یکی از مهمترین مشکلات امنیتی در سیستم FAT16 و FAT32 عدم توانایی در تعریف سطوح مجوز دسترسی به فایل ها و یا پوشه ها می باشد . که این امر می تواند به عنوان یکی از دلایل ناکارآمدی و قابل اطمینان نبودن این سیستم ها در سطوح شبکه باشد .
بر این اساس مایکروسافت سیستم فایلی جدیدی تحت عنوان NTFS را ایجاد نمود که از یک ساختار ۶۴ بیتی پشتیبانی می کند و از این رو کاربران می توانند فایل هایی ایجاد کنند که طول نام آنها تا ۲۵۶ کارکتر باشد .
چهار مجوز استاندارد در سیستم NTFS برای فایل ها و پوشه ها وجود دارند :
۱- No Access: با انتخاب این گزینه کاربران هیچگونه مجوزی برای خواندن ، نوشتن و … فایل یا پوشه مربوطه نخواهند داشت .
۲- Read : با توجه به آنکه اجزاه خواندن یک فایل شامل اجرای آن نیز می باشد ،از این رو کاربری که این سطوح از دسترسی را داشته باشد می تواند فایل را اجرا کرده و آن را بخواند .
۳- Change : این سطح دسترسی و مجوز ، کاربر را قادر می کند تا فایل را خوانده و در صورت لزوم تغییرات خود را در آن انجام دهد یا حنی فایل را حذف کند .
۴- Full Control : با فعال بودن این گزینه کاربران دارای مجوز می توانند فایل را خواند ، تغییرات مورد نیاز را درآن ایجاد کرده و یا حذف کنند . در واقع تمام امکانات و اختیاراتی که کاربر در حالت Change دارد در این قسمت نیز وجود دارد و فرق این دو سطح مجوز در آن است که با داشتن مجوز Full Control ، کاربر می تواند حتی برای سایر کاربران سیستم دسترسی تعریف کند و یا دسترسی کاربر دیگر را از آن پوشه و یا فایل حذف کند .
از لحاظ امنیتی بهتر است حتی الامکان از این مجوز استفاده نکنید ، زیرا داشتن مجوز Change بالاترین سطح دسترسی را به کاربران می دهد مگر آنکه واقعا بخواهید کاربری امکان تعریف یا حذف مجوز برای سایرین را داشته باشد .
البته مجوزه های دیگری نیز چون Read Only ، No Execute، Execute Only ، Write Only و … نیز قابل تعریف می باشند .
تعریف مجوزها
تعیین مجوز برای منابع اشتراکی شبکه
مجوزهای بررسی شده در فوق در واقع برای تعیین سطح دسترسی کاربرانی است که از یک سیستم بطور مشترک استفاده می کنند . اما ممکن است سیستم شما در بین چندین سیستم دیگر و در یک شبکه قرار گرفته باشد و شما بخواهید با تعیین سطح دسترسی های مشخص امکان دسترسی به یک یا چند کاربر بدهید . پس از تعریف منابع اشتارکی در سیستم تان که می تواند فایل ها ، پوشه ها ، درایو ها ، چاپگر ، اسکنر و … باشد ، کاربران دارای مجوز می توانند به این منابع دسترسی داشته باشند . با توجه به آنچه گذشت می توان سطوح دسترسی کاربران در سطح شبکه را نیز به شکل زیر تعریف کرد:
۱- No Access: نازلترین سطح دسترسی (دسترسی وجود ندارد)
۲- Read : اجرا و خواندن
۳- Change : اجرا ، خواندن و اعمال تغییرات
۴- Full Control : اجرا ، خواندن ، نوشتن و اعمال تغییرات ، تغییر در سطح مجوز ها
با توجه به این توانایی ها شما می توانید برای یک فایل و یا پوشه در هر دو وضعیت سیستم محلی و شبکه ، مجوزلازم را به کاربران بدهید . مثلا با تعیین مجوز Change برای یک فایل در سیستم محلی ، به کاربرانی که در پشت سیستم شما می نشینند امکان اعمال تغییرات را در فایل بدهید و با تعیین مجوز Read در سطح شبکه تنها امکان خواندن را به کاربرانی که از شبکه استفاده می کنند بدهید . البته در صورت جابجایی این سطوح ، یعنی تعیین مجوز Change, در سطح شبکه و Read در سطح سیستم محلی ، تنها مجوز Read که حداقل سطح دسترسی بین این دو است به کاربران داده می شود و کاربران شبکه نیز تنها می توانند فایل را خوانده و اجرا کنند . شکل زیر ، بوت سکتور یک ولوم قالب دار را با یک NTFS را شرح می دهد .وقتی یک ولوم NTFS را قالب بندی می کنید ، برنامه قالب بندی اولین ۱۶ قسمت را برای بوت سکتور و کد بوت استرپ اختصاص می دهد.
در ولوم های NTFS ، اطلاعات رشته هایی هستند که BPB ها را از یک BPB گسترده شده دنبال می کند . ان اطلاعات که در رشته ها قرار دارند Ntldr( برنامه لود کننده NT ) را قادر می سازند تا لیست های فایل های اصلی ( MTF) را در طول شروع ، پیدا کنند. در ولوم های NT ، MFT در یک سکتور از پیش تعریف شده ، محدود نشده اند . این موضوع در مورد ولوم های FAT16 و FAT32 نیز صادق است . به همین خاطر اگر سکتور بدی در محل نرمال آنها قرار گیرد ، MFT ها می توانند جابه جا شوند. اگر اطلاعات خراب شده باشد ، MFT نمس تواند مستقر شود و ویندوز NT/2000 فرض را بر این خواهد گذاشت که ولوم قالب بندی نشده است .
مثال زیر روشن خواهد کرد که چگونه یک بوت سکتور ولوم NTFS هنگامی که وندوز ۲۰۰۰ در حال اجراست ، قالب بندی می شود . در این قسمت نتیجه چاپی قالب بندی شده است .
در جدول زیر قسمت های BPB وBPB گسترش یافته در ولوم NTFS شرح داده شده است .
به دلیل اینکه یک سیستم در حال کار نرمال در بوت اسکوتر ها به دلیل دسترسی به ولوم وجود دارد، بیشترین توصیه ما این است که دیسک مرورگر با قائده ای را مانند chkdsk نصب کنید این کار بسیار بهتر از این است که از همه اطلاعات خود BACK UP بگیرید تا از پاک شدن اطلاعات ضروری خود جلوگیری کنید .
MFT
هر فایل در یک ولوم NTFS به وسیله رکوردی در یک فایل مخصوص به نام فهرست فایل اصلی یا ( MFT) نشان داده می شود .
NTFS اولین ۱۶ رکورد را در یک فهرست برای اطلاعات مخصوص رزرو می کند . اولین رکورد از این فهرست ، فهرست فایل اصلی را توصیف می کند و خود به وسیله یک رکورد بازتابی MFT پیروی می شود .اگر اولین رکورد MFT خراب شده باشد ،NTFS رکورد دوم را می خواند تا بتواندرکورد بازتابی MFT را که اولین رکورد آن مانند اولین رکورد MFT است را پیدا کند مکان های اطلاعات که به بخش های رکورد بازتابی MFT و MFT تقسیم شده اند ، در بو ت سکتور ها ثبت شده اند .نسخه ای دیگر از بوت سکتور در مرکز منطقی دیسک محدود شده است . سومین رکورد MFT فایل ثبت کننده وقایع است که برای ترمیم فایل ها به کار برده می شود . هفدهمین رکورد و رکوردهای زیرین فهرست فایل اصلی برای هر کدام از فایل ها هستند.
طرح ساده ای از ساختمان MFT
فهرست فایل اصلی مقدار مشخصی از فضا را برای هر کدام از فایل های رکورد اختصاص می دهد . خصوصیات یک فایل در فضای اختصاص یافته در MTF نوشته می شود .فایل ها کوچک و دیرکتور ها ( معمولا ۱۵۰۰ بایتی و یا کوچکتر ) مانند فایلی که در شکل بعد نشان داده شده است، می توانند کاملا در داخل رکورد فهرست فایل اصلی جاسازی شوند .
این طراحی دسترسی به فایل ها را بسیار سریع می کند .برای مثال سیستم فایل FAT که از یک فهرست فایل اختصاصی برای لیست کردن اسامی و آدرسها هر فایل استفاده می کند FAT راهنما ، محتوی یک شاخص را به داخل یک فهرست فایل اختصاصی ثبت می کند . وقتی شما بخواهید یک فایل را ببینید ، در ابتدا FAT فهرست فایل اختصاصی را می خواند و مطمئن می شود که آن فایل وجود دارد . سپس FAT فایل ها را به وسیله زنجیره ای از واحد های اختصاصی اتصال یافته به آن فایل ، بازیافت می نماید .
رکورد های راهنما در داخل فهرست فایل اصلی قرار گرفته اند . بجای اطلاعات ، راهنما ها محتوی اطلاعات شاخص هستند . رکورد های راهنمای کوچک ، کاملا در داخل ساختمان MFT مستقر هستند . راهنماهای بزرگتر اساسا در داخل B-trees هستند و دارای رکوردهای همراه اشاره گر هستند که برای دسته های خروجی محتوی راهنماهای ثبت کننده ای که نمی توانند در داخل ساختمان MTFباشند ، مناسب هستند .
فایل NTFS نسبت داده شده :
سیستم فایل NTFS هر فایل و فولدر را مانند یک فایل نسبت داده شده می بیند . عناصری مانند نام فایل و یا اطلاعات امنیتی خود فایل و حتی اطلاعات خود همه به عنوان فایل نسبت داده شده هستند . هر نسبت داده شده ای به وسیله یک نوع کد نسبت داده شده و یا اختیارا به وسیله یک اسم نسبت داده شناسایی میگردد . هنگامی که یک نسبت گر فایل بتواند در داخل رکورد فایل MFT متناسب شود ، به نام نسبت دهنده مقیم نامیده می شوند .برای مثال اطلاعاتی از قبیل نام فایل ونشان زمانی ، اغلب اوقات شامل رکورد فایل MTFمی گردند . هنگامی که همه اطلاعات یک فایل برای متناسب بودن با رکورد فایل MTF بسیار بزرگ است ، بعضی از نسبت داده شده های آن غیر ساکن می شوند . نسبت داده شده های غیر ساکن در جای دیگرفضای دیسک در ولوم به صورت دسته های یک یا بیشتر اختصاصی می شوند .
NTFS لیست نسبت داده شده ها را ایجاد می کند و آ نها را برای توضیح مکان رکوردهای نسبت داده شده ، نسبت می دهد .
فهرست ۳-۵ همه فایل های نسبت داده شده را که به وسیله سیستم فایلNTFS تعریف شده است لیست وار نشان می دهد. این لیست قابلیت وسعت بیشتر را دارد به دین معنا که فایل های نسبت داده شده دیگری در آینده می توانند تعریف شده و به این لیست اضافه شوند .
بهینه سازی NTFS
اگر شما احتیاجات ذخیره سازی خود را بررسی کنید ، می توانید بعضی از پارامتر های سراسری NTFS را برای به دست آوردن افزایش قدرت اجرا یی CD تنیظم کنید .
فاکتور های بسیار دیگری نیز موجود دارد ( ما در اینجا از ذکر نوع CD درایو و یا rpm خود داری می کنیم )که می توانند بر روی اجرای NTFS تاثیر بگذارند مانند : سایز دسته ، موقعیت ، قابلیت ریز شدن فهرست فایل اصلی (MTF ) و فایل های صفحه بندی ، ولوم فشرده NTFS ، منبع ولوم NTFS ( که به وسیله ولوم وجودی FAT به وجود می آیند و یا معکوس می شوند .
تعریف سایزدسته به طور دقیق :
دسته یک واحد اختصاص یافته است . اگر شما به طور مثال فایلی به اندازه ۱ بایت ایجاد کنید ، حداقل یک دسته باید در سیستم فایل FAT اختصاص بیابد. اگر فایلی در NTFS به حد کافی کوچک باشد ،می تواند بدون استفاده از دسته های ویرایشگر خود دررکورد MFTزخیره شود . هنگامی که فایل دورتر از مزر دسته بزرگ می شود ، دسته دیگری اختصاصی می شود . این بدین معنی است که سایز دسته بزرگتر ، فضای دیسک بیشتری را به خود اختصاص خواهد داد و در نتیجه اجرا بهتر است .
فهرست زیر ارزش پیشفرض را که ویندوز NT/2000/XP برای قالب بندی NTFS استفاده می کند را نشان می دهد :
بهرحال هر گاه شما فرمت ها را به صورت دستی قالب بندی کنید ، می توانید سایز دسته را در جعبه فرمت محاوره به ۵۱۲ بایت ، ۱KB، ۲KB ،۴KB، ۸KB، ۱۶KB،۳۲KB، ۶۴KB تعیین کنید . این عمل چه چیزی به ما می دهد ؟
ما به کمک این عمل می توانیم میانگین سایز فایل را تعیین کنیم ونتیجتا بخش ها را فرمت نماییم . چگونه می توانیم تعیین کنیم ؟ را ه آسان ( ولی ناهموار ) این است که شماره های فایل در یک درایو را به وسیله دیسک های نهایی که درکیلوبایت ها استفاده می شود ، تقسیم بندی کنیم . راه دیگر این است که به اطلاعاتی بپردازید که می خواهید آنها را در درایو قبل از قالب بندی ذخیره نمایید . هنگامی که می خواهید مولتی مدیا ها را که در سایز بسیار بزرگ هستند ، دسته را بزرگتر کنید تا یک اجرا توسعه پیدا کند . و اگر داری صفحات وب کوچک و یا مدارک مقاله ای هستید ، سایز دسته را کوچک تر کنید تا فضای زیادی را از دیسک اشغال نکند . توجه : در ولوم ها ، داشتن سایز دسته ها بیش از ۴ KB تراکم حمایت نمی شود . ذخیره و قسمت شدن MFT محتویات MFT مکررا سیستم های فایل و شاخص ها را استفاده می کند . بنابراین اجرای MFT تاثیر بسیار زیادی بر روی اجرای بی عیب ولوم می گذارد. به وسیله قسمت ذخیره خطایNTFS ، حدود ۱۲٫۵% سایز ولوم برای MFT خواهد بود یعنی جائیکه به MFT اجازه داده می شود تا بزرگ شود و به کاربر این اجازه را نمی دهد که اطلاعات را در آنجا بنویسد.برای مثال هنگامی که فایل های بسیاری به داخل درایو جابه جا می شوند، MFT می تواند دورتر از قسمت ذخیره بزرگ شده و تبدیل به قسمت هایی شود . دلیل دیگر این است که هنگامی که شما فایل ها را حذف می کنید ، NTFS اکثر اوقات از فضای خود در MTF برای ذخیره سازی فایل های جدید استفاده نمی کند و فقط مدخل MTF مانند هنگامی که مدخل جدیدی را برای فایل جدید حذف یا اختصاصی می کند ، نشانه گذاری می نماید . این عمل بعضی از اجرا ها و نتایج بازیافتی را داراست و به هر حال این نیرو را به MFT می دهد تا بتواند قسمت شود .
انتخاب فایل سیستم در ویندوز XP زیاد ساده نیست و البته چیزیست که بارها باید انتخاب کنیم ! اصولا برای انتخاب فایل سیستم از ما در مورد دو نوع FAT32 و NTFS میپرسند در حالیکه این گونه در ۳ بخش هست که باید بهش FAT رو هم اضافه کنیم … در مورد FAT باید بگم که ماکزیموم ۲ GB گنجایش برای هر درایو هست و از MS-DOS حمایت میکند برا همینم این گزینه رو کنار میزاریم و میریم سر اصل موضوع : اما اینکه صریحا بشه انتخاب کرد که از کدوم نوع باید استفاده کرد نمیشه جواب داد چون هر کدام بسته به کارایی خودشون باید مورد استفاده قرار بگیرند …در مورد امنیت و اعتبار خوب بحثی نیست که NTFS خیلی بهتر است . مجموعه نظر های بعضی شرکت ها رو در زیر در مورد قیاس این دو با هم میارم :
امنیت: FAT32 برای فراهم اوردن امنیت بسیار ضعیف است چراکه کاربری که به درایو خاصی دسترسی دارد به تمام فایلهای ان درایو دسترسی خواهد داشت. NTFS به کاربران با مجوزهای متفاوتی اجازه استفاده از فایلها و فولدر های درایو را میدهد که پیچیدگی سیستم را بالا میبرد. ویندوز XP Professional از این گزینه و پنهانی کردن ان حمایت میکند .
سازگاری : ارزشهای NTFS با ویندوز۹۵/۹۸/Me نمیتوانند مشخص شوند . که تنها مرتبط با وقتیستکه از دابل بوت کردن یا بوت چندگانه استفاده می شود . FAT32 فقط موقعی مورد دسترسی هست که کامپیوتر بایکی از این سه ویندوز بالا بیاد . FAT32 میتواند به NTFS کانورت شود اما NTFS نمیتواند بدون فرمت شدن کانورت شود .
بازدهی فضایی : NTFS میتونه دیسک رو سهمیه بندی کنه برای هر کاربر و میتواند از فایلهای کمپرس استفاده کند اما FAT32 نمیتونه . در XP ماکزیموم پارتیشن ۳۲ GB هست روی FAT32 و این عمل با NTFS به ۱۶ TB Terabyte میرسه اعتبار : FAT32 استعداد error گیریش خیلی زیاد هست NTFS دارای لوگ فایل هست که برای تعمیر اتوماتیک فایل سیستم هست. NTFS از کلاسترهای دینامیک حمایت میکنه به اینصورت که سکتورهای خراب رو مشخص میکنه که دیگه برای دفعات بعدی استفاده نشوند.
امنیت در NTFS
نسل جدید سیستم فایل
خانواده سیستم فایلFAT که شامل FAT 12 ،FAT 16 و FAT 32 میشود، سیستم فایلی است که در اوایل دهه هشتاد میلادی، سیستمعاملهای مایکروسافت براساس آن ساخته میشدند. بهطور کلی، این نوع سیستمفایلی به اندازه کافی برای مدیریت فایلها و حتی پیسیها، بهویژه آنهایی که برای مقاصد خاص استفاده نمیشدند، قدرتمند بود. برای کامپیوترهای خانگی و کامپیوترهایی که در مشاغل کوچ استفادهمیشدند،FAT به اندازه کافی خوب بود. اما هنگامی که امنیت و قابلیت اطمینان بالا اهمیت پیدا میکرد،FAT حرفی برای گفتن نداشت.
به هرحال با وجود آنکه FAT در بسیاری از موارد قابل قبول بود، خیلی قدیمی، محدود و سیستم فایلی سادهای بود. این فایل سیستم برای کاربران پیشرفته، بهویژه سرورها و ایستگاههای کاری در محیط شبکه شرکتهای بسیاربزرگ، از امنیت قابلیت و اطمینان بالا برخوردار نبود. به همین دلایل مایکروسافت نسل جدیدی از سیستمهای فایلی، موسوم به New Technology File System) NTFS) را ایجاد کرد. در واقع بزرگترین ایراد این سیستمعاملها تا آن زمان آن بود که براساس FAT ساخته شده بودند. FAT کمترین امکانات را برای مدیریت و ذخیرهسازی دادهها در محیط شبکه در اختیار داشت. برای جلوگیری از زمینگیر شدن ویندوز NT، مایکروسافت نیاز به ایجاد سیستم فایلی جدیدی داشت که براساس FAT نباشد. نتیجه آن ایجاد NTFS بود. NTFS برای برآوردن اهداف خاصی طراحی شده بود که برخی از آنها عبارتند از:
● قابلیت اطمینان:
یکی از شاخصهای مهم یک سیستم فایل مهم و جدی، قابلیت بازیابی بدون از دست دادن آن است. NTFS دارای امکانات خاصی است که قابلیت نقل و انتقال به صورت یکپارچه را دارد. این ویژگی برای جلوگیری از نابودی اطلاعات و قابلیت تحمل خطا بسیار مهم است.
● امنیت و کنترل دسترسی:
یکی از بزرگترین مشکلات FAT آن بود که هیچگونه ابزار توکاری برای کنترل دسترسی به فایلها و فولدرها روی دیسک سخت را دارا نبود. بدون این نوع کنترل، نصب برنامهها و شبکه که نیاز به امنیت و امکان مدیریت دسترسی به فایلها، خواندن و نوشتن دادهها داشت، تقریباً غیرممکن بود.
● استفاده از هارددیسکهای با حجم بیشتر:
در اوایل دهه نود میلادی،FAT فقط محدود به FAT 16 بود که امکان ایجاد پارتیشنهایی با حداکثر اندازه چهارگیگابایت را داشت. با وجود رشد روزافزون حجم دیسکهای سخت و همچنین استفاده رو به رشد RAID ،NTFS برای استفاده از پارتیشنهای بسیار بزرگ طراحی شد.
● امکانات ذخیرهسازی:
هنگامی که NTFS در حال توسعه بود، اغلب پیسیها در آن زمان از FAT 16 استفادهمیکردند که موجب از دست رفتن قسمت قابل توجهی از فضای دیسک میشد. NTFS با تغییر روش اختصاصدادن فضا به فایل، از بروز این مشکل جلوگیری کرد.
● شبکه سازی:
بهرغم آنکه برخی از امکانات NT که امکان شبکهسازی را فراهم میکند مربوط به فایل سیستم نبود، برخی از مهمترین امکانات شبکهسازی براساس NTFS بود. هنگامی که ویندوز NT در حال توسعه بود، دنیای کسبوکار به تازگی اهمیت شبکهسازی را درک میکرد، و ویندوز NT امکانات فراوانی برای امکان شبکهسازی در سطح وسیع را فراهم میکرد.
www.bitasoft.ir
دیدگاه ها