  которую  он  входит,  отказано  в  этом 
разрешении  (или наоборот). В  этом  случае отказ  в разрешении  имеет более 
высокий  приоритет  над  предоставлением  разрешения,  т.  е.  в  результате 
пользователь  не  будет  иметь  данного  разрешения.  Появление  возможности 
отказа  пользо­вателю  или  группе  в  разрешении  для  файлов  и  каталогов 
сделало ненужным разрешение No Access, применявшееся в Windows NT 4.0. 
Теперь  для  отказа  пользователю  в  разрешении  на  доступ  к  какому-либо 
файлу или папке следует включить пользователя в группу, которой отказано 
в  разрешении  Полный  доступ  (Full  Control)  для  данного  объекта  файловой 
системы.  
 
ПРИМЕР. Назначения разрешений для файлов   
Для  назначения  пользователю  или  группе  разрешения  на  доступ  к 
определенному файлу: 

1.

Укажите  файл  мышью  и  нажмите  правую  кнопку.  Выберите 

команду  Свойства  (Properties)  контекстного  меню.  В  появившемся  окне 
свойств файла перейдите на вкладку Безопаcность   

440 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2. В группе Имя (Name) показан список пользователей и групп, которым уже 
предоставлены разрешения для данного файла. Для того чтобы добавить или 
удалить  пользователей  или  группы,  нажмите  кнопку  Добавить  (Add)  или 
Удалить  (Remove).  При  добавлении  пользователей  появится  окно  диалога 
Выбор: Пользователи, Компьютеры, или Группы (Select Users, Computers, or 
Groups). 
3.Выделите нужный объект в группе Имя и нажмите кнопки Добавить (Add) 
и ОК, чтобы вернуться на вкладку Безопасность. 
4.  В  группе  Разрешения  (Permissions)  можно  назначить  или  запретить 
стандартные  разрешения  для  файлов  —  Полный  доступ  (Full  Control), 
Изменить  (Modify),  Чтение  и  выполнение  (Read&Execute),  Чтение  (Read)  и 
Запись (Write). Для получения разрешения или отказа в разрешении служат 
флажки  Разрешить  (Allow)  и  Запретить  (Deny).  На  вкладке  также 
присутствуют  кнопка  Дополнительно  (Advanced)  и  флажок  Переносить 
наследуемые  от  родительского  объекта  разрешения  на  этот  объект  (Allow 
inheritable permissions from parent to propagate to this object).