ГЛАВА 4

Файловые системы
Windows NT

В Windows NT версии 5.0 поддерживаются три' файловые системы:

• NTFS (Windows NT file system) — исключительно для Windows NT;

• FAT (File Allocation Table) — для совместимости с приложениями MS-
DOS;

• FAT 32 — модифицированная версия FAT, используемая в Windows
95 OSR2 и Windows 98.

Выбор файловой системы зависит от используемых приложений и от
требований, предъявляемых к ней. У каждой свои полезные свойства,
но возможности защиты и аудита систем различны.

Также в новой версии Windows NT поддерживаются распределенная
файловая система DFS (Distributed File System) и файловая система с
шифрованием EFS (Encrypted File System). Строго говоря, последние не
являются файловыми системами в полной мере, как, например, FAT. DFS
представляет собой расширение сетевого сервиса и позволяет объеди-
нять в единый логический том сетевые ресурсы, расположенные на
разделах с различными файловыми системами. EFS — это надстройка
над NTFS, добавляющая к последней функции шифрования данных. И
DFS, и EFS будут обсуждаться в этой главе.

Просматривая ресурсы компьютера, невозможно сказать, какой формат
имеет тот или иной раздел жесткого диска столь же уверенно, как про
гибкие диски и CD-ROM. Разделы жесткого диска обозначены просто
как Local disk. Чтобы определить тип файловой системы, надо щелк-
нуть правой кнопкой мыши изображение диска и в контекстном меню
выбрать команду Properties.

Дополнительно поддерживается файловая система компакт-дисков CDFS. В
этой книге она не рассматривается.


51.jpg

Изображение дисков в окне Explorer

Файловая система FAT

Файловая система FAT (File Allocation Table) получила свое наименова-
ние в соответствии с названием метода организации данных — табли-
цы распределения файлов. FAT первоначально была ориентирована на
небольшие диски и простые структуры каталога. Через несколько лет
после создания ее усовершенствовали для работы с большими диска-
ми и мощными персональными компьютерами. На рисунке показана
организация диска с использованием файловой системы FAT.

Блок FAT1 FAT2 Корневой Область файлов...
параметров   (копия) каталог  
BIOS        


Дисковый раздел FAT

Корневой каталог расположен на диске и имеет фиксированный раз-
дел. Каталоги — специальные файлы с 32-битными элементами для
каждого файла, содержащегося в этом каталоге. Элемент для каждого
файла включает:

• имя файла (8+3 символа);

• байт атрибута (8 бит);

• время модификации (1б бит);

• дату модификации (16 бит);

• первый размещаемый блок (16 бит);

• размер файла (32 бита).

Эта информация используется всеми операционными системами, под-
держивающими файловую систему FAT. Windows NT может сохранять


и дополнительные отметки времени на элементе каталога FAT. Эти
элементы позволяют определить момент последнего доступа к файлу
и используются в основном приложениями POSIX.

Биты байта атрибута файла в элементе каталога указывают, имеет ли
файл соответствующие атрибуты. Установленный первый бит иденти-
фицирует файл как подкаталог; а второй — в качестве метки тома.
Обычно назначениями этих битов управляет операционная система.
Кроме того, файлы FAT имеют четыре специальных атрибута, которые
указывают, как эти файлы может применять пользователь. Различают-
ся файлы архивный, системный, скрытый и только для чтения.

Windows NT, начиная с версии 3.5, использует биты атрибута для под-
держки длинных (до 255 символов) имен файлов в разделах FAT. При-
меняемый для этого способ не мешает MS-DOS или OS/2 обращаться к
подобному разделу. Всякий раз, когда пользователь создает файл с длин-
ным (превышающим стандартное для FAT ограничение «8+3») именем,
Windows NT учреждает элемент каталога для этого файла, соответству-
ющий соглашению «8+3» (по тем правилам, что и для NTFS) с добавле-
нием одного или нескольких вторичных элементов каталога. Каждый
из таких вторичных элементов рассчитан на 13 символов в длинном
имени файла и сохраняет длинную часть имени файла в UNICODE. Для
этих элементов устанавливаются атрибуты: том, системный, скрытый,
только для чтения. MS-DOS и OS/2 игнорируют элементы каталога с
таким набором атрибутов, и последние не видимы в этих операцион-
ных системах. Вместо них MS-DOS и OS/2 обращаются к элементам,
содержащим информацию в стандартном виде «8+3».

Некоторые дисковые утилиты сторонних производителей, взаимодей-
ствуя непосредственно с FAT, могут расценивать созданные Windows NT
элементы каталога с длинным именем файла как ошибки логической
структуры тома. Попытки этих утилит исправить ошибки могут приве-
сти к потере файлов и каталогов. Чтобы избежать подобных неприят-
ностей, не используйте не проверенные на совместимость с Windows NT
утилиты работы с диском или его дефрагментации.

Файловая система Windows NT FAT функционирует аналогично MS-DOS
и Windows. Windows NT можно устанавливать на существующем разде-
ле FAT. Если же компьютер работает под управлением Windows 95,
длинные имена файлов и каталогов вполне допустимы, так как меха-
низмы работы с длинными именами в обеих системах одинаковы.

Нельзя использовать Windows NT совместно с любыми программами
сжатия или разбиения диска на разделы, если программное обеспече-
ние требует драйверов MS-DOS. Для чтения подобных дисков нужны
драйверы Windows NT.

Файловая система FAT является системой с точной записью, то есть при
необходимости изменения структуры тома дается команда записи на
диск. Недостаток такой системы — медленное выполнение последова-


тельных операций записи: ведь первая запись на диск должна быть за-
вершена прежде, чем начнется вторая и т. д. Это не самое эффективное
использование мощных компьютеров.

Допускается безболезненный перенос или копирование файлов с тома
FAT на NTFS. При выполнении обратной операции информация о раз-
решениях и альтернативных потоках будет потеряна.

Внимание! Файловая система FAT не обеспечивает защиты данных
и их автоматического восстановления. Поэтому FAT используется лишь
в том случае, если на компьютере в качестве альтернативной системы
установлена MS-DOS или Windows 95, а также для передачи данных на
гибких дисках. Небольшой загрузочный раздел, отформатированный
под FAT, требуется, кроме того, для RISC-систем. В остальных случаях
использование FAT не рекомендуется2.

Файловая система FAT32

FAT32 — модифицированная версия FAT, позволяющая создавать разде-
лы объемом более 2 Гб. Кроме того, она дает возможность использо-
вать кластеры меньшего размера, и, соответственно, более эффектив-
но расходовать дисковое пространство. Впервые данная файловая си-
стема появилась в Windows 95 OSR2.

В таблице 4-1 сравниваются размеры кластеров, устанавливаемых по
умолчанию для FAT и FAT32.

Таблица 4-1

Объем диска Размер кластера
на FAT
Размер кластера
на FAT32
0 Мб — 32 Мб 512 байт
32 Мб — б4 Мб 1 Кб
64 Мб — 127 Мб 2 Кб
128 Мб - 255 Мб 4 Кб
256 Мб — 511 Мб 8 Кб
512 Мб — 1023 Мб 16 Кб
1024 Мб — 2048 Мб 32 Кб
260 Мб - 8 Гб 4 Кб
8 Гб — 16 Гб 8 Кб
16 Гб - 32 Гб 16 Кб
> 32 Гб 32 Кб


В качестве примера можно привести Microsoft Small Business Server. Вклю-
ченный туда вариант Windows NT требует обязательной установки на раздел


Формат новой файловой системы не совместим с прежним форматом
FAT, поэтому следует внимательно подходить к выбору для работы с
диском таких утилит, как дефрагментаторы, антивирусные и т. п.

Файловая система NTFS

По сравнению с FAT или FAT32, NTFS предоставляет пользователю це-
лое сочетание достоинств: эффективность, надежность и совмести-
мость. Она разработана для быстрого выполнения на очень больших
жестких дисках операций как стандартных файловых (типа чтения,
записи и поиска), так и улучшенных (например, восстановления фай-
ловой системы).

Поддерживая управление доступом к данным и привилегии владельца,
NTFS дает гарантии безопасности, требуемые для файловых серверов
и высококачественных персональных компьютеров в корпоративной
среде. Это важно для целостности корпоративных данных.

NTFS простая, но очень мощная разработка, для которой вся информа-
ция на томе NTFS — файл или часть файла. Каждый распределенный
на томе NTFS сектор принадлежит некоторому файлу. Частью файла
являются даже метаданные файловой системы (информация, описыва-
ющая непосредственно файловую систему).

Эта основанная на атрибутах файловая система поддерживает объект-
но-ориентированные приложения, обрабатывая все файлы как объек-
ты с атрибутами, определяемыми пользователем и системой.

Замечание. В Windows NT версии 5.0 используется NTFS той же вер-
сии. Она не совместима с предыдущими версиями ОС, поэтому если
загрузить более раннюю версию операционной системы, NTFS-разде-
лы, созданные в версии 5, будут недоступны.

Главная файловая таблица

Каждый файл на томе NTFS представлен записью в специальном фай-
ле — главной файловой таблице MFT (Master File Table). NTFS резерви-
рует первые 1б записей таблицы для специальной информации. Пер-
вая запись таблицы описывает непосредственно главную файловую
таблицу. За ней следует зеркальная запись MFT. Если первая запись MFT
разрушена, NTFS считывает вторую запись, чтобы отыскать зеркальный
файл MFT, первая запись которого идентична первой записи MFT. Мес-
тоположение сегментов данных MFT и зеркального файла MFT записа-
но в секторе начальной загрузки. Дубликат сектора начальной загруз-
ки находится в логическом центре диска. Третья запись MFT — файл
регистрации, применяемый для восстановления файлов.


Семнадцатая и последующие записи главной файловой таблицы ис-
пользуются собственно файлами и каталогами на томе. На рисунке
показана упрощенная структура MFT, обеспечивающая очень быстрый
доступ к файлам.

52.jpg

Организация главной файловой таблицы

Целостность данных и восстановление в NTFS

NTFS — это восстанавливаемая файловая система. В числе ее досто-
инств — сочетание быстродействия файловой системы с отложенной
записью и практически мгновенное восстановление.

Каждая операция ввода-вывода, изменяющая файл на томе NTFS, рас-
сматривается файловой системой как транзакция и может выполнять-
ся как неделимый блок. При модификации файла пользователем сер-
вис файла регистрации фиксирует всю информацию, необходимую для
повторения или отката транзакции. Если транзакция завершена успеш-
но, производится модификация файла. Если нет, NTFS производит от-
кат транзакции, следуя инструкциям в информации отмены. Если в
транзакции обнаружена ошибка, транзакция выполняется в обратном
порядке.


Файловая система восстанавливается очень просто. При сбое системы
NTFS выполняет три прохода: анализа, повторов и откатов. В процессе
анализа на основании информации файла регистрации NTFS оценива-
ет повреждение и точно определяет, какие кластеры нужно модифици-
ровать. Во время повторного прохода выполняются все этапы транзак-
ции от последней контрольной точки. При откате происходит возврат
всех незавершенных транзакций.

Важная особенность NTFS — отложенная передача (lazy commit), позво-
ляющая, подобно отложенной записи, минимизировать затраты на ре-
гистрацию транзакций. Вместо использования ресурсов для немедлен-
ной отметки транзакции как успешно завершенной, эта информация
заносится в кэш и записывается в файл регистрации как фоновый про-
цесс. Если сбой происходит до того, как информация о транзакции
была зарегистрирована, NTFS произведет повторную проверку транзак-
ции для определения ее успешности. Если NTFS не может гарантиро-
вать, что транзакция завершилась успешно, производится откат тран-
закции. Никакие незавершенные модификации тома не разрешены.

Каждые несколько секунд NTFS проверяет кэш, чтобы определить со-
стояние отложенной записи и отметить его в файле регистрации как
контрольную точку. Если вслед за определением контрольной точки
последует сбой, система имеет возможность вернуться к состоянию,
зафиксированному контрольной точкой. Этот метод предназначен для
защиты метаданных и обеспечивает оптимальное время восстановле-
ния, сохраняя очередь событий, которая может потребоваться в про-
цессе восстановления. Данные пользователя в случае сбоя системы
могут быть разрушены.

Объем журнала транзакций устанавливается командой CHKDSK /L:раз-
мер. Размер указывается в килобайтах и по умолчанию равен 4 096 Кб.
Для того, чтобы узнать текущий размер журнала, необходимо выпол-
нить команду chkdsk /L.

Длинные и короткие имена файлов

Как уже отмечалось, NTFS поддерживает длинные (до 255 символов)
имена файлов. В имени файла используются символы UNICODE, что
позволяет именовать файлы, например, кириллическими символами.
При этом решен вопрос доступа приложений из MS-DOS: NTFS автома-
тически генерирует стандартное для MS-DOS имя вида «8+3».

Если генерация коротких имен файлов не нужна, то эта функция мо-
жет быть отключена, для чего необходимо изменить значение парамет-
ра в реестре:

• ветвь — HKEY_LOCAL_MACHINE;

• раздел— SYSTEM\CurrentControlSet\Control\FileSystem;

• параметр — NtfsDisable8dot3NameCreation;


• значение — 1;

• тип данных — DWORD.

Если значение этого параметра равно 0 (по умолчанию), то происхо-
дит генерация коротких имен файлов, если 1 — генерация выполнять-
ся не будет.

Набор символов UNICODE для имен файлов делает возможным приме-
нение «запрещенных» символов. Но так как и MS-DOS-, и Windows-при-
ложения такие символы «не читают», при генерации короткого имени
удаляются и эти символы, и любые пробелы. Чтобы увидеть соответ-
ствие коротких имен файлов длинным, можно либо использовать ко-
манду DIR /X, либо посмотреть свойства файла, щелкнув его правой
кнопкой мыши и выбрав в контекстном меню Properties.

Длинное имя файла теряется при сохранении приложениями MS-DOS
или Windows З.х на том NTFS, если приложение сохраняет временный
файл, удаляет первоначальный файл и переименовывает временный
файл в файл с первоначальным именем. Теряется и любой уникальный
набор расширений файла. Права же по умолчанию передаются из ро-
дительского каталога заново.

Компрессия файлов и каталогов

Особенность NTFS — возможность динамического сжатия файлов и
каталогов. Те, кто работал с MS-DOS, наверняка знакомы с утилитами
динамического сжатия дисков DriveSpace или Stack. Так вот, можно ска-
зать, что компрессия на NTFS подобна упомянутым утилитам. Ее отли-
чие от упомянутых утилит в том, что в Windows NT компрессия воз-
можна как для отдельных каталогов, так и для файлов на диске. Сжатие
является новым атрибутом файла или каталога и подобно любому ат-
рибуту может быть снято или установлено в любой момент времени.

Замечание. Сжатие возможно только на разделах, размер блока ко-
торых не превышает 4 096 байт. Для установки размера блока исполь-
зуется команда FORMAT /А:размер.

Если каталог имеет атрибут Compressed, то все файлы, копируемые в
него, также получат этот атрибут. Если Вы хотите, чтобы вновь созда-
ваемый раздел диска автоматически сжимал все создаваемые и копи-
руемые файлы, его надо отформатировать с ключом /С, то есть:

FORMAT диск: /С /FS:NTFS.

Для сжатия существующего файла или каталога используется либо ко-
манда Compress, либо Properties в Windows NT Explorer.


53.jpg

Диалоговое окно File Properties

По умолчанию сжатые файлы не выделяются цветом при просмотре
папок. Если Вы хотите использовать эту возможность, чтобы видеть
разницу, отметьте соответствующий флажок в окне настроек View
Options.

Степень сжатия файлов зависит от типа файла. Наиболее эффективно
применять этот атрибут к файлам документов Microsoft Word, Power-
Point, графическим файлам и т. п. Организуя файл-сервер, имеет смысл
сжать все персональные каталоги пользователей. С другой стороны,
совершенно непродуктивно сжимать каталоги, содержащие дистрибути-
вы программных продуктов, уже и так, как правило, достаточно сжатые.

Создание и модификация разделов диска

Те, кто уже имеет опыт работы с предыдущими версиями Windows NT,
знают, что для создания новых разделов на диске, их форматирования,
назначения томам букв, зеркализации и других режимов повышенной
надежности используется программа Disk Administrator, имеющая гра-
фический интерфейс.

В Windows NT версии 5.0 для управления системой используется еди-
ный инструмент — ММС (Microsoft Management Console ). (Подробнее
об этом — в главе 6). Для конфигурирования дисков необходимо от-
крыть предназначенный для этого слепок (snap-in). После его загрузки
окно консоли управления станет весьма похожим на окно программы
администратора дисков из ранних версий.


54.jpg

Окно консоли управления ММС Disk Management

Команда FORMAT по-прежнему присутствует в системе, но содержит
ряд дополнительных или модифицированных ключей:

FORMAT drive: [/FS:file-system] [/V:label] [/Q] [/A:size] [/C]

[/E]

FORMAT drive: [/V:label] [/Q] [/F:size]

FORMAT drive: [/V:label] [/Q] [/T:tracks /N:sectors]

FORMAT drive: [/V:label] [/Q] [/1] [/4]

FORMAT drive: [/Q] [/1] [/4] [/8],

где:

• /FS : file-system — указывает тип файловой системы (FAT, FAT32,
NTFS);

• /V: label — указывает метку тома;

• /Q — выполняет быстрое форматирование;

• /С — указывает, что файлы, записываемые на новый том, по умолча-
нию будут компрессированы;

• /E — разрешает автоматическое обновление тома (при этом разре-
шается использование всех расширенных функций NTFS);

• /A:size — указывает на использование блоков размещения, размер
которых отличается от установленного по умолчанию.

Внимание! В общем случае настоятельно рекомендуется использовать
размер, установленный по умолчанию:

^ на NTFS - 512, 1024, 2048, 4096, 8192, 1бКб, 32Кб, б4 Кб;


^ на FAT — 512, 1024, 2048, 4096, 8192, 1бКб, 32Кб, б4 Кб, (128 Кб, 256
Кб для размеров сектора > 512 байт);

^ на FAT32 - 512, 1024, 2048, 4096, 8192, 1бКб, 32 Кб, б4 Кб, (128 Кб,
256 Кб для размеров сектора > 512 байт).

Заметьте, что FAT и FAT32 накладывают следующие ограничения на
число кластеров в томе: FAT— <= 65526; FAT32 — 65526 < число класте-
ров < 268435446. Если при указанном размере кластера данные огра-
ничения не соблюдены, команда FORMAT не выполняется.

• /F: size — объем гибкого диска (1б0, 180, 320, ЗбО, 720, 1.2, 1.23, 1.44,
2.88, или 20.8);

• /T:tracks — число дорожек на стороне диска;

• /N:sectors — число секторов в дорожке;

• /1 — формат одностороннего гибкого диска;

• /4 — формат 5.25-дюймого гибкого диска на 360 Кб в дисководе,
предназначенном для дисков высокой плотности;

• /8 — формат 8 секторов на дорожку.

Так, в частности, можно форматировать диски в файловую систему
FAT32. При форматировании в NTFS программа предупреждает, что
новой файловой системой на разделе станет NTFS 5.0.

Обращение к команде FORMAT — универсальное, всегда доступное
средство форматирования. В случае, если выбранный диск в данный
момент по какой-либо причине отформатировать невозможно, форма-
тирование будет перенесено на момент перезагрузки системы.

55.jpg

Графическая программа форматирования


Если Вы щелкнете правой кнопкой мыши название диска в Windows NT
Explorer, а затем выберете в меню команду FORMAT, то запустите гра-
фическую программу форматирования дисков, более удобную для на-
чинающих администраторов. Кроме того, эта программа позволяет
указать, какая версия NTFS необходима. Так как многие новые функции
Windows NT доступны лишь на NTFS версии 5.0, то старый формат ре-
комендуется только в целях совместимости3.

Преобразование существующего раздела
в формат NTFS

Представьте себе, увы, нередкую ситуацию: спустя некоторое время
после установки сервера, его полной конфигурации и введения в ра-
бочий режим администратор спохватился и для обеспечения более
высокой степени защиты решил преобразовать формат диска, на кото-
ром располагаются каталоги пользователей (или иные важные данные),
в NTFS. Если он ничего не знает о команде CONVERT, то, скорее всего,
будет долго «тянуть» с этим мероприятием, опасаясь потери данных или
необходимости полного резервного копирования с последующим вос-
становлением.

Команда CONVERT позволяет преобразовать разделы FAT или FAT32 в
раздел NTFS без потери данных!

CONVERT диск: /FS:NTFS [/V],

где:

• диск — указывает диск, преобразуемый в NTFS (преобразование ак-
тивного диска невозможно);

• /FS:NTFS— указывает тип файловой системы (NTFS);

• /V — предписывает программе CONVERT выводить информацию о
работе.

Единственное, о чем необходимо помнить при преобразовании, это о
невозможности преобразования активного раздела — его придется
отложить до следующей перезагрузки операционной системы.

Обновление раздела NTFS

Итак, в Windows NT 5.0 реализована новая версия файловой системы —
NTFS 5.0, обеспечивающая новую функциональность: квотирование,
переходы и т. д. Если Вы устанавливаете систему на новый компьютер,
то разделы NTFS 5-0 создаются командой FORMAT.

Но как быть в случае обновления операционной системы? Форматиро-
вание мало пригодно, так как уничтожит всю информацию на диске.

Если сервер является контроллером домена, то разместите файлы каталога
Active Directory на разделе NTFS 5.0. Это облегчит Вам переход на последую-
щие бета-версии.


Выход — использовать команду CHKNTFS. Эта команда имеет новый
ключ, который позволяет обновлять файловую систему без потери ин-
формации. Синтаксис команды следующий:

CHKNTFS диск: [...]
CHKNTFS /D

CHKNTFS /X диск: [...]
CHKNTFS /С диск: [..,]
CHKNTFS /Е диск: [...],

где:

• диск: — имя диска;

• /D — восстанавливает состояние машины, принятое по умолчанию;

все диски проверяются при загрузке и в случае наличия флага «по-
врежден» [2] запускается chkdsk; при этом отменяется действие клю-
ча /X;

• /X — исключает диск из списка проверяемых при загрузке; исклю-
ченные диски не накапливаются между вызовами команды — их
надо определять одним вызовом;

• /С — программирует запуск chkdsk при следующей загрузке;

• /Е — разрешает автоматическое обновление тома NTFS; после об-
новления необходима перезагрузка, затем версия NTFS обеспечит
работу всех новых функций.

Если не указан ни один из ключей, программа CHKNTFS показывает
версию файловой системы на указанном диске и выставляет значение
флага в «поврежден».

Распределенная файловая система

Приходилось ли Вам заниматься поиском нужного документа в сети?
Хорошо, если вся интересующая Вас информация хранится на одном—
двух сетевых серверах. А если Вы сотрудник крупной корпорации, на-
считывающей десятки, а то и сотни различных серверов, и ведете по-
иск документа, о котором известно только то, что он может находить-
ся на любом сервере, в каталоге Public и подкаталоге Важные проек-
ты\Северный регион? Неужели Вам на долю выпадет открывать на всех
«подозрительных» серверах каталог Public и искать в нем нужный под-
каталог? Разумнее, конечно, подключиться к найденному ресурсу, при-
своив новому сетевому соединению букву латинского алфавита. Тогда
в следующий раз уже не придется мучительно долго вспоминать имя
нужного сервера — достаточно будет просто посмотреть в подключен-
ных сетевых ресурсах. Казалось бы, вот и выход, но... в латинском ал-
фавите всего 26 букв, а если отбросить те из них, что соответствуют
гибким и жестким дискам в Вашем компьютере, то в распоряжении
останется и того меньше. Для всех необходимых ресурсов букв может
не хватить.


Вот здесь на помощь и придет распределенная файловая система DFS
(Distributed File System),
позволяющая объединить серверы и предостав-
ляемые в общее пользование ресурсы в более простое пространство
имен. DFS делает для серверов и совместно используемых на них ре-
сурсов то же, что файловые системы — для жесткого диска. Файловые
системы обеспечивают однородный поименованный доступ к набору
секторов на дисках. DFS обеспечивает однородный поименованный
доступ к набору серверов, совместно используемых ресурсов и файлов,
организуя их в виде иерархичной структуры. В свою очередь, новый
том DFS может быть иерархично подключен к другим совместно ис-
пользуемым ресурсам Windows NT. Таким образом, DFS позволяет орга-
низовать физические устройства хранения в логические элементы, что
в свою очередь, делает физическое расположение данных прозрачным
как для пользователей, так и для приложений.

Преимущества DFS

Итак, поговорим об основных преимуществах, предоставляемых DFS,
подробней.

Настраиваемый иерархический вид совместно используемых
сетевых ресурсов.
Связывая сетевые ресурсы друг с другом, админи-
страторы могут создавать единый иерархический том в виде огромно-
го жесткого диска. Отдельные пользователи могут создавать свои соб-
ственные тома DFS, которые, в свою очередь, могут быть включены в
другие тома DFS. Это называется интер-DFS связи.

Гибкое администрирование тома. Отдельные сетевые ресурсы, вхо-
дящие в DFS, могут быть отключены без какого-либо воздействия на
остальные, что позволяет администраторам управлять физическими
компонентами ресурсов без изменения их логического представления
для пользователей.

Графические средства администрирования. Каждый корень DFS
может управляться с помощью простого графического инструмента,
позволяющего просматривать тома, изменять их конфигурацию, уста-
навливать интер-DFS связи, а также управлять удаленными корнями
DFS.

Повышенная доступность данных. Несколько сетевых ресурсов,
предоставленных в совместное использование только для чтения, мо-
гут быть объединены под одним логическим именем DFS. Если один из
ресурсов недоступен, автоматически становится доступным альтерна-
тивный.

Баланс нагрузки. Несколько сетевых ресурсов, предоставленных в
совместное использование только для чтения, могут быть объединены
под одним логическим именем DFS, что создает ограниченную сбалан-
сированность нагрузки между дисками или серверами. При доступе к


такому ресурсу пользователь автоматически перенаправляется на один
из серверов, входящих в том DFS.

Прозрачность имен. Пользователи перемещаются по пространству
имен, независимо от физического расположения данных. Данные мо-
гут быть перемещены на любой сервер, но последующая переконфигу-
рация DFS делает это перемещение незаметным для пользователя, так
как он по-прежнему оперирует с существующим для него простран-
ством имен DFS.

Интеграция с моделью безопасности Windows NT. He требуется
никаких дополнительных мер безопасности. Любой пользователь, под-
ключенный к тому DFS, имеет доступ к ресурсам только в том случае,
если обладает соответствующими правами. При этом используется
модель безопасности Windows NT.

Интеграция клиента DFS с Windows NT Workstation и Windows 9x.

Клиент DFS встроен в Windows NT Workstation (начиная с версии 4).
Эта дополнительная функциональность никак не сказывается на тре-
бованиях клиента к памяти.

Для Windows 95 клиент поставляется дополнительно.

Интеллектуальное кэширование на клиентской части. Потенци-
ально, в том DFS могут быть включены сотни тысяч предоставленных в
совместное использование ресурсов. На клиентской стороне не дела-
ется никаких предположений о том, к какой доле информации пользо-
ватель может осуществлять доступ. Поэтому при первом обращении к
каталогу определенная информация кэшируется локально. При повтор-
ном обращении к той же информации используется часть, находящая-
ся в кэше, без повторного поиска ссылки. Это позволяет значительно
повысить производительность в больших иерархических сетях.

Взаимодействие с другими сетевыми файловыми системами.

Любой том, к которому можно осуществить доступ через редиректор
Windows NT Workstation, может быть включен в пространство имен
DFS, Такой доступ осуществляется либо с помощью клиентских реди-
ректоров, либо с помощью шлюзов на сервере.

Технический обзор распределенной
файловой системы

Возможно, при чтении этой главы Вы столкнулись с рядом не вполне
понятных терминов. Прежде чем приступить к дальнейшему описанию
DFS и работы с ней, внесем некоторую ясность.

Корень DFS — локальный ресурс, предоставляемый в совместное
пользование, и применяемый в качестве точки отсчета для всех осталь-
ных ресурсов. Любой ресурс, предоставляемый в совместное пользова-
ние, может быть включен в пространство имен DFS.


Доступ к тому DFS осуществляется с помощью универсального согла-
шения об именах (UNC):

\\Имя_сервера\Имя_ресурса_ОРЗ\путь\файл,

где:

• имя_сервера — имя компьютера, являющегося хостом DFS;

• имя_ресурса_ОРЗ — соответствует любому совместно используемому
ресурсу, назначенному корнем DFS;

• имя\путь — любое верное имя файла.

Можно использовать команду net use для любого места в дереве DFS.
Это объясняется тем, что на практике DFS перенаправляет обращение
к имени DFS на реальный совместно используемый ресурс какого-либо
сервера.

Совместно используемые ресурсы, составляющие DFS, могут быть лю-
быми из доступных для клиента: ресурсы локального хоста, удаленно-
го сервера Windows NT или любого компьютера, к которым осуществ-
ляется доступ через специализированное программное обеспечение
(Netware, Banyan).

Доступ к тому DFS можно также осуществить как по его отказоустойчи-
вому имени, так и по имени домена. Это делается следующим образом:

\\Отказоустойчивое_имя\Имя_ресурса _ОР8\путь\файл
\\Имя_домена\отказоустойчивое_имя\путь\фаил,

где под отказоустойчивым именем понимается имя, указанное админи-
стратором для DFS-тома в службе каталога.

Хост тома DFS. В сети допустимо множество отдельных томов DFS,
каждый со своим именем. Любой сервер Windows NT (версии 4.0 и
более поздних) может исполнять сервис DFS и являться хостом тома
DFS. Версия распределенной файловой системы для Windows NT 4.0
позволяет серверу быть хостом только для одного тома, хотя никаких
принципиальных ограничений на количество томов не существует. В
Windows NT 5.0 сервер может быть хостом для нескольких томов DFS.

Обычно том DFS состоит из указателей на множество томов, принад-
лежащих другим серверам организации. Предположим, например, что
в крупной проектной организации несколько групп пользователей ра-
ботают с текстовыми документами. Необходимые им документы рас-
полагаются на различных серверах в самых разных ресурсах. С помо-
щью DFS можно объединить все эти ресурсы в один логический том и
тем самым значительно облегчить труд упомянутых сотрудников. При-
мер такого объединения для сотрудника Саши Иванова показан в таб-
лице 4-1.


Таблица 4-1
Имя UNO Проецируется на Описание
\\Server\Public \\Server\Public Корень DFS организации
\\Server\Public\
Intranet
\\IIS\Root Переход на корневой каталог
интрасети
\\Server\Public\
Intranet\Corpinfo
\\Marketing\Info\
CorporateHTM
Переход на каталог подразделения
в интрасети
\\Server\Public\
Users
\\Server\PL]t)lic\
Users
Собрание домашних каталогов
пользователей
\\Server\Public\
Users\Sasha
\\Dev\NT\Priv\
Users\Sasha
Переход из Users в персональный
каталог Саши на корпоративном
сервере разработчиков
\\Server\Public\
Users\Sasha\
ActiveX
\\Sasha1\Data
\ActiveX
Переход из персонального ката-
лога Саши на сервере в каталог
на одной из его рабочих станций
\\Server\Public\
Users\Sasha\
ActiveX
\\Sasha2\Data-
Backup\ActiveX
Альтернативный том: резервная
копия рабочих файлов Саши
\\Server\Public\
Users\Dima
\\NW411\Public\
Users\Diina
Том низкого уровня: переход
на не-SMB том (такой как Netware
или NFS)


На диаграмме схематично показано как выглядит такой том, а также три
важных примера: пост-переходный переход, альтернативные тома, тома
низкого уровня. Рассмотрим каждый из них подробнее.

56.jpg


Пост-переходный переход имеет, в свою очередь, дочерние перехо-
ды. Существует два метода создания таких переходов: интер-DFS связи
и переходы среднего уровня.

Интер-DFS связи (отдельно стоящий сервер). Возможен переход
с одного тома DFS на другой. Например, в каждом подразделении мо-
гут быть созданы свои тома, отражающие специфические потребнос-
ти и интересы. Общий том предприятия может включать в себя все ин-
дивидуальные тома подразделений. При просмотре такого тома пользо-
ватель прозрачно перемещается по ресурсам, не подозревая о том, что
реально корень DFS изменяется.

Переходы среднего уровня — планируемый тип переходов, при
котором поддерживается неограниченное число иерархических пере-
ходов, не требующих интер-DFS связей. Все ссылки разрешаются из
одного корня, что минимизирует число мест возникновения ошибок и
число ссылок, необходимых для разрешения глубоко вложенных путей.

Альтернативные тома. Если два или более совместно используемых
ресурса являются точной копией еще какого-либо ресурса, то их мож-
но поместить в пространство DFS под одним именем. При этом DFS не
проверяет реплицируемость ресурсов. Предоставить альтернативные
тома либо организовать тиражирование — забота администратора.
Если тиражирование не применяется, то такие тома можно использо-
вать только для чтения. В DFS возможны не более 32 альтернатив в
каждой точке перехода, а вот число точек перехода не ограничено.

Тома низкого уровня. Таковыми являются все тома, расположенные
не на серверах Windows NT. Эти тома могут быть видны в структуре DFS,
но не могут служить точками перехода или хостами DFS. К таким сис-
темам относятся Windows NT Workstation, Windows 9x, Windows for
workgroups, а также все сетевые ресурсы других производителей, к ко-
торым имеется доступ. Необходимо заметить, что DFS-клиент для Win-
dows 95 может осуществлять доступ ко всем томам высокого уровня и
всем SMB-томам низкого, но не способен взаимодействовать с не-SMB-
томами.

Таблица Partition Knowledge Table. В таблице РКТ (Partition Know-
ledge Table) хранится информация обо всех точках перехода.

Путь DFS Список (сервер + совместно
используемый ресурс)
Время жизни
     


Структура, таблицы Partition Knowledge Table

Как видно из рисунка, в РКТ хранится соответствие логических имен
DFS ссылкам на физические ресурсы. В случае альтернатив для точки
перехода хранится список альтернативных ресурсов.


Когда клиент пытается пройти точку перехода, он сначала обращается
к РКТ, хранящейся в локальном кэше. Если описание этой точки там
отсутствует, происходит обращение к корню DFS. Если же и при этом
точка перехода не определяется, выдается сообщение об ошибке. При
разрешении ссылки информация о ней заносится в локальную РКТ.

После получения ссылки из РКТ информация о ней остается в таблице
в течение пяти минут. В случае повторного использования той же са-
мой ссылки, «время жизни» соответствующей строки таблицы вновь
обновляется. Если в течение пяти минут повторного обращения не про-
исходит, то ссылка удаляется из таблицы РКТ. Если ссылка соответству-
ет тому альтернатив, кэшируется информация обо всех альтернативных
ресурсах и при повторном обращении к такой ссылке система произ-
вольно выбирает одну из альтернатив.

Работа альтернативных томов. Итак, при обращении к ссылке, со-
ответствующей нескольким альтернативным томам, система произволь-
но выбирает один из ресурсов, записанных в таблице, и устанавливает
сеанс связи с сервером. Если данный клиент к этому серверу еще ни
разу не подключался, то происходит передача мандатов. Если по каким-
либо причинам связь с сервером не может быть установлена, начина-
ется процесс восстановления.

Скорость восстановления и степень участия в нем клиента в значитель-
ной мере определяются тем, что именно клиент делал в момент сбоя и
как этот сбой произошел. Можно выделить четыре возможных сценария.

1. В тот момент, когда клиент просматривает содержимое тома,
выключается питание компьютера, на котором установлен
этот том, или по каким-либо причинам обрывается сетевое
соединение.
Чтобы выполнить восстановление, клиент сначала
должен определить, что выбранный компьютер более не доступен.
Время определения в значительной мере зависит от типа использу-
емого сетевого протокола. Большинство протоколов рассчитаны на
работу в глобальных сетях (где зачастую присутствуют низкоскоро-
стные каналы связи) и начинают счет попыток возобновления со-
единения. Такой счет может продолжаться до 2 минут, и лишь после
этого произойдет таймаут протокола и DFS произведет выборку аль-
тернативного ресурса из РКТ. Если в таблице отсутствует альтерна-
тивный ресурс, то будет выполнено обращение к корню DFS для
поиска новых ссылок. Если и там они отсутствуют, произойдет сбой.
В противном случае, будет установлен новый сеанс связи.

2. В тот момент, когда клиент просматривает содержимое тома,
в компьютере происходит сбой жесткого диска, на котором
хранится ресурс, или этот ресурс просто деактивируется. В

этом случае сервер продолжает отвечать на запросы и восстановле-
ние происходит практически мгновенно.


3. В тот момеыт, когда клиент открыл файл, выключается пи-
тание компьютера, на котором установлен том с открытым
файлом, или по каким-либо причинам обрывается сетевое
соединение.
Процесс восстановления будет протекать так же, как
это описано в сценарии 1. Дополнительно его длительность будет
зависеть и от приложения, открывшего файл, потому что в случае
блокировок файла необходимо будет определить, что произошла
подмена файла и установить новые блокировки.

4. В тот момент, когда клиент открыл файл, в компьютере про-
исходит сбой жесткого диска, на котором хранится ресурс,
или этот ресурс просто деактивируется.
Так же как и в сцена-
рии 2 процесс восстановления произойдет очень быстро. На его
скорость окажет влияние время, которое понадобится приложению,
чтобы переопределить ссылку на файл.

Безопасность. Каждый раз при первоначальном обращении к точке
перехода клиент инициирует процесс установления связи с сервером,
соответствующим ресурсу в точке перехода. Для этого передается ман-
дат, использовавшийся при подключении к DFS. (Например, net use

\\server\Dfs_share /u : domain\user). Если мандат не указан пользова-
телем, то используется мандат, заданный при входе в систему на рабо-
чей станции и хранящийся в кэше.

Каждый ресурс, составляющий дерево DFS, имеет свой собственный
список контроля доступа (ACL) и управление этим списком выполня-
ется отдельно для каждого ресурса. Не существует возможности цент-
рализовано изменять доступ к нескольким ресурсам DFS одновремен-
но. Так же невозможно обеспечивать автоматическое постоянство спис-
ков контроля доступа на альтернативных томах. Тому есть несколько
причин.

• ACL логического дерева может быть легко обойден, если пользова-
тель подключается непосредственно к ресурсу, входящему в DFS.

• В логический том могут входить ветви, располагающиеся как на
разделе FAT, так и на разделе NTFS, а некоторые ветви — и на иных
файловых системах. Поэтому нет никакого смысла, установив зап-
рет на доступ к некоему ресурсу, расположенному на разделе NTFS,
пытаться сохранить его при переходе на раздел FAT или Netware.

• Инструмент для контроля за ACL по всему логическому дереву дол-
жен был бы иметь сложный механизм транзакций и передачи сооб-
щений, обеспечивающий надежную работу в медленных и ненадеж-
ных сетях.

• При квотировании дискового пространства пришлось бы хранить
информацию обо всех пользователях, которые в принципе могли бы
иметь доступ ко всем ветвям логического дерева, а также о размере
выделенных для них квот для всех составляющих дерева.


Работа с DFS

Работа с DFS весьма проста как с точки зрения пользователя, так и с
точки зрения администратора. Для первых доступ к любому ресурсу
совершенно прозрачен и привычен, а вторые получают удобный инст-
румент для определения корней DFS и «выращивания» логического
дерева.

Администрирование. Инструмент, включенный в поставку, позволя-
ет упростить управление, а также изменение конфигурации сервера.
При первоначальном запуске этой утилиты будет предложено либо
выбрать имеющийся корень, либо создать новый. (Корнем может слу-
жить любой совместно используемый сетевой ресурс сервера). После
этого, используя команды меню, можно создавать как новые элементы
тома, так и альтернативные тома.

Работа конечных пользователей. Если на клиентской стороне ус-
тановлена поддержка DFS, то доступ к любому ресурсу DFS осуществ-
ляется точно так же, как и к любому обычному сетевому ресурсу. Если
используется Explorer Windows NT или Windows 9x, то логическое де-
рево DFS в нем отображается в виде дерева каталогов примерно так, как
на рисунке.

57.jpg

DFS Administrator

В силу того, что пространство имен DFS является логическим, админи-
стратор может назначать ресурсам осмысленные имена, что также об-
легчает поиск нужной информации. Ограничение длины стандартное
для 32-разрядных версий Windows: длина пути не может превышать 260
символов.

Так как с точки зрения пользователя логическое дерево выглядит от-
дельным диском, то нет ничего проще, чем найти нужный файл на этом
диске при помощи механизмов поиска Windows NT или Windows 9x.
Таким образом, большие и распределенные сети становятся «дружелюб-
нее» к пользователю.


58.jpg

Просмотр дерева DFS с помощью Explorer

Уже отмечалось, что возможность создания альтернатив повышает до-
ступность данных и позволяет сбалансировать нагрузку серверов. Так
как данная функция абсолютно прозрачна для пользователя, то ничего
кроме дополнительных выгод она ему не даст. Например, при одновре-
менном доступе большой группы пользователей к некоему ресурсу,
расположенному на нескольких альтернативных серверах, члены груп-
пы будут автоматически распределены между этими серверами пример-
но поровну, что снизит нагрузку на каждый из серверов и повысит
производительность.

Альтернативные ресурсы позволяют сделать обновление информации
абсолютно незаметным для пользователя. Администратор может разме-
щать новые данные не на том сервере, к которому в настоящий момент
обращаются клиенты, а на другом, временно недоступном для них.
После завершения обновления и проверки правильности достаточно
переопределить соответствующую ссылку в корне DFS, чтобы пользо-
ватели получили доступ к обновленным данным. При этом клиентам
не требуется ничего перенастраивать.

Особенно это актуально для пользователей Интернета или интрасетей.
Каждое подразделение в организации может иметь на своем сервере
отдельный ресурс, содержащий информацию в HTML-формате. Адми-
нистратор, объединяя такие разрозненные ресурсы в дерево DFS, пре-
доставляет пользователям интрасети предприятия доступ к единому
пространству имен.


Переходы NTFS

Переходы NTFS позволяют спроецировать любой каталог-адресат в
подкаталог на локальном компьютере. Имя пути к каталогу-адресату
может быть любым (как локальным, так и удаленным), верным для Win-
dows NT. Подобная проекция весьма напоминает работу распределен-
ной файловой системы, которая, как описано в предыдущем разделе,
проецирует совместно используемый сетевой ресурс на сетевой ресурс
DFS.

Переходы NTFS доступны только на разделах с NTFS 5.0. Они прозрач-
ны для приложений, а значит можно перенаправить их доступ к любо-
му иному каталогу локальной системы. Кроме того, имеется возмож-
ность проецирования на каталог целых дисковых томов, причем даже
таких, которым не назначена буква. Например, на рисунке изображен
каталог, среди подкаталогов которого есть CD и ExtraSpace. В первый
из них спроецировано содержимое компакт-диска, а во второй — раз-
дел с локального жесткого диска. Для пользователя они выглядят точ-
но так же, как и обычные каталоги.

Переходы NTFS

59.jpg

¦ Обычный каталог

Каталог с переходами NTFS

Как уже было отмечено, по своей природе переходы NTFS и DFS весь-
ма схожи. Тем не менее, между ними есть немало отличий. Обобщенно,
DFS более функциональна, чем переходы NTFS (см. таблицу 4-2). Так, в
частности, DFS:

• позволяет поддерживать сбалансированность загрузки путем пере-
направления запросов к различным копиям;

• повышает надежность сетевого подключения за счет подключения
к доступным копиям ресурса;

• интегрируется со службой каталога для хранения топологии;

• позволяет импортировать и экспортировать дерево каталогов DFS.


Таблица 4-2. Различия между переходами NTFS
и переходами DFS

Свойство Переходы DFS Переходы NTFS
Источник точки Локальный сетевой ресурс, Локальный каталог
перехода предоставленный в NTFS 5.0
совместное использование
Адресат точки Любой совместно исполь-
Любое имя пути,
перехода зуемый сетевой ресурс верное в Windows NT
Восстанавли- Да Да (chkdsk)
ваемость
Портируемое Да (сохранение в виде Да, (копия, перемеще-
состояние файла) ние, резервное
копирование)
Множественность Да Нет
адресатов
Поддержка Да Нет
кластеров
API Да •Да
Графические Да Минимально
средства планируется
Доступность NT 4.0 и выше Только NT 5.0,
NTFS 5.0


Организация переходов NTFS в Windows NT 5.0
первой бета-версии

Для организации точек перехода NTFS в первой бета-версии Windows
NT 5.0 предназначены три утилиты, исполняемые в командной строке
и не имеющие графического интерфейса4. Рассмотрим их подробней.

1. Linkd.exe позволяет:

• проецировать каталог-адресат в каталог раздела NTFS 5.0;

• отображать адресат точки перехода;

• удалять точку перехода, созданную с помощью linkd.
Формат команды linkd следующий:

LINKD Источник [/D] Адресат,

где:

• Источник — имя Windows NT, на которое указывает источник;

4 По умолчанию эти утилиты не копируются на жесткий диск во время уста-
новки системы. Их необходимо скопировать из каталога
PREV1EW\X86\STORAGE на компакт-диске в каталог %WIND1R%\SYSTEM32,


• Источник Адресат — связывает каталог источник с каталогом-адре-
сатом, или с устройством, или с любым верным для Windows NT
именем;

• Источник /D—удаляет источник независимо от того, существует ли
для него адресат.

2. Moun.tvol.exe позволяет:

• проецировать корневой каталог тома на каталог раздела NTFS 5.0.
(иными словами, монтирует том);

• отображать адресат точки перехода NTFS, используемый для монти-
рования тома;

• перечислить все тома локальной файловой системы, доступные для
использования;

• удалять точки перехода, созданные mountvol.

Утилита mountvol использует технологию, гарантирующую неизмен-
ность тома-адресата при различных изменениях аппаратной конфигу-
рации. Дисковый том указывается в виде устройства Windows NT, на-
пример, Device\CDRomO или Device\Volume5.

Формат команды mountvol следующий:

MOUNTVOL Источник [/D] Устройство-адресат,

где:

• Источник — имя Windows NT на которое указывает источник;

• Источник Устройство-адресат — связывает каталог источник с уст-
ройством Windows NT;

• Источник /D—удаляет источник независимо от того, существует ли
для него адресат.

3. Delrp.exe позволяет:

• удалять точки перехода NTFS;

• удалять любые точки повторного разбора (которыми, по сути, явля-
ются точки перехода NTFS).

Формат команды deirp следующий:

Deirp имя_файла,
где Имя файла — любое имя файла или каталога.

Стоит упомянуть, что если в командной строке выполнить команду dir
для каталога, в котором имеются точки перехода, то рядом с соответ-
ствующим именем появится сообщение <MNT POINT>.

Внимание! В первой бета-версии Windows NT 5.0 утилиты работы с
точками перехода введены для предварительного ознакомления, поэто-
му необходимо соблюдать некоторые простые правила, которые позво-
лят Вам не потерять данные на жестком диске:


^ используйте списки контроля доступа для защиты точек перехода от
случайного удаления;

•^ используйте списки контроля доступа к файлам и каталогам, являю-
щимся адресатами точек перехода, для защиты от случайного уда-
ления;

•^ никогда не используйте Explorer или команду del/s для удаления
точек перехода: это повлечет за собой удаление всех файлов и ката-
логов-адресатов;

^ не создавайте циклические ссылки;

•^ занимайтесь экспериментами в каком-либо безопасном месте, на-
пример, в каталоге, специально созданном для этих целей на разде-
ле NTFS 5.0.

Файловая система с шифрованием

Одна из стандартных мер предосторожности в персональных компью-
терах — возможность загрузки с гибкого диска. Она часто выручает при
сбоях на жестком диске или повреждении загрузочного сектора, так как
позволяет осуществить доступ к данным. К сожалению, эта же возмож-
ность позволяет загрузить на компьютер операционную систему отлич-
ную от той, которая на нем установлена. Потенциально любое лицо,
имеющее физический доступ к компьютеру, сможет обойти систему
разграничения доступа файловой системы Windows NT, используя
появившиеся в последнее время утилиты чтения NTFS. Многие компь-
ютерные системы позволяют защитить процесс загрузки паролем, что
в значительной степени снижает риск проникновения в систему. Од-
нако даже такие средства распространены недостаточно широко или
имеют откровенные «дыры». Я сам был свидетелем того, как пользова-
тели беспрепятственно загружали защищенные таким образом компь-
ютеры, узнав универсальный пароль производителя BIOS. Кроме того,
защита загрузки паролем недостаточно эффективна в случае эксплуа-
тации одного компьютера несколькими пользователями. То, что извес-
тно двоим, известно всем. Поэтому, даже допустив, что подобные сред-
ства защиты распространятся повсеместно, нельзя утверждать, что па-
рольная защита эффективна.

В самом деле, что может быть банальней, чем кража переносного ком-
пьютера? Я еще не встречал ни одного владельца ноутбука, который бы
приковывал свое имущество наручниками. А раз так, то вору остается
только дождаться удобного момента. И где гарантия того, что компью-
тер нужен ему не для банальной перепродажи, а для доступа к храни-
мой там важной и конфиденциальной информации?

Другой типичный случай — кража данных в результате неограничен-
ного доступа. Оставляя свой настольный компьютер в офисе, Вы тем
самым предоставляете возможность злоумышленнику воспользоваться
Вашим отсутствием и прочитать интересующую его информацию на


локальном диске. Напрасно потом горячиться и рвать на себе волосы,
проклиная тот день, когда Вы поверили фирме Microsoft и установили
«защищенную систему Windows NT». Если Вы позволяете загружать на
компьютере иную ОС, то сознательно пренебрегаете элементарными
мерами защиты. Существующие на сегодняшний день утилиты для MS-
DOS и UNIX позволяют сравнительно легко обходить механизмы огра-
ничения доступа NTFS.

Единственно верное решение — шифрование данных. В настоящее вре-
мя ряд продуктов обеспечивает шифрование на уровне приложений.
Однако все эти продукты обладают рядом ограничений и слабых мест.
Рассмотрим некоторые из таких «слабостей» подробней,

Шифроваыие и дешифрация выполняются вручную. Говоря
«вручную», я не подразумеваю, что пользователь корпит над докумен-
том, применяя сложный математический алгоритм для его кодирова-
ния, Дело в том, что большинство продуктов не может работать напря-
мую с зашифрованными файлами. Пользователь должен сначала его
расшифровать (используя некоторую утилиту), а после завершения
работы — зашифровать заново. Достаточно забыть об этом, и документ
станет доступным любому желающему с ним ознакомиться. А так как
процесс шифрования (дешифрации) означает для пользователя неко-
торое дополнительное усилие, то и применяться он будет с неохотой.

Утечки из временных файлов и файла подкачки. Многие прило-
жения во время работы создают временные файлы. (Те, кто работает с
Microsoft Word, прекрасно осведомлены об этом). В том случае, если Вы
работаете с зашифрованным документом, временный файл остается
незашифрованным! Хорошо известно, что при аварийном закрытии
приложений временные файлы остаются на диске, что может оказать
неоценимую услугу взломщику.

С другой стороны, системы шифрования работают в режиме пользова-
теля Windows NT, а это означает, что ключ шифрования пользователя
может быть сохранен в файле подкачки. Так как файл не зашифрован,
то, опять же, можно извлечь из него интересующий ключ и получить
доступ к информации.

Слабая защита. Ключи создаются на основе паролей. В том случае,
если используются простые для запоминания пароли, словарная атака
позволит легко раскрыть Ваш секрет.

Отсутствие средств восстановления данных. Многие продукты не
обеспечены средствами восстановления данных. Это еще одно обеску-
раживающее пользователей свойство актуально для тех, кто не хочет
запоминать другой пароль. И ситуации, когда восстановление данных
базируется на пароле, — еще одно слабое звено в цепи защиты. Доста-
точно узнать пароль, чтобы получить доступ к данным.

Решать все перечисленные выше, а также многие другие проблемы
призвана файловая система с шифрованием EFS (Encrypting File System).


Архитектура EFS

Прежде чем говорить об использовании файловой системы с шифро-
ванием, необходимо ознакомиться с теоретическими основами: реали-
зацией процессов шифрования, дешифрации и восстановления файлов.

Криптография. В EFS шифрование и дешифрация данных основаны
на схеме с общими ключами (public keys). Данные в файле шифруются
с помощью быстрого симметричного алгоритма с использованием
ключа шифрования файлов FEK (File encryption key). FEK — случайно
сгенерированный ключ определенной длины, устанавливаемой либо
алгоритмом шифрования, либо законом (в том случае, если алгорит-
мом поддерживаются ключи различной длины)5.

Список зашифрованных FEK создается с использованием общих клю-
чей шифрования ключей (key encryption keys)
одного или нескольких
пользователей. Для шифрования FEK используется открытая часть
пары ключей пользователя. Список зашифрованных FEK хранится вме-
сте с зашифрованным файлом в специальном атрибуте EFS, называе-
мом полем дешифрации данных DDF (Data Decription Field). Информа-
ция о шифровании файла тесно привязана к самому файлу. Закрытая
часть
пары ключей пользователя служит для дешифрации и хранится
в каком-либо надежном месте, например в смарт-картах (smart cards)
или иных защищенных устройствах хранения.

Заметим, что шифрование ключом пользователя могло бы быть выпол-
нено по симметричному алгоритму, такому, как извлечение ключа из
пароля. Однако в силу того, что подобная схема легко вскрывается при
словарных атаках, она не поддерживается в EFS.

FEK также шифруется с использованием одного или нескольких откры-
тых ключей восстановления ключей (recovery key keys). Для этого при-
меняется открытая часть пары ключей, аналогично уже описанному ме-
ханизму. Список зашифрованных FEK хранится вместе с файлом в спе-
циальном атрибуте EFS, называемом полем восстановления данных
DRF (Data Recovery Field).
Для шифрования FEK, хранящихся в DRF,
нужны только открытые части пар ключей восстановления. Для нор-
мальной работы файловой системы EFS открытые ключи восстановле-
ния должны быть постоянно доступны. Операция восстановления —
явление относительно редкое и нужда в ней возникает только в случае
увольнения сотрудника, потери ключа и т. п. Следовательно, агенты
восстановления (recovery agent)
могут хранить закрытые части ключей
в безопасном месте (интеллектуальные карты и т. п.).

Согласно правилам экспорта технологий криптографии США запрещен экс-
порт технологий шифрования с ключом, длина которого превышает 40 бит.
На момент написания этой книги в Конгрессе США велись оживленные де-
баты на эту тему с явным перевесом сил в пользу сторонников ужесточения
требований. В России также действуют определенные ограничения на ис-
пользование технологий шифрования, введенные ФАПСИ.


510.jpg

Процесс шифрования файла

Как показано на рисунке, обычный текст, введенный пользователем,
шифруется с помощью случайно сгенерированного ключа FEK. Этот
ключ сохраняется вместе с файлом в двух полях: в поле дешифрации
данных он хранится зашифрованным открытым ключом пользователя,
а в поле восстановления данных — открытым ключом агента восста-
новления. Обратите внимание: на рисунке показан только один ключ
пользователя и один ключ агента восстановления, хотя в действитель-
ности могут быть задействованы как ключи нескольких пользователей,
так и нескольких агентов. В первой версии EFS поддерживается один
пользователь и несколько агентов восстановления.

*#fjda"j u539!3t ___.[Дешифрация¦ ^ Однажды в
$t389E*&... •^9 файла •——— студеную зимнюю
(DES)____ ' пору...

^^Г Ключ
^f шифрования
• Файла - FEK

I^H_^-^^^^^^ Извлечение поля
^f^^^^^^^^r дешифрации
Я данных(RSA)

Личный _____ТГ______

клю4 ¦Поле
пользователя дешифрации

данных

Процесс дешифрации файла


При дешифрации закрытым ключом пользователя дешифруется ключ
шифрования файла РЕК из соответствующего поля дешифрации дан-
ных. РЕК дешифрует считываемые данные поблочно. При произволь-
ном доступе к большому файлу дешифруются только отдельные блоки,
а не весь файл.

511.jpg

Процесс восстановления файла

Изображенный на рисунке процесс восстановления аналогичен про-
цессу дешифрации с той только разницей, что для дешифрации РЕК в
DRF используется закрытый ключ агента восстановления.

Столь простая схема обеспечивает надежность технологии шифрова-
ния и использование одного файла несколькими пользователями, а
также возможность задействовать нескольких агентов восстановления.
В то же время, эта схема совершенно не привязана к какому-либо алго-
ритму и позволяет применять любой и, что очень важно, более совер-
шенный алгоритм, который, быть может, появится в будущем.

Реализация. Давайте начнем разговор о реализации архитектуры EPS
с рисунка, иллюстрирующего этот механизм.


512.jpg

Архитектура EFS

Файловая система с шифрацией является частью послойной модели
Windows NT и состоит из нескольких компонентов. Рассмотрим их
подробней.

• Драйвер EFS располагается непосредственно над NTFS и взаимо-
действует с сервисом EFS для запроса ключей шифрования файлов,
полей дешифрации файлов, полей восстановления файлов и других
сервисов, связанных с управлением ключами. Он передает эту ин-
формацию в библиотеку времени исполнения файловой системы с
шифрацией EFS FSRTL (EFS file system runtime library)
для прозрач-
ного выполнения различных операций файловой системы: чтения,
записи, открытия и добавления.

• EFS FSRTL — это модуль драйвера EFS, реализующий различные
вызовы NTFS для таких операций файловой системы, как чтение,
запись и открытие зашифрованных файлов и каталогов, а также
операций шифрования, дешифрации и восстановления данных при
записи на диск или считывании с диска. Хотя драйвер EFS и FSRTL
реализованы в виде единого компонента, они никогда не взаимодей-
ствуют непосредственно, а для передачи друг другу сообщений ис-
пользуют механизмы NTFS. Этим гарантируется участие NTFS во всех
операциях. Операции, реализованные механизмами управления
файлами, включают в себя запись атрибутов EFS (DDF, DRF) в виде
файловых атрибутов и передачу ключа FEK, вычисленного сервисом
EFS в FSRTL, Следовательно, эти операции могут быть установлены в
контексте открытого файла. Этот контекст затем используется для
прозрачности шифрования (дешифрации) при записи (чтении) дан-
ных в файлы на диске.


• Сервис EFS — часть подсистемы защиты. Для взаимодействия с
драйвером EFS этот сервис использует существующий LPC-порт свя-
зи между локальным уполномоченным безопасности LSA (Local Secu-
rity Authority)
и справочным монитором защиты, работающим в ре-
жиме ядра. В режиме пользователя он взаимодействует с CryptoAPI
для обеспечения ключами шифрования файлов, создания полей де-
шифрации файлов и полей восстановления файлов. Сервис EFS так-
же обеспечивает поддержку Win32 API. Импорт (экспорт) шифрован-
ных файлов позволяет пользователям преобразовывать файлы в дан-
ные, закрытые для таких операций, как резервное копирование, вос-
становление, а также для пересылки файлов.

• Интерфейсы Win32 API обеспечивают программные интерфейсы
для шифрования текстовых файлов, дешифрации или восстановле-
ния закодированных текстов, а также импорта или экспорта зашиф-
рованных файлов без их предварительного дешифрирования. Под-
держка этих интерфейсов реализована в стандартной библиотеке
advapi32.dll.

Работа с EFS

Теперь, рассмотрев теоретические основы реализации файловой сис-
темы с шифрованием в Windows NT, можно обратиться к вопросам ее
практического использования6.

Работа в графическом интерфейсе. Для доступа к функциям EFS из
Explorer надо выделить файл(ы) или каталог и щелкнуть их правой
кнопкой мыши, а затем выбрать в появившемся контекстном меню
команду Encrypt.

Open

New
PrinI
fluickVie»

Send to >

Cul
Cop»

CEBtleSha'lcul

Delete

Rename

Properties

Килшт)и Encrypt

Пользователю доступны две команды Encrypt (Зашифровать) и Dec-
rypt (Расшифровать).

Об ограничениях на использование шифрования в нашей стране на страни-
цах этой книги мы говорить не будем.


Шифрование. Эта операция позволяет зашифровать выделенный
файл. Если выделен каталог, то пользователю предоставляется возмож-
ность выбрать, надо ли наряду с каталогом шифровать все файлы и
подкаталоги в нем.

Дешифрация. Эта операция обратна шифрованию и позволяет де-
шифровать выделенный файл. Дополнительно к дешифрации каталога
можно дешифровать все находящиеся в нем файлы.

Конфигурирование. Пользователи имеют возможность оперировать
открытыми ключами, используемыми для шифрования файлов EFS:

создавать, экспортировать, импортировать, а также управлять ими. Эта
функция — для опытных пользователей, которые хотят управлять сво-
ими ключами. Тем же, кто не до конца в себе уверен, не стоит об этом
беспокоиться — система EFS создаст необходимые ключи сама.

Работа в командной строке. Дополнительно к возможностям графи-
ческого интерфейса в Windows NT 5.0 есть инструменты для работы с
EFS, вызываемые из командной строки. К этим инструментам относят-
ся команды cipher и copy.

Команда cipher позволяет выполнять шифрацию или дешифрацию
файлов. Приведем список ее параметров:

CIPHER [/Е /D] [/S[:dir]] [/A] [/I] [/F] [/Q] [filename [...]],

где:

• /Е — шифрует указанные файлы (каталоги помечаются таким обра-
зом, что добавляемые в них файлы будут шифроваться);

• /D — дешифрует указанные файлы (каталоги помечаются таким
образом, что добавляемые в них файлы не будут шифроваться);

• /S — выполняет операцию над файлами в указанном каталоге и всех
подкаталогах;

• /I — продолжает выполнять операцию после возникновения ошиб-
ки (по умолчанию команда cipher прерывается после возникновения
ошибки);

• /F — задает, что шифрование выполняется для всех указанных фай-
лов, даже если некоторые из них уже зашифрованы (по умолчанию
зашифрованные файлы пропускаются);

• /ОС — обобщает только наиболее существенную информацию;

• filename — шаблон, имя файла или каталога.

При использовании команды cipher без параметров выводится инфор-
мация о шифровании текущего каталога и всех файлов в нем.

Команда copy дополнена новыми возможностями для экспорта (импор-
та) зашифрованных файлов в переносимый формат. Новые параметры
этой команды:

copy [/Е ¦ /I] sourcefile destinationfile,


где:

• /Е — экспортирует зашифрованный файл (sou reef lie) в виде зашиф-
рованного потока битов в файл назначения (destinationfile); этот
файл должен быть не на разделе NTFS, а на PAT или на гибком диске;

• /I — импортирует зашифрованный поток битов из исходного фай-
ла в файл, расположенный на разделе NTFS (исходный файл, в от-
личие от файла назначения, не должен располагаться на NTFS).

Шифрование файлов. Все, что требуется, чтобы зашифровать файл —
выделить его и выбрать в контекстном меню команду Encrypt. С этого
момента файлы будут храниться на диске в зашифрованном виде. Во
время обращения к файлу для записи или чтения будет прозрачным
образом выполняться шифрование или дешифрация. Чтобы опреде-
лить, зашифрован ли файл, пользователю достаточно посмотреть, ка-
кая команда предлагается в контекстном меню (если Encrypt, то файл
не зашифрован).

Так как шифрование прозрачно с точки зрения пользователя, он мо-
жет продолжать работать с файлом точно так же, как это делал и рань-
ше: например, использовать для работы с документом Microsoft Word, a
для работы с обычным текстовым файлом — Notepad. При попытке до-
ступа к этому файлу другого пользователя будет выдано сообщение об
ошибке доступа, так как отсутствует соответствующий ключ.

Замечание. Администраторы не должны шифровать файлы систем-
ного каталога. Это связано с тем, что эти файлы требуются в момент
загрузки системы, когда ключи шифрования еще не доступны. Для пре-
дотвращения таких попыток Windows NT Explorer препятствует шиф-
рованию файлов с атрибутом System. В будущих версиях Windows NT
будет добавлена возможность защищенной загрузки, позволяющая
шифровать системные файлы.

В EFS имеется возможность импорта (экспорта) зашифрованных фай-
лов между системами. Эти функции добавлены в команду copy и дос-
тупны из командной строки.

Для экспорта пользователь должен указать зашифрованный файл в ка-
честве исходного а файл, расположенный в незашифрованном катало-
ге — в качестве приемного. Экспортированный файл будет по-прежне-
му зашифрован. Его можно копировать на любую иную файловую си-
стему, включая FAT, а также на магнитные ленты устройств резервного
копирования; либо «подшить» к электронному письму, подобно обыч-
ному файлу.

Чтобы файл был доступен для использования на приемной стороне, его
необходимо импортировать. Для этого пользователь указывает в каче-
стве приемного файл, расположенный на разделе NTFS. Файл будет
зашифрован.


Замечание. При обычном копировании зашифрованного файла в ка-
талог, помеченный как нешифруемый, файл будет расшифрован и со-
хранен в открытом виде. Это связано с тем, что операции шифрования
и дешифрации прозрачны для копирования. Данное свойство можно
использовать при копировании файлов для широкого распространения.

Шифрование каталогов. Пометить каталог как шифруемый можно
с помощью команды Encrypt контекстного меню Windows NT Explorer.
При этом по умолчанию все файлы в таком каталоге будут зашифрова-
ны, а все подкаталоги — помечены как шифруемые. Список файлов в
каталоге не' шифруется, поэтому при наличии соответствующих прав
доступа его можно просмотреть, как и раньше.

Помечая каталог как шифруемый, пользователь может указать, относит-
ся ли эта команда только к выбранному каталогу или ко всем вложен-
ным файлам и подкаталогам. Такой порядок облегчает пользователям
заботу о защите своих документов. Достаточно просто скопировать
файл в шифруемый каталог или создать там новый файл, как этот файл
будет немедленно зашифрован.

Дешифрация файлов и каталогов. Обычно пользователям не нуж-
но дешифровать файлы или каталоги — ведь, как уже отмечалось, эта
операция прозрачна как для пользователя, так и для приложений. Од-
нако если пользователь хочет предоставить файл или каталог в совме-
стное использование нескольким коллегам, придется выполнить де-
шифрацию.

Дешифрация выполняется аналогично шифрованию — командой кон-
текстного меню Windows NT Explorer. При применении команды Dec-
rypt
к. каталогу у пользователя есть возможность указать, относится ли
она к вложенным подкаталогам.

Операции восстановления. Правила восстановления EFS реализова-
ны как часть общей политики безопасности системы (как домена, так
и отдельной рабочей станции или сервера).

В рамках политики безопасности домена правила применимы ко всем
компьютерам в домене. Интерфейс интегрирован с программой уста-
новки политики домена и локальной политики. Агенты восстановления
могут создавать, экспортировать, импортировать и выполнять резерв-
ное копирование ключей восстановления, используя общий элемент
управления ключами. Интеграция правил восстановления с системной
политикой безопасности обеспечивает однородную мощную модель
безопасности. Система безопасности Windows NT берет на себя заботу
об ужесточении, тиражировании и кэшировании правил. Поэтому ста-
новится возможным их использование даже на системах, временно
работающих в автономном режиме, таких, как ноутбуки (подобно воз-
можности регистрироваться в автономных системах с использовани-
ем кэшированных мандатов).


Для восстановления ключей и зашифрованных файлов используется
утилита EFSRECVR, запускаемая в командной строке Windows NT. Син-
таксис этой команды таков:

EFSRECVR [/S[:dir]] [/I] [/Q] [filename [...]],

где:

• /S — выполняет восстановление файлов в указанном каталоге и всех
подкаталогах (по умолчанию dir означает активный каталог);

• /I — продолжает выполнять восстановление даже в случае возник-
новения ошибок (по умолчанию EFSRECVR прерывает работу в слу-
чае появления ошибок);

• /Q — сообщает только наиболее существенную информацию, вклю-
чая список идентификаторов ключей восстановления, чем позволя-
ет агенту восстановления загружать нужные ключи;

• filename — указывает шаблон, файл или каталог.

Политика восстановления определяется администраторами домена или
лицами, которым делегированы эти полномочия (агентами восстанов-
ления). Они же управляют ключами восстановления для всех компью-
теров, входящих в домен. Если пользователь потеряет закрытый ключ,
то файл можно будет восстановить, экспортировав и отправив почтой
одному из агентов восстановления. Агент должен будет импортировать
файл на защищенную машину, имеющую закрытые ключи восстанов-
ления, а затем воспользоваться утилитой EFSRECVR. После этого де-
шифрованный файл возвращается пользователю. Если домены отсут-
ствуют (в небольших офисах или в домашних условиях), восстановле-
ние можно выполнить на той же самой машине, где хранится зашиф-
рованный файл.

Динамическое отслеживание ярлыков

Ярлыки (shortcuts) вошли в жизнь пользователей ПК с появлением Win-
dows 95 и с тех пор являются предметом постоянных споров. Кто-то
не может нарадоваться такому простому способу доступа к нужным, но
далеко запрятанным файлам и каталогам, кто-то — до сих пор не оце-
нил всей его полезности. А кто-то серьезно озабочен «оторванностью»
ярлыков от реальных файлов. (Дело в том, что созданный ярлык хра-
нит информацию о местонахождении файла, которое было истинным
в момент создания ярлыка. Но кому из Вас не знакомо сообщение, по-
являющееся на экране при попытке доступа через ярлык к файлу, мес-
то хранения которого давно изменилось?)

513.jpg


В новой версии появилось понятие динамических связей. Если файл,
для которого создан ярлык, размещается на NTFS 5.0, то перемещение
его будет отслеживаться операционной системой. Щелкнув ярлык фай-
ла после его перемещения в другой каталог, Вы сразу получите доступ
к желаемому документу или приложению.

Квотирование дискового пространства

Новая функция в Windows NT 5.0 — возможность квотирования (огра-
ничения) дискового пространства, предоставленного пользователям.
Администраторам серверов файлов хорошо знакома ситуация, когда
объем свободного пространства на дисках сервера «тает» на глазах,
«съедаемый» пользователями сети. Можно устанавливать жесткие адми-
нистративные меры наказания, можно взывать к совести, но всегда
найдутся сотни аргументов типа «эта информация просто бесценна и
жизненно необходима», «она полежит на сервере всего денек» и т. п.
Можно дополнительно устанавливать жесткие диски в надежде что
«всех не передавишь», но и это дает только временную передышку.

Радикальное решение — принудительное ограничение пользователей
в их притязаниях на свободное пространство. В предыдущих версиях
Windows NT такая возможность штатно отсутствовала, что в большин-
стве случаев приводило к использованию продуктов сторонних фирм.

Теперь квотирование выполняется относительно каждого пользовате-
ля и каждого дискового тома. Предположим, что пользователи имеют
доступ к ресурсу \\Server\Public. Для пользователей этого ресурса уста-
новлено ограничение в 5 Мб. Если пользователь исчерпает свой лимит
в персональном каталоге \\Server\Public\Sergey и попытается создать
(или скопировать) файл в персональный каталог другого пользовате-
ля, то система воспрепятствует этому.

В зачет использованного дискового пространства идут только файлы,
которыми пользователь обладает. Если руководитель группы создаст
файл, а остальные члены группы будут его редактировать, то ответ-
ственность за используемое пространство по-прежнему будет возложе-
на на руководителя. В результате может сложиться парадоксальная си-
туация: владелец файла не сможет его редактировать, в то время как ос-
тальные сотрудники не будут подвергаться каким-либо ограничениям.

С другой стороны, если некий пользователь вступит во владение фай-
лом объемом 5 Кб, то эта величина добавится к объему, учитываемому
для данного пользователя.

Так как квотирование выполняется относительно каждого тома, то си-
стема отслеживает использование диска, независимо от того, где этот
том расположен. Так, например, если имеются два ресурса \\Server\Pub-
lic и \\Server\Users, то занимаемый объем для каждого из них будет
контролироваться отдельно, даже в том случае, если оба этих ресурса
расположены на одном разделе диска.


Что произойдет, если пользователь превысит установленную квоту? Это
зависит от конфигурации системы. В любом случае в системный жур-
нал будет внесена соответствующая запись. Записи ведутся в хроноло-
гическом порядке, однако по умолчанию в журнале не фиксируется,
какие пользователи в настоящий момент превысили предел. Если ад-
министратор задал соответствующий параметр, то любая попытка
пользователя записать что-либо после превышения лимита закончит-
ся сообщением об отказе в доступе по причине отсутствия свободного
пространства.

Квотирование диска разрешается, если:

• раздел отформатирован в NTFS версии 5.0;

• есть соответствующие административные полномочия.

Для вызова программы квотирования надо щелкнуть правой кнопкой
мыши изображение диска и в контекстном меню выбрать команду Рго-
perties.
Затем следует выбрать в диалоговом окне Disk Properties
вкладку Quota. Когда формат диска не NTFS, такая вкладка видна не бу-
дет. Если формат диска NTFS 4.0 или у Вас нет административных пол-
номочий, на экране появится соответствующее сообщение, а если все в
порядке — диалоговое окно изображенное на рисунке.

514.jpg

Диалоговое окно Disk Properties, вкладка Quota

Для активации функции квотирования необходимо отметить флажок
Enable quota management. Если администратор желает воздейство-
вать на пользователей не только морально, следует отметить флажок
Deny disk space to users exceeding quota limit тогда пользовате-
лям будет отказано в доступе при превышении выделенной квоты.


лей. При превышении пользователем установленного порога предуп-
реждения (Set warning level to) происходит запись предупреждения в
журнал.

Как уже упоминалось, из системного журнала нельзя узнать, сколько
пользователей превысили установленные для них пороги или прибли-
зились к ним. Это можно выяснить, если в диалоговом окне Disk Pro-
perties
щелкнуть кнопку Quota Entries. На рисунке показан пример
списка установленных квот.

515.jpg

Список входов квотирования

Все учетные записи, для которых превышен порог предупреждения,
отмечены соответствующим значком.

Для модификации установленных квот надо дважды щелкнуть соответ-
ствующий вход, а для добавления новых ограничений — выбрать в
меню Quota команду Add New Quota. Появится диалоговое окно
Quota Settings/or.

516.jpg

Диалоговое окно Quota settings/or


В этом окне указывается имя учетной записи, для которой вводится
квотирование, а также пороги предупреждения и использования.

Права на доступ к файлам и каталогам.
Понятие владельца

В новой версии Windows NT существенно изменены и дополнены пра-
вила и возможности предоставления доступа к файлам и каталогам. С
одной стороны расширено число атрибутов доступа, которые можно
определять, а с другой — наряду с правом доступа введен запрет доступа.

Права на доступ к файлам и каталогам определяют, может ли пользо-
ватель осуществлять к ним доступ и, если да, — то, как именно. Пользо-
ватель, создавший файл или каталог, является его владельцем. Владение
файлом или каталогом позволяет пользователю изменять права на до-
ступ к нему. Администратор может вступить во владение файлом или
каталогом без согласия владельца, но не может передать его обратно
во владение прежнему владельцу. Чтобы передать владение файлом,
администратор должен зарегистрироваться под именем другого пользо-
вателя и взять файл во владение.

Права на доступ к файлам и каталогам кумулятивны. Исключение со-
ставляет ^Vo Access (нет доступа), имеющее превосходство над осталь-
ными. Допустим, пользователь Львов имеет доступ к файлу FILE1 толь-
ко на чтение. Одновременно он входит в группу «Инженеры», облада-
ющую правом изменения (change) файла FILE1. Значит, Львов обладает
возможностью как чтения, так и изменения файла FILE1. А вот если бы
Львов входил в группу «Бухгалтерия», не имеющую доступа к файлу, он
тоже не имел бы доступа к этому файлу.

Запрет как отдельная сущность действует для тех же самых видов, что
и право. На первый взгляд кажется странным, зачем специально опре-
делять запрет, если ые указание права на какой-либо доступ равносиль-
но запрету. Но как следует из приведенного примера, права кумулятив-
ны, что не всегда удобно. Предположим, что Львов, входящий в группу
«Инженеры», тем не менее, не должен обладать возможностью изменять
файл FILE1. Только назначив ему конкретный запрет можно лишить
такой возможности, оставив, в то же время, все другие, предоставляе-
мые членством в группе «Инженеры».

Предоставление прав на доступ к файлам и каталогам — основа защи-
ты в Windows NT, управляемой пользователями. Доступ ко всем диало-
говым окнам, управляющим правами доступа, может осуществляться
непосредственно из окон, соответствующих папкам, или из Windows
NT Explorer. Для этого необходимо щелкнуть правой кнопкой мыши
имя нужного файла или папки и в меню выбрать Properties, а затем в
появившемся диалоговом окне File Properties вкладку Security.


517.jpg

Диалоговое окно File Properties, вкладка Security

Предоставление и запрещение доступа к файлам

Чтобы определить доступ к файлу на разделе NTFS, выберите в диало-
говом окне File Properties вкладку Security. На экране появится диа-
логовое окно с элементами Name, Permissions, Allow, Deny и Inherit
permissions from parent.
Вы также увидите ряд кнопок для добавле-
ния или исключения пользователей из списка доступа и модификации
доступа.

518.jpg

Диалоговое окно Add User or Group

В списке Name перечислены имена локальных групп и пользователей,
для которых указаны права доступа к выбранному файлу. Имена пользо-


вателей показываются в формате Имя_Домена\Имя_пользователя. Для
добавления новых пользователей или групп надо щелкнуть кнопку Add
и выбрать в появившемся списке нужное.

В разделе Permissions можно выбрать наиболее общие типы доступа
к файлам и связанные с ними действия над файлами (см. таблицу 4-3).
Отдельно указываются как разрешения (Allow), так и запрещения (Deny).
По умолчанию вид доступа к файлу наследуется из каталога, в котором
располагается файл. Если наследование по каким-либо причинам не
подходит, следует сбросить флажок Inherit permissions from parent.

Таблица 4-3- Типы доступа и операции над файлами

(• —разрешено)

No Read & Full
Access Read Execute Change Control
Показывать данные файла • • • •
Показывать атрибуты файла • • • •

Исполнять файл, если это • • •
программа

Показывать владельца файла • • • •
и типы доступа

Изменять атрибуты файла • •

Изменять и добавлять данные • •
в файл

Удалить файл • •

Изменять владельца файла •
и права доступа


519.jpg

Диалоговое окно Permission Entry for


Если требуется более тонкая настройка доступа к файлу, то следует
щелкнуть кнопку Advanced. Появится диалоговое окно Access Control
Settings,
со списком контроля доступа (ACL) выбранного файла. Каж-
дая строка списка содержит тип доступа (Allow/Deny), имя пользова-
теля, для которого определено это разрешение, и название разрешения.
Помимо уже упоминавшихся выше наиболее общих разрешений (Full
Control, Modify, Read & Execute, Read, Write)
там может находиться
и специальное (Special). Для редактирования строки следует либо
дважды щелкнуть ее, либо воспользоваться кнопкой View/Edit.

Специальный вид доступа можно установить для любого файла или
группы файлов. В таблице 4-4 перечислены специальные виды доступа
и связанные с ними действия.

Таблица 4-4

UI 41

w <u

I I s
^ ^ ^ s

S •S S •» .° S .9-

J-> 0> •f 0> If) ? J-

3-0 (ВЗ-0 (вЕ"Д

д5¦д^5ё8 '¦¦¦S

^?Д5^?2^^&§,§¦
g^^^^&sa^^^S^e

x»»»^a.^^owoc~s>,
шссосос5<5>аасс0¦-(л

Показывать владельца файла •/•/•/•/•/•/•/•/
Показывать права доступа •/•/'•/•/•/•/•/•/ -у •/
Показывать данные в файле ^
Показывать атрибуты файла ^

Показывать расширенные •/
атрибуты файла

Изменять и добавлять данные ^ ^
к файлу

Выполнять файл, если •/

это программа

Удалять файл ^ ^

Изменять атрибуты файла ^

Изменять расширенные •^
атрибуты файла

Изменять права доступа ^
к файлу

Вступать во владение файлом •/
Синхронизировать •/


Предоставление прав на доступ к каталогам

Так же, как и в случае с файлами, в Windows NT 5.0 изменен порядок
предоставления доступа к каталогам. Для изменения разрешений дос-
тупа надо выделить каталог (или несколько каталогов), щелкнуть пра-
вой кнопкой мыши и в появившемся контекстном меню выбрать ко-
манду Properties, а затем — выбрать в появившемся диалоговом окне
Directory Properties вкладку Security.

520.jpg

Диалоговое окно Directory Properties, вкладка Security

Это диалоговое окно сходно с окном File Properties, описанным ра-
нее и предназначенным для файлов. Отличие — в списке разрешений,
назначенных (или запрещенных) для каталога. Также как и для файлов
здесь приведен список только наиболее общих видов доступа.

Таблица 4-5. Права доступа к каталогам и действия
над каталогами

л

»
S S

О 3

0 и -

S S S

V » ^

•5 «о >• о
"- а» тэ -о й "

*- и л я тэ =
м ^ а) « о -з

:J 5 СС ОС Z И.

Показывать имена каталогов ^ •/ •/•/•/
Показывать атрибуты каталогов •/ •/•/•/ '/ •/
Переходить в подкаталоги •/•/ •/•/•/•/
Изменять атоибуты каталога ^ ^


Таблица 4-5- Права доступа к каталогам и действия
над каталогами (продолжение)

521.jpg

Для более точного указания разрешений доступа можно воспользовать
ся редактором ACL так же, как и в случае с файлами. Для вызова редак-
тора надо щелкнуть кнопку Advanced появится диалоговое окно
Access Control Settings со списком строк ACL. Каждая строка содер-
жит следующие поля: Allow/Deny (тип доступа), имя пользователя,
разрешение, а также применимость. Под применимостью понимается
глубина воздействия указанной строки ACL. Разрешение может отно-
ситься:


• только к этому каталогу;

• к этому каталогу и всем вложенным подкаталогам и файлам;

• только к каталогу и подкаталогам;

• только к каталогу и файлам в нем;

• только к подкаталогам и файлам;

• только к подкаталогам;

• только к файлам.

522.jpg

Диалоговое окно Permission Entry for

Для редактирования строк ACL надо либо дважды щелкнуть строку, либо
воспользоваться кнопкой View/Edit. После этого на экране появится
диалоговое окно Permission Entry/or.

В нем можно указать имя учетной записи, для которой будет использо-
ваться данная строка ACL, глубину воздействия и, конечно же, разре-
шение (или запрещение).

Обратите внимание на флажок Apply these permissions down the tree.

Если он отмечен, то указанные разрешения будут применены не толь-
ко к объектам в списке Apply onto, но и ко всем следующим ниже по
дереву объектам, для которых это возможно.

Владение каталогами и файлами

По умолчанию создатель каталога или файла является его владельцем.
В предыдущих версиях Windows NT невозможно передать файл во вла-
дение кому бы то ни было. Можно было только вступить во владение —
такой привилегией по умолчанию обладали администраторы системы.


В Windows NT 5.0 понятие владения несколько изменено. Теперь пользо-
ватель (при наличии на то прав) может не только вступить во владение
файлом или каталогом, но и передать его во владение третьему лицу.
Этим лицом может быть только пользователь, обладающий соответству-
ющими полномочиями, например, администратор. Для определения
текущего владельца файла и (или) передачи владения надо вызвать
диалоговое окно Folder Properties, выбрать вкладку Security и щелк-
нуть кнопку Advanced. В появившемся окне редактора списка конт-
роля доступа надо выбрать вкладку Owner.

523.jpg

Диалоговое окно редактора списка контроля доступа,
вкладка Owner

В поле Current owner of this item показан текущий владелец объекта,
а в списке Change owner to учетные записи, обладающие правом
вступить во владение. Для того, чтобы вступить во владение надо выб-
рать свою учетную запись в списке (конечно, если она там присут-
ствует) и щелкнуть ОК.

Заключение

Главная причина новых функций работы с дисками и файлами — по-
желания пользователей операционной системы упростить файловую
систему и администрирование доступа, повысить надежность и отка-
зоустойчивость дисковых томов, а также безопасность и защищенность
данных. Именно поэтому в составе Windows NT 5.0 появились:

• файловая система FAT32;

• файловая система NTFS 5.0;

• распределенная файловая система;


• файловая система с шифрованием;

• переходы NTFS;

• динамические связи;

• квотирование дискового пространства;

• утилита дефрагментации дисков;

• новая программа резервного копирования;

• поддержка разнообразных устройств хранения информации, вклю-
чая магнитооптические накопители и DVD;

• новые средства редактирования доступа к файлам;

• новые административные утилиты;

• новые средства бесперебойной работы и монтирования отказоус-
тойчивых томов;

• а также ряд других возможностей.

Большинство упомянутых новшеств описано в этой главе, некоторые -
нашли отражение в других главах (например, в главе 5). Некоторые
функции остались за пределами этой книги, так как находятся еще в
стадии разработки и на этапе первой бета-версии заслуживают лишь
упоминания.

Используются технологии uCoz