· Расширенное восстановление системы — технология, позволяющая пользователям сохранять целиком состояние системы и обеспечивающая ее восстановление после сбоя.
· Сервер сценариев, Windows Scripting Host (WSH) — средство для выполнения сценариев, запускаемое из графической среды или из командной строки. Поддерживаются языки VBScript и JavaScript. Эта независимая от языка архитектура позволяет писать сценарии и на других языках, а также разрабатывать собственные интерпретаторы командных сценариев.
· Планировщик задач (Task Scheduler) — новое средство для планирования (диспетчеризации) задач, идущее на смену команде AT.
· Возможность вторичного входа в систему, служба RunAs — позволяет пользователю, уже зарегистрированному в системе, войти в систему под другим именем.
· Консоль управления Microsoft Management Console (MMC) — новая оболочка для административных утилит, обеспечивающая универсальный пользовательский интерфейс для всех системных инструментов среды NT, собственных системных утилит операционной системы и средств администрирования, входящих в другие программные продукты.
· Групповые политики (Group Policies) — наборы конфигурационных параметров, которые могут назначаться как изолированному компьютеру, так и компьютеру, входящему в домен Windows 2000. Управление с использованием политик позволяет ограничивать возможности клиентских систем, автоматизировать обновление операционной системы, инсталляцию приложений и работу с пользовательскими профилями.
· Windows Installer — новая технология, управляющая процессом инсталляции программного обеспечения в среде Windows (входит в состав технологии IntelliMirror®). Наибольшей эффективности от ее использования можно добиться в домене Windows 2000. Технология Windows Installer является ключевым элементом для полной реализации продвигаемой компанией Microsoft методологии ZAW (Zero Administration for Windows, Нулевое администрирование Windows); с ее помощью можно значительно уменьшить вероятность конфликтов DLL и улучшить конфигурируемость настольных приложений.
· Поддержка FAT32, улучшенной версии файловой системы FAT (File Allocation Table), используемой в Windows 95 OSR2, а также в Windows 98.
· Улучшенная версия файловой системы NT File System (NTFS), работающей быстрее и имеющей множество новых возможностей, таких как в системе Windows 2000 Professional имеется клиентское программное обеспечение, позволяющее использовать следующие возможности, реализованные в сетях и доменах Windows 2000:
· Средства управления корпоративными ресурсами с помощью веб-технологий (Web-Based Enterprise Management, WBEM) — стандарт, призванный упростить управление драйверами и приложениями, расширить возможности администрирования и, как следствие, снизить ТСО.
· Распределенная модель компонентных объектов (Distributed COM, DCOM) — платформа для построения распределенных приложений.
· Active Directory Services Interface (ADSI) — стандартный интерфейс для разнообразных служб каталогов; обеспечивает также унифицированный доступ к другим каталогам, для которых имеется соответствующий поставщик услуг (ADSI-provider).
· Служба компонентов, Component Service — позволяет более эффективно управлять различными программными компонентами по сравнению с традиционными технологиями, использующими механизм транзакций.
· Служба очередей, Message Queuing — система передачи сообщений и запросов, реализующая надежную доставку сообщений и данных в распределенной среде.
· Службы терминалов, Terminal Services — входившие ранее в самостоятельный продукт, Windows NT 4.0 Terminal Edition, службы терминалов теперь являются стандартным компонентом серверных версий Windows 2000 и позволяют клиентам Windows for Workgroups, Windows 9x, Windows NT 3.51 и 4.0 и Windows 2000 Professional, а также Windows-терминалам удаленно (в локальной сети или по коммутируемым линиям) выполнять 16- и 32-разрядные приложения на серверах Windows 2000, либо администрировать их.
· Веб-сервер (в составе служб Internet Information Services, IIS) — последняя версия Интернет-сервера от Microsoft, позволяющего легко реализовать на отдельном компьютере службы FTP и HTTP.
· Аутентификация Kerberos — протокол безопасности, используемый в распределенных средах для аутентификации пользователей. Стандартный протокол аутентификации компьютеров с Windows 2000 в доменах Windows 2000.
· Поддержка инфраструктуры открытых ключей(Public Key Infrastructure, PKI) — позволяет использовать криптографические методы для шифрования локальных данных и данных, передаваемых через электронную почту, а также для идентификации пользователей в глобальных сетях (цифровые подписи).
10.1. Общие сведения о файловых системах
Windows 2000 поддерживает следующие файловые системы: FAT, FAT32 и NTFS. В данной главе содержатся краткие обзорные сведения об этих файловых системах. На выбор файловой системы оказывают влияние следующие факторы:
· Цель, для которой предполагается использовать компьютер;
· Аппаратная платформа;
· Количество жестких дисков и их объем;
· Требования к безопасности;
· Используемые в системе приложения;
Windows 2000 поддерживает распределенную файловую систему (Distributed File System, DFS) и шифрующую файловую систему (Encrypting File System, EFS). Хотя DFS и EFS и названы "файловыми системами", они не являются таковыми в строгом понимании этого термина. Так, DFS представляет собой расширение сетевого сервиса, позволяющее объединить в единый логический том сетевые ресурсы, расположенные в разделах с различными файловыми системами. DFS развертывается только на Windows 2000 Server. Что касается EFS, то это — надстройка над NTFS, которая дополняет NTFS возможностями шифрования данных. EFS может использоваться на всех системах Windows 2000.
10.2. Файловые системы FAT и FAT32
FAT (чаще всего под FAT подразумевается FAT16) представляет собой простую файловую систему, разработанную для небольших дисков и простых структур каталогов. Ее название происходит от названия метода, применяемого для организации файлов — таблица размещения файлов (File Allocation Table, FAT). Эта таблица размещается в начале тома. В целях защиты тома на нем хранятся две копии FAT. В случае повреждения первой копии FAT дисковые утилиты (например, Scandisk) могут воспользоваться второй копией для восстановления тома. Таблица размещения файлов и корневой каталог должны располагаться по строго фиксированным адресам, чтобы файлы, необходимые для запуска системы, были размещены корректно.
По принципу построения FAT похожа на оглавление книги, т. к. операционная система использует ее для поиска файла и определения кластеров, которые этот файл занимает на жестком диске. Изначально компания Microsoft разработала FAT для управления файлами на дискетах, и только затем приняла ее в качестве стандарта для управления дисками в MS-DOS. Сначала для дискет и небольших жестких дисков (менее 16 Мбайт) использовалась 12-разрядная версия FAT (так называемая FAT12). В MS-DOS v. 3.0 была введена 16-разрядная версия FAT для более крупных дисков. К настоящему моменту FAT 12 применяется на носителях очень малого объема (или на очень старых дисках). Например, все 3,5-дюймовые дискеты емкостью 1,44 Мбайт форматируются для FAT16, а все 5,25-дюймовые — для FAT12.
Том, отформатированный под FAT12 и FAT16, размечается по кластерам. Стандартный размер кластера, устанавливаемый по умолчанию, определяется размером тома (более подробная информация о размерах кластеров приведена далее в этой главе). Таблица расположения файлов и ее резервная копия содержат следующую информацию о каждом кластере тома:
· Unused (кластер не используется).
· Cluster in use by a file (кластер используется файлом).
· Bad cluster (плохой кластер).
· Last cluster in a file (последний кластер файла).
Корневая папка содержит записи для каждого файла и каждой папки, расположенных в корневой папке. Единственным отличием корневой папки от остальных является то, что она занимает четко определенное место на диске и имеет фиксированный размер (не более 512 записей для жесткого диска; для дискет этот размер определяется их объемом).
Папки содержат 32-байтные записи для каждого содержащегося в них файла и каждой вложенной папки. Эти записи содержат следующую информацию:
· Имя (в формате 8.3).
· Байт атрибутов (8 бит полезной информации, которая подробно описана ниже).
· Время создания (24 бит).
· Дата создания (16 бит).
· Дата последнего доступа (16 бит).
· Время последней модификации (16 бит).
· Дата последней модификации (16 бит).
· Номер начального кластера файла в таблице расположения файлов (16 бит).
· Размер файла (32 бита).
Структура папки FAT не имеет четкой организации, и файлам присваиваются первые доступные адреса кластеров на томе. Номер начального кластера файла представляет собой адрес первого кластера, занятого файлом, в таблице расположения файлов. Каждый кластер содержит указатель на следующий кластер, использованный файлом, или индикатор (OxFFFF), указывающий, что данный кластер является последним кластером файла.
Информация папок используется операционными системами, поддерживающими файловую систему FAT. Кроме того, Windows 2000 может хранить в записи папки дополнительную временную информацию (time stamps). Эти дополнительные временные атрибуты указывают, когда файл был создан и когда к нему в последний раз предоставлялся доступ. Главным образом, дополнительные атрибуты используются приложениями POSIX. Файлы на дисках имеют 4 атрибута, которые могут сбрасываться и устанавливаться пользователем — Archive (архивный), System (системный), Hidden (скрытый) и Read-only (только чтение).
В Windows NT, начиная с версии 3.5, файлы, созданные или переименованные на томах FAT, используют биты атрибутов для поддержки длинных имен файлов методом, не вступающим в конфликт с методами доступа к тому, используемыми операционными системами MS-DOS и OS/2. Для файла с длинным именем Windows NT/2000 генерирует короткое имя в формате 8.3. Кроме этого стандартного элемента Windows NT/2000 создает для файла одну или несколько дополнительных записей, по одной на каждые 13 символов длинного имени. Каждая из этих дополнительных записей содержит соответствующую часть длинного имени файла в формате Unicode. Windows NT/2000 устанавливает для дополнительных записей атрибуты тома, а также скрытого системного файла, предназначенного только для чтения, чтобы пометить их как части длинного имени файла. MS-DOS и OS/2 обычно игнорируют записи папок, для которых установлены все эти атрибуты, поэтому такие записи для них невидимы. Вместо этого MS-DOS и OS/2 получают доступ к файлу по стандартному короткому имени файла в формате 8.3.
Windows NT, начиная с версии 3.5, поддерживает длинные имена файлов на томах FAT. Эту устанавливаемую по умолчанию опцию можно отключить, задав значение 1 для параметра реестра Win31 FileSystem, входящего в состав следующего ключа реестра:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlFileSystem Установка этого значения не позволит Windows NT создавать на томах FAT файлы с длинными именами, но не повлияет на уже созданные длинные имена.
В Windows NT/2000 FAT16 работает точно так же, как и в MS-DOS, Windows 95/98. Поддержка этой файловой системы была включена в Windows 2000, поскольку она совместима с большинством операционных систем других фирм-поставщиков программного обеспечения. Помимо этого, применение FAT16 обеспечивает возможность обновления более ранних версий операционных систем семейства Windows до Windows 2000.
32-разрядная файловая система FAT32 была введена с выпуском Windows 95 OSR2 и поддерживается в Windows 98 и Windows 2000. Она обеспечивает оптимальный доступ к жестким дискам, CD-ROM и сетевым ресурсам, повышая скорость и производительность всех операций ввода/вывода. FAT32 представляет собой усовершенствованную версию FAT, предназначенную для использования на томах, объем которых превышает 2 Гбайт.
Том, отформатированный для использования FAT32, как и том FAT16, размечается по кластерам. Размер кластера по умолчанию определяется размером тома. В табл. 10.1 приведено сравнение размеров кластеров для FAT16 и FAT32 в зависимости от размера диска.
Таблица 10.1. Размеры кластеров по умолчанию для FAT16 и FAT32
Для обеспечения максимальной совместимости с существующими прикладными программами, сетями и драйверами устройств, FAT32 была реализована с минимумом возможных изменений в архитектуре и внутренних структурах данных. Все утилиты Microsoft, предназначенные для работы с дисками (Format, Fdisk, Defrag и ScanDisk), были переработаны для обеспечения поддержки FAT32. Кроме того, Microsoft проводит большую работу по поддержке ведущих фирм-производителей драйверов устройств и утилит для работы с диском, чтобы помочь и в обеспечении поддержки FAT32 в их продуктах. В табл. 10.2 сделана попытка сравнения характеристик FAT16 и FAT32.
FAT16 FAT32
Поддерживается большинством операционных систем, в том числе MS-DOS, WINDOWS 98, WINDOWS NT, OS/2 и UNIX Поддерживается операционными системами WINDOWS 98, WINDOWS 95 OSR2 и WINDOWS 2000
Эффективна только на логических дисках, размер которых не превышает 256 Мбайт Не поддерживаются диски, размер которых меньше 512 Мбайт
Поддерживает сжатие диска с помощью таких утилит, как Drvspace Не поддерживается сжатие диска
Ограничена по размеру 65525 кластеров. Каждый кластер имеет фиксированный размер в зависимости от размера логического диска. Ограничения по количеству кластеров и их размеру (32 Кбайта) приводят к общему ограничению размера диска (не более 2 Гбайт). Имеет ограничение по количеству файлов и папок, которые могут содержаться в корневом каталоге. Максимальный размер кластера – 32 Кбайта, максимальный размер диска – 2 Тбайта
Таблица 10.2 Сравнение характеристик FAT16 и FAT32
FAT32 обеспечивает следующие преимущества по сравнению с прежними реализациями FAT:
· Поддержка дисков размером до 2 Гбайт. Следует, правда, отметить, что команда format, включенная в Windows 2000, не позволяет форматировать для использования FAT32 тома, размер которых превышает 32 Гбайт. Поэтому при форматировании томов объемом более 32 Гбайт следует использовать файловую систему NTFS. Однако драйвер FASTFAT, имеющийся в составе Windows 2000, позволяет монтировать и поддерживать любые тома FAT32, в том числе и такие, объем которых превышает 32 Гбайт. За исключением упомянутого выше ограничения FAT32 в Windows 2000 работает точно так же, как в Windows 95 OSR2 и Windows 98.
· Более эффективное расходование дискового пространства. FAT32 использует более мелкие кластеры (см. табл. 1.1), что позволяет повысить эффективность использования дискового пространства на 10—15% по сравнению с FAT.
· Повышенная надежность и более быстрая загрузка программ. В отличие от FAT12 и FAT16, FAT32 обладает возможностью перемещать корневой каталог и использовать резервную копию FAT, если первая копия получила повреждения. Кроме того, загрузочный сектор FAT32 был расширен по сравнению с FAT16 и содержит резервные копии жизненно важных структур данных. Повышенная устойчивость FAT32 обусловлена именно этими факторами.
10.3. Файловая система NTFS
Файловая система Windows NT (NTFS) обеспечивает такое сочетание производительности, надежности и эффективности, которое невозможно предоставить с помощью любой из реализаций FAT (как FAT16, так и FAT32). Основными целями разработки NTFS являлись обеспечение скоростного выполнения стандартных операций над файлами (включая чтение, запись, поиск) и предоставления дополнительных возможностей, включая восстановление поврежденной файловой системы на чрезвычайно больших дисках.
Файловая система NTFS может теоретически поддерживать жесткие диски объемом до 16 эксабайт (1024 петабайт = 2**60 байт), но поскольку таблицы разделов базовых дисков (дисков, включающих главную загрузочную запись) поддерживают только разделы размером до 2 ТБ, вам потребуется использовать динамические тома для создания разделов NTFS, превышающих 2 ТБ. Максимальный размер тома и раздела начинается с 2 ТБ и достигает почти 16 ТБ, в зависимости от того, какой том используется - базовый или динамический и форматировался ли он с помощью стандартных единичных блоков размером 4 КБ.
NTFS обладает характеристиками защищенности, поддерживая контроль доступа к данным и привилегии владельца, играющие исключительно важную роль в обеспечении целостности жизненно важных конфиденциальных данных. Папки и файлы NTFS могут иметь назначенные им права доступа вне зависимости от того, являются они общими или нет. NTFS — единственная файловая система в Windows NT/2000, которая позволяет назначать права доступа к отдельным файлам. Однако если файл будет скопирован из раздела или тома NTFS в раздел или на том FAT, все права доступа и другие уникальные атрибуты, присущие NTFS, будут утрачены.
· Файловая система NTFS, как и FAT, в качестве фундаментальной единицы дискового пространства использует кластеры. В NTFS размер кластера по умолчанию (когда он не задается ни командой Format, ни в оснастке управление дисками) зависит от размера тома. Если для форматирования тома NTFS используется утилита командной строки Format, то нужный размер кластера можно указать в качестве параметра этой команды. Размеры кластеров по умолчанию приведены в табл. 10.3.
Размер кластера
Количество секторовв кластере Размер кластера
До 512 Мбайт включительно 1 512 байт
513 – 1024 Мбайт (1 Гбайт) 2 1 Кбайт
1025- 2048 Мбайт (2 Гбайт) 4 2 Кбайт
2049- 4096 Мбайт (4 Гбайт) 8 4 Кбайт
4097- 8192 Мбайт (8 Гбайт) 16 8 Кбайт
8193- 16 384 Мбайт (16 Гбайт) 32 16 Кбайт
16 385- 32 768 Мбайт (32 Гбайт) 64 32 Кбайт
От 32 678Мбайт 128 64 Кбайт
Таблица 10.3. Зависимость размера кластера по умолчанию от размера раздела для NTFS
Основную информацию о томе NTFS содержит загрузочный сектор раздела (Partition Boot Sector), который начинается с сектора 0 и может иметь длину до 16 секторов. Он состоит из двух структур:
· Блок параметров BIOS. Эта структура содержит информацию о строении тома и структурах файловой системы.
· Код, описывающий, как найти и загрузить файлы для любой из установленных на компьютере операционных систем. Для систем Windows NT/2000, установленных на компьютерах х86, этот код вызывает загрузку NTLDR.
Форматирование тома для NTFS приводит к созданию нескольких системных файлов и главной таблицы файлов (Master File Table, MFT). MFT содержит информацию обо всех файлах и папках, имеющихся на томе NTFS.
NTFS — это объектно-ориентированная файловая система, которая обрабатывает все файлы как объекты с атрибутами. Практически все объекты, существующие на томе, представляют собой файлы, а все что имеется в файле, представляет собой атрибуты — включая атрибуты данных, атрибуты системы безопасности, атрибуты имени файла. Каждый занятый сектор на томе NTFS принадлежит какому-нибудь файлу. Частью файла являются даже метаданные файловой системы (информация, которая представляет собой описание самой файловой системы).
В Windows 2000 была введена новая версия NTFS — NTFS 5.0. Новые структуры данных, появившиеся в составе этой реализации, позволяют использовать новые возможности Windows 2000, например, квоты на использование диска для каждого пользователя, шифрование файлов, отслеживание ссылок, точки перехода (junction points), встроенные наборы свойств (native property sets). Кроме того, добавлять дополнительное дисковое пространство к томам NTFS 5.0 можно без перезагрузки. Новые возможности NTFS 5.0 приведены в табл. 10.4. Таблица 10.4. Дополнительные возможности, обеспечиваемые NTFS 4 и NTFS 5 NTFS — наилучший выбор для работы с томами большого объема. При этом следует учесть, что если к системе предъявляются повышенные требования (к числу которых относятся обеспечение безопасности и использование эффективного алгоритма сжатия), то часть из них можно реализовать только с помощью NTFS. Поэтому в ряде случаев нужно использовать NTFS даже на небольших томах. В приведенной ниже таблице (табл. 10.5) собраны данные о совместимости файловых систем NTFS и FAT, а также ограничения, налагаемые на каждую из этих файловых систем.
Таблица 10.5. Поддержка файловых систем операционными системами
11.1. Разрешения для файлов и папок
Устанавливая пользователям, определенные разрешения для файлов и каталогов (папок), администраторы системы могут защищать конфиденциальную информацию от несанкционированного доступа. Каждый пользователь должен иметь определенный набор разрешений на доступ к конкретному объекту файловой системы. Кроме того, он может быть владельцем файла или папки, если сам их создает. Администратор может назначить себя владельцем любого объекта файловой системы (файла или папки). Cследует, однако, помнить, что обратная передача владения от администратора к пользователю невозможна. Администратор должен зарегистрироваться в системе под именем того пользователя, которому он хочет передать владение файлом или папкой, а затем стать владельцем нужного объекта.
Разрешения пользователя на доступ к объектам файловой системы работают по принципу дополнения (аддитивности). Это значит, что действующие разрешения, то есть те разрешения, которые пользователь реально имеет в отношении конкретного каталога или файла, образуются из всех прямых и косвенных разрешений, назначенных пользователю для данного объекта с помощью логической функции ИЛИ. Например, если пользователь имеет прямо назначенное разрешение для каталога на чтение, а косвенно через членство в группе ему дано разрешение на запись, то в результате пользователь сможет читать информацию в файлах каталога и записывать в них данные. Следует все же заметить, что правило сложения разрешений с помощью логического ИЛИ не выполняется, когда пользователь имеет определенное разрешение, а группе, в которую он входит, отказано в этом разрешении (или наоборот). В этом случае отказ в разрешении имеет более высокий приоритет над предоставлением разрешения, т. е. в результате пользователь не будет иметь данного разрешения. Появление возможности отказа пользователю или группе в разрешении для файлов и каталогов сделало ненужным разрешение No Access, применявшееся в Windows NT 4.0. Теперь для отказа пользователю в разрешении на доступ к какому-либо файлу или папке следует включить пользователя в группу, которой отказано в разрешении Полный доступ (Full Control) для данного объекта файловой системы.
ПРИМЕР. Назначения разрешений для файлов
Для назначения пользователю или группе разрешения на доступ к определенному файлу:
1. Укажите файл мышью и нажмите правую кнопку. Выберите команду Свойства (Properties) контекстного меню. В появившемся окне свойств файла перейдите на вкладку Безопаcность
2. В группе Имя (Name) показан список пользователей и групп, которым уже предоставлены разрешения для данного файла. Для того чтобы добавить или удалить пользователей или группы, нажмите кнопку Добавить (Add) или Удалить (Remove). При добавлении пользователей появится окно диалога Выбор: Пользователи, Компьютеры, или Группы (Select Users, Computers, or Groups).
3. Выделите нужный объект в группе Имя и нажмите кнопки Добавить (Add) и ОК, чтобы вернуться на вкладку Безопасность.
4. В группе Разрешения (Permissions) можно назначить или запретить стандартные разрешения для файлов — Полный доступ (Full Control), Изменить (Modify), Чтение и выполнение (Read&Execute), Чтение (Read) и Запись (Write). Для получения разрешения или отказа в разрешении служат флажки Разрешить (Allow) и Запретить (Deny). На вкладке также присутствуют кнопка Дополнительно (Advanced) и флажок Переносить наследуемые от родительского объекта разрешения на этот объект (Allow inheritable permissions from parent to propagate to this object).
Каждое из перечисленных выше стандартных разрешений состоит из набора более специальных (особых) разрешений, задающих возможность выполнения того или иного конкретного действия с файлами или каталогами.
11.2. Шифрующая файловая система (EFS) Encrypting File System
Шифрующая файловая система это тесно интегрированная с NTFS служба, располагающаяся в ядре Windows 2000. Ее назначение: защита данных, хранящихся на диске, от несанкционированного доступа путем их шифрования. Появление этой службы не случайно, и ожидалось давно. Дело в том, что существующие на сегодняшний день файловые системы не обеспечивают необходимую защиту данных от несанкционированного доступа.
Хотя и NTFS обеспечивает разграничение доступа и защиту данных от несанкционированного доступа, но как быть в том случае, когда доступ к разделу NTFS осуществляется не с помощью средств операционной системы Windows NT, а напрямую, на физическом уровне? Ведь это сравнительно легко реализовать, например, загрузившись с дискеты и запустив специальную программу: например, весьма распространенную ntfsdos. Конечно, можно предусмотреть такую возможность, и задать пароль на запуск системы, однако практика показывает, что такая защита малоэффективна, особенно в том случае, когда за одним компьютером работают сразу несколько пользователей. А если злоумышленник может извлечь жесткий диск из компьютера, то здесь уже не помогут никакие пароли. Подключив диск к другому компьютеру, его содержимое можно будет прочитать без особых проблем. Таким образом, злоумышленник свободно может овладеть конфиденциальной информацией, которая хранится на жестком диске. Единственный способ защиты от физического чтения данных это шифрование файлов. Простейший случай такого шифрования - архивирование файла с паролем. Однако здесь есть ряд серьезных недостатков. Во-первых, пользователю требуется каждый раз вручную шифровать и дешифровать (то есть, в нашем случае архивировать и разархивировать) данные перед началом и после окончания работы, что уже само по себе уменьшает защищенность данных. Пользователь может забыть зашифровать (заархивировать) файл после окончания работы, или (еще более банально) просто оставить на диске копию файла. Во-вторых, пароли, придуманные пользователем, как правило, легко угадываются. В любом случае, существует достаточное количество утилит, позволяющих распаковывать архивы, защищенные паролем. Как правило, такие утилиты осуществляют подбор пароля путем перебора слов, записанных в словаре.
Система EFS была разработана с целью преодоления этих недостатков.
11.2.1. Технология шифрования
EFS использует архитектуру Windows CryptoAPI. В ее основе лежит технология шифрования с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм, это DESX, являющийся специальной модификацией широко распространенного стандарта DES. Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.
По умолчанию EFS сконфигурирована таким образом, что пользователь может сразу начать использовать шифрование файлов. Операция шифрования и обратная поддерживаются для файлов и каталогов. В том случае, если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами - используя Windows Explorer или консольную утилиту Cipher. Для того чтобы зашифровать каталог из Windows Explorer, пользователю нужно просто выбрать один или несколько каталогов и установить флажок шифрования в окне расширенных свойств каталога. Все создаваемые позже файлы и подкаталоги в этом каталоге будут также зашифрованы. Таким образом, зашифровать файл можно, просто скопировав (или перенеся) его в "зашифрованный" каталог.
Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи - автоматически шифруются. Пользователь может работать с зашифрованными файлами так же, как и с обычными файлами, то есть открывать и редактировать в текстовом редакторе Microsoft Word документы, редактировать рисунки в Adobe Photoshop или графическом редакторе Paint, и так далее.
Дата добавления: 2015-08-27; просмотров: 209 | Нарушение авторских прав
| <== предыдущая лекция | | | следующая лекция ==> |