隨著Windows2000操作系統的普及使用,人們經常接觸到它所支持的NTFS文件系統。盡管對於NTFS了解的人比較多、但真正能在實際工作生活中靈活運用的人相對較少。本文將從NTFS幾大新的安全特性入手,對它進行全面介紹,並提供給讀者可供參考的安全方案。 文件系統指文件命名。存儲和組織的總體結構。Windows2000支持3種文件系統:FAT.FAT32和NTFS。無論哪一種文件系統,都是以簇為分配的最小單位。每個文件存儲時必須以新的簇開頭。先來看一下FAT分區,在這種分區下,只有當分區小於256M時,簇的大小才會小於4K,一且分區達到了2G以上。簇的大小也隨之增大到64K以上。可見,這樣在存放文件時非常浪費空間,因為即使你的文件大小只有2K。系統仍然要分配給你64K的大小,那麼剩下的62K就不能使用了。而在FAT32的分區下,只要滿足分區小於32G,簇的大小就會小於4K.NTFS的分區就更加好一些,無論你的分區有多大,它的簇最大就是4K。誰優誰劣,一看便知。 Windows2000安全性概述 Windows2000安全性具有兩個方面:授權(authorization)和身份驗證是操作系統所使用的一個過程,它可以檢查用戶的身份是否就是他所聲明的身份。而操作系統之所以使用授權這個過程,是為了允許基於用戶安全憑證。(security credential)來訪問任務和對象。 盡管身份驗證和授權是同一事物的兩個方面(它們的工作聯系得很緊密,但它們並不是同一事物的兩個名稱。身份驗證只是在確認用戶的身份時使用,它並不關心訪問控制。與之相反,授權則只關心對一個經過身份驗證的用戶授予和剝奪訪問的權力。 在Widows2000以前,WindowsNT使用Windows NT LAN Manager(NTLM)協議作為其惟一的網絡身份驗證協議。Windows2000在某種程度上對其進行了擴充。它使用工業標准的Kerberosv5協議作為默認的身份驗證協議。寫NTLM相比。Kerberos有很多優點,51自學網,比如它有同時驗證客戶和服務器的能力。在NT4.0或更早的計算機上,仍然可以使用NTLM來進行身份驗證。Windows2000還支持Crypto API、Secure Sockets Layer(SSL)以及公共密以及公共密要加密,把它們作為附加的身份驗證工具。 在允許用戶訪問任何資源以前,Windows2000的登錄進程必須驗證用戶的身份。描述用戶安全性信息的訪問令牌(access token)是與用戶相關聯的,可以用於識別計算機上或網絡上的用戶。驗證了用戶的身份以後,Windows2000將允許或拒絕用戶訪問安全對象。到底是允許還是拒絕,需要把安全對象相關聯的訪問控制列表與授予用戶的訪問權限進行比較,然後再做出決定。Windows2000會自動做出檢查,不需要用戶在代碼中編程來測試訪問許可。 基本安全性數據結構 (1)SID:它是安全標識符(Security identifier)的縮寫,這個結構可以惟一地標識用戶或組。並且一旦在系統中被使用過一次,即便與之相關聯的安全對象已經被刪除,這個SID也將不會分配給任何其他對象使用。 (2)ACE:它是訪問控制項目(access control entry)的縮寫。這個結構定義了SID怎樣才能與安全對象交互。ACF可能會允許對特定SID的訪問,也有可能拒絕。它還可以為SID定義安全審核(security-auditing)參數。 (3)ACL.它是訪問控制列表 (access controllist)的縮寫。這是一個數組,包含零個或多個ACE。ACL可能同時包含允許訪問的ACE和拒絕訪問的ACE. (4)DACL:它是自選訪問控制列表(discretionary access control list)的縮寫。這是一個ACL,可用於允許或拒絕對某個安全對象的訪問。 (5)SACL它是系統訪問控制列表(system access controllist)的縮寫。這個ACL用於審核對安全對象的訪問。 (6)SECURITY_DESCRIPTOR:這個結構包含對象的安全性信息。這個信息包括與該對象相關聯的DACL和SACL,以及它的所有者和組成員的信息。 (未完待續)
