NTFS(New Technology File System)安全权限
NTFS(New Technology File System)安全权限
目的
1. 给文件设置权限,防止文件被篡改和删除等。
一、概述
NTFS(New Technology File System)是Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式,提供长文件名、数据保护和恢复,能通过目录和文件许可实现安全性,并支持跨越分区。
NTFS文件系统所具备3个功能:错误预警功能、磁盘自我修复功能和日志功能。
错误预警功能:在NTFS分区中,如果MFT所在的磁盘扇区恰好出现损坏,NTFS文件系统会比较智能地将MFT换到硬盘的其他扇区,保证了文件系统的正常使用,也就是保证了系统的正常运行。而FAT16和FAT32的FAT则只能固定在分区引导扇区的后面,一旦遇到扇区损坏,那么整个文件系统就要瘫痪。
磁盘自我修复功能:NTFS可以对硬盘上的逻辑错误和物理错误进行自动侦测和修复。在每次读写时,它都会检查扇区正确与否。当读取时发现错误,NTFS会报告这个错误;当向磁盘写文件时发现错误,NTFS会换一个完好位置存储数据。
日志功能:在NTFS文件系统中,任何操作都可以被看成是一个“事件”。事件日志一直监督着整个操作,当它在目标地,发现了完整文件,就会标记“已完成”。假如复制中途断电,事件日志中就不会记录“已完成”,NTFS可以在来电后重新完成刚才的事件。
数据修复:
对于数据的恢复,可以根据不同的删除原理进行数据的恢复:
1、文件删除后的恢复
根据分析可知,NTFS文件系统中,在文件被彻底删除之后,系统会将此文件记录中的状态字节由文件使用标志“01”变为文件删除标志“00”,而其文件名称、文件的大小以及Run List等重要属性都不会发生变化,而且数据区中的内容也不会发生变化,因此可以将文件数据恢复。但是,如果该文件不是使用连续的簇号来存储文件数据,或者文件的数据区已被新的数据所占用,即原数据区被覆盖,那么,文件就很难被恢复出来。如果数据是使用连续的簇号存储,且数据区中的数据没有被新数据覆盖,那么,就可以使用WinHex等常用恢复软件进行恢复。只需要选择数据区的全部内容并进行复制,然后将该文件的数据区中所有十六进制值保存为一个新文件,即可实现文件的恢复。
2、文件格式化后的恢复
文件的格式化其实是给分区重新建立文件系统,格式化后,分析分区的MFT文件可发现,文件的记录和内容也是完好存在的,其数据区也没有改变。所以,通过RunList就可以找到这些数据,并有可能将其恢复。但是,如果文件记录也被破坏,文件就很难再被恢复出来。
3、文件系统损坏的恢复
当某个分区的文件系统被破坏后,我们是无法打开此分区的,同时系统会提示我们分区没有格式化,需要重新格式化。此时,可以通过WinHex等软件打开分区的DBR扇区(扇区中的数据被全部清零),只要能够找到DBR备份就可以将数据恢复出来。跳转到硬盘的最后一个分区后,找到数据结束标志“55AA”,DBR的备份就存储在分区的最后一个扇区中,将此备份复制到DBR扇区后就可以打开分区了。
二、常用文件系统:文件存储的方法
1. FAT
FAT是文件配置表(英语:File Allocation Table,首字母缩略字:FAT),是一种由微软发明并拥有部分专利的文件系统,供MS-DOS使用,也是所有非NT核心的微软窗口使用的文件系统。
FAT文件系统考虑当时电脑性能有限,所以未被复杂化,因此几乎所有个人电脑的操作系统都支持。这特性使它成为理想的软盘和存储卡文件系统,也适合用作不同操作系统中的数据交流。现在,一般所讲的FAT专指FAT32。
但FAT有一个严重的缺点:当文件删除后写入新数据,FAT不会将文件整理成完整片段再写入,长期使用后会使文件数据变得逐渐分散,而减慢了读写速度。碎片整理是一种解决方法,但必须经常重组来保持FAT文件系统的效率。
2. NTFS
NTFS(New Technology File System)是Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式,提供长文件名、数据保护和恢复,能通过目录和文件许可实现安全性,并支持跨越分区。
3. EXT
EXT是延伸文件系统(英语:Extended file system,缩写为 ext或 ext1),也译为扩展文件系统,一种文件系统,于1992年4月发表,是为linux核心所做的第一个文件系统。采用Unix文件系统(UFS)的元数据结构,以克服MINIX文件系统性能不佳的问题。它是在linux上,第一个利用虚拟文件系统实现出的文件系统,在linux核心0.96c版中首次加入支持,最大可支持2GB的文件系统
主要包括三个大的文件:ext-all.css,ext-base.js,ext-all.js(包括所有的类库,您可以根据需要进行删减。官方网站提供这一接口),在引用ext类库的时候,这三个文件必不可少。
三、特点
1、安全性——不同用户访问自己拥有权限的文件,无权限不能访问。
NTFS文件系统能够轻松指定用户访问某一文件或目录、操作的权限大小。NTFS能用一个随机产生的**把一个文件加密,只有文件的所有者和管理员掌握解密的**,其他人即使能够登录到系统中,也没有办法读取它。NTFS采用用户授权来操作文件,事实上这是网络操作系统的基本要求有给定权限的用户才能访问指定的文件。NTFS还支持加密文件系统(EFS)以阻止未授权的用户访问文件。
2、容错性
NTFS使用了一种被称为事务登录的技术跟踪对磁盘的修改。因此,NTFS可以在几秒钟内恢复错误。
3、稳定性
NTFS文件系统的文件不易受到病毒和系统崩溃的侵袭。这种抗干扰能力直接源自于Windows NT操作系统的高度安全性能,NTFS文件系统只能被WindowsNT以及以NT为内核的Windows 2000/XP系统所识别。即使FAT和NTFS两种文件系统在一个磁盘中并存时,NTFS采用与FAT不同的方法来定位文件映像,克服了FAT文件系统存在许多闲置扇区空间的缺点。
4、向下的可兼容性
NTFS文件系统可以存取FAT文件系统和HPFS文件系统的数据,如果文件被写入可移动磁盘(特别是软盘)时,它将自动采用FAT文件系统。
5、可靠性
NTFS把重要交易作为一个完整交易来处理,只有整个交易完成之后才算完成,这样可以避免数据丢失。如向NTFS分区中写文件时,会在内存中保留文件的一份拷贝,然后检查向磁盘中所写的文件是否与内存中的一致。如果两者不一致,操作系统就把相应的扇区标为坏扇区而不再使用它(簇重映射),然后用内存中保留的文件拷贝重新向磁盘上写文件。如果在读文件时出现错误,NTFS则返回一个读错误信息,并告知相应的应用程序数据已经丢失。
6、大容量
NTFS彻底解决存储容量限制,最大可支持16Exabytes(1018)。(1024:1K,1024K=1M,1024M=1G,1024G=1T,1MT=1E)。NTFS的簇大小一般从512字节到4KB。
7、长文件名
NTFS允许长达255个字符的文件名,突破FAT的8.3标准限制(FAT规定主文件名为8个字符扩展名为3个字符)。NTFS文件系统的最大缺点就是它只能被WindowsNT/2000/XP、Linux所识别。虽然NTFS文件系统可以存取FAT文件系统的文件,但它的文件却不能被FAT文件系统所存取,当系统崩溃时我们只有用软盘、光盘或优盘启动,启动后他们用的FAT或FAT32文件系统是是无法访问NTFS文件系统的给数据抢救带来不便。
四、权限修改
1. 权限控制
2. 权限累加
用户对文件的权限范围不仅是设置好的权限,还包括用户所在组所拥有的权限。
备注:累加仅累加“允许”的权限。
3. 强制继承
4. 复制的文档,其权限都将(跨分区、同分区)继承于新的父文件。
5. 移动的文档,如果移动的分区不变,则文档的权限不会发生变化。跨分区移动文档,文档的权限将会继承于新的父文件。
6.隐藏共享
|
端口号 |
说明 |
攻击策略 |
应对策略 |
|
445 |
server服务(可控制文件共享) |
1.windows在开启共享文件夹时,会默认开启C盘、D盘等各盘和IPC$的隐藏共享,其中访问各盘各自的隐藏共享文件夹,可以完全控制各盘,访问IPC$,可以控制对方全部的文件(包括各盘下的文件)。 |
1.关闭server服务、删除被列举出来的共享、关闭隐藏共享、禁止访问445端口等。 |