利用NTFS实现文件系统的安全

1、利用利用NTFSNTFS实现文件系统的安全实现文件系统的安全利用利用NTFSNTFS实现文件系统的安全实现文件系统的安全 1 文件系统的概述文件系统的概述1.1 FAT文件系统文件系统1.2 FAT32文件系统文件系统1.3 NTFS文件系统文件系统1.4 NTFS与与FAT文件系统的区别文件系统的区别2 NTFS文件系统文件系统2.1 NTFS磁盘结构磁盘结构2.2 NTFS权限的设置权限的设置2.3 NTFS权限的应用规则权限的应用规则2.4 NTFS所有权所有权2.5 NTFS压缩压缩2.6 加密文件系统加密文件系统EFS利用利用NTFSNTFS实现文件系统的安全（续）实现文件系统的安全

2、（续） 【提要提要】 文件系统的概述文件系统的概述 各种各种NTFSNTFS权限及其所有权权限及其所有权 NTFSNTFS权限的设置方法权限的设置方法 NTFSNTFS压缩的方法压缩的方法 加密文件系统的实现加密文件系统的实现基本内容基本内容 文件系统是任何操作系统最显而易见的组成部分，文件系统是任何操作系统最显而易见的组成部分，大多数操作系统把可由用户命名的对象称做文件。大多数操作系统把可由用户命名的对象称做文件。不同的操作系统都有其独特的文件类型。不同的操作系统都有其独特的文件类型。Windows Windows Server 2008Server 2008使用独有的使用独有的NTFSNT

3、FS文件类型在文件系统文件类型在文件系统的安全方面提供了强大的功能。本章将介绍的安全方面提供了强大的功能。本章将介绍Windows Server 2008Windows Server 2008中有关文件系统方面的内中有关文件系统方面的内容，主要介绍文件系统的基本概念，容，主要介绍文件系统的基本概念，NTFSNTFS文件系统文件系统与与FATFAT文件系统的区别，文件系统的区别，NTFSNTFS文件系统在安全方面文件系统在安全方面的特性，以及如何在的特性，以及如何在Windows Server 2008Windows Server 2008中配置中配置NTFSNTFS的权限，最后将介绍实现加密文

4、件系统的方的权限，最后将介绍实现加密文件系统的方法。法。1 1 文件系统的概述文件系统的概述 所谓文件系统，是操作系统在存储设备上保存封包的所谓文件系统，是操作系统在存储设备上保存封包的数据所用的结构和机制。数据所用的结构和机制。 用户在安装用户在安装Windows Server 2008Windows Server 2008之前，应该先决定之前，应该先决定选择的文件系统。选择的文件系统。Windows Server 2008Windows Server 2008支持使用支持使用NTFSNTFS文件系统和文件分配表文件系统（文件系统和文件分配表文件系统（FATFAT或或FAT32FAT32）。

5、本节以下内容将对这）。本节以下内容将对这3 3种文件系统进行简单种文件系统进行简单介绍。介绍。 1.1 FAT文件系统文件系统 FATFAT（File Allocation TableFile Allocation Table）是）是“文件分配表文件分配表”的意思，其意义在于对硬盘分区的管理。的意思，其意义在于对硬盘分区的管理。FATFAT文件文件系统最初用于小型磁盘和简单文件结构的简单文件系统最初用于小型磁盘和简单文件结构的简单文件系统。系统。FATFAT文件系统得名于它的组织方法：放置在文件系统得名于它的组织方法：放置在卷起始位置的文件分配表。卷起始位置的文件分配表。 1.1 FAT1.1

6、 FAT文件系统文件系统 为了保护卷，使用了两份复制，即使损坏了一份也能确保正常工作。另外，为确保正确装卸启动系统所必须的文件，文件分配表和根文件夹必须存放在固定的位置。 采用FAT文件系统格式化的卷以簇的形式进行分配，默认的簇大小由卷的大小决定。对于FAT文件系统，簇数目必须可以用16位的二进制数字表示，并且是2的乘方，默认的簇大小如表2所示。 1.1 FAT1.1 FAT文件系统（续）文件系统（续）分 区 大 小扇区数/每簇簇大小（字节）0MB32MB151233MB64MB21K65MB128MB42K129MB255MB84K256MB511MB168K512MB1023MB3216K

7、1024MB2047MB6432K2048MB4095MB12864K1.1 FAT1.1 FAT文件系统（续）文件系统（续） 需要注意的是：FAT文件系统最好用在较小的卷上。因为，在不考虑簇大小的情况下，使用FAT文件系统卷不能大于4GB。1.1 FAT321.1 FAT32文件系统文件系统 1.2 FAT32文件系统文件系统 FAT32FAT32文件系统提供了比文件系统提供了比FATFAT文件系统更为先进的文文件系统更为先进的文件管理特性件管理特性。 与与FAT16FAT16相比，相比，FAT32FAT32主要具有以下特点：主要具有以下特点： （1 1）与）与FAT16FAT16相比相比F

8、AT32FAT32最大的优点是可以支持的最大的优点是可以支持的磁盘容量达到磁盘容量达到2TB2TB（2048GB2048GB），但是不能支持小于），但是不能支持小于512MB512MB的分区。的分区。 1.2 FAT321.2 FAT32文件系统文件系统 （2 2）由于采用了更小的簇，）由于采用了更小的簇，FAT32FAT32文件系统可以更文件系统可以更有效地保存信息。有效地保存信息。 1.2 FAT321.2 FAT32文件系统（续）文件系统（续）分 区 大 小默认的簇的大小（字节）小于8GB4K大于等于8GB且小于16GB8K大于等于16GB且小于32GB16K大于等于32GB32K （3

9、 3）FAT32FAT32文件系统可以重新定位根目录和使用文件系统可以重新定位根目录和使用FATFAT的备份副本。另外的备份副本。另外FAT32FAT32分区的启动记录包含在分区的启动记录包含在一个含有关键数据的结构中，减少了计算机系统崩一个含有关键数据的结构中，减少了计算机系统崩溃的可能性。溃的可能性。注意：注意： 由于这种格式的文件系统增加了在系统重新启动时由于这种格式的文件系统增加了在系统重新启动时Windows Server 2008计算机引导卷中闲置空计算机引导卷中闲置空间的时间。因此，在间的时间。因此，在Windows Server 2008中中不支持用户使用格式化程序来创建超过不

10、支持用户使用格式化程序来创建超过32GB的的FAT32卷。卷。 1.2 FAT321.2 FAT32文件系统（续）文件系统（续） 1.3 NTFS文件系统文件系统 Windows Server 2008推荐使用NTFS文件系统，并且其系统安装盘必须使用NTFS文件系统，Windows Server 2008提供了FAT和FAT32文件系统所没有的、全面的性能，可靠性和兼容性。 类似于FAT文件系统，NTFS文件系统使用簇作为磁盘分配的基本单元。在NTFS文件系统中，默认的簇大小取决于卷的大小。 1.3 NTFS1.3 NTFS文件系统文件系统分 区 大 小扇区数/每簇簇大小（字节）512MB或

11、更小1512513MB1 024MB（1GB）21K1 025MB2 048MB（2GB）42K2 049MB4 096MB（4GB）84K4 097MB8 192MB（8GB）168K8 193MB16 384MB（16GB）3216K16 385MB32 768MB（32GB）6432K32 768MB12864K1.3 NTFS1.3 NTFS文件系统（续）文件系统（续）1.3 NTFS1.3 NTFS文件系统（续）文件系统（续） NTFSNTFS文件系统是一个基于安全性的文件系统，它是建文件系统是一个基于安全性的文件系统，它是建立在保护文件和目录数据基础上，同时照顾节省存储立在保护文件

12、和目录数据基础上，同时照顾节省存储资源、减少磁盘占用量的一种先进的文件系统。资源、减少磁盘占用量的一种先进的文件系统。 NTFS 5.0NTFS 5.0的特点主要体现在以下几个方面：的特点主要体现在以下几个方面： （1 1）NTFSNTFS可以支持的分区容量可以达到可以支持的分区容量可以达到2TB2TB。如果是。如果是FAT32FAT32文件系统，支持分区的容量最大为文件系统，支持分区的容量最大为32GB32GB。 （2 2）NTFSNTFS是一个可恢复的文件系统。是一个可恢复的文件系统。 （3 3）NTFSNTFS支持对分区、文件夹和文件的压缩。支持对分区、文件夹和文件的压缩。 （4 4）N

13、TFSNTFS采用了更小的簇，可以更有效率地管理磁采用了更小的簇，可以更有效率地管理磁盘空间。盘空间。 1.3 NTFS1.3 NTFS文件系统（续）文件系统（续） （5 5）在）在NTFSNTFS分区上，可以为共享资源、文件夹以分区上，可以为共享资源、文件夹以及文件设置访问许可权限。及文件设置访问许可权限。 （6 6）在）在Windows Server 2008Windows Server 2008的的NTFSNTFS文件系统下可文件系统下可以进行磁盘配额管理。以进行磁盘配额管理。 （7 7）NTFSNTFS使用一个使用一个“变更变更”日志来跟踪记录文件日志来跟踪记录文件所发生的变更。所发生

14、的变更。 注意：注意：只有在只有在NTFSNTFS文件系统中用户才可以使用诸如文件系统中用户才可以使用诸如“活动目录活动目录”和基于域的安全策略等重要特性。和基于域的安全策略等重要特性。 NTFSNTFS的主要弱点是它只能被的主要弱点是它只能被Windows NT/2000/XPWindows NT/2000/XP、Windows Server 2003Windows Server 2003、Windows VistaWindows Vista以及以及Windows Server 2008Windows Server 2008所识别。所识别。 因此如果使用双重启动配置，则可能无法从计算机因此如

15、果使用双重启动配置，则可能无法从计算机上的另一个操作系统访问上的另一个操作系统访问NTFSNTFS分区上的文件。所分区上的文件。所以，以，需要注意的是：需要注意的是：如果要使用双重启动配置，如果要使用双重启动配置，FAT32FAT32或者或者FATFAT文件系统将是更适合的选择。文件系统将是更适合的选择。1.3 NTFS1.3 NTFS文件系统（续）文件系统（续） Windows Server 2008Windows Server 2008的系统盘必须是的系统盘必须是NFTFNFTF格式，格式，并且安装并且安装Windows Server 2008Windows Server 2008的用户建

16、议使用的用户建议使用NTFSNTFS文件系统。文件系统。 NTFSNTFS具有具有FATFAT文件系统的所有基本功能，以下介绍文件系统的所有基本功能，以下介绍FATFAT或或FAT32FAT32文件系统所没有的优点：文件系统所没有的优点： （1）更为安全的文件。 （2）更好的磁盘压缩性能。 （3）支持最大达2TB的硬盘。 （4）双重启动配置 1.4 NTFS1.4 NTFS与与FATFAT文件系统的区别文件系统的区别 只有一种情况用户可能需要使用只有一种情况用户可能需要使用FATFAT或或FAT 32FAT 32文件文件系统，就是确有必要配置系统，就是确有必要配置Windows Server

17、2008Windows Server 2008和和早期操作系统的双重启动。早期操作系统的双重启动。 如表如表5 5所示比较了每一种文件系统可能的磁盘和文所示比较了每一种文件系统可能的磁盘和文件大小。件大小。 1.4 NTFS1.4 NTFS与与FATFAT文件系统的区别文件系统的区别( (续续) ) 注意：注意：如果用户在安装过程中选择的如果用户在安装过程中选择的FATFAT分区大于分区大于2GB2GB，则安装程序自动地把它格式化为，则安装程序自动地把它格式化为FAT32FAT32格式，格式，对于大于对于大于32GB32GB的卷建议使用的卷建议使用NTFSNTFS而不是而不是FAT32FAT3

18、2。1.4 NTFS1.4 NTFS与与FATFAT文件系统的区别文件系统的区别( (续续) )NTFSFATFAT32最小卷尺寸是大约10MB；建议实际最大卷尺寸是2TB卷尺寸从软盘容量到4GB卷尺寸从512MB到2TB不能用于软盘不支持域在Windows Server 2003中，用户只能把FAT32卷最大格式化到32GB文件尺寸只受限于卷的大小最大文件尺寸为2GB不支持域，最大文件尺寸为4GB NTFSNTFS的英文全称为的英文全称为“New Technology File New Technology File SystemSystem”，中文指，中文指NTNT文件系统。文件系统。 在

19、在Windows Server 2008Windows Server 2008中，它在安全性和稳定性中，它在安全性和稳定性方面的优点得到了更好的体现，本节将帮助用户了方面的优点得到了更好的体现，本节将帮助用户了解解NTFSNTFS的磁盘结构并利用的磁盘结构并利用NTFSNTFS实现文件系统的安全实现文件系统的安全性。性。2 NTFS2 NTFS文件系统文件系统 NTFSNTFS是一个比是一个比FATFAT和和FAT32FAT32复杂得多的文件系统，它复杂得多的文件系统，它在安全性和容错性方面具有很强的功能，本节将对在安全性和容错性方面具有很强的功能，本节将对NTFSNTFS的磁盘结构进行剖析。

20、的磁盘结构进行剖析。1.卷卷 NTFSNTFS是以卷为基础的。卷建立在磁盘分区之上。分是以卷为基础的。卷建立在磁盘分区之上。分区是磁盘的基本组成部分，是一个能够被格式化和区是磁盘的基本组成部分，是一个能够被格式化和单独使用的逻辑单元。单独使用的逻辑单元。 一个磁盘可以有多个卷，一个卷也可以由多个磁盘一个磁盘可以有多个卷，一个卷也可以由多个磁盘组成。组成。 2.1 NTFS2.1 NTFS磁盘结构磁盘结构 例如，一个例如，一个36GB36GB硬盘的硬盘的3 3种磁盘配置的如图种磁盘配置的如图1 1所示。所示。2.1 NTFS2.1 NTFS磁盘结构（续）磁盘结构（续）图图1 1 硬盘配置方案硬盘

21、配置方案2.簇簇 NTFSNTFS与与FATFAT一样，使用簇作为磁盘空间分配和回收一样，使用簇作为磁盘空间分配和回收的基本单位。即一个文件占用若干个整簇，而最后的基本单位。即一个文件占用若干个整簇，而最后一簇的剩余空间不再使用。一簇的剩余空间不再使用。 NTFSNTFS使用逻辑簇号（使用逻辑簇号（LCNLCN）和虚拟簇号（）和虚拟簇号（VCNVCN）来进）来进行簇的定位。行簇的定位。LCNLCN是对整个卷中所有的簇从头到尾是对整个卷中所有的簇从头到尾所进行的简单编号。卷因子乘以所进行的简单编号。卷因子乘以LCNLCN，NTFSNTFS就能够就能够得到卷上的物理字节偏移量，从而得到物理磁盘地得

22、到卷上的物理字节偏移量，从而得到物理磁盘地址。址。2.1 NTFS2.1 NTFS磁盘结构（续）磁盘结构（续）3.主控文件表（主控文件表（MFT） 文件通过主文件表（文件通过主文件表（MFTMFT）来确定其在磁盘上的存）来确定其在磁盘上的存储位置。主文件表是一个对应的数据库，由一系列储位置。主文件表是一个对应的数据库，由一系列文件记录组成的，卷中每一个文件都有一个文件记文件记录组成的，卷中每一个文件都有一个文件记录（对于大型文件还可能有多个记录与之相对录（对于大型文件还可能有多个记录与之相对应）。应）。MFTMFT是是NTFSNTFS卷结构的核心，是卷结构的核心，是NTFSNTFS最重要的最重

23、要的系统文件。系统文件。MFTMFT以文件记录数组实现，每个文件大以文件记录数组实现，每个文件大小为小为1KB1KB，卷上每个文件（包括，卷上每个文件（包括MFTMFT本身）都有一行本身）都有一行MFTMFT记录。记录。2.1 NTFS2.1 NTFS磁盘结构（续）磁盘结构（续）文件引用号文件引用号 NTFSNTFS卷上的每个文件都有一个卷上的每个文件都有一个6464位（位（bitbit）称为文）称为文件引用号（件引用号（File Reference NumberFile Reference Number，也称文件索，也称文件索引号）的唯一标识。文件引用号由两部分组成：一引号）的唯一标识。文件

24、引用号由两部分组成：一是文件号，二是文件顺序号。是文件号，二是文件顺序号。 5.文件记录文件记录 NTFSNTFS不是将文件仅仅视为一个文本库或二进制数不是将文件仅仅视为一个文本库或二进制数据，而是将文件作为许多属性据，而是将文件作为许多属性/ /属性值的集合来处属性值的集合来处理。除数据属性外，其他文件属性包括文件名、文理。除数据属性外，其他文件属性包括文件名、文件时间标记、文件拥有者等。件时间标记、文件拥有者等。2.1 NTFS2.1 NTFS磁盘结构（续）磁盘结构（续）6.文件名文件名 NTFSNTFS和和FATFAT路径中的每个文件名路径中的每个文件名/ /目录名长度可达目录名长度可达

25、255255个字节，可以包含个字节，可以包含UnicodeUnicode字符、多个句点和空字符、多个句点和空格。格。 7.7.常驻属性和非常驻属性常驻属性和非常驻属性 当一个文件很小时，其所有属性和属性值可存放在当一个文件很小时，其所有属性和属性值可存放在MFTMFT的文件记录中。当属性值能直接存放在的文件记录中。当属性值能直接存放在MFTMFT中中时，该属性就称为常驻属性。有些属性总是常驻时，该属性就称为常驻属性。有些属性总是常驻的，这样的，这样NTFSNTFS才可以确定其他非常驻属性。例如，才可以确定其他非常驻属性。例如，标准信息属性和根索引就总是常驻属性。标准信息属性和根索引就总是常驻属

26、性。2.1 NTFS2.1 NTFS磁盘结构（续）磁盘结构（续）8.8.文件名索引文件名索引 在NTFS中，文件目录仅仅是文件名的一个索引，即为了便于快速访问而用一种特殊的方式组织起来的文件名的集合。要创建一个目录，NTFS应对目录中文件的文件名属性进行索引。2.1 NTFS2.1 NTFS磁盘结构（续）磁盘结构（续）1.NTFS1.NTFS权限的含义权限的含义 NTFSNTFS权限可以实现高度的本地安全性，通过对用户赋权限可以实现高度的本地安全性，通过对用户赋予予NTFSNTFS权限可以有效地控制用户对文件和文件夹的访权限可以有效地控制用户对文件和文件夹的访问。问。 NTFSNTFS分区上的

27、每一个文件和文件夹都有一个列表，称分区上的每一个文件和文件夹都有一个列表，称为为ACLACL（Access Control ListAccess Control List，访问控制列表），该，访问控制列表），该列表记录了每一用户和组对该资源的访问权限。列表记录了每一用户和组对该资源的访问权限。 2.2 NTFS2.2 NTFS权限的设置权限的设置 在新的NTFS 5.0中，微软将这些权限进行了升级，在普通权限的基础上进行了加强，称之为特殊权限，在Windows Server 2008中如图2所示。2.2 NTFS2.2 NTFS权限的设置（续）权限的设置（续）图图2 NTFS2 NTFS权限权

28、限（1 1）遍历文件夹）遍历文件夹/ /执行文件；执行文件；（2 2）列出文件夹）列出文件夹/ /读取数据读取数据 ；（3 3）读取属性；）读取属性；（4 4）读取扩展属性；）读取扩展属性；（5 5）创建文件）创建文件/ /写入数据；写入数据；（6 6）创建文件夹）创建文件夹/ /附加数据；附加数据；（7 7）写入属性；）写入属性；（8 8）写入扩展属性；）写入扩展属性；2.2 NTFS2.2 NTFS权限的设置（续）权限的设置（续）（9）删除；（10）读取权限；（11）变更权限；（12）取得所有权。 这些权限设置中比较重要的是变更权限和获得所有权，通常情况下，这两个特殊权限要慎重使用，一旦赋

29、予了某个用户修改权限，便可以改变相应文件或者文件夹的权限设置。同样，一旦赋予了某个用户获得所有权权限，他就可以作为文件的所有者对文件做出查阅并更改。2.2 NTFS2.2 NTFS权限的设置（续）权限的设置（续）2.NTFS2.NTFS权限的设置方法权限的设置方法 进行进行NTFSNTFS权限设置实际上就是设置权限设置实际上就是设置“谁谁”有有“什什么么”权限，如图权限，如图3 3所示的选项卡上端的窗口和按钮所示的选项卡上端的窗口和按钮用于选取用户和组账户，解决用于选取用户和组账户，解决“谁谁”的问题；下端的问题；下端的窗口和按钮用于为上面窗口中选中的用户或组设的窗口和按钮用于为上面窗口中选中

30、的用户或组设置相应的权限，解决置相应的权限，解决“什么什么”的问题。的问题。2.2 NTFS2.2 NTFS权限的设置（续）权限的设置（续）2.2 NTFS2.2 NTFS权限的设置（续）权限的设置（续）图图3 3 “属性属性”对话框的对话框的“安全安全”选项卡选项卡（1 1）添加）添加/ /删除用户和组删除用户和组 单击图单击图3 3中的中的“编辑编辑”按钮后，在弹出的对话框中按钮后，在弹出的对话框中单击单击“添加添加”按钮将出现如图按钮将出现如图4 4所示的对话框，在所示的对话框，在这个对话框中可以直接在文本框中输入用户、账户这个对话框中可以直接在文本框中输入用户、账户名称。如图名称。如图

31、4 4（a a）所示，再单击）所示，再单击“检查名称检查名称”对该对该名称进行核实，如图名称进行核实，如图4 4（b b）所示。）所示。 2.2 NTFS2.2 NTFS权限的设置（续）权限的设置（续）2.2 NTFS2.2 NTFS权限的设置（续）权限的设置（续）（a a）直接输入名称）直接输入名称 （b b）核实所输入的名称）核实所输入的名称图图4 4 输入名称并核实输入名称并核实 如果希望以选取的方式添加用户和组账户名称，可以单击“高级”按钮，在如图5所示的对话框中单击“对象类型”按钮缩小搜索账户类型的范围，然后单击“位置”按钮指定搜索账户的位置，然后单击“立即查找”按钮。2.2 NTF

32、S2.2 NTFS权限的设置（续）权限的设置（续）图图5 5 搜索并选择用户和组账户搜索并选择用户和组账户 此时，在“属性”对话框的“安全”选项卡上端的窗口中已经可以看到新添加的用户和组，如图6所示。2.2 NTFS2.2 NTFS权限的设置（续）权限的设置（续）图图6 6 新添加的用户和组账户名称新添加的用户和组账户名称 （2 2）为用户和组设置权限）为用户和组设置权限 在如图7所示的对话框上端选取一个账户，就可以在下端的窗口中设置相应的NTFS权限。 图7 高级安全设置2.2 NTFS2.2 NTFS权限的设置（续）权限的设置（续）思考：思考： 假设：系统除了管理员用户administra

33、tor外，还有两个用户userA和userB，以及相对应的文件夹A和B。如何让文件夹A只能被userA读取，而不能被userB读取？2.2 NTFS2.2 NTFS权限的设置（续）权限的设置（续）1.1.权限的组合权限的组合 当一个用户属于多个组时，这个用户会得到各个组当一个用户属于多个组时，这个用户会得到各个组的累加权限，一旦有一个组的相应权限被拒绝，此的累加权限，一旦有一个组的相应权限被拒绝，此用户的此权限也会被拒绝。用户的此权限也会被拒绝。举例：举例： 假设有一个用户假设有一个用户BobBob，如果，如果BobBob属于属于A A和和B B两个组，两个组，A A组对某文件有读取权限，组对

34、某文件有读取权限，B B组对此文件有写入权组对此文件有写入权限，限，BobBob自己对此文件有修改权限，那么自己对此文件有修改权限，那么BobBob对此文对此文件的最终权限为件的最终权限为“读取读取+ +写入写入+ +修改修改”。 2.3 NTFS2.3 NTFS权限的应用规则权限的应用规则2.2.权限的继承权限的继承继承就是指新建的文件或者文件夹会自动继承上一级继承就是指新建的文件或者文件夹会自动继承上一级目录或者驱动器的目录或者驱动器的NTFSNTFS权限，但是从上一级继承下来的权限，但是从上一级继承下来的权限是不能直接修改的，只能在此基础上添加其他权权限是不能直接修改的，只能在此基础上添

35、加其他权限。限。3.3.移动和复制操作对权限继承性的影响移动和复制操作对权限继承性的影响(P53)(P53)（1）同一个分区内移动文件或文件夹时(保留)；（2）同一个NTFS分区内复制文件或文件夹时(继承目标)；（3）在不同NTFS分区内复制或移动(继承目标)。2.3 NTFS2.3 NTFS权限的应用规则（续）权限的应用规则（续）共享权限和共享权限和NTFSNTFS权限的组合权限权限的组合权限 关于关于WindowsWindows系统共享问题最大的困扰是，系统共享问题最大的困扰是，NTFSNTFS和和共享权限都会影响用户访问网络资源的能力。共享权限都会影响用户访问网络资源的能力。 共享权限只

36、有三种：读取、更改和完全控制。共享权限只有三种：读取、更改和完全控制。WindowsWindowsServerServer20082008默认的共享文件设置权限是默认的共享文件设置权限是CreatorOwnerCreatorOwner，并且没有任何读取权限，并且没有任何读取权限，WindowsWindowsServerServer20032003默认的共享文件设置权限是默认的共享文件设置权限是EveryoneEveryone，用户只具有读取权限，用户只具有读取权限。2.3 NTFS2.3 NTFS权限的应用规则（续）权限的应用规则（续）（1 1）读取。）读取。读取权限是指派给Everyone组

37、的默认权限。 查看文件名和子文件夹名。 查看文件中的数据。 运行程序文件。（2 2）更改。）更改。更改权限不是任何组的默认权限。更改权限除允许所有的读取权限外，还增加以下权限。 添加文件和子文件夹。 更改文件中的数据。 删除子文件夹和文件。2.3 NTFS2.3 NTFS权限的应用规则（续）权限的应用规则（续）（3 3）完全控制。）完全控制。完全控制权限是指派给本机上的Administrators组的默认权限。完全控制权限除允许全部读取权限外，还具有更改权限。 共享权限只对通过网络访问的用户有效，所以有时需要和NTFS权限配合（如果分区是FAT/FAT32文件系统，则不需要考虑）才能严格控制用

38、户的访问。当一个共享文件夹设置了共享权限和NTFS权限后，就要受到两种权限的控制。2.3 NTFS2.3 NTFS权限的应用规则（续）权限的应用规则（续） 文件和文件夹被建立在Windows Server 2008的NTFS分区上时就具有了所有权属性，称之为“NTFS所有权”，默认的所有权归创建这个文件或文件夹的用户。1.NTFS1.NTFS所有权概述所有权概述 NTFSNTFS所有权即所有权即NTFSNTFS文件和文件夹所有权，当用户对文件和文件夹所有权，当用户对某个文件或文件夹具有所有权时，就具备了更改该某个文件或文件夹具有所有权时，就具备了更改该文件或文件夹权限设置的能力。文件或文件夹权

39、限设置的能力。2.4 NTFS2.4 NTFS所有权所有权2.4 NTFS2.4 NTFS所有权（续）所有权（续） 以鼠标右键单击一个文件或文件夹并在弹出菜单中选择“属性”命令，在弹出的“属性”对话框中打开“安全”选项卡，然后单击“高级”按钮，在弹出对话框中单击“所有者”标签，将看到如图8所示的“所有者”选项卡。图图8 8 查看所有权查看所有权2.2.更改所有权更改所有权 更改所有权的前提条件是进行此操作的用户必须具更改所有权的前提条件是进行此操作的用户必须具备备“取得所有权取得所有权”的权限，或者具备获得的权限，或者具备获得“取得所取得所有权有权”这个权限的能力。举例如下：这个权限的能力。举

40、例如下： （1 1）AdministratorAdministrator组的成员拥有组的成员拥有“取得所有权取得所有权”的权限，可以修改所有文件和文件夹的所有权设的权限，可以修改所有文件和文件夹的所有权设置。置。 （2 2）对于某个文件夹具备读取权限和更改权限的）对于某个文件夹具备读取权限和更改权限的用户，就可以为自身添加用户，就可以为自身添加“取得所有权取得所有权”权限，也权限，也就是具备获得就是具备获得“取得所有权取得所有权”的权限能力。的权限能力。2.4 NTFS2.4 NTFS所有权（续）所有权（续） Windows Server 2008的数据压缩功能是NTFS文件系统的内置功能，该

41、功能可以对单个文件、整个目录或卷上的整个目录树进行压缩。 利用这项功能，可以节省一定的硬盘使用空间。以下是压缩文件或文件夹的步骤： （1）打开“我的电脑”，双击驱动器或文件夹，右键单击要压缩的文件或文件夹，然后单击“属性”按钮，可以看到“常规”选项卡，如图9所示。2.5 NTFS2.5 NTFS压缩压缩2.5 NTFS2.5 NTFS压缩（续）压缩（续）图图9 9 压缩文件夹设置压缩文件夹设置 （2 2）在）在“常规常规”选项卡中，单击选项卡中，单击“高级高级”按钮，按钮，选中选中“压缩内容以便节省磁盘空间压缩内容以便节省磁盘空间”复选框，然后复选框，然后单击单击“确定确定”按钮，如图按钮，如

42、图1010所示。所示。 （3 3）在）在“属性属性”对话框中，单击对话框中，单击“确定确定”按钮，按钮，在在“确认属性更改确认属性更改”中选择需要的选项，如图中选择需要的选项，如图1111所所示。示。2.5 NTFS2.5 NTFS压缩（续）压缩（续）图图10 10 压缩文件夹设置压缩文件夹设置图图11 11 压缩文件夹设置压缩文件夹设置 在Windows Server 2008中压缩对于移动和复制文件的影响，主要有4种情况，它们分别是： （1）当在同一个NTFS分区中复制文件或文件夹时；（2）当在不同的NTFS分区之间复制文件或文件夹时；（3）当在同一个NTFS分区中移动文件或文件夹时；（4

43、）当在不同的NTFS分区之间移动文件或文件夹时； 注意：注意：任何被压缩的NTFS文件移动或复制到FAT卷时将自动解压。此外，使用NTFS压缩的文件和文件夹不能被加密。2.5 NTFS2.5 NTFS压缩（续）压缩（续） EFS采用高级的标准加密算法实现透明的文件加密和解密，任何不拥有合适密钥的个人或者程序都不能读取加密数据。即便是物理上拥有驻留加密文件的计算机，加密文件仍然受到保护，甚至是有权访问计算机及其文件系统的用户，也无法读取这些数据。 Windows Server 2008操作系统中包含的加密文件系统（EFS）是以公钥加密为基础的，并利用了Windows Server 2008中的C

44、ryptoAPI体系结构。 2.6 2.6 加密文件系统加密文件系统EFSEFS2.6 2.6 加密文件系统加密文件系统EFSEFS（续）（续） 下面介绍两种利用下面介绍两种利用EFS对文件夹进行加密的方法。对文件夹进行加密的方法。1.1.在资源管理器中操作在资源管理器中操作 （1）选择需要加密的文件夹，右键单击该文件夹，单击“属性”按钮。在弹出的属性对话框中单击“高级”，如图12所示。 （2）在弹出的高级属性对话框中，选择“加密内容以保护数据”，然后单击“确定”，如图12所示。 （3）出现“确认属性更改”对话框，如图13所示。选择“仅将更改应用于该文件夹”，系统将只对文件夹加密，里面的内容并

45、没经过加密，但是在其中创建的文件或文件夹将被加密。选择“将更改应用于该文件夹、子文件夹和文件”，文件夹内部的所有内容被加密。2.6 2.6 加密文件系统加密文件系统EFSEFS（续）（续）图图12 12 利用利用EFSEFS加密文件加密文件 图图13 13 利用利用EFSEFS加密文件加密文件 （4）单击“确定”按钮，文件夹颜色会彩色显示，完成加密。 注意：注意：加密和压缩属性不可同时选择！文件的解密与加密一样操作。2.2.命令行方式操作命令行方式操作 通过命令行加密和解密文件更加方便快速，适合高通过命令行加密和解密文件更加方便快速，适合高级用户使用。系统使用级用户使用。系统使用CIPHERC

46、IPHER命令来进行加密和解命令来进行加密和解密操作。以下进行简要介绍：密操作。以下进行简要介绍： 2.6 2.6 加密文件系统加密文件系统EFSEFS（续）（续） C:Documents and SettingsAdministratorcipher /?显示或更改 NTFS 分区上的目录文件的加密 CIPHER /E | /D /S:directory /A /I /F /Q /H pathname . CIPHER /K CIPHER /R:filename CIPHER /U /N CIPHER /W:directory CIPHER /X:efsfile filename2.6 2.

47、6 加密文件系统加密文件系统EFSEFS（续）（续）例如：例如： 默认情况下Cipher加密文件夹命令并不会加密文件夹中已经存在的文件，而是让Windows加密文件中的新文件，因此，若需要加密C:EFSFolder文件夹以及其中已存在的文件，需要输入以下命令：Cipher /E C:EFSFolder（加密文件夹，但不加密文件）Cipher /E C:EFSFolder*（加密文件夹中的文件）也可以输入以下命令实现：Cipher /E /S:C:EFSFolder(注意/S和后面的文件夹路径不能留空格)解密命令：Cipher /D C:EFSFolder（解密文件夹，但不包含文件）Cipher /D C:EFSFolder*（解密文件夹中的文件）2.6 2.6 加密