список контроля доступа, в котором перечислены разрешения доступа к файлу или папке для пользователей и групп;
системный список контроля доступа, в котором перечислено, какие действия (например, чтение, запись и т.п.) для каких пользователей и групп необходимо фиксировать в журнале аудита.
Это позволяет операционной системе:
обеспечивать разграничение доступа к таким объектам, как файлы и папки;
фиксировать действия, выполняемые пользователями над объектами.
Поскольку на томах FAT подобная информация не хранится, то защита файлов и папок на них не осуществляется.
Сжатие файлов и каталогов.
NTFS обеспечивает динамическое сжатие файлов и каталогов. В Windows XP / Windows 2003 компрессия возможна как для отдельных каталогов, так и файлов на диске. Сжатие является атрибутом файла или каталога и, подобно любому атрибуту, его можно снять или установить когда угодно. Сжатие возможно только на разделах, размер блока которых не превышает 4 096 байтов. Если каталог имеет атрибут сжатый (compressed), все файлы, копируемые в него, тоже получат этот атрибут. Быстродействие компьютера при использовании сжатых файлов не только не снижается, но наоборот, производительность вырастает до 50% в зависимости от типа хранимых данных. Такой результат достигается за счет повышения загрузки процессора в 3-5 раз. Однако, производительность заметно снижается на больших (более 4 Гб) разделах и на отказоустойчивых томах с RAID. Поэтому рекомендуется использовать функцию сжатия на небольших томах в компьютерах с быстрыми процессорами или в многопроцессорных системах.
Многопоточные файлы.
Предположим, вам необходимо иметь две версии текста контракта - одну на русском, а другую на языке, приемлемом для фирмы. Можно, конечно, создать несколько разных файлов и пересылать их повсюду вместе. Но таких документов может быть довольно много, и это не очень удобно. Гораздо удобнее использовать специальную версию текстового процессора, в меню которого надо просто указать желаемый язык документа, и он будет извлечен из одного общего файла.
Для реализации такой функциональности применяются именованные потоки NTFS. Когда вы создаете новый файл (например, текстовым редактором), данные по умолчанию заносятся в неименованный поток файла. Однако у того же файла могут быть и именованные потоки, которые записываются так:
файл.txt: первый поток файл.txt: второй поток файл.txt: третий поток
В каждый из этих потоков заносится своя информация. Именованные потоки используются только на NTFS. Если попытаться скопировать многопоточный файл на диск, отформатированный под FAT, то система Windows предупредит о потере данных в именованных потоках. Если файл копировать в командной строке, система не предупредит о потере потоков, но скопирован будет только неименованный поток.
Отслеживание связей.
Ярлыки играют важную роль организации доступа пользователя к программам и файлам данных операционных систем Windows. Однако наряду с бесспорными преимуществами они имеют и недостатки, одним из которых является нарушение связи между ярлыком и соответствующим ему ресурсом, если ресурс переносится в другое место или переименовывается.
В Windows XP / Windows 2003 работает служба отслеживания изменившихся связей (Distributed Link Tracking), позволившая приложениям находить ресурс, соответствующий данному ярлыку, и связи OLE даже в случае, если этот ресурс был переименован или перенесен в другое место дерева папок. Теперь, щелкнув на ярлыке рабочего стола, вы всегда сможете получить доступ к нужному ресурсу.
Каждая связь состоит из двух частей - клиента и источника. Например, если документ Word содержит связь OLE с электронной таблицей Excel, сам документ является клиентом связи, а электронная таблица - это источник связи.
Служба отслеживания восстанавливает разрушенную связь в случаях, если:
источник связи был переименован;
источник связи был перемещен с одного тома NTFS 5.0 на другой в пределах одного компьютера;
источник связи был перемешен с тома NTFS 5.0 одного компьютера на том NTFS 5.0 другого компьютера;
том NTFS 5.0 с источником связи был физически перемещен с одного компьютера на другой компьютер в пределах одного домена;
компьютер, на котором находится том NTFS 5.0 с источником связи, был переименован, но остался в том же домене;
изменилось имя общего ресурса, где находится файл-источник связи - Образовалась любая комбинация описанных выше случаев;
Служба отслеживания связей имеет следующие ограничения:
Отслеживаются только источники связей, находящиеся на томах NTFS 5.0. Если источник перемещен в другую файловую систему, попытки отследить изменившуюся связь будут предприняты, но вероятность успешного результата мала. Если источник опять будет перенесен в NTFS 5.0, связь будет восстановлена. Но это касается только клиентов связи, созданных до переноса источника на другую файловую систему.
На данный момент не поддерживаются компьютеры, не входящие в состав домена.
В текущей версии NTFS 5.0 во время работы службы отслеживания связей тома NTFS 5.0 не могут быть блокированы. Поэтому для них нельзя выполнить такие операции, как форматирование или запуск утилиты chkdsk /f. Выполнять подобные операции можно только после остановки работы службы отслеживания связей.
Квоты дискового пространства.
Если на компьютере работает несколько пользователей, то может возникнуть проблема учета дискового пространства, занятого их файлами. Поскольку дерево папок весьма разветвлено, визуальный контроль расходования пользователями дискового пространства отнимает у администратора много времени и усилий.
Проблема просто решается с помощью введения квот на дисковое пространство, доступное для работы каждому пользователю. Администратор может квотировать дисковое пространство по каждому тому и для каждого пользователя. (Нельзя задать квоту для подкаталога или для группы.)
Windows учитывает пространство, занимаемое файлами, владельцем которых является контролируемый пользователь: если пользователь владеет файлом, размер последнего добавляется к общей сумме занимаемого пользователем дискового пространства. Важно отметить, что, поскольку квотирование выполняется по каждому тому, не имеет значения, находятся ли тома на одном физическом диске или на различных устройствах.
После установки квот дискового пространства пользователь сможет хранить на томе ограниченный объем данных, в то время как на этом томе может оставаться свободное пространство. Если пользователь превышает выданную ему квоту, в журнал событий вносится соответствующая запись. Затем, в зависимости от конфигурации системы, пользователь либо сможет записать информацию на том (более мягкий режим), либо ему будет отказано в записи из-за отсутствия свободного пространства.
Устанавливать и просматривать квоты на диске можно только в разделе с NTFS 5.0 и при наличии необходимых полномочий (задаваемых с помощью локальных или доменных групповых политик) у пользователя, устанавливающего квоты.
Точки повторной обработки.
Точки повторной обработки (reparse points) позволяют выполнять при открытии папки или файла заранее созданный программный код. Точка повторной обработки представляет собой контролируемый системой атрибут, который может быть ассоциирован с папкой или файлом. Значение атрибута точки повторной обработки - это задаваемые пользователем данные, максимальный размер которых может достигать 16 Кбайт. Они представляют собой 32-разрядный ярлык (определяемый Microsoft), указывающий, какой фильтр файловой системы должен быть извещен о попытке получения доступа к данной папке или файлу. Фильтр выполняет заранее определенный код, предназначенный для управления процессом доступа. Поскольку размер данных атрибута точки повторной обработки может достигать 16 Кбайт, помимо ярлыка в атрибуте можно сохранить информацию, имеющую значение для соответствующего фильтра. Фильтр файловой системы может полностью изменить способ отображения данных файла. Поэтому фильтры устанавливаются только администраторами системы. Если по каким-либо причинам система не может найти фильтр, соответствующий определенному ярлыку повторной обработки, доступ к папке или файлу не будет предоставлен, однако они все же могут быть удалены.
Точки повторной обработки используются при создании соединений папок NTFS, позволяющих перенаправлять запрос к папке или файлу в другое место файловой системы.
Точки соединения NTFS.
Точки соединения NTFS (junction point) представляют собой новое средство, позволяющее отображать целевую папку в пустую, находящуюся в пространстве имен файловой системы NTFS 5.0 локального компьютера. Целевой папкой может служить любой допустимый путь Windows. Точки соединения NTFS поддерживаются только в NTFS 5.0 и служат для создания общего пространства имен хранения информации
Точки соединения NTFS прозрачны для приложений. Исключение составляет случай, когда информация об определенной точке соединения необходима программе для работы. Прозрачность в данном случае означает, что приложение или пользователь, осуществляющий доступ к локальной папке NTFS, автоматически перенаправляются к другой папке.
Доступ к локальным томам файловой системы, подключенным с помощью точки соединения, может быть получен даже в случае, если томам не присвоены имена. При этом исчезает ограничение на количество имен, равное 26 (по числу букв английского алфавита).
Шифрование данных.
На томах NTFS поддерживается шифрование данных. Это обеспечивается дополнительным компонентом, называемым Шифрованной файловой системой (Encrypted File System, EFS). Шифрование является достаточно сильным механизмом защиты данных, поскольку зашифрованные данные могут быть доступны только пользователю, имеющему специальный ключ для расшифрования.
EFS обеспечивает следующие функции:
Прозрачное шифрование. От владельца файла не требуется расшифровывать (зашифровывать) файл при каждом к нему обращении. Расшифрование (шифрование) происходит прозрачно при чтении или записи файла на диск.
Сильная защита ключей шифрования. Шифрование с открытым ключом противостоит большинству известных методов взлома. Поэтому в EFS ключи, используемые для шифрования файла, зашифрованы открытым ключом сертификата пользователя. (В Windows используются сертификаты стандарта Х.509 v3.). Список зашифрованных уникальных ключей, использованных для шифрования файла, хранится вместе с ним. Для расшифрования этих ключей владелец применяет свой закрытый ключ.
Встроенное восстановление данных. Если закрытый ключ владельца не доступен, агент восстановления откроет файл своим закрытым ключом. В системе может быть несколько агентов восстановления, каждый со своим открытым ключом. Но, чтобы обеспечить возможность восстановления файла, при его шифровании должен существовать и использоваться минимум один открытый ключ восстановления.
Безопасные временные и страничные файлы. Многие приложения в процессе редактирования документов создают временные файлы, которые могут оставаться на диске в незашифрованном виде. В ОС Windows, EFS реализована на уровне папок, поэтому любые временные копии зашифрованного файла на томах NTFS также шифруются. EFS располагается в ядре ОС Windows и хранит ключи шифрования в невыгружаемом пуле. Это позволяет предотвратить их копирование в страничный файл.
Теневые копии.
Служба теневого копирования реализуется только на томах NTFS-формата. Она позволяет создавать копии томов по расписанию. Эта служба создает мгновенные снимки состояния томов, обеспечивая архивацию файлов. Эта технология позволяет пользователю быстро восстанавливать удаленные файлы или старые версии файлов.
