اشاره
نسل جدید فایل سیستم ویندوز یعنی NTFS برای از بین بردن مشکلات امنیتی سیستم های قبلی همراه با ویندوز NTعرضه شده.با وجود NTFS سازوکار امنیتی فایلها,دایرکتری و ویندوز مستقل شده است و این امر انعطاف پذیری زیادی را هنگام برپا کردن یک شبکه به ارمغان می آورد.مایکروسافت پیشنهاد می کند که تمام به اشتراک گذاری های تحت شبکه با استفاده از سیستم فایل NTFS اجرا شود در این مقاله به دو موضوع پرداخته شده است :ابتدا مقایسه فایل سیستمهای FAT وNTFS و پس از آن یک بررسی شخصی از دید نویسنده در مورد NTFS را می خوانیم
نسل جدید سیستم فایل
خانواده سیستم فایل FAT که شامل 12FATوFAT 16وFAT32 می شود , سیستم فایلی است که در اوایل دهه 80 میلادی سیستم عاملهای مایکروسافت براساس آن ساخته می شوند به طور کلی این نوع سیستم فایلی به اندازه کافی برای مدیریت فایلها و حتی PC ها به ویژه آنهای که برای مقاصد خواص استفاده نمی شود قدرتمند بود برای کامپیوترهای خانوادگی و کامپیوترهای که در مشاغل کوچک استفاده می شدن FAT به اندازه کافی خوب بود اما هنگامی که امنیت و قابلیت اطمینان بالا اهمیت پیدا می کرد FATحرفی برای گفتن نداشت
به هر حال با وجود آنکه FAT در بسیاری از موارد فابل قبول بود خیلی قدیمی محدود و سیستم فایلی ساده ای بود .این فایل سیسنم برای کاربران پیشرفته به ویژه سرورها و ایستگاههای کاری در محیط شبکه شرکت های بسیار بزرگ از امنیت قابلیت و اطمینان بالا برخوردار نبود.به همین دلایل مایکروسافت نسل جدیدی از سیستمهای فایلی ,موسوم به NEW TECHNOLOGY FILE
NTFS ) SYSTEM) را ایجاد کرد در واقع بزرگترین ایراد این سیستم عاملها تا آن زمان آن بود که بر اساس FAT ساخته شده بودند.FATمایکروسافت نیاز به ایجاد سیستم فایلی جدیدی داشت که براساس FATنباشد.نیجه آن ایجادNTFS بود.NTFS برای براورد شدن اهداف خاصی طراحی شده بود که برخی از آنها عبارتند از :
قابلیت اطمینان :یکی از شاخه های مهم یک سیستم فایل مهم و جدی , قابلیت بازیابی بدون از دست دادن آن استNTFS دارای امکانات خاصی است که قابلیت نقل و انتقال به صورت یکپارچه را دارد .این ویژگی برای جلوگیری از نابودی اطلاعات و قابلیت تحمل خطا بسیار مهم است .
امنیت و کنترل دسترسی:یکی از بزرگترین مشکلاتFAT آن بود که هیچگونه ابزار تو کاری برای کنترل دسترسی به فایل ها و فولدر ها روی دیسک سخت دارا نبود بدون این نوع کنترل ,نصب برنامه و شبکه که نیاز و امکان مدیریت دسترسی به فایلها خواندن و نوشتن داده ها داشت تقریبا غیر ممکن بود.
استفاده از هارد دیسک ها با حجم بیشتر :در اوایل دهه اول میلادی FAT فقط محدود به 16FAT بود که امکان ایجاد پارتیشنهایی با حداکثر اندازه 4 گیگابایت را داشته با وجود رشد روز افزون حجم دیسکها سخت و همچنین استفاده رو به رشد, RAID ,NTFS برای استفاده از پارتیشنهای بسیار بزرگ طراحی شده.
امکانات ذخیره سازی:هنگامی که NTFS در حال توسعه بود اغلب PC ها در آن زمان لز 16FAT استفاده می کردند که موجب از دست رفت قسمت قابل توجه ای از فضای دیسک می شد NTFS با تغییر روش اختصاص داده فضا به فایل از بروز این مشکلات جلوگیری کرد.
شبکه سازی:به رغم آنکه برخی از امکانات NT که امکان شبکه سازی را فراهم میکند مر بوط به فایل سیستم نبود,برخی از مهمترین امکانات شبکه سازی براساس NTFS بود.هنگامی که ویندوز NT در حال توسعه بود ,دنیای کسب و کار به تازگی اهمیت شبکه سازی را درک می کرد و ویندوزNT امکانات فراوانی برای امکان شبکه سازی در سطح وسیع را فراهم می کرد.
مفاهیم عمومی امنیت در ntfs
امنیت تحت ویندوز nt و 2000 ،به طور عمومی یکی از مهمترین ویژگی های این سیستم عامل است . امنیت که شامل کنترل دسترسی به سیستم و منابع مختلف آن می شود ، موضوعی است که توجه بسیار زیادی را در ویندوز های nt و 2000 به خود معطوف نموده است . مدیریت معقوله های امنیتی برای مثال حساب کاربران و گروه ها بخش اعظیمی از فعالیتهای یک مدیر شبکه تحت ویندوز های nt و 2000 را تشکیل می دهد . امنیت در ntfs حول مفهوم کلیدی اختصاص مجوز کاربران خاص یا گروهی از کاربران خاص می گردد.
مثلا یک شبکه تحت ویندوز nt یا 2000 را در نظر بگیرید که از سرور ها و کلاینت های مختلفی تشکیل شده است . هر کاربری که پشت یکی از کلاینت ها بنشیند به راحتی می تواند به سرور ها متصل شود . اما برای دسترسی به منابع مختلف آن حتما لازم است که به سرور login کند . این مسئله برای شخصی که مستقیما از سرور استفاده می کند نیز صادق است . با توجه به این که اگر سرور به درستی تنظیم شده باشد مدیر شبکه برای هر کسی که می خواهد از شبه استفاده کند حساب کاربری ویژه ای را ایجاد می نماید .
هر شخصی که در شبکه حسابی نوشته باشد می تواند از حساب مهمان (guest) استفاده کند . اما در این حساب اجازه های دسترسی به دلایل واضحی بسیار است . اگر کسی حتی رمز عبور حساب مهمان را نداشته باشد . نمی تواند هیچ کاری روی سرور انجام دهد . کنترل های دسترسیبرای فایل ها دایرکتوری ها بر اساس همین حسابهای کاربری و گروه ها اجرا می شود .
ویژگی های دیگرامنیت ntfs موضوع مجوز ها است . برای مثال شرکتی را تصور کنید که دارای بیست کارمند در یک سرور است . روی سرور درایوی به نام D : وجود دارد . که اطلاعات محرمانه بودجه دارد که باید فقط مدیر عامل و معاون او از آنها اطلاع داشته باشد و دیگر کارکنان شرکت اجازه دسترسی به آن را نداشته باشد . تحت NTFS برپا کردن چنین مجوزهایی بسیار ساده است . فقط کافی است اجازه دسترسی را به گروه مربوطه به آن بدهید . این کار موجب عدم دسترسی سایر کارکنان و افراد به فایلها میشود .
مجوزها
یکی از مهمترین منافع انتخاب سیستم فایلی NTFS آن است که با انتخاب آن نظارت دقیقی در عملکرد فایلها امکان پذیر است . FAT در دوره پی سی های تک کاربره به وجود آمد . به همین دلیل هیچ گونه امنیت و مدیریت دسترسی توکاری شامل نمی شود . NTFS محیط امنی را فراهم می نماید و نظارت انعطاف پذیری برای چگونگی دسترسی و کاربری که می خواهد به منابع مورد نظر دسترسی داشته باشد ارائه می کند . امنیت و مجوز های NTFS به ویژگی های سیستم عامل یک پارچه شده است .
در اینجا از توضیح کامل دامنه های ویندوز 2000 و NT سرورهای دایرکتوری گروه ها و مراحل LOGIN و نظایر آن خود داری می کنیم و این مسئله را به زمان دیگری موکول می نماید . (جدول های 1و2 )
همچنان که مشاهده می کنید از جدول 1و2 دسته ای از گروه های دسترسی که به طور استاندارد در ویندوز NT و 2000 وجود دارد . فراهم شده است . ویندوز NT شش اجازه دسترسی به فایلها و فولدرهای مجزا را فراهم کرده است . ویندوز 2000 پا را از این همه فراتر نهاد و حدود دوازده مجوز مختلف را در بر می گیرد .
در ویندوز 2000 سیزده کامپونت مختلف مجوز وجود دارد که تحت شش گروه استاندارد مختلف طبقه بندی شده است EXEWTEREADو CONTENT LISTFOILDR
در این مقاله نمی خواهیم جزئیات اعطای مجوزها را شرح دهیم،با این حا ل لازم است به این نکته اشاره کنیم که مجوزهادر
ویندوز NT و 2000به طور متفاوتی عمل می کنند. در ویندوز NTفقط یک نوع اعطای مجوز امکانپذیر است . به طور
عمومی شما می توانید اجازه دهید که کاربری کاری را انجام دهد . برای مثال می توانید اجازه دهید که کاربری مجوزهای یک
فولدررا ببیند . با اعطا نکردن مجوز نوشتن ، سیستم از نوشتن هر گونه فایلی در داخل فولدر جلوگیری می کند . اما به هر حال
هیچ گونه مجوز واضحی بدین مفهوم که "هیچ مجوز نوشتنی برای کاربر خاصی " وجود ندارد . تفاوت بسیار مهم است . زیرا
این کار تاثیر بسیاری بر فرم سلسله مراتبی فولدر ها دارد. تنها راه جلوگیری از دسترسی به یک چیز درویندوز NT،اعطای
مجوز Acces No است . ویندوز2000 پیشرفت فراوانی در مورد اعطای مجوزهای NTFS، به وسیله واضح نمودن
تنظیمات برای هر مجوز نموده است .
توارث مجوزها
قبل از ویندوز 2000، با توارث مجوز ایستا روبه رو بودیم . اما پس از آن توارث مجوزها به دو بخش تقسیم شد: توارث مجوز
ایستا و پویا . ولی سئوال این است که واقعا توارث مجوز چیست ؟ وقتی که شما از ویندوز NTاستفاده می کردید و فولدری را
در درون فولدر دیگری ایجاد می کردید ، شی جدید دسته ای از مجوزهای پیش فرض را با توجه به فولدر والد آن شی برای آن
کپی می کرد . به این عمل توارث مجوز گفته می شود، یا در برخی مواقع "انتقال مجوز" نیز گفته می شود.
درمورد مدل توارثی ویندوز NTاین عمل فقط یک بار اتفاق می افتد ؛ یعنی هنگامی که شی ایجاد می شود . به همین دلیل ،به
توارث ویندوز همگرا در ویندوز NT توارث مجوز ایستا نیز گفته می شود . این عبارت در مقابل توارث پویا در ویندوز 2000
به کار می رود.توارث ایستا دشواریهای فراوانی را برای مدیران شبکه هایی که نیاز به مدیریت ساختار عظیم دایرکتوری دارند
به وجود می آورد.ساختار درختی بزرگی از فولدر ها را تصور کنید .در توارث ایستا ، پس از ایجاد یک زیر فولدر جدید
،مجوزهای آن دیگر از شی والد آن به ارث نمی رسد. مشکلات هنگامی به وجود می آید که از گروه مجوز Full Control
استفاده شود.
این بدان معناست که کاربران آزادانه می توانند با این مجوز در قسمتهای مختلف ساختاردرختی حرکت کنند. بعلاوه ،توارث
ایستا افزودن یک مجوز جدید به ساختار موجود را بسیار سخت می کند. فرض کنید که یک گروه کاربری جدید را ایجاد می کنید
و می خواهید هر کسی در آن گروه به دایرکتوری های موجود دسترسی داشته باشد . این کار را چگونه انجام می دهید؟
برای رفع این مشکلات ،ویندوز NT ویژگی خاصی را در هنگام اعطای مجوزها ارائه کرده است. اگر شما گزینه های
Replace Permissions On Subdirectories و Files Replace Permissions On euistin را هنگام تغییر مجوز
های یک فولدر انتخاب کنید ،ویندوز NT تمام مجوزهای شی های فرزند را برای همسانی با شی والد تغیییر می دهد . بنابراین
اگر شما یک گروه کاربری جدید را اضافه کنید و بخواهید اجازه دسترسی به ساختار کنونی به آن بدهید ، می توانید از این
امکانات استفاده کنید تا ویندوز NT را وادار به انتقال مجوزهای جدید به پائین ساختار درختی نمائید . با این کار امکان دسترسی
گروه کاربری جدید به هر فایل و فولدری را می دهید .
همان طور که پیش تر گفته شد،روش توارث مجوز ایستا که در ویندوز NT مورد استفاده قرار می گیرد ، برخی مشکلات
مربوط به مدیریت ساختارهای دایرکتوری بزرگ را از بین می برد. اما دارای نقاط ضعف مهمی نیز هست . این نوع توارث
اجازه بومی کردن مجوزهای شاخه های دایرکتوری هم زمان با اعطای مجوزهای جدید به تمام ساختار موجود را به مدیر
شبکه نمی دهد . برای حل مشکلات موجود در توارث ایستا ، مایکروسافت توارث مجوز پویا را در ویندوز 2000 معرفی
نمود. در توارث مجوز پویا وقتی شما یک زیر فولدر یا فایل ها را در فولدرهای ویندوز 2000 می سازید ،شی فرزند مجوز
های والد را به ارث می برد. ولی متصل به والد باقی می ماند .
فراتر از آن ،مجوزهای والد به صورت جداگانه از هر گونه مجوز دیگری که به صورت دستی به شی فرزند اعطا شده است
،ذخیره می شود. مدل اتصالی پویا دو مشکل اساسی موجود در مدل اتصالی ایستا را حل کرد . اولا هر تغییری که در فولدر والد
به وجود آید ، به صورت خود کار به اشیائ فرزند به ارث می رسد . در ثانی هر تغییر که به شی فرزند به ارث می رسد ،
موجب خرابی این انتقال خودکار نمی گردد . تحت توارث پویا ،مدیر یک شبکه یا کاربر به راحتی می تواند درخت سلسه مراتبی
مجوز ها که با درخت سلسله مراتبی دایرکتوری ها همسان است مدیریت کند . هنگامی که هر شی فرزند از والد خود مجوزها را
به ارث می برد و شما یک سلسله مراتب متشکل از سه یا بیش از سه مرتبه از فولدرها را بر پا می کنید ، اشیائی که در عمق
این ساختار قرار دارند ، مجوز ها را از والد های خود به ارث می برند. به این ویژگی < بازگشت > گفته می شود.
پیگیری وقایع
بزرگترین بخش امنیت سیستم فایلی NTFS حول محورکنترل دسترسی به انواع مختلفی از اشیائ می گردد. یعنی مدیریت کارهایی که کاربران انجام می دهند و اطمینان از سطح دسترسی مناسب برای انواع فایل ها و فولدرها .
به هر حال پاره ای ویژگی های دیگر امنیت نیز وجود دارند که قابل توجه هستند مثلا ثبت اطلاعات گذشته. در بسیاری از مواقع برای یک مدیر شبکه بسیار مهم است که نه تنها به مدیریت شبکه و اتفاقات آن در حال حاضر بپردازد،بلکه از اطلاعات ثبت شده از چند روز گذشته نیز آگاه باشد . برای فراهم کردن این امکان برای مدیران شبکه ، NTFS از ویژگی ای به نام پیگیری وقایع(Lauditing) برخوردار است .
هنگامی که این ویژگی فعال باشد ،سیستم امکان پیگیری وقایع خاصی را دارد . وقتی هر یک از وقایع مورد نظر اتفاق افتاد ،سیستم یاد داشتی را در فایل خاصی به نام Log می نویسد که مدیر شبکه و افراد با مجوز های لازم می توانند آن را بخوانند . هر ورودی ، نوع واقعه، تاریخ و ساعت اتفاق و کاربردی که موجب به وقوع پیوستن آن اتفاق شده و اطلاعات مربوط به آن ثبت می شود . این ویژگی در ویندوز NT و 2000 تنها بخش گوچکی از ویژگی هایی است که در NTFS ارائه می شود . این ویژگی ها امکان پیگیری همه چیز از Login در سیستم تا استفاده از چاپگرها و حتی اشکالات سیستم را به مدیر شبکه می دهد. در NTFS وقایع قابل پیگیری به طور عمومی دسترسی به انواع مختلف اشیا و انواع مختلف مجوز ها را شامل می شود . این نوع پیگیری را برای انواع فایلها و فولدرها می توان انتخاب نمود . همچنین این امکان برای اشیائ مستقل و ساختار سلسله مراتبی فولدرها ،همان طور که برای مجوزها نیزامکان پذیر است ،قابل انتخاب است .
نوع مجوز نوع
موجودیت STANDARD
Permission
Group
Take
OWNERSHIP
(P) CHANGE
PERMISSION
(P) DELETE
(D) EXECUTE
(X) WRITE
(X) READ
(R)
فولدر یا فایل بدون دسترسی
√ √ فقط فولدر فهرست
√ √ فولدر یا فایل خواندن
√ √ فقط فولدر افزودن
√ √ √ فولدر یا فایل خواندن وافزودن
√ √ √ √ فولدریا فایل تغییر
√ √ √ √ √ √ دسترسی کامل
جدول1-مجوزهای استاندارد در ویندوزNT
• نام فایلهای طولانی تر:NTFSاجازه ایجادنام فایلهای طولانی تا 255کاراکتررا می دهدواین مسئله در مقابل 3+8کاراکتر محدود FAT بسیارخوب بود.البته علاوه بر نکات مثبت بالا،NTFSکاستی هایی نیز داشت. این مشکلات که در حال از بین رفتن هستند شامل مشکلات فایل سیستم ،اضافه کردن ازپشتیبانی از سخت افزارجدیدواضافه کردن قابلیت های جدید سیستم عامل می شود.
نوع مجوز انواع دسترسی
دسترسی
کامل تغییر خواندن و
اجرا فهرست کردن محتویات
فولدر نوشتن خواندن
√ √ √ √ تغییر فولدر/اجرای فایل
√ √ √ √ √ فهرست کردن
فولدرها/خواندن داده ها
√ √ √ √ √ خواندن مشخصه ها
√ √ √ √ √ خواندن مشخصه های
اضافی
√ √ √ ایجاد فایل/نوشتن داده
√ √ √ ایجاد فولدر/ضمیمه کردن
داده
√ √ √ نوشتن مشخصه ها
√ √ √ نوشتن مشخصه های اضافی
√ √ حذف فایل وفولدر
√ √ حذف
√ √ √ √ √ √ خواندن مجوز ها
√ تغییر مجوزها
√ تغییر درمالکیت داده ها
جدول شماره 2-گروه های استاندارد اجازه برای ویندوز2000
بزگترین تغییر در NTFSهمرا ه با معرفی ویندوز2000ایجاد شد.این تغییر مهمترین امکانات سیستم عامل را شامل می شد.دو نسخه ای که در پی سی ها استفاده می شود.NTFS1.1معروف به NTFS4.0(به دلیل آنکه به طور وسیعی در ویندوز NT4.0استفاده می شود) ونسخه جدید تر آن،NTFS5.0است که جزء یکپارچه ای از ویندوز2000است.
.