利用NTFS实现文件系统的安全

利用NTFS实现文件系统的安全利用NTFS实现文件系统的安全

1文件系统的概述 1.1FAT文件系统 1.2FAT32文件系统1.3NTFS文件系统1.4NTFS与FAT文件系统的区别2NTFS文件系统 2.1NTFS磁盘结构2.2NTFS权限的设置2.3NTFS权限的应用规则2.4NTFS所有权2.5NTFS压缩2.6加密文件系统EFS利用NTFS实现文件系统的安全（续）

【提要】文件系统的概述各种NTFS权限及其所有权NTFS权限的设置方法NTFS压缩的方法加密文件系统的实现基本内容文件系统是任何操作系统最显而易见的组成部分，大多数操作系统把可由用户命名的对象称做文件。不同的操作系统都有其独特的文件类型。WindowsServer2008使用独有的NTFS文件类型在文件系统的安全方面提供了强大的功能。本章将介绍WindowsServer2008中有关文件系统方面的内容，主要介绍文件系统的基本概念，NTFS文件系统与FAT文件系统的区别，NTFS文件系统在安全方面的特性，以及如何在WindowsServer2008中配置NTFS的权限，最后将介绍实现加密文件系统的方法。1文件系统的概述所谓文件系统，是操作系统在存储设备上保存封包的数据所用的结构和机制。用户在安装WindowsServer2008之前，应该先决定选择的文件系统。WindowsServer2008支持使用NTFS文件系统和文件分配表文件系统（FAT或FAT32）。本节以下内容将对这3种文件系统进行简单介绍。

1.1FAT文件系统FAT（FileAllocationTable）是“文件分配表”的意思，其意义在于对硬盘分区的管理。FAT文件系统最初用于小型磁盘和简单文件结构的简单文件系统。FAT文件系统得名于它的组织方法：放置在卷起始位置的文件分配表。1.1FAT文件系统为了保护卷，使用了两份复制，即使损坏了一份也能确保正常工作。另外，为确保正确装卸启动系统所必须的文件，文件分配表和根文件夹必须存放在固定的位置。采用FAT文件系统格式化的卷以簇的形式进行分配，默认的簇大小由卷的大小决定。对于FAT文件系统，簇数目必须可以用16位的二进制数字表示，并且是2的乘方，默认的簇大小如表2所示。1.1FAT文件系统（续）分区大小扇区数/每簇簇大小（字节）0MB～32MB151233MB～64MB21K65MB～128MB42K129MB～255MB84K256MB～511MB168K512MB～1023MB3216K1024MB～2047MB6432K2048MB～4095MB12864K1.1FAT文件系统（续）需要注意的是：FAT文件系统最好用在较小的卷上。因为，在不考虑簇大小的情况下，使用FAT文件系统卷不能大于4GB。1.1FAT32文件系统1.2FAT32文件系统FAT32文件系统提供了比FAT文件系统更为先进的文件管理特性。与FAT16相比，FAT32主要具有以下特点：（1）与FAT16相比FAT32最大的优点是可以支持的磁盘容量达到2TB（2048GB），但是不能支持小于512MB的分区。

1.2FAT32文件系统（2）由于采用了更小的簇，FAT32文件系统可以更有效地保存信息。

1.2FAT32文件系统（续）分区大小默认的簇的大小（字节）小于8GB4K大于等于8GB且小于16GB8K大于等于16GB且小于32GB16K大于等于32GB32K（3）FAT32文件系统可以重新定位根目录和使用FAT的备份副本。另外FAT32分区的启动记录包含在一个含有关键数据的结构中，减少了计算机系统崩溃的可能性。注意：由于这种格式的文件系统增加了在系统重新启动时WindowsServer2008计算机引导卷中闲置空间的时间。因此，在WindowsServer2008中不支持用户使用格式化程序来创建超过32GB的FAT32卷。

1.2FAT32文件系统（续）1.3NTFS文件系统WindowsServer2008推荐使用NTFS文件系统，并且其系统安装盘必须使用NTFS文件系统，WindowsServer2008提供了FAT和FAT32文件系统所没有的、全面的性能，可靠性和兼容性。类似于FAT文件系统，NTFS文件系统使用簇作为磁盘分配的基本单元。在NTFS文件系统中，默认的簇大小取决于卷的大小。

1.3NTFS文件系统分区大小扇区数/每簇簇大小（字节）512MB或更小1512513MB～1024MB（1GB）21K1025MB～2048MB（2GB）42K2049MB～4096MB（4GB）84K4097MB～8192MB（8GB）168K8193MB～16384MB（16GB）3216K16385MB～32768MB（32GB）6432K>32768MB12864K1.3NTFS文件系统（续）1.3NTFS文件系统（续）NTFS文件系统是一个基于安全性的文件系统，它是建立在保护文件和目录数据基础上，同时照顾节省存储资源、减少磁盘占用量的一种先进的文件系统。NTFS5.0的特点主要体现在以下几个方面：（1）NTFS可以支持的分区容量可以达到2TB。如果是FAT32文件系统，支持分区的容量最大为32GB。（2）NTFS是一个可恢复的文件系统。（3）NTFS支持对分区、文件夹和文件的压缩。（4）NTFS采用了更小的簇，可以更有效率地管理磁盘空间。1.3NTFS文件系统（续）（5）在NTFS分区上，可以为共享资源、文件夹以及文件设置访问许可权限。（6）在WindowsServer2008的NTFS文件系统下可以进行磁盘配额管理。（7）NTFS使用一个“变更”日志来跟踪记录文件所发生的变更。注意：只有在NTFS文件系统中用户才可以使用诸如“活动目录”和基于域的安全策略等重要特性。NTFS的主要弱点是它只能被WindowsNT/2000/XP、WindowsServer2003、WindowsVista以及WindowsServer2008所识别。因此如果使用双重启动配置，则可能无法从计算机上的另一个操作系统访问NTFS分区上的文件。所以，需要注意的是：如果要使用双重启动配置，FAT32或者FAT文件系统将是更适合的选择。1.3NTFS文件系统（续）WindowsServer2008的系统盘必须是NFTF格式，并且安装WindowsServer2008的用户建议使用NTFS文件系统。NTFS具有FAT文件系统的所有基本功能，以下介绍FAT或FAT32文件系统所没有的优点：（1）更为安全的文件。（2）更好的磁盘压缩性能。（3）支持最大达2TB的硬盘。（4）双重启动配置1.4NTFS与FAT文件系统的区别只有一种情况用户可能需要使用FAT或FAT32文件系统，就是确有必要配置WindowsServer2008和早期操作系统的双重启动。如表5所示比较了每一种文件系统可能的磁盘和文件大小。1.4NTFS与FAT文件系统的区别(续)注意：如果用户在安装过程中选择的FAT分区大于2GB，则安装程序自动地把它格式化为FAT32格式，对于大于32GB的卷建议使用NTFS而不是FAT32。1.4NTFS与FAT文件系统的区别(续)NTFSFATFAT32最小卷尺寸是大约10MB；建议实际最大卷尺寸是2TB卷尺寸从软盘容量到4GB卷尺寸从512MB到2TB不能用于软盘不支持域在WindowsServer2003中，用户只能把FAT32卷最大格式化到32GB文件尺寸只受限于卷的大小最大文件尺寸为2GB不支持域，最大文件尺寸为4GBNTFS的英文全称为“NewTechnologyFileSystem”，中文指NT文件系统。在WindowsServer2008中，它在安全性和稳定性方面的优点得到了更好的体现，本节将帮助用户了解NTFS的磁盘结构并利用NTFS实现文件系统的安全性。2NTFS文件系统NTFS是一个比FAT和FAT32复杂得多的文件系统，它在安全性和容错性方面具有很强的功能，本节将对NTFS的磁盘结构进行剖析。1.卷NTFS是以卷为基础的。卷建立在磁盘分区之上。分区是磁盘的基本组成部分，是一个能够被格式化和单独使用的逻辑单元。一个磁盘可以有多个卷，一个卷也可以由多个磁盘组成。

2.1NTFS磁盘结构例如，一个36GB硬盘的3种磁盘配置的如图1所示。2.1NTFS磁盘结构（续）图1硬盘配置方案2.簇NTFS与FAT一样，使用簇作为磁盘空间分配和回收的基本单位。即一个文件占用若干个整簇，而最后一簇的剩余空间不再使用。NTFS使用逻辑簇号（LCN）和虚拟簇号（VCN）来进行簇的定位。LCN是对整个卷中所有的簇从头到尾所进行的简单编号。卷因子乘以LCN，NTFS就能够得到卷上的物理字节偏移量，从而得到物理磁盘地址。2.1NTFS磁盘结构（续）3.主控文件表（MFT）文件通过主文件表（MFT）来确定其在磁盘上的存储位置。主文件表是一个对应的数据库，由一系列文件记录组成的，卷中每一个文件都有一个文件记录（对于大型文件还可能有多个记录与之相对应）。MFT是NTFS卷结构的核心，是NTFS最重要的系统文件。MFT以文件记录数组实现，每个文件大小为1KB，卷上每个文件（包括MFT本身）都有一行MFT记录。2.1NTFS磁盘结构（续）文件引用号NTFS卷上的每个文件都有一个64位（bit）称为文件引用号（FileReferenceNumber，也称文件索引号）的唯一标识。文件引用号由两部分组成：一是文件号，二是文件顺序号。

5.文件记录NTFS不是将文件仅仅视为一个文本库或二进制数据，而是将文件作为许多属性/属性值的集合来处理。除数据属性外，其他文件属性包括文件名、文件时间标记、文件拥有者等。2.1NTFS磁盘结构（续）6.文件名NTFS和FAT路径中的每个文件名/目录名长度可达255个字节，可以包含Unicode字符、多个句点和空格。7.常驻属性和非常驻属性当一个文件很小时，其所有属性和属性值可存放在MFT的文件记录中。当属性值能直接存放在MFT中时，该属性就称为常驻属性。有些属性总是常驻的，这样NTFS才可以确定其他非常驻属性。例如，标准信息属性和根索引就总是常驻属性。2.1NTFS磁盘结构（续）8.文件名索引在NTFS中，文件目录仅仅是文件名的一个索引，即为了便于快速访问而用一种特殊的方式组织起来的文件名的集合。要创建一个目录，NTFS应对目录中文件的文件名属性进行索引。2.1NTFS磁盘结构（续）1.NTFS权限的含义NTFS权限可以实现高度的本地安全性，通过对用户赋予NTFS权限可以有效地控制用户对文件和文件夹的访问。NTFS分区上的每一个文件和文件夹都有一个列表，称为ACL（AccessControlList，访问控制列表），该列表记录了每一用户和组对该资源的访问权限。2.2NTFS权限的设置在新的NTFS5.0中，微软将这些权限进行了升级，在普通权限的基础上进行了加强，称之为特殊权限，在WindowsServer2008中如图2所示。2.2NTFS权限的设置（续）图2NTFS权限（1）遍历文件夹/执行文件；（2）列出文件夹/读取数据；（3）读取属性；（4）读取扩展属性；（5）创建文件/写入数据；（6）创建文件夹/附加数据；（7）写入属性；（8）写入扩展属性；2.2NTFS权限的设置（续）（9）删除；（10）读取权限；（11）变更权限；（12）取得所有权。这些权限设置中比较重要的是变更权限和获得所有权，通常情况下，这两个特殊权限要慎重使用，一旦赋予了某个用户修改权限，便可以改变相应文件或者文件夹的权限设置。同样，一旦赋予了某个用户获得所有权权限，他就可以作为文件的所有者对文件做出查阅并更改。2.2NTFS权限的设置（续）2.NTFS权限的设置方法进行NTFS权限设置实际上就是设置“谁”有“什么”权限，如图3所示的选项卡上端的窗口和按钮用于选取用户和组账户，解决“谁”的问题；下端的窗口和按钮用于为上面窗口中选中的用户或组设置相应的权限，解决“什么”的问题。2.2NTFS权限的设置（续）2.2NTFS权限的设置（续）图3“属性”对话框的“安全”选项卡（1）添加/删除用户和组单击图3中的“编辑”按钮后，在弹出的对话框中单击“添加”按钮将出现如图4所示的对话框，在这个对话框中可以直接在文本框中输入用户、账户名称。如图4（a）所示，再单击“检查名称”对该名称进行核实，如图4（b）所示。

2.2NTFS权限的设置（续）2.2NTFS权限的设置（续）（a）直接输入名称

（b）核实所输入的名称图4输入名称并核实如果希望以选取的方式添加用户和组账户名称，可以单击“高级”按钮，在如图5所示的对话框中单击“对象类型”按钮缩小搜索账户类型的范围，然后单击“位置”按钮指定搜索账户的位置，然后单击“立即查找”按钮。2.2NTFS权限的设置（续）图5搜索并选择用户和组账户

此时，在“属性”对话框的“安全”选项卡上端的窗口中已经可以看到新添加的用户和组，如图6所示。2.2NTFS权限的设置（续）图6新添加的用户和组账户名称

（2）为用户和组设置权限

在如图7所示的对话框上端选取一个账户，就可以在下端的窗口中设置相应的NTFS权限。

图7高级安全设置2.2NTFS权限的设置（续）思考：假设：系统除了管理员用户administrator外，还有两个用户userA和userB，以及相对应的文件夹A和B。如何让文件夹A只能被userA读取，而不能被userB读取？2.2NTFS权限的设置（续）1.权限的组合当一个用户属于多个组时，这个用户会得到各个组的累加权限，一旦有一个组的相应权限被拒绝，此用户的此权限也会被拒绝。举例：假设有一个用户Bob，如果Bob属于A和B两个组，A组对某文件有读取权限，B组对此文件有写入权限，Bob自己对此文件有修改权限，那么Bob对此文件的最终权限为“读取+写入+修改”。

2.3NTFS权限的应用规则2.权限的继承继承就是指新建的文件或者文件夹会自动继承上一级目录或者驱动器的NTFS权限，但是从上一级继承下来的权限是不能直接修改的，只能在此基础上添加其他权限。3.移动和复制操作对权限继承性的影响(P53)（1）同一个分区内移动文件或文件夹时(保留)；（2）同一个NTFS分区内复制文件或文件夹时(继承目标)；（3）在不同NTFS分区内复制或移动(继承目标)。2.3NTFS权限的应用规则（续）共享权限和NTFS权限的组合权限关于Windows系统共享问题最大的困扰是，NTFS和共享权限都会影响用户访问网络资源的能力。共享权限只有三种：读取、更改和完全控制。Windows

Server

2008默认的共享文件设置权限是CreatorOwner，并且没有任何读取权限，Windows

Server

2003默认的共享文件设置权限是Everyone，用户只具有读取权限。2.3NTFS权限的应用规则（续）（1）读取。读取权限是指派给Everyone组的默认权限。①查看文件名和子文件夹名。②查看文件中的数据。③运行程序文件。（2）更改。更改权限不是任何组的默认权限。更改权限除允许所有的读取权限外，还增加以下权限。①添加文件和子文件夹。②更改文件中的数据。③删除子文件夹和文件。2.3NTFS权限的应用规则（续）（3）完全控制。完全控制权限是指派给本机上的Administrators组的默认权限。完全控制权限除允许全部读取权限外，还具有更改权限。共享权限只对通过网络访问的用户有效，所以有时需要和NTFS权限配合（如果分区是FAT/FAT32文件系统，则不需要考虑）才能严格控制用户的访问。当一个共享文件夹设置了共享权限和NTFS权限后，就要受到两种权限的控制。2.3NTFS权限的应用规则（续）文件和文件夹被建立在WindowsServer2008的NTFS分区上时就具有了所有权属性，称之为“NTFS所有权”，默认的所有权归创建这个文件或文件夹的用户。1.NTFS所有权概述NTFS所有权即NTFS文件和文件夹所有权，当用户对某个文件或文件夹具有所有权时，就具备了更改该文件或文件夹权限设置的能力。2.4NTFS所有权2.4NTFS所有权（续）以鼠标右键单击一个文件或文件夹并在弹出菜单中选择“属性”命令，在弹出的“属性”对话框中打开“安全”选项卡，然后单击“高级”按钮，在弹出对话框中单击“所有者”标签，将看到如图8所示的“所有者”选项卡。图8查看所有权2.更改所有权更改所有权的前提条件是进行此操作的用户必须具备“取得所有权”的权限，或者具备获得“取得所有权”这个权限的能力。举例如下：（1）Administrator组的成员拥有“取得所有权”的权限，可以修改所有文件和文件夹的所有权设置。（2）对于某个文件夹具备读取权限和更改权限的用户，就可以为自身添加“取得所有权”权限，也就是具备获得“取得所有权”的权限能力。2.4NTFS所有权（续）WindowsServer2008的数据压缩功能是NTFS文件系统的内置功能，该功能可以对单个文件、整个目录或卷上的整个目录树进行压缩。利用这项功能，可以节省一定的硬盘使用空间。以下是压缩文件或文件夹的步骤：（1）打开“我的电脑”，双击驱动器或文件夹，右键单击要压缩的文件或文件夹，然后单击“属性”按钮，可以看到“常规”选项卡，如图9所示。2.5NTFS压缩2.5NTFS压缩（续）图9压缩文件夹设置

（2）在“常规”选项卡中，单击“高级”按钮，选中“压缩内容以便节省磁盘空间”复选框，然后单击“确定”按钮，如图10所示。（3）在“属性”对话框中，单击“确定”按钮，在“确认属性更改”中选择需要的选项，如图11所示。2.5NTFS压缩（续）图10压缩文件夹设置图11压缩文件夹设置在WindowsServer2008中压缩对于移动和复制文件的影响，主要有4种情况，它们分别是：（1）当在同一个NTFS分区中复制文件或文件夹时；（2）当在不同的NTFS分区之间复制文件或文件夹时；（3）当在同一个NTFS分区中移动文件或文件夹时；（4）当在不同的NTFS分区之间移动文件或文件夹时；注意：任何被压缩的NTFS文件移动或复制到FAT卷时将自动解压。此外，使用NTFS压缩的文件和文件夹不能被加密。2.5NTFS压缩（续）EFS采用高级的标准加密算法实现透明的文件加密和解密，任何不拥有合适密钥的个人或者程序都不能读取加密数据。即便是物理上拥有驻留加密文件的计算机，加密文件仍然受到保护，甚至是有权访问计算机及其文件系统的用户，也无法读取这些数据。WindowsServer2008操作系统中包含的加密文件系统（EFS）是以公钥加密为基础的，并利用了WindowsServer2008中的CryptoAPI体系结构。2.6加密文件系统EFS2.6加密文件系统EFS（续）下面介绍两种利用EFS对文件夹进行加密的方法。1.在资源管理器中操作

（1）选择需要加密的文件夹，右键单击该文件夹，单击“属性”按钮。在弹出的属性对话框中单击“高级”，如图12所示。（2）在弹出的高级属性对话框中，选择“加密内容以保护数据”，然后单击“确定”，如图12所示。（3）出现“确认属性更改”对话框，如图13所示。选择“仅将更改应用于该文件夹”，系统将只对文件夹加密，里面的内容并没经过加密，但是在其中创建的文件或文件夹将被加密。选择“将更改应用于该文件夹、子文件夹和文件”，文件夹内部的所有内容被加密。2.6加密文件系统EFS（续）图12利用EFS加密文件

图13利用EFS加密文件（4）单击“确定”按钮，文件夹颜色会彩色显示，完成加密。注意：加密和压缩属性不可同时选择！文件的解密与加密一样操作。2.命令行方式操作通过命令行加密和解密文件更加方便快速，适合高级用户使用。系统使用CIPHER命令来进行加密和解密操作。以下进行简要介绍：

2.6加密文件系统EFS（续）

C:\DocumentsandSettings\Administrator>cipher/?显示或更改NTFS分区上的目录[文件]的加密

CIPHER[/E|/D][/S:directory][/A][/I][/F][/Q][/H][pathname[...]]CIPHER/KCIPHER/R:filenameCIPHER/U[/N]CIPHER/W:directoryCIPHER/X[:efsfile][filename]2.6加密文件系统EFS（续）例如：默认情况下Cipher加密文件夹命令并不会加密文件夹中已经存在的文件，而是让Windows加密文件中的新文件，因此，若需要加密C:\EFSFolder文件夹以及其中已存在的文件，需要输入以下命令：Cipher/EC:\EFSFolder（加密文件夹，但不加密文件）Cipher/EC:\EFSFolder\*（加密文件夹中的文件）也可以输入以下命令实现：Cipher/E/S:C:\EFSFolder(注意/S和后面的文件夹路径不能留空格)解密命令：Cipher/DC:\EFSFolder（解密文件夹，但不包含文件）Cipher/DC:\EFSFolder\*（解密文件夹中的文件）2.6加密文件系统EFS（续）3.备份方法打开控制面板下的“用户账号”，在图14中选择“管理您得文件加密证书”可得到图15的备份证书界面。2.6加密文件系统