اين مقاله رو به درخواست دوست عزيزم REZA08 در اين تاپيك قرار دادم.
-------------------------------------------
-------------------------------------------
منبع: سايت رسمي "دكتر حسين ميرزايي"
نسل جدید فایل سیستم ویندوز یعنی NTFS برای از بین بردن مشكلات امنیتی سیستمهای قبلی، همراه با ویندوز NT عرضه شد. با وجود NTFS، سازوكار امنیتی فایلها، دایركتوریها و ویندوز، مستقل شدهاست و این امر انعطافپذیری زیادی را هنگام برپا كردن یك شبكه به ارمغان میآورد. مایكروسافت پیشنهاد میكند كه تمام به اشتراكگذاریهای تحت شبكه با استفاده از سیستم فایل NTFS اجرا شود. در این مقاله به دو موضوع پرداخته شده است: ابتدا مقایسه فایل سیستمهای FAT و NTFS و پس از آن، یك بررسی شخصی از دید نویسنده، در مورد NTFS را میخوانید.
نسل جدید سیستم فایل
خانواده سیستم فایلFAT كه شامل FAT 12 ،FAT 16 و FAT 32 میشود، سیستم فایلی است كه در اوایل دهه هشتاد میلادی، سیستمعاملهای مایكروسافت براساس آن ساخته میشدند. بهطور كلی، این نوع سیستمفایلی به اندازه كافی برای مدیریت فایلها و حتی پیسیها، بهویژه آنهایی كه برای مقاصد خاص استفاده نمیشدند، قدرتمند بود. برای كامپیوترهای خانگی و كامپیوترهایی كه در مشاغل كوچ استفادهمیشدند،FAT به اندازه كافی خوب بود. اما هنگامی كه امنیت و قابلیت اطمینان بالا اهمیت پیدا میكرد،FAT حرفی برای گفتن نداشت.
به هرحال با وجود آنكه FAT در بسیاری از موارد قابل قبول بود، خیلی قدیمی، محدود و سیستم فایلی سادهای بود. این فایل سیستم برای كاربران پیشرفته، بهویژه سرورها و ایستگاههای كاری در محیط شبكه شركتهای بسیاربزرگ، از امنیت قابلیت و اطمینان بالا برخوردار نبود. به همین دلایل مایكروسافت نسل جدیدی از سیستمهای فایلی، موسوم به New Technology File System) NTFS) را ایجاد كرد. در واقع بزرگترین ایراد این سیستمعاملها تا آن زمان آن بود كه براساس FAT ساخته شده بودند. FAT كمترین امكانات را برای مدیریت و ذخیرهسازی دادهها در محیط شبكه در اختیار داشت. برای جلوگیری از زمینگیر شدن ویندوز NT، مایكروسافت نیاز به ایجاد سیستم فایلی جدیدی داشت كه براساس FAT نباشد. نتیجه آن ایجاد NTFS بود. NTFS برای برآوردن اهداف خاصی طراحی شده بود كه برخی از آنها عبارتند از:
● قابلیت اطمینان: یكی از شاخصهای مهم یك سیستم فایل مهم و جدی، قابلیت بازیابی بدون از دست دادن آن است. NTFS دارای امكانات خاصی است كه قابلیت نقل و انتقال به صورت یكپارچه را دارد. این ویژگی برای جلوگیری از نابودی اطلاعات و قابلیت تحمل خطا بسیار مهم است.
● امنیت و كنترل دسترسی: یكی از بزرگترین مشكلات FAT آن بود كه هیچگونه ابزار توكاری برای كنترل دسترسی به فایلها و فولدرها روی دیسك سخت را دارا نبود. بدون این نوع كنترل، نصب برنامهها و شبكه كه نیاز به امنیت و امكان مدیریت دسترسی به فایلها، خواندن و نوشتن دادهها داشت، تقریباً غیرممكن بود.
● استفاده از هارددیسكهای با حجم بیشتر: در اوایل دهه نود میلادی،FAT فقط محدود به FAT 16 بود كه امكان ایجاد پارتیشنهایی با حداكثر اندازه چهارگیگابایت را داشت. با وجود رشد روزافزون حجم دیسكهای سخت و همچنین استفاده رو به رشد RAID ،NTFS برای استفاده از پارتیشنهای بسیار بزرگ طراحی شد.
● امكانات ذخیرهسازی: هنگامی كه NTFS در حال توسعه بود، اغلب پیسیها در آن زمان از FAT 16 استفادهمیكردند كه موجب از دست رفتن قسمت قابل توجهی از فضای دیسك میشد. NTFS با تغییر روش اختصاصدادن فضا به فایل، از بروز این مشكل جلوگیری كرد.
● شبكه سازی: بهرغم آنكه برخی از امكانات NT كه امكان شبكهسازی را فراهم میكند مربوط به فایل سیستم نبود، برخی از مهمترین امكانات شبكهسازی براساس NTFS بود. هنگامی كه ویندوز NT در حال توسعه بود، دنیای كسبوكار به تازگی اهمیت شبكهسازی را درك میكرد، و ویندوز NT امكانات فراوانی برای امكان شبكهسازی در سطح وسیع را فراهم میكرد
خانواده سیستم فایلFAT كه شامل FAT 12 ،FAT 16 و FAT 32 میشود، سیستم فایلی است كه در اوایل دهه هشتاد میلادی، سیستمعاملهای مایكروسافت براساس آن ساخته میشدند. بهطور كلی، این نوع سیستمفایلی به اندازه كافی برای مدیریت فایلها و حتی پیسیها، بهویژه آنهایی كه برای مقاصد خاص استفاده نمیشدند، قدرتمند بود. برای كامپیوترهای خانگی و كامپیوترهایی كه در مشاغل كوچ استفادهمیشدند،FAT به اندازه كافی خوب بود. اما هنگامی كه امنیت و قابلیت اطمینان بالا اهمیت پیدا میكرد،FAT حرفی برای گفتن نداشت.
به هرحال با وجود آنكه FAT در بسیاری از موارد قابل قبول بود، خیلی قدیمی، محدود و سیستم فایلی سادهای بود. این فایل سیستم برای كاربران پیشرفته، بهویژه سرورها و ایستگاههای كاری در محیط شبكه شركتهای بسیاربزرگ، از امنیت قابلیت و اطمینان بالا برخوردار نبود. به همین دلایل مایكروسافت نسل جدیدی از سیستمهای فایلی، موسوم به New Technology File System) NTFS) را ایجاد كرد. در واقع بزرگترین ایراد این سیستمعاملها تا آن زمان آن بود كه براساس FAT ساخته شده بودند. FAT كمترین امكانات را برای مدیریت و ذخیرهسازی دادهها در محیط شبكه در اختیار داشت. برای جلوگیری از زمینگیر شدن ویندوز NT، مایكروسافت نیاز به ایجاد سیستم فایلی جدیدی داشت كه براساس FAT نباشد. نتیجه آن ایجاد NTFS بود. NTFS برای برآوردن اهداف خاصی طراحی شده بود كه برخی از آنها عبارتند از:
● قابلیت اطمینان: یكی از شاخصهای مهم یك سیستم فایل مهم و جدی، قابلیت بازیابی بدون از دست دادن آن است. NTFS دارای امكانات خاصی است كه قابلیت نقل و انتقال به صورت یكپارچه را دارد. این ویژگی برای جلوگیری از نابودی اطلاعات و قابلیت تحمل خطا بسیار مهم است.
● امنیت و كنترل دسترسی: یكی از بزرگترین مشكلات FAT آن بود كه هیچگونه ابزار توكاری برای كنترل دسترسی به فایلها و فولدرها روی دیسك سخت را دارا نبود. بدون این نوع كنترل، نصب برنامهها و شبكه كه نیاز به امنیت و امكان مدیریت دسترسی به فایلها، خواندن و نوشتن دادهها داشت، تقریباً غیرممكن بود.
● استفاده از هارددیسكهای با حجم بیشتر: در اوایل دهه نود میلادی،FAT فقط محدود به FAT 16 بود كه امكان ایجاد پارتیشنهایی با حداكثر اندازه چهارگیگابایت را داشت. با وجود رشد روزافزون حجم دیسكهای سخت و همچنین استفاده رو به رشد RAID ،NTFS برای استفاده از پارتیشنهای بسیار بزرگ طراحی شد.
● امكانات ذخیرهسازی: هنگامی كه NTFS در حال توسعه بود، اغلب پیسیها در آن زمان از FAT 16 استفادهمیكردند كه موجب از دست رفتن قسمت قابل توجهی از فضای دیسك میشد. NTFS با تغییر روش اختصاصدادن فضا به فایل، از بروز این مشكل جلوگیری كرد.
● شبكه سازی: بهرغم آنكه برخی از امكانات NT كه امكان شبكهسازی را فراهم میكند مربوط به فایل سیستم نبود، برخی از مهمترین امكانات شبكهسازی براساس NTFS بود. هنگامی كه ویندوز NT در حال توسعه بود، دنیای كسبوكار به تازگی اهمیت شبكهسازی را درك میكرد، و ویندوز NT امكانات فراوانی برای امكان شبكهسازی در سطح وسیع را فراهم میكرد
نام فایلهای طولانیتر: NTFS اجازه ایجاد نام فایلهای طولانی تا 255 كاراكتر را میدهد واین مسئله در مقابل 3+8 كاراكتر محدود FAT، بسیار خوب بود. البته علاوه بر نكات مثبت بالا، NTFS كاستیهایی نیز داشت. این مشكلات كه در حال از بین رفتن هستند، شامل مشكلات فایل سیستم، اضافهكردن پشتیبانی از سختافزار جدید و اضافه كردن قابلیتهای جدید سیستمعامل میشود
بزرگترین تغییر در NTFS همراه با معرفی ویندوز 2000 ایجاد شد. این تغییرات مهمترین امكانات سیستمعامل را شامل میشد. دو نسخهای كه در پیسیها استفاده میشود. NTFS 1.1 معروف به NTFS 4.0 (به دلیل آنكه بهطور وسیعی در ویندوز NT 4.0 استفاده میشد) و نسخه جدیدتر آن، NTFS 5.0 است كه جزء یكپارچهای از ویندوز 2000 است.
مفاهیم عمومی امنیت در NTFS
امنیت تحت ویندوز NT و 2000،به طور عمومی یكی از مهمترین ویژگیهای این سیستمهای عامل است. امنیت كه شامل كنترل دسترسی به سیستم و منابع مختلف آن میشود، موضوعی است كه توجه بسیار زیادی را در ویندوزهای NT و 2000 به خود معطوف نموده است. مدیریت مقولههای امنیتی برای مثال، حساب كاربران و گروهها، بخش اعظمی از فعالیتهای یك مدیر شبكه تحت ویندوزهای NT و 2000 را تشكیل میدهد. امنیت در NTFS حول مفهوم كلیدی اختصاص مجوز به كاربران خاص یا گروهی از كاربران خاص میگردد.
مثلاً یك شبكه تحت ویندوز NT یا 2000 را در نظر بگیرید كه از سرورها و كلاینتهای مختلفی تشكیل شده است. هر كاربری كه پشت یكی از كلاینتها بنشیند، بهراحتی میتواند به سرورها متصل شود. اما برای دسترسی به منابع مختلف آن، حتماً لازم است كه به سرور Login كند. این مسئله برای شخصی كه مستقیماً از سرور استفاده میكند نیز صادق است. با توجه به اینكه اگر سرور به درستی تنظیم شده باشد، مدیر شبكه برای هر كسی كه میخواهد از شبكه استفاده كند حساب كاربری ویژهای را ایجاد میكند.
هر شخصی كه در شبكه حسابی نداشته باشد، میتواند از حساب مهمان (guest) استفاده كند. اما در این حساب اجازههای دسترسی به دلایل واضحی بسیار است. اگر كسی حتی رمزعبور حساب مهمان را نداشتهباشد، نمیتواند هیچ كاری روی سرور انجام دهد. كنترلهای دسترسی برای فایلها و دایركتوریها براساس همین حسابهای كاربری و گروهها اجرا میشود.
ویژگی دیگر امنیت NTFS، موضوع مجوزها است. برای مثال شركتی را تصور كنید كه دارای بیست كارمند و یك سرور است. روی سرور درایوی به نام D: وجود دارد كه اطلاعات محرمانه بودجه دارد كه باید فقط مدیرعامل و معاون او از آنها اطلاع داشته باشند و دیگر كاركنان شركت اجازه دسترسی به آن را نداشته باشند. تحت NTFS برپا كردن چنین مجوزهایی بسیار ساده است. فقط كافی است اجازه دسترسی را به گروه مربوط به آن بدهید. این كار موجب عدم دسترسی سایر كاركنان و افراد به فایلها میشود.
مجوزها
یكی از مهمترین منافع انتخاب سیستمفایلی NTFS آن است كه با انتخاب آن نظارت دقیقی بر عملكرد فایلها امكانپذیر است. FAT در دوره پیسیهای تك كاربره به وجود آمد. به همین دلیل هیچگونه امنیت و مدیریت دسترسی توكاری را شامل نمیشود. NTFS محیط امنی را فراهم مینماید و نظارت انعطافپذیری برای چگونگی دسترسی و كاربری كه میخواهد به منابع موردنظر دسترسی داشته باشد، ارائه میكند. امنیت و مجوزهای NTFS، به ویژگیهای سیستمعامل یكپارچه شده است.
در اینجا از توضیح كامل دامنههای ویندوز 2000 و NT، سرویسهای دایركتوری، گروهها و مراحل Login و نظایر آن خودداری میكنیم و این مسئله را به زمان دیگری موكول مینماییم.
مفاهیم عمومی امنیت در NTFS
امنیت تحت ویندوز NT و 2000،به طور عمومی یكی از مهمترین ویژگیهای این سیستمهای عامل است. امنیت كه شامل كنترل دسترسی به سیستم و منابع مختلف آن میشود، موضوعی است كه توجه بسیار زیادی را در ویندوزهای NT و 2000 به خود معطوف نموده است. مدیریت مقولههای امنیتی برای مثال، حساب كاربران و گروهها، بخش اعظمی از فعالیتهای یك مدیر شبكه تحت ویندوزهای NT و 2000 را تشكیل میدهد. امنیت در NTFS حول مفهوم كلیدی اختصاص مجوز به كاربران خاص یا گروهی از كاربران خاص میگردد.
مثلاً یك شبكه تحت ویندوز NT یا 2000 را در نظر بگیرید كه از سرورها و كلاینتهای مختلفی تشكیل شده است. هر كاربری كه پشت یكی از كلاینتها بنشیند، بهراحتی میتواند به سرورها متصل شود. اما برای دسترسی به منابع مختلف آن، حتماً لازم است كه به سرور Login كند. این مسئله برای شخصی كه مستقیماً از سرور استفاده میكند نیز صادق است. با توجه به اینكه اگر سرور به درستی تنظیم شده باشد، مدیر شبكه برای هر كسی كه میخواهد از شبكه استفاده كند حساب كاربری ویژهای را ایجاد میكند.
هر شخصی كه در شبكه حسابی نداشته باشد، میتواند از حساب مهمان (guest) استفاده كند. اما در این حساب اجازههای دسترسی به دلایل واضحی بسیار است. اگر كسی حتی رمزعبور حساب مهمان را نداشتهباشد، نمیتواند هیچ كاری روی سرور انجام دهد. كنترلهای دسترسی برای فایلها و دایركتوریها براساس همین حسابهای كاربری و گروهها اجرا میشود.
ویژگی دیگر امنیت NTFS، موضوع مجوزها است. برای مثال شركتی را تصور كنید كه دارای بیست كارمند و یك سرور است. روی سرور درایوی به نام D: وجود دارد كه اطلاعات محرمانه بودجه دارد كه باید فقط مدیرعامل و معاون او از آنها اطلاع داشته باشند و دیگر كاركنان شركت اجازه دسترسی به آن را نداشته باشند. تحت NTFS برپا كردن چنین مجوزهایی بسیار ساده است. فقط كافی است اجازه دسترسی را به گروه مربوط به آن بدهید. این كار موجب عدم دسترسی سایر كاركنان و افراد به فایلها میشود.
مجوزها
یكی از مهمترین منافع انتخاب سیستمفایلی NTFS آن است كه با انتخاب آن نظارت دقیقی بر عملكرد فایلها امكانپذیر است. FAT در دوره پیسیهای تك كاربره به وجود آمد. به همین دلیل هیچگونه امنیت و مدیریت دسترسی توكاری را شامل نمیشود. NTFS محیط امنی را فراهم مینماید و نظارت انعطافپذیری برای چگونگی دسترسی و كاربری كه میخواهد به منابع موردنظر دسترسی داشته باشد، ارائه میكند. امنیت و مجوزهای NTFS، به ویژگیهای سیستمعامل یكپارچه شده است.
در اینجا از توضیح كامل دامنههای ویندوز 2000 و NT، سرویسهای دایركتوری، گروهها و مراحل Login و نظایر آن خودداری میكنیم و این مسئله را به زمان دیگری موكول مینماییم.
در ویندوز 2000، سیزده كامپوننت مختلف مجوز وجود دارد كه تحت شش گروه استاندارد مختلف طبقهبندی شدهاند. List Folder Contents و ReadِExewte مجوز یكسانی دارند كه تا حدودی گیجكننده است. تفاوت میان آنها از نحوه توارث NTFS نشأت میگیرد. List Folder Contents فقط برای فولدرها استفاده میشود و فایلهای داخل آن فولدر از آن تأثیر میپذیرند. ReadِExewte هم برای فایلها و هم برای فولدرها استفاده شده و هر دو آنها از آن تأثیر میپذیرند. شاید به این نكته توجه كرده باشید كه گروه NoAccess در ویندوز 2000 حذف شده است. در ویندوز NT تمام گروهها به جز No Access دسترسی مثبت را فراهم میكند. یعنی شما اجازه دسترسی ندارید. NoAccess تنها گروهی است كه میگوید: اجازه دسترسی دارید. در واقع میگوید شما نمیتوانید هیچ كاری انجام دهید. این عدم انعطافپذیری با قابلیت اجازه دادن یا ندادن به صورت گروههای مجوز یا مجوزهای مجزا، در ویندوز 2000 تصحیح شده است.
آخرین ویرایش توسط مدیر: