Iis защита файлов средствами ntfs


Содержание

Администрирование Windows XP

Обеспечение безопасности в файловой системе NTFS

Файловая система NTFS появилась еще в Windows NT. Но пусть ее возраст не приводит вас в замешательство. Эта файловая система обладает целым рядом качеств, которые могут обеспечить безопасную, стабильную и надежную работу жестких дисков.

NTFS обеспечивает безопасность на уровне файлов, в отличие от общей безопасности файловой системы FAT. При использовании FAT вы можете запретить или разрешить доступ из сети к части дискового пространства. А с помощью NTFS можно установить доступ к конкретным папкам и файлам. При работе с FAT любой пользователь, расположившийся за компьютером, независимо от способа его регистрации, имеет доступ ко всем вашим файлам.

NTFS является частью сетевой и Windows XP Professional-систем безопасности. В этом уроке рассматриваются методы обеспечения безопасности и использование системы NTFS в Windows XP Professional. Сначала мы рассмотрим отличительные черты NTFS, затем обсудим применение разрешений NTFS. Наконец, если NTFS — это то, что вам подходит, мы поговорим о конвертации FAT в NTFS на вашем жестком диске.

Отличительные черты NTFS

Термины FAT и NTFS являются общими названиями, каждое из которых заключает в себе несколько различных версий этих форматов. Например, существует несколько разновидностей FAT: FAT12, FAT16 и FAT32. Для простоты изложения в этом курсе мы будем их называть просто FAT. С другой стороны, существуют две версии NTFS, а именно версия 4.0 и 5.0.

В этом разделе мы поговорим об отличительных особенностях NTFS, и почему эта система лучше подходит вашей организации, чем FAT. Мы рассмотрим сжатие, шифрование, квоты, а также работу системы в целом. Но сначала давайте разберемся, в чем состоит отличие версии 4.0 файловой системы NTFS от версии 5.0.

4.0 и 5.0

Windows XP Professional предлагает самую свежую версию NTFS. В Windows NT использовалась версия 4.0 NTFS. Система Windows XP Professional пользуется версией 5.0, представленной в Windows 2000. Хотя файловые системы обеих версий приспособлены к взаимному чтению и записи, в Windows XP Professional есть ряд новых качеств, которыми Windows NT не может пользоваться при доступе к жесткому диску с NTFS 5.0.

  • Reparse points (Точки повторной обработки). Windows NT не может пользоваться этими точками.
  • Disk Quotas (Квотирование диска). Windows NT будет игнорировать квоты на дисковое пространство, установленные Windows XP Professional.
  • Encryption (Шифрование). Windows NT не может ни читать, ни делать запись в шифрованных файлах.
  • Sparse files (Разреженный файлы). Windows NT не может пользоваться разреженными файлами.
  • Change journal (Журнал изменений). Windows NT игнорирует журнал изменений.

Эти добавления делают NTFS v.5.0 мощным инструментом со встроенными возможностями управления, который при правильном применении сделает организацию более продуктивной и эффективной.

Сжатие

Жесткие диски компьютеров становятся все более вместительными. Это происходит потому, что цены на жесткие диски падают, а потребность в дисковом пространстве для хранения файлов растет. Что бы вы ни сохраняли, будь то приложения или мультимедийные файлы, всегда требуется дополнительное место на диске. Но вместо добавления или обновления жестких дисков Windows XP Professional предлагает механизм, который поможет использовать пространство жесткого диска самым оптимальным образом. Это — сжатие папок.

Типы сжатия Windows XP Professional

Windows XP Professional предлагает два типа сжатия папок: NTFS-сжатие и ZIP-сжатие. Выбор метода сжатия будет зависеть от цели, которую вы преследуете, применяя этот метод. Если надо заархивировать данные, то лучше всего применить zip-сжатие. С другой стороны, если файлы, которые вы постоянно используете, захватывают все большее пространство (или есть файлы, которые вы хотите сохранять на жестком диске, но редко ими пользуетесь), то следует обратиться к NTFS-компрессии. Ниже мы рассмотрим особенности этих двух видов сжатия.

ZIP. ZIP-компрессия является популярным форматом сжатия, который годами реализовывался с помощью инструмента от сторонних разработчиков. При ZIP-сжатии несколько файлов архивируются в одной большой ZIP-папке. Для выполнения компрессии или декомпрессии папки пользователь должен явно выполнить это действие. Поэтому такой тип компрессии нельзя применить незаметно. Более того, в связи с тем, что ZIP-файлы выглядят как файлы уникального типа, приложения не могут получить к ним доступ. ZIP-компрессия подходит для тех случаев, когда вы хотите переслать несколько файлов во вложении к письму и надо учитывать размер вложения, или при создании архива данных.

Примечание. ZipMagic является инструментом сторонних разработчиков, который позволяет работать с ZIP-файлами, как если бы они были системными файлами. Для получения более подробной информации о ZipMagic зайдите на http://www.ontrack.com/zipmagic.

NTFS. Сейчас нас больше интересует NTFS-сжатие. Этот вид компрессии подходит как для папок, так и для файлов, но работает только при NTFS-делении дискового пространства (еще один повод конвертировать диск в NTFS). Кроме того, NTFS-компрессия совершенно «прозрачна» (незаметна) для приложений и пользователей. Когда приложение открывает сжатый файл, то NTFS выполняет декомпрессию только той части файла, которая читается в данный момент, и копирует ее в память. Так как порция данных в памяти находится в сжатом состоянии, то работе системы ничто не мешает. Если данные нужно сохранить в файле, то компьютер должен сжать файл. В NTFS это выполняется достаточно легко. Просто включите компрессию в меню Properties (Свойства) файла или папки.

Размер сжатого файла или папки будет зависеть от типа файла. Например, при сжатии документа Word можно ожидать довольно значительного сжатия — со 120 Кб до 50 Кб. С другой стороны, при сжатии графического файла вы не достигнете такого же уровня компрессии. Изображение вашей тети Матильды, составляющее 120 Кб, после сжатия будет занимать на диске около 90 Кб.

Обращаясь к компрессии, вы также должны подумать о том, что она затронет процесс доступа к файлу (хотя и не так сильно, как об этом упоминалось ранее в связи с NTFS-сжатыми файлами). Это особенно заметно, когда сжат весь диск целиком, а не отдельный файл или папка. Компьютеру приходится выполнять задание по сжатию и декомпрессии файла, так что, если таких файлов много, то система будет загружена работой.

Если вы хотите выжать из своего жесткого диска все пространство «до последней капли», то можете подвергнуть сжатию весь том. В зависимости от величины тома, количества файлов, содержащихся в нем, и скорости компьютера процесс может занять несколько минут. По сравнению со сжатием файлов или папок выполнение этого задания занимает больше времени, потому что Windows XP Professional должна пройтись по всем папкам и изменить уровень сжатия, а затем сжать (или наоборот) каждый файл в папке.

Для сжатия полного тома проделайте следующие шаги.

  1. Используя Windows Explorer или через меню My Computer (Мой компьютер), найдите том, который надо сжать.
  2. Щелкните правой кнопкой мыши на томе и выберите Properties (Свойства).
  3. На вкладке General (Общие) (рис. 10.1) отметьте (или снимите отметку, если вы хотите декомпрессировать том) флажок Compress drive to save disk space (Сжать диск для экономии места).
  4. Нажмите на ОК.
  5. Далее вы увидите диалоговое окно Confirm Attribute Changes (Подтверждение изменения атрибутов). Выберите либо сжатие всего тома, либо корневой папки.
Файлы и папки

В зависимости от потребностей и желаний вы можете выбрать только несколько папок или файлов, которые надо компрессировать. Система NTFS позволяет сжимать отдельные папки и файлы. Для выполнения компрессии отдельных файлов и папок проделайте следующие действия.

  1. Используя Windows Explorer или через меню My Computer (Мой компьютер), найдите файл или папку, который вы хотите компрессировать.
  2. Щелкните правой кнопкой мыши на объекте и выберите Properties (Свойства).
  3. На вкладке General (Общие) щелкните на кнопке Advanced (Дополнительно).
  4. В диалоговом окне Advanced Attributes (Дополнительные атрибуты) (рис. 10.2) выберите (или очистите, если вы хотите провести декомпрессию раздела) флажок Compress contents to save disk space (Сжать содержимое для экономии места).
  • Щелкните на ОК.
  • В окне свойств щелкните на ОК.
  • При сжатии папки Windows XP Professional спросит, нужно ли сжать только папку или сжать папку со всеми подкаталогами и файлами. Сделайте свой выбор и нажмите на ОК.
  • Когда вы посмотрите на Windows Explorer, то заметите, что сжатые файлы и папки выглядят несколько иначе. Имена сжатых файлов и папок напечатаны синим шрифтом. Это служит напоминанием о том, какие папки и файлы являются сжатыми, а какие нет.

    COMPACT.EXE

    Как и при работе с другими инструментами Windows XP Professional, вы можете сжимать файлы и папки из командной строки. Командная строка бывает предпочтительнее, если нужно провести пакетное сжатие. Команда COMPACT записывается следующим образом:

    COMPACT.EXE содержит несколько ключей, которые помогают модифицировать сжатие. Помимо ключа /c (который означает простое сжатие файла), вы можете воспользоваться ключом /f на случай сбоя в работе компьютера во время проведения сжатия, так как этот ключ позволяет закончить компрессию.

    Более того, команда COMPACT пригодится для сжатия файла определенного типа по шаблону. Например, если требуется сжать все Adobe Acrobat файлы, то команда выглядит следующим образом:

    Из корневой папки вы можете сжать полный том:

    В данном случае ключ /I не позволяет посылать сообщения об ошибке, прерывающие процесс сжатия. Полный список ключей команды COMPACT можно получить, введя в командную строку следующее:

    Выполнение

    Компьютеры-клиенты являются подходящим местом для проведения сжатия, так как компрессия и декомпрессия должны проводиться локально. И наоборот, при размещении сжатых файлов на сервере он будет тратить дополнительное время на компрессию и декомпрессию файлов. Это вызовет перебои в работе сервера, которые распространятся по всей сети, так как пакеты не будут передаваться с положенной им скоростью.

    С другой стороны, серверы, на которых размещена информация только для чтения (или файлы, которые редко требуются) будут приемлемыми кандидатами для проведения компрессии из-за их редкой посещаемости.

    Квоты на дисковое пространство

    В век МР3, видеоклипов и других ресурсоемких файлов хорошо иметь под рукой инструмент, ограничивающий пространство на жестком диске, предоставляемое пользователю. В системе NTFS можно устанавливать квоты для пользователей на пространство жесткого диска. Но к введению квот подталкивает не только безответственное поведение работников. Если свободное пространство на диске ограничено, квоты помогут избежать потери исключительно важных данных, которые просто могут не уместиться на заполненный до отказа диск.

    В системе Windows XP Professional квотирование дискового пространства позволяет выполнять следующие действия.

    • Уведомлять пользователей о том, что они превысили порог выдачи предупреждения (но еще не израсходовали свою квоту).
    • Не допускать запись на диск после того, как пользователи исчерпали свои квоты.

    Квотирование диска в Windows XP Professional работает индивидуально в отношении каждого пользователя и каждого тома. Дисковое пространство выделяется каждому пользователю, чье право собственности на файл отслеживается по его идентификатору безопасности (SID). Если пользователь переносит данные из одной папки в другую папку на том же томе, то количество пространства на жестком диске, которое занимает пользователь, не меняется. Если пользователь копирует файлы одной папки в другую в одном и том же томе, то ему придется дважды платить за эти данные, так как они существуют в двух местах одного тома.

    Квоты диска «прозрачны» для пользователя. Когда он смотрит на доступное пространство диска, то видит, сколько осталось от выделенной ему части. Как и для полностью заполненного диска, после того как квота исчерпана, на диске нельзя сохранить ни одного файла. Если пользователю требуется больше пространства на жестком диске, то он может проделать следующее.

    • Удалить файлы.
    • Передать файлы в собственность другого пользователя.
    • Попросить администратора об увеличении квоты.

    Примечание. Пользователи не могут схитрить, применяя компрессию файлов в надежде получить больше дискового пространства.

    При установлении квот следует помнить о двух величинах.

    • Порог выдачи предупреждения. Создает точку, при прохождении которой в журнале регистрации событий делается запись о том, что пользователь превысил порог выдачи предупреждения.
    • Предел квоты. Устанавливает объем пространства диска, который выделяется для работы данному пользователю. При выходе за эту границу Windows XP Professional может сделать запись в журнале регистрации событий о том, что квота исчерпана, или вы просто можете лишить пользователя возможности сохранять информацию в его томе. Размер квоты можно ограничить 1 Кб, но все же лучше довести его до 2 Мб. Это позволит Windows XP Professional создавать профиль пользователя при входе пользователя в систему.

    Например, если вы решите, что квота каждого пользователя должна составлять 1 Гб, и установите порог выдачи предупреждения на 900 Мб, то, когда пользователь израсходует 900 Мб объема, в регистрационном журнале будет сделана запись. Когда пользователь превысит порог в 1 Гб, вы посредством инструмента квотирования можете запретить пользователю получение дополнительного пространства на жестком диске, сделать запись в журнале регистрации, или выполнить и то, и другое.

    Включение квотирования

    Для установки квот диск должен быть отформатирован под NTFS, и квоты должны устанавливаться лицом, имеющим полномочия администратора. Для включения квот проделайте следующие шаги.

    1. Щелкните правой кнопкой мыши на томе, для которого вы хотите установит квоты.
    2. Выберите Properties (Свойства).
    3. Щелкните на вкладке Quota (Квота) (рис. 10.3). Вы можете ввести следующие настройки.
      • Включить или выключить квотирование диска.
      • Запретить использование диска лицам, израсходовавшим свои квоты.
      • Установить по умолчанию порог выдачи предупреждения и границу квоты для новых пользователей объема.
      • Делать запись в журнале регистации событий о том, что пользователь превысил квоту или порог выдачи предупреждения.
  • В заключение нажмите на ОК, чтобы установить квоты.
  • Управление квотами

    После того как квоты установлены, вы можете отслеживать пороги квот, статус предупреждения или реально использованное пространство. На рисунке 10.4 показано окно Quota Entries (Записи квот), в котором перечислены пользователи, имеющие доступ к компьютеру с именем GEONOSIS.

    Как можно видеть, из пяти пользователей четыре находятся в рамках границы квоты и порога выдачи предупреждения. Однако третий пользователь превысил порог выдачи предупреждения. Это отражено предупреждающим значком в поле статуса.

    Давайте предположим, что этому пользователю требуется дополнительное пространство на диске. Для изменения его квоты (увеличения или уменьшения) проделайте следующие шаги.

    1. Щелкните правой кнопкой мыши на соответствующем томе
    2. Выберите Properties (Свойства).
    3. Щелкните на вкладке Quota (Квота) и затем щелкните на Quota Entries (Записи квот), что вызовет появление окна, показанного на рис. 10.4.
    4. Щелкните правой кнопкой мыши на пользователе и затем — на Properties (Свойства) для изменения границы квоты данного пользователя.

    Когда вы откроете окно Quotas Entries в первый раз, то обнаружите там чистую консоль. Перед установкой квот следует заполнить список пользователей. Это выполняется щелчком на Quota (Квота) в строке меню и последующим выбором New Quota Entry (Создать запись квоты). Появляется окно с вопросом о том, для какого объекта требуется устанавливать квоту. Введите имя пользователя — появится окно, изображенное на рис. 10.5.

    В окне Add New Quota Entry вы будете устанавливать свои квоты. Их размер колеблется в диапазоне от 1 Кб (по умолчанию) до максиального размера в 6 Кб.

    Когда вы стираете файл с жесткого диска, на самом деле вы не удаляете его, а просто сообщаете компьютеру о том, что часть диска, на которой находится файл, теперь доступна для использования. Файл исчезает только тогда, когда вы что-то записываете поверх него. Однако пока этого не произошло, файл продолжает существовать на диске и может быть легко восстановлен.

    Использование файловой системы EFS (Encrypting File System — шифрованная файловая система) в Windows XP Professional позволяет защитить данные. При применении EFS сохраняемые на диске файлы шифруются, и их нельзя прочитать, пока к ним не будет корректного доступа.

    Примечание. EFS можно применять только в NTFS-томе.

    EFS представляет собой трехступенчатый процесс.

    1. Для шифрования и расшифровки данных применяется пара ключей: открытый/закрытый и ключ шифрования файлов. Когда пользователь в первый раз шифрует файл, EFS создает ключ шифрования файлов (FEK). FEK шифруется с помощью открытого ключа пользователя и в зашифрованном состоянии хранится вместе с файлом.
    2. Существует несколько способов пометить файл, предназначенный для шифрования:
      • вручную настроить EFS путем изменения расширенных свойств файла;
      • сохранить файл в папке, предназначенной для шифрования;
      • использовать команду CIPHER.EXE в командной строке.
    3. Для расшифровки файла пользователь должен открыть его и удалить шифрование, используя команду CIPHER.EXE. При дешифровке файла система EFS сначала декодирует FEK с помощью закрытого ключа пользователя, а затем расшифровывает данные, используя FEK.
    EFS в Windows XP Professional

    Система EFS известна со времени появления Windows 2000, но Windows XP Professional добавила в нее новые свойства, повысив ее функциональность. Эти новые качества включают в себя следующее.

    • Возможность шифровать файлы в режиме офлайн.
    • Наличие агентов восстановления данных (Data Recovery Agents).
    • Возможность использования алгоритма 3DES (triple-DES) вместо DESX (Data Encryption Standard XORed).
    • Дискета сброса пароля может быть использована для переустановки пароля пользователя.
    • Зашифрованные файлы можно хранить в веб-папках.

    В Windows XP Professional система EFS включается по умолчанию. Однако тут надо соблюсти некоторые предварительные условия. Во-первых, пользователи должны иметь открытый и закрытый ключи и открытый сертификат шифрования. Однако EFS может использовать самоподписываемые сертификаты, которым для работы не нужна подпись администратора.

    Шифрование и расшифровка

    При работе с EFS лучше всего зашифровывать целую папку, а не отдельные файлы. Это ускоряет процесс и делает его более эффективным. Вместо шифрования разрозненных файлов вы сможете одним движением руки создать защиту множества файлов. Более того, при шифровании папки целиком все запасные копии файлов тоже шифруются.

    Примечание. Разумеется, будут зашифрованы только те копии, которые хранятся в зашифрованной папке.

    Для шифрования файла или папки проделайте следующие шаги.

    1. В My Computer (Мой компьютер) выберите файл или папку, которые нужно зашифровать.
    2. Щелкните правой кнопкой мыши на файле или папке и выберите Properties (Свойства).
    3. На вкладке General (Общие) щелкните на кнопке Advanced (Дополнительно). Появится экран, показанный на рис. 10.6.
    4. Отметьте флажок Encrypt contents to secure data (Шифровать содержимое для защиты данных) и затем нажмите ОК.

    Если вы решили зашифровать только файл, то Windows XP Professional выдаст запрос, хотите ли вы зашифровать один этот файл или всю папку. Как упоминалось ранее, лучше зашифровать целую папку, но, тем не менее, можно зашифровать и отдельный файл. После шифрования имя файла будет показано зеленым цветом.

    Примечание. Сжатые файлы представлены шрифтом синего цвета. Файл не может быть одновременно зашифрованным и сжатым.

    Дешифрование файлов и папок проводится аналогичным образом. В данном случае вам потребуется очистить флажок Encrypt contents to secure data.

    Команда CIPHER

    По желанию для шифрования папок и файлов можно использовать инструмент командной строки CIPHER. Использование команды CIPHER в чистом виде просто показывает атрибуты файлов и папок, содержащихся в данной папке. Однако эту команду можно применять с набором ключей. Перечисленные ниже являются наиболее полезными.

    • /e Назначает файл или папку для шифрования.
    • /d Расшифровывает выбранный файл или папку.
    • /a Указывает, что действие будет применено ко всем файлам в папке.
    • /? Представляет список всех аргументов CIPHER.

    Ниже показаны два файла, которые были предварительно зашифрованы с помощью Windows XP Professional GUI, каждый из которых содержит очень секретную информацию: Top Secret Plans For World Domination.txt и Aunt Barb’s Apple Brown Betty Recipe.txt. Воспользовавшись командой CIPHER, мы можем увидеть EFS-атрибуты файлов в этой папке. Оба файла были зашифрованы, о чем свидетельствует буква «E» рядом с именами файлов. Незашифрованные папки помечены буквой «U».

    Оптимизация NTFS

    Хотя Windows XP Professional и NTFS включают в себя множество функций, облегчающих хранение и управление файлами, за всю эту легкость приходится платить. Если вы хотите повысить эффективность работы своего жесткого диска, то проверьте ряд элементов.

    Илон Маск рекомендует:  Что такое код jdtounix
    Размер кластеров

    Решение конвертировать свой жесткий диск в NTFS требует некоторого планирования (о чем мы будем говорить в разделе «Конвертирование/Форматирование жесткого диска с помощью NTFS»). Необходимо заранее обдумать величину кластеров. Если все файлы будут преимущественно одного размера, меньше размера кластера по умолчанию, равного 4Кб, то, возможно, вы сочтете нужным изменить размер кластеров по умолчанию при конвертировании жесткого диска.

    Представьте себе, что жесткий диск составлен из миллиардов крошечных блоков. Это — кластеры. Допустим, что каждый кластер содержит 4 Кб информации. Если файл вмещает в себя только 3 Кб данных, то в каждом кластере будет напрасно расходоваться пространство. Конечно, это только 1 Кб, но в сумме получится много. В таблице 10.1 содержатся размеры кластеров по умолчанию для NTFS-дисков различного размера.

    С другой стороны, уменьшение размера кластеров приводит к увеличению фрагментации. Этот означает, что после удаления информации из блока кластеров, если вы хотите снова им воспользоваться для записи файла, то он должен быть равен (или меньше) файла, ранее располагавшегося в этом блоке. При добавлении новых файлов, записываемых на неиспользованные кластеры, начинает проявляться фрагментация, поскольку, хотя на диске и есть свободное пространство, оно разбито на такие мелкие кусочки, что им нельзя воспользоваться. Если вы сохраняете большие файлы, или они имеют тенденцию к росту, лучше по умолчанию установить величину кластеров, равную 16 — 32 Кб.

    Таблица 10.1. Размер NTFS кластеров по умолчанию
    Размер жесткого диска Размер кластера
    512 Мб или меньше 512 б
    513 Мб — 1 Гб 1 024 б
    1 Гб — 2 Гб 2 048 б
    2 Гб и больше 4 069 б

    О размере кластеров следует подумать и при преобразовании томов из формата FAT в NTFS в Windows 2000 и в более ранних версиях. Это связано с тем, что по умолчанию размер кластеров составляет 512 байтов, что, естественно, ведет к фрагментации. Лучше всего скопировать все содержимое жесткого диска, переформатировать его, указать нужный размер кластеров, и затем вернуть все данные на том.

    Если жесткий диск стал фрагментированным, то было бы хорошо провести дефрагментацию с помощью инструмента, предоставляемого Windows XP Professional. Этот инструмент мы обсудим в разделе «Дефрагментация» далее в уроке.

    Организация

    Хорошая организация украшает не только медицинский кабинет. Система NTFS тоже должна быть организована соответствующим образом. На самом деле решение нескольких «хозяйственных вопросов» для жесткого диска во многом улучшит работу NTFS.

    Файловая система. Хотя NTFS поддерживает папки с огромным количеством файлов, будет неразумно складывать все документы в одну папку. Это особенно актуально, если вы часто читаете и удаляете файлы из этой папки. При каждом открывании папки Windows XP Professional тратит время на поиск имени и статистики каждого файла. Наилучшим решением в этом случае будет создание подкаталогов всегда, когда это возможно, чтобы свести количество считываний к минимуму.

    Индексация. Если пользователи регулярно просматривают жесткие диски в поисках файлов и папок, то вам следует подключить службу индексации — Indexing Service. Это в значительной степени сократит время поиска. Indexing Service также помогает сократить время поиска внутри документа.

    При подключенной службе индексации NTFS заносит все изменения файловой системы в журнал изменений. Необходимость проводить обновления журнала изменений неизбежно вызывает замедление в работе системы, но эти издержки полностью покрываются за счет конечного повышения скорости поиска файлов и папок.

    Антивирусные программы

    Нет нужды говорить о том, что у вас должна быть установлена одна из антивирусных программ, чтобы поддерживать безопасность и чистоту в компьютере. Эти программы, хотя и служат защитой, но несут с собой и дополнительные затраты. Мы не предлагаем отказываться от использования антивирусных программ, а советуем испытать несколько антивирусных приложений и оценить их с учетом влияния на скорость работы всей системы. Более того, разработчики программ могут предложить настроить их таким образом, чтобы свести дополнительные затраты к минимуму.

    Сжатие

    Ранее мы уже говорили о достоинствах и недостатках сжатия. Вы, возможно, и сэкономите несколько долларов, отказавшись от установки жесткого диска большего объема, но если тома сжаты, то, скорее всего, вы столкнетесь с некоторыми проблемами выполнения. Мы рекомендуем не проводить сжатие жесткого диска на сервере. В то же время разумное сжатие данных на клиентских компьютерах является неплохой идеей.

    Разреженные файлы

    Если у вас есть файлы, которые содержат множество нулей, то Windows XP Professional позволяет сохранять пространство диска, давая таким файлам определение sparse (разреженный). Если NTFS файл имеет пометку sparse, то NTFS выделяет кластеры только для данных, специально объявленных приложением. Под диапазон необъявленных данных кластеры не выделяются, и при считывании файла с диска распределенные файлы будут возвращаться, а не распределенные — заполняться нулями. Например, Windows Indexing Service использует sparse-файлы на NTFS-дисках.

    Разреженные файлы конвертируются с помощью следующей команды.

    За SPARSE следуют такие аргументы:

    • queryflag. Запрашивает SPARSE.
    • queryrange. Сканирует файл в поисках областей, которые могут содержать ненулевые данные.
    • setflag. Отмечает указанный файл как разреженный.
    • setrange pathname BeginningOffset length. Заполняет указанную область нулями, где BeginningOffset (Начальное смещение) является смещением в границах файла для пометки этого файла как разреженного, а length является величиной диапазона (в байтах) внутри файла, которая должна быть отмечена как разреженная.

    За этими аргументами записывается путь к файлу, например:

    fsutil sparse setflag c:\sparsesample.txt

    Sparse-файлы работают только на дисках, подключенных к компьютерам под управлением операционных систем Windows XP Professional и Windows 2000. Если вы перемещаете файл на диск с системой FAT или NTFS, который был подключен к другой операционной системой, то файл вернется к своему исходному размеру. Если на диске не окажется достаточно свободного пространства для размещения файла с таким размером, то операция будет отменена.

    Разрешения NTFS

    На предыдущем уроке мы рассказывали о сетевой безопасности и о таком понятии, как разрешения, но к этому стоит вернуться сейчас, так как разрешения доступны только на жестких дисках в формате NTFS. В этом разделе мы будем говорить о возможностях NTFS оберегать ваши файлы от посторонних глаз. В отличие от системы FAT доступ к общим ресурсам нельзя включать и отключать. NTFS обеспечивает такой уровень детализации отбора, что пропускает только тех, кому вы хотите предоставить доступ, и отсеивает всех остальных.

    Разрешения отдельного пользователя

    Перед тем как обсуждать разрешения пользователей и групп, а также самих файлов важно рассмотреть основы работы разрешений. Сначала мы покажем, что представляет собой наследование, а затем рассмотрим инструмент Windows XP Professional, который должен вам помогать, но может превратиться в камень преткновения, если вы не разберетесь в его функциях.

    Наследование

    В сети может быть всего пара пользователей, а могут быть и тысячи. При установке пользовательских разрешений для NTFS-томов и папок эта задача может быть сравнительно простой в организации, состоящей из шести человек. Как уже отмечалось в уроке 9, если организация начинает расти, то деление пользователей на специфические группы делает управление разрешениями значительно легче.

    Сначала вам следует создать набор разрешений для определенной группы, например для инженеров. В таком случае, при появлении нового инженера в организации он автоматически добавляется в эту группу. Одновременно ему по наследству переходят и разрешения для данной группы.

    Примечание. Наследование имеет отношение и к другим объектам NTFS-тома. Например, если вы установили разрешения для определенной папки, а затем создали в ней подпапку, то право наследования освобождает вас от создания нового набора разрешений для этой подпапки, так как она наследует разрешения родительской папки.

    Если вы считаете, что группе инженеров нужно выдать или возобновить определенное разрешение, то это легко сделать. После изменения (о чем мы поговорим на этом уроке позже) новое разрешение присваивается каждому члену этой группы.

    С другой стороны, какому-то конкретному инженеру может потребоваться разрешение, в котором не нуждаются остальные. Вы можете, войдя в группу инженеров, внести изменения, необходимые данному пользователю, и он получит новое разрешение, которое не будет унаследовано им по принадлежности к этой группе. В этом случае разрешение не будет распространяться на других членов группы.

    Новым качеством в Windows XP Professional является простое совместное использование файла (simple file sharing). Эта функция включается при первичной инсталляции Windows XP Professional или при совместном использовании тома или папки. Чтобы подключить большее количество инструментов управления доступами пользователей, простое совместное использование файла надо отключить.

    Вы можете задать вопрос, зачем же нужно простое совместное использование файлов, если эту функцию надо отключать. Только затем, чтобы облегчить процесс совместного использования файлов и папок. При включенном простом совместном использование файлов нет и множества конфигураций для осуществления доступа пользователей к файлам, принтерам и т. д. Этим обеспечивается легкий способ совместного использования файлов. Однако если вы хотите управлять тем, кто именно может получать право доступа к файлам, то простое совместное использование файлов следует отключить. Для этого проделайте следующие шаги.

    1. Выберите Start\My Computer (Пуск\Мой компьютер), затем щелкните на Tools (Сервис) и выберите Folder Options (Свойства папки) .
    2. В диалоговом окне Folder Options щелкните на вкладке View (Просмотр).
    3. Просмотрите до конца перечень настроек в окне Advanced Settings (Дополнительные параметры) и либо установите, либо очистите флажок Use simple file sharing (Использовать простой общий доступ к файлам).
    4. Нажмите на ОК.

    Примечание. Само по себе отключение простого совместного использования файла не позволит вам устанавливать разрешения для файлов. Вы должны также разместить все свои файлы и папки в NTFS-томе или разделе.

    Разрешения для папок и томов

    Разрешения осуществляют контроль над тем, что пользователь или группа могут делать с объектом в сети или на своем локальном компьютере. Разрешения поддерживаются только при отключении простого совместного использования файла и на жестком диске в формате NTFS. В таблице 10.2 перечислены разрешения, назначаемые для папок, а в таблице 10.3 — для файлов.

    Таблица 10.2. Разрешения папок
    Разрешение Разрешает или запрещает это действие
    Change Permissions Изменение разрешений папки.
    Create Files Создание новых файлов в данной папке.
    Create Folders Создание подкаталогов в данной папке.
    Delete Удаление папки.
    Delete subfolders and files Удаление файлов и подкаталогов, даже если у вас нет разрешения на их создание.
    List Folder Просмотр содержимого папки.
    Read Attributes Просмотр атрибутов папки.
    Read Permissions Просмотр разрешений папки.
    Take Ownership Присвоение себе прав другого пользователя на владение папкой.
    Traverse Folder Открытие папки для просмотра подкаталогов и родительских папок.
    Write Attributes Внесение изменений в свойства папки.
    Таблица 10.3. Разрешения файла
    Разрешение Разрешает или запрещает это действие
    Append Data Добавление информации в конец файла без изменения существующей информации.
    Change Permissions Внесение изменений в разрешения файла.
    Delete Удаление файла.
    Execute File Запуск программы, содержащейся в файле.
    Read Attributes Просмотр атрибутов файла.
    Read Data Просмотр содержимого файла.
    Read Permissions Просмотр разрешений файла.
    Take Ownership Присвоение себе прав собственности на этот файл у другого владельца.
    Write Attributes Изменение атрибутов файла.
    Write Data Изменение содержания файла.
    Создание и управление разрешениями

    Создавая разрешения для отдельных файлов, папок и NTFS-томов, вы можете воспользоваться гораздо большим количеством опций безопасности, чем предлагает файловая система FAT. Вкладка Properties (Свойства) выбранной папки или тома включает в себя вкладку Security (Безопасность). Щелкнув на ней, вы можете увидеть ряд опций для управления доступом.

    Для настройки разрешений данной папки или тома проделайте следующие шаги.

    1. Укажите том или папку, для которых вы собираетесь устанавливать разрешения.
    2. Щелкните правой кнопкой мыши на нем и выберите Properties (Свойства).
    3. Выберите вкладку Security (Безопасность).

    Примечание. Если NTFS-том находится в совместном использовании, то необходимо устанавливать разрешения посредством вкладки Security (Безопасность), а не используя для этого кнопку Permissions (Разрешения) на вкладке Sharing (Общий доступ).

    В появившемся окне свойств вы увидите два окна. В верхнем окне содержится список пользователей и групп (рис. 10.7). В нижнем — список разрешений для пользователя, которые можно устанавливать и регулировать. Опять же, эта вкладка доступна только для томов в формате NTFS.

    Щелкнув на определенном пользователе или группе, вы можете установить разрешения для них в нижнем окне. Доступны следующие разрешения.

    • Full Control (Полный контроль). Разрешает пользователю или группе читать, создавать, изменять и удалять файлы.
    • Modify (Модификация). Разрешает пользователям удалять файлы и папки, вносить изменения в разрешения или получать право собственности на файл или папку от другого пользователя.
    • Read&Execute (Чтение и исполнение). Разрешает пользователям читать и запускать файлы, не внося изменений в содержание совместно используемого тома или папки.
    • List Folder Contents (Список содержимого папки). Позволяет пользователям просматривать содержимое папок.
    • Read (Чтение). Разрешает пользователям просматривать содержимое тома или папки. Они также могут открывать файлы, но не имеют права сохранять изменения.
    • Write (Запись). Разрешает пользователям делать записи в папках или томах, но запрещает открывать файлы или просматривать список файлов.
    • Special permissions (Специальные разрешения). Щелкнув на кнопке Advanced (Дополнительно), можно применять специальные разрешения.
    Ограничение количества пользователей

    В зависимости от размера и структуры организации, вы можете не разрешить одновременный доступ для всех желающих к одному и тому же тому. Если нужно установить ограничение на количество пользователей, имеющих одновременный доступ к тому или папке, откройте диалоговое окно Permissions (Разрешения) и выберите вкладку Sharing (Общий доступ) (рис. 10.8).

    В секции User limit (Предельное число пользователей) укажите один из следующих вариантов.

    • Maximum allowed Разрешить доступ для максимального числа пользователей сети.
    • Allow this number of users Разрешить доступ только для указанного числа пользователей.

    Более подробно о разрешениях можно узнать в гл. 9.

    Конвертирование/форматирование жестких дисков в формат NTFS

    Чтобы воспользоваться всеми описанными преимуществами, жесткие диски должны использовать формат NTFS. Это несложно, когда компьютер попадает к вам с заранее установленной системой Windows XP Professional, так как жесткий диск уже имеет формат NTFS. Однако при миграции с компьютера, использующего систему FAT (Windows 95 или Windows 98), необходимо конвертировать жесткий диск или его часть.

    В этом разделе рассматриваются шаги, которые необходимо предпринять при переводе жесткого диска в систему NTFS или при форматировании жесткого диска. Сначала мы обсудим ряд вопросов, связанных с FAT-NTFS-конверсией, затем поговорим об инструменте командной строки CONVERT.EXE и ключах, которые можно использовать при преобразовании жесткого диска.

    Замечания

    Хотя по сравнению с FAT файловая система NTFS обеспечивает гораздо более высокую функциональность, перед принятием решения о конверсии следует рассмотреть ряд замечаний.

    • Переход к NTFS можно сделать только в одну сторону. После выполнения конверсии в NTFS вы не сможете вернуться обратно.

    Примечание. Существует несколько продуктов других разработчиков, которые позволят конвертировать диск обратно в FAT, но лучше придерживаться одного формата, а не переключаться с одного на другой.

    • Процесс конверсии требует наличия определенного свободного пространства на диске или на части диска. Если инструмент конверсии считает, что пространства недостаточно для осуществления операции, то он не будет работать.
    • Возможно, вы работаете с устройствами двойной загрузки. В таком случае вы должны помнить следующее.
    • Хотя Windows NT использует NTFS (точнее, ее версию 4.0), эта операционная система не сможет полностью воспользоваться всеми качествами NTFS 5.0, представленной в Windows 2000.
    • Windows Me, 9X и более ранние версии не имеют доступа к NTFS-файлам.
    • Если вы перейдете к файловой системе NTFS, то уже не сможете удалить инсталляцию Windows XP Professional.
    • Существует возможность повреждения данных во время конверсии. Обязательно сделайте запасные копии своих данных.
    • Конверсия занимает какое-то время. Так как первый шаг состоит в запуске инструмента CHKDSK.EXE, то время потребуется еще больше.

    Примечание. Независимо от того, какую операционную систему вы используете, гибкие диски всегда используют систему FAT.

    Защита данных

    Переход от FAT к NTFS может быть достаточно напряженным процессом, особенно если дело касается сохранения целостности данных. Мы всегда рекомендуем делать запасные копии перед выполнением подобного преобразования формата, а Windows XP Professional предпринимает следующие шаги для защиты данных от повреждений.

    Во-первых, CONVERT.EXE запускает инструменты CHKDSK или AUTOCHK, чтобы проверить целостность файловой системы. При обнаружении поврежденных файлов следует использовать команду CHKDSK/F для устранения этих проблем, а затем снова запустить конверсию. Инструмент AUTOCHK старается устранить проблемы самостоятельно и продолжает конверсию. Далее, существующие FAT кластеры удаляются (чтобы «проложить путь» для новой NTFS-структуры), после чего таблица размещения файлов перестраивается. В нечитаемых секторах процесс конверсии прерывается, и FAT-том остается таким, каким был до конверсии.

    Элементарная NTFS-структура формируется на свободном от FAT месте. Эта структура представляет собой таблицу фиксированного размера, которая используется во всех NTFS-томах. Вслед за элементарной структурой на свободном от FAT пространстве генерируются главная NTFS-таблица файлов и каталог. Необходимое для этого пространство будет различным в зависимости от общего количества файлов и папок, которые подлежат конверсии. Следующим шагом является указание в карте NTFS, что FAT-кластеры, использовавшиеся в процессе конверсии, теперь свободны. Пространство диска, занятое FAT-метаданными, освобождается и используется как свободное NTFS-пространство.

    В самом конце записывается загрузочный сектор NTFS. Именно это действие заставляет диск принимать вид NTFS-тома. Если в этот момент произойдут какие-либо ошибки конверсии, то диск будет по-прежнему определяться как FAT-диск. В этом процессе все записи выполняются на свободном пространстве. При возникновении проблем с конверсией FAT-данные останутся пригодными к применению.

    Дефрагментация

    Регулярная дефрагментация жесткого диска при работе с файловой системой NTFS в среде Windows XP Professional должна быть обычной рабочей процедурой. Есть два способа дефрагментации NTFS диска.

    Во-первых, можно воспользоваться оснасткой Disk Defragmenter (Дефрагментация диска), показанной на рис. 10.9.

    Во-вторых, можно использовать новинку Windows XP Professional — инструмент командной строки DEFRAG. Это делается следующим образом:

    Defrag «volume» [-a] [-f] [-v] [-?]

    Используются следующие атрибуты:

    • Volume Обозначение диска, который надо дефрагментировать.
    • -a Только анализировать.
    • -f Выполнять дефрагментацию даже при малом количестве свободного пространства.
    • -v Подробный отчет о результатах.

    Оба метода дефрагментации демонстрируют новые функциональные возможности Windows XP Professional. Во-первых, Windows XP Professional позволяет дефрагментировать NTFS-тома с кластерами любого размера. Это серьезное отличие от Windows 2000, где можно дефрагментировать только кластеры размером до 4 Кб. Также можно дефрагментировать файлы, содержащиеся менее чем в 16 кластерах. В Windows 2000 это игнорируется.

    Конвертирование

    Существует три способа преобразования дисков в NTFS-формат.

    • Форматирование в процессе инсталляции Windows XP Professional.
    • Конвертирование с помощью Disk Management (Управление дисками).
    • Конвертирование с использованием окна команд.
    Форматирование в процессе инсталляции Windows XP Professional


    Легче всего конвертировать жесткий диск в формат NTFS во время инсталляции Windows XP Professional. Конверсия выполняется как часть миграции. Как можно догадаться, проще всего проводить конверсию в чистой системе, то есть в системе без файлов, с которых надо делать запасные копии. Но идеальное редко достижимо.

    Конвертирование с помощью оснастки Disk Management

    Если вы уже установили Windows XP Professional, но по каким-либо причинам не перешли к файловой системе NTFS, вы все еще можете провести конверсию. Windows XP Professional включает в себя оснастку Disk Management (Управление дисками), которая позволяет проводить процесс в GUI-окружении.

    Примечание. Disk Management поддерживает конвертирование любого жесткого диска или его части, за исключением дисков CD-ROM, DVD-ROM и системного диска.

    Запустив оснастку (рис. 10.10), выберите диск или часть диска, которые вы собираетесь переформатировать. Щелкните правой кнопкой мыши на нем и выберите Format (Форматирование). Появится новое диалоговое окно, в котором можно выбрать следующие детали:

    • имя тома;
    • файловая система;
    • размер кластера.

    В нижней части диалогового окна располагаются два флажка: Perform quick format (Быстрое форматирование) и Enable file and folder compression (Включить сжатие файлов и папок). Флажок быстрого форматирования лучше оставить пустым (так как быстрое форматирование приводит к ошибкам) и отметить другой флажок, если вы хотите использовать сжатие файлов и папок.

    Примечание. Самое большое ограничение при конвертировании жесткого диска в NTFS-формат состоит в том, что конверсию нельзя проводить на текущем системном диске.

    Конвертирование с использованием окна команд

    Третий способ преобразовать раздел диска в NTFS-формат похож на второй, но использует окно команд. Это хорошо подходит, когда у вас нет устройства для хранения копий, и имеются большие файлы, которые не помещаются на других дисках. Инструмент, используемый в Windows XP Professional, называется CONVERT.EXE. Команда CONVERT записывается следующим образом:

    Convert volume: /fs:ntfs [/v] [/x] [/cvtarea: filename] [/nosecurity] [/?]

    где volume — обозначение диска или имя тома, который вы собираетесь конвертировать.

    Илон Маск рекомендует:  Взаимодействие microsoft excel с приложениями net позднее связывание

    С командой CONVERT используются следующие ключи:

    • /fs:ntfs Указывает, что нужно конвертировать диск в NTFS-формат.
    • /v Активизирует текстовый режим, который выводит все сообщения, посылаемые системой Windows XP Professional во время конверсии.
    • /x Отключает том перед началом конверсии, если это необходимо.
    • /cvtarea:/filename Указывает, что NTFS-файлы метаданных записываются в отдельный файл. Этот файл должен размещаться в корневой папке конвертируемого тома.
    • /nosecurity Не применяет NTFS-разрешения по умолчанию к конвертируемому тому. Этот ключ имитирует Windows 2000-конверсию.
    • /? Помощь при работе с CONVERT.

    Вы можете получить сообщение о том, что текущий диск является рабочим и не может быть отформатирован. Не беспокойтесь. Это не означает, что конверсию вообще нельзя провести. Более того, Windows XP Professional спросит о вашем желании выполнить конверсию после перезагрузки. Если вы нажмете ОК, то следует перезагрузить компьютер для завершения конверсии.

    NTFS обеспечивает возможность управления файлами. Если вам нужно сжать, зашифровать или создать квоты файлов, то NTFS предоставляет средства для достижения этих целей. Если вы используете систему FAT, то конверсия является легкой операцией. Хотя Windows XP Professional включает в себя ряд инструментов, повышающих безопасность (таких как Internet Connection Firewall и Group Policy), NTFS позволяет управлять ресурсами отдельных файлов.

    Какую файловую систему выбрать

    При установке Windows XP вам будет предложено отформатировать существующий раздел, на который устанавливается ОС, в файловую систему NTFS. Так что же это такое?

    Файловая система NTFS обеспечивает такое сочетание производительности, надежности и эффективности, которое невозможно получить с помощью FAT. Основными целями разработки NTFS являлись обеспечение скоростного выполнения стандартных операций над файлами, таких как чтение, запись, поиск, и предоставления дополнительных возможностей, включаявосстановление поврежденной файловой системы на чрезвычайно больших дисках.

    Файловая система NTFS является «своей» файловой системой для Windows NT, а как известно WinXP, является своеобразным продолжением этой линейки ОС. Но если вы собираетесь использовать на одном компьютере несколько операциoнных систем таких, как Windows 9x и Windows XP, то загрузочный том нельзя форматировать в NTFS, так как линейки Windows 95(98) «понимают» только FAT, и дисков, отформатированных в NTFS для этих ОС просто не существует. Файлы находящиеся на дисках NTFS можно увидеть только используя программы сторонних производителей. Если же во время установки вы не отформатировали раздел в NTFS, то это можно сделать и после неё.В командной строке WindowsXP необходимо набрать «Convert (имя диска)/FS:NTFS» без кавычек.

    Ниже приводится сравнительная таблица фаловых систем FAT и NTFS

    Ограничения NTFS FAT и FAT 32
    Размеры тома Минимальный размер тома составляет приблизительно 10 Мб. FAT поддерживает различные размеры томов — от объема дискет и до 4 Гб.
    На практике рекомендуется создавать тома, размеры которых не превышают 2 Тб. FAT 32 поддерживает тома объемом от 2 гб. до 2 Тб. Работая под управлением Windows XP для Fat 32 можно отформатировать тома, размер которых не превышает 32 Гб.
    С помощью NTFS нельзя форматировать дискеты. Не поддерживаются диски размеры которых меньше 512 Мб.
    Размеры файлов Теоритически размер файла может составлять 16 экзабайт. FAT поддерживает файлы размером не более 2 Гб. FAT 32 подерживает файлы размером не более 4 Гб.

    NTFS обладает характеристиками защищенности, поддерживая контроль доступа к данным и привилегии владельца, играющие исключительно важную роль в обеспечении целостности важных данных. Папки и файлы NTFS могут иметь назначенные им права доступа вне зависимости от того, являютя ли они разделяемыми или нет.

    NTFS — единственная файловая система в Windows, которая позволяет назначать права доступа к различным файлам. Устанавливая пользователям определенные разрешения для файлов и каталогов, пользователь может защищать конфиденциальную информацию от несанкционированного доступа. Разрешения пользователя на доступ к объектам файловой системы работают по принципу дополнения. Это значит, что действующие разрешения, то есть те разрешения, которые пользователь реально имеет в отношении конкретного каталога или файла, образуются из всех прямых или косвенных разрешений, назначенных ползователю для данного объекта с помощью логической функции «Или». Например, если пользователь имеет правоназначенное разрешение для каталога на чтение, а косвенно через членство в группах ему дано право на запись, то в результате пользователь сможет читать информацию в файлах каталога и записывать в них данные.
    Для назначения пользователю или группе разрешения на доступ к определенномук файлу необходимо: 1. Указать файл мышью и нажать правую кнопку. Выбрать пункт Properties (Свойства) контексного меню. В появившемся окне свойств файла перейти на вкладку Security (Безопасность). По умолчанию данной вкладки там нет, чтобы она появилась необходимо в свойствах папки убрать галочку Simple File Sharing (использовать простой общий доступ к файлам).
    2. В группе Name (Имя) показан список пользователей и групп, которым уже предоставлены разрешения для этого файла. Для того, чтобы добавить или удалить пользователей или новые группы, нажать кнопку Add/Remove (Добавить/Удалить) Появится окно диалога Select Users, Groups (Выбрать пользователей, группы).В поле Enter the object names to select (Ввелите имена выбираемых объектов) написать имя пользователя, кнопка Check Names (Проверить имена) позволяет проверить правильность написания имени.
    3. В группе Permissions (Разрешения) устанавливаются разрешения. Присутствуют указатели Deny (запретить) и Allow (Разрешить). Устанавливаются флажки для следующих параметров: Full Control (полный контроль) — пользователь получает неограниченныей доступ к файлу, Modify (Изменение) — пользователь может изменять файл, Read & execute (Чтение и выполнение), Read (Чтение) — пользователь может только читать файл, Write (Запись) — пользователь может записывать в файл.

    Для более тонкой настройки разрешений необходимо нажать кнопку Advanced. Появляется диалоговое окно Advanced Security Settings for (Дополнительные параметры безопасности). Здесь можно дополнительно указать дополнительные разрешения, настроить политику аудита, изменить (просмотреть) информацию о владельце файла и добавить / удaлить пользователей, могущих получить доступ к файлу.

    Следующее, очень полезное свойство файловой системы NTFS — это возможность введения квот. Это свойство, как правило необходимо системным администраторам, больших компаний, где работают большое количество пользователей, у которых нет привычки следить за актуальностью информации, и которые хранят ненужные файлы, тем самым занимая дисковое пространство. Так как администратор не может проследить за всем этим, он может ввести квоту на использование диска определенному пользователю. После установки квот пользователь может хранить на томе ограниченный объем данных, в то время как на этом диске может оставаться свободное пространство. Если пользователь превысит выданную ему квоту, в журнал событий будет внесена соответствующая запись. Чтобы включить квоты на диске нужно прежде всего, чтобы он был в формате NTFS, затем в свойствах папки Tools-Folder Options-View убрать флажок Simple File Sharing. Это нужно для того, чтобы в свойствах диска появилась вкладка Quota. Вней необходимо установить флажок на Enable quota managment (Активизировать управление квотами). Это будет установлена мягкое квотирование, которое выдаст предупреждение, что пользователь, если так случится, превысил квоту, но право на запись у него будет. Чтобы в случае превышения квоты пользователю было отказано в доступе к этому тому необходимо установить флажок на Deny disk space to users exceeding quota limit (Запретить запись на диск пользователям, превысившим размер дискового пространства). На этой же вкладке можно установить размер выделяемой квоты (Limit disk space to) и порог, превышение которого вызывает запись предупреждения в журнале событий (Set Warning level to) — Установить порог выдачи сообщения. Эти параметры устанавливаются по умолчанию для всех пользователей. В окне же Quota Entries можно изменить параметры квоты, задаваемой для конкретного пользователя. Для этого следует выделить конфигурируемую учетную запись с помощью контексного меню выбрать свойства и сконфигурировать квоту.

    И ещё одно новвоведение NTFS 5 — точки монтирования. Пользователь может определить различные, не связанные с собой папки и даже диски в системе как один диск или папка. Это имеет большую важность для определения в одном месте разнородной информации, находящейся в системе. Файлы и папки таким образом созданные имеют уникальный идентификационный номер, что гарантирует их правильное нахождение в системе, даже если папка или файл был перенесен.

    Безопасность в системе NTFS

    Соглашения об именах в системе NTFS

    Файловая система NTFS

    Особенности файловой системы FAT

    При использовании файловой системы FAT в Windows NT важно учитывать следующие особенности.

    · Максимальный размер файла и раздела FAT составляет 4 Гбайт.

    · Система FAT имеет наименьшие накладные расходы (менее 1 Мбайт).

    · FAT является наиболее эффективной файловой системой для разделов размером менее 400 Мбайт.

    · При большом количестве файлов быстродействие снижается,

    · поскольку в системе FAT для поддержания файловой структуры используется связный список. При увеличении объема данных в файле, он может стать фрагментированным, что замедляет процессы чтения и записи этого файла.

    · Windows NT не позволяет восстановить удаленный файл. Программам восстановления файлов необходим прямой доступ к оборудованию, который запрещен для приложений, работающих в пользовательском режиме Windows NT. Однако если удаленный файл располагался в разделе FAT, можно перезагрузить компьютер в режиме MS-DOS и восстановить этот файл, если на те участки диска, на которых он находился, еще не были записаны другие данные.

    Файловая система Windows NT (NTFS) является наиболее защищенной и надежной файловой системой для Windows NT.

    Имена файлов NTFS строятся по следующим правилам.

    · Имена файлов и папок могут иметь длину до 255 символов с учетом расширения.

    · Обычно строчные и прописные буквы в именах не различаются, но регистр букв сохраняется. Есть одно исключение: регистр букв в имени файла учитывается, когда файл используется приложением POSDC. NTFS допускает одновременное существование двух файлов с именами, отличающимися только регистром букв.

    · Имена могут содержать любые символы кроме ? » / V * |:

    В корпоративной среде NTFS обеспечивает безопасность файловых серверов и компьютеров клиентов. В NTFS поддерживаются разрешения на доступ и права владения, что важно для обеспечения целостности корпоративных данных. Тогда как разрешения на доступ к общим папкам могут быть установлены при использовании любой файловой системы, NTFS позволяет назначить разрешения для файлов и папок независимо от того, открыт ли к ним совместный доступ. NTFS— единственная файловая система в Windows NT, которая допускает установку разрешений на доступ к отдельным папкам и файлам.

    Размер файлов и разделов NTFS

    NTFS поддерживает файлы и разделы большего размера, чем файловая система FAT, которые теоретически могут достигать 16 экзабайт. Для обычного оборудования максимальный размер файла составляет от 4 до 64 Гбайт- Реальный наибольший размер раздела NTFS на обычном оборудовании не превышает 2 терабайт из-за стандартных ограниченийна максимальное количество и размер секторов диска. В связи с накладными расходами файловой системы рекомендуемый минимальный размер раздела NTFS составляет 50 Мбайт.

    Примечание. Набор томов NTFS (volume set) можно расширить так, что его размер превысит предел в 2 терабайта, но при этом его нельзя будет отформатировать заново, если возникнут какие-либо неполадки.

    Не нашли то, что искали? Воспользуйтесь поиском:

    Защита паролем файлов в IIS без использования разрешения NTFS

    Мы размещаем онлайн-отчеты, которые клиент будет входить и просматривать. Отчеты — это страницы ASP, которые извлекают необходимые цифры из базы данных SQL Server. Детали доступа клиента также управляются таблицей в SQL Server.

    В прошлом у нас был один или несколько файлов PDF или других файлов, к которым клиент также мог бы обратиться из онлайн-отчета. Они были просто загружены в подпапку в папке файлов ASP и связаны с соответствующей страницей ASP.

    Если бы я хотел защитить эти файлы, чтобы убедиться, что пользователь, пытающийся получить к ним доступ, вошел в систему — есть ли способ сделать это? Я думаю, что файл должен храниться в базе данных. Как другие справляются с этим?

    Является ли хорошей практикой использование сжатия NTFS в папках журнала IIS?

    Хорошо ли использовать сжатие NTFS в папках и файлах журнала IIS?

    Я смог спуститься с 20 до 7 ГБ, выполнив это. Журналы IIS в день и имеют средний размер 20 МБ, но в некоторые экстремальные дни — 200 МБ.

    Мне интересно, должен ли IIS открыть весь файл в памяти, заставляя NTFS разархивировать 20 МБ (или 200 МБ в крайнем случае) каждый раз? Или есть какая-то магия, которая позволяет IIS добавлять контент? Какое влияние оказывает система? Может ли это стать проблемой, если мы вырастием наш трафик?

    Я должен разделить их в час вместо часа?

    Любая официальная документация Microsoft по этому вопросу? Я не мог найти его.

    2 ответа

    Поскольку Эван уже дал общий ответ, мне нравится решать два из ваших вопросов:

    Поддерживает ли IIS журналы каждые X минут?

    http.sys, часть режима ядра IIS отвечает за ведение журнала и буферизирует данные в памяти, прежде чем записывать их в файлы журнала. Я не уверен, но я не думаю, что он делает промывку каждые x секунд, более вероятно, после того, как буфер заполнится.

    Нужно ли читать весь файл при добавлении одной строки?

    Нет, NTFS записывает обновления в файл в свой собственный кеш, а затем сжимает и добавляет данные асинхронно в файл. Запись в сжатый файл не значительно медленнее, чем несжатый файл.

    Таким образом, не должно быть никаких проблем с использованием сжатия NTFS в файлах журнала IIS.

    Комплект ресурсов IIS 7, глава 15: Ведение журнала — Microsoft Press 2008

    Windows Internals 6-е издание Part2, глава 12: Файловые системы Microsoft Press 2012

    Я сжимаю журналы IIS на многих серверах IIS, хотя в основном серверы, на которых размещены веб-сайты Outlook Web App /App или малообъемные веб-сайты. У меня нет проблем с этим, и это очень похоже на экономию дискового пространства.

    В общем, вы торгуете процессором для хранения, принимая это решение. Если вы хотите начать с CPU, это, вероятно, не является хорошим компромиссом. Для моих серверов OWA, которые могут увеличивать гигабайты журналов в день (спасибо устройствам ActiveSync), я думаю, что компромисс хороший.

    Драйвер файловой системы NTFS обрабатывает сжатие, поэтому он не меняет способ записи IIS в файлы.

    Вы, возможно, также торгуете с некоторой пропускной способностью ввода-вывода и IOPS. Если у вас достаточно высокий объем, который записывает ваш журнал, это значительное потребление ресурсов ввода-вывода, вы также можете увидеть снижение потребления ввода-вывода от включения сжатия.

    Единственный способ, которым вы собираетесь рассказать, как это влияет на вас, — это сравнить его самостоятельно. Возьмите базовую линию с отключенным сжатием, а затем включите и сравните их. Там нет волшебной палочки, чтобы волноваться, чтобы знать, как она повлияет на вас — в игре слишком много не детерминированных факторов.

    Улучшение безопасности IIS

    О безопасности веб-приложения желательно начинать задумываться с самого начала процесса разработки. Веб-сайт никогда не будет надежно защищен до тех пор, пока вы не предпримите все необходимые меры, чтобы защитить веб-сервер от максимально возможного количества существующих уязвимостей.

    О безопасности веб-приложения желательно начинать задумываться с самого начала процесса разработки. Веб-сайт никогда не будет надежно защищен до тех пор, пока вы не предпримите все необходимые меры, чтобы защитить веб-сервер от максимально возможного количества существующих уязвимостей. Даже если исходный код надежно защищен, злоумышленники все равно могут найти лазейку. И даже когда уязвимости отсутствуют вовсе, сервер так и или иначе взаимодействует с другими системами, что вполне может стать причиной незаконного проникновения. В конце концов, сервер обслуживают люди, которые часто не обладают достаточной компетенцией в этих вопросах.

    На рынке существуют различные продукты, которые, как утверждается, могут сделать ваш сервер более защищенным, но не ограждают от всех возможных видов атак. Существует весьма распространенное заблуждение о том, что безопасность веб-сайта можно улучшить посредством ревизии исходного кода. Это не всегда соответствует действительности. Помимо написания безопасного кода, сайт, созданный средствами ASP.NET, следует также надежно защитить со стороны IIS-сервера. В этой статье будут различные аспекты безопасности IIS, чтобы оградить ваш сайт от незаконного проникновения.

    Для того чтобы защитить IIS, специалист по безопасности должен обладать глубокими познаниями технологии .NET и, в особенности, ASP.NET, поскольку в подавляющем большинстве на IIS крутятся сайты, использующие эти технологии. Кроме того, весьма желательно понимать весь процесс разработки и развертывания веб-сервера, включая написание кода (в контексте конфигурирования сайта на ASP.NET).

    Существует огромное количество видов атак на веб-сайт, начиная от лазеек в базах данных и уязвимостей в исходном коде и заканчивая вирусами, недовольными сотрудниками и социальной инженерией. Однако полная классификация всех возможных атак на IIS-сервер выходит за рамки этой статьи. Но в целом, можно сказать, что целями злоумышленников являются механизмы аутентификации, авторизации и аудита. Вначале взломщик подбирает пароль и пытается попасть в систему как легитимный пользователь. После успешной аутентификации хакер пытается получить доступ к другим ресурсам посредством изменения политики безопасности сервера. И, наконец, потом злоумышленник удаляет следы, поскольку каждое действие пользователя обычно записывается в лог при помощи механизмов аудита.

    Более того, некоторые хакеры осуществляют так называемые «пассивные» атаки, следы от которых обнаружить еще сложнее. Во время пассивной атаки злоумышленник вообще не предпринимает никаких действий, а просто наблюдает за тем, что происходит в системе. Таким образом, детектирование, предупреждение и противодействие подобного рода атакам может быть затрудненно в особенности там, где работают неграмотные администраторы или плохо проработана политика безопасности.

    По сути, IIS представляет собой набор различных WWW-служб, обрабатывающих запросы, которые поступают на различные TCP/IP порты (например, за 80-м портом обычно закреплен протокол HTTP). Перед тем как до ASP.NET дойдут запросы, происходит верификация (аутентификация, авторизация и т. д.) в соответствии с настройками IIS. В IIS есть различные возможности (см. рисунок ниже) для ограничения доступа и запрета некоторых типов запросов.

    Рисунок 1: Средства безопасности в IIS

    Регулирование прав доступа

    IIS позволяет выборочно запрещать или разрешать доступ к файлам, папкам, сайту или серверу. Системный администратор может определять, какой удаленный компьютер может подключаться к IIS, а какой нет. В отношении каждого IP-адреса или DNS-имени можно настроить отдельные ограничительные правила. Допустим, если в коде на ASP.NET есть уязвимость, то, по сути, злоумышленник имеет неограниченный доступ к веб-сайту. Однако если выставить запрет на доступ со стороны IIS, появится следующее сообщение ‘Forbidden: IP address of the client has been rejected (403.6)’ или ‘DNS name of the client is rejected (403.8)’. Соответствующий HTTP-статус будет отражен в журнале. В связи с ограничением прав существуют два термина, касающиеся настройки IIS: IP Restriction и Domain Restriction.

    Запрет на соединение предпочтительнее конфигурировать на как можно более низком уровне в модели OSI.

    Чтобы сконфигурировать политику относительно DNS для разрешения доступ всем, кроме специально указанных адресов, кликните на ‘Edit Feature Settings’. Появится окно ‘IP Address and Domain Restrictions’.

    Рисунок 2: Запрет на доступ определенным клиентам

    Затем вы можете создать правила для определенных хостов или подсетей. Чтобы создать правило, разрешающее доступ для конкретного клиента или подсети, кликните на “Allow Entry” и укажите отдельный IP-адрес или диапазон IP-адресов.

    Рисунок 3: Разрешение на доступ определенным хостам

    MIME предотвращает хранение на сервере неизвестных типов файлов и позволяет загружать только те файлы, которые указаны явным образом. Хотя конфигурационные и информационные файлы обычно не хранятся в корневой директории, если злоумышленник попытается загрузить файл, не разрешенный в настройках, возникнет ошибка 404.3 и HTTP-статус запишется в лог. Если вы хотите разрешить загрузку определенных типов файлов, добавьте новый MIME type, как показано на рисунке ниже.

    Рисунок 4: Добавление нового MIME type

    IIS позволяет настраивать наборы правил для разрешения и запрета определенных типов запросов. Фильтрация позволяет пропускать запросы для определенного пространства имен и жестко интегрирована в систему журналирования событий. Запросы могут фильтроваться по параметрам HTTP-заголовка, расширениям файлов, размеру запроса и подстроке, входящей в URL.

    При фильтрации по параметрам HTTP-заголовка в секции «verbs», например, можно разрешить только GET- или POST-запросы. Следующий набор XML-тегов как раз позволяет отфильтровать HTTP-заголовок по типу запроса (необходимо добавить этот код в конфигурационный файл):

    Другой пример, когда фильтруются запросы, содержащие имена файлов, которые не соответствуют набору правил. Подобные запросы можно разрешить или отклонить. Если запрос отклонен, в лог будет записан статус 404.7. Для фильтрации запросов на основе имен файлов используйте шаблон ниже:

    Запрос также может быть отклонен при превышении определенного размера запроса.

    И последний пример, в котором запросы фильтруются на основе подстрок (в данном случае – «. .»), входящих в URL.

    Настройка пула приложений

    Когда необходимо получить информацию из внешнего источника, может возникнуть конфликт, поскольку довольно сложно разделить между собой пулы веб-приложений. Иначе говоря, код, запущенный внутри одного пула, будет влиять на работоспособность другого пула. Чтобы в некоторой степени предотвратить этот конфликт, в IIS предусмотрена настройка пула приложений. Каждый пул приложений имеет свой конфигурационный файл, которых хранится в папке %systemdriver\inetpub\temp\appPools, и дополнительный идентификатор безопасности (SID), инжектируемый в соответствующий процесс w3wp.exe. Соответственно, каждый конфигурационный файл пула закреплен за своим SID’ом через права доступа.

    Илон Маск рекомендует:  Как убрать подчеркивание у ссылок

    Полная изоляция пулов между собой позволяет исключить возможность влияния вредоносного сайта на соседние пулы, находящиеся на одном сервере. Если один из сайтов будет скомпрометирован, другие останутся защищенными.

    Рисунок 5: Добавление пула приложений

    Используя ISAPI, разработчики часто пишут дополнительные модули, чтобы расширить функционал сервера во время запроса определенного типа файла. Например, сайты на PHP могут работать на IIS-сервере при помощи расширения PHP ISAPI. Соответственно, сайты на ASP.NET (или файлы .aspx) по умолчанию привязаны к расширению ASP.NET ISAPI. Когда клиент запрашивает файл с расширением .aspx, дальнейшая обработка происходит через расширение IIS ISAPI, которое уже определяет, какие дополнительные действия должны быть предприняты.

    В IIS можно запретить или разрешить те или иные расширения ISAPI. Если расширение запрещено, при запросе файла соответствующего типа в лог заносится статус 404.2, поскольку злоумышленник может удаленно внедрить и выполнить вредоносный код. После добавления новых расширений в дальнейшем необходимо провести аудит безопасности сервера. Чтобы добавить расширение, укажите имя фильтра и путь к библиотеке DLL.

    Рисунок 6: Добавление нового расширения

    Хакеры часто проводят DOS-атаки, отправляя на сервер огромные запросы, что в свою очередь может сказаться на размере логов. При помощи логов, например, можно выявить факты неправомерного доступа. В ОС Windows имеет встроенная функция записи в журнал важной информации: время авторизации, попытки подбора пароля и т. д., что является одним из признаков атаки. Для каждого сайта можно настроить систему фиксации событий в формате W3C.

    Рисунок 7: Настройка логов

    В IIS есть возможность оповещения, как для успешных, так и для неудачных попыток входа в систему, чтобы администратор смог быстро обнаружить подозрительную активность.

    Настройка страниц ошибок

    Злоумышленник может получить конфиденциальную информацию о сервере или приложении во время возникновении ошибки. Все дело в том, что если сервер не в состоянии обработать неизвестную фатальную ошибку, то помимо статуса ошибки отображается дополнительная информация, которая может заинтересовать хакера. На рисунке ниже как раз показан такой случай, где злоумышленнику доступно имя пользователя, пароль, IP-адрес сервера, структура базы данных и т. д.

    Рисунок 8: Неудачный пример страницы с ошибкой

    Вместо страницы, показанной выше, для каждого типа ошибки следует привязывать заранее заготовленную страницу, чтобы скрыть конфиденциальную информацию.

    В IIS есть возможность выдачи различных страниц с ошибками для конечных пользователей, администраторов и разработчиков.

    Рисунок 9: Настройка страниц ошибок

    Даже после грамотной настройки IIS не следует забывать о безопасности приложений. В последнее время много внимания уделяется уязвимостям в веб-приложениях: SQL-инъекциям, межсайтовому скриптингу, воспроизведению сессий (session replay), RFI и многим другим. С каждым днем злоумышленники становятся все более изощренными. Таким образом, свои позиции следует защищать со всех фронтов.

    В статье мы рассмотрели способы защиты приложения посредством грамотной конфигурации IIS, включая ограничение доступа по IP-адресу, настройку MIME-Type, фильтрацию запросов, настройку пула приложений, ISAPI и страниц ошибок. Таким образом, на данный момент у вас должно появиться более полное понимание относительно безопасности в целом и в частности относительно настроек, повышающих безопасность IIS.

    Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

    Internet Information Services

    Шаблон:Карточка программы IIS (Internet Information Services, до версии 5.1 — Internet Information Server) — проприетарный набор серверов для нескольких служб Интернета от компании Майкрософт. IIS распространяется с операционными системами семейства Windows NT.

    Основным компонентом IIS является веб-сервер, который позволяет размещать в Интернете сайты. IIS поддерживает протоколы HTTP, HTTPS, FTP, POP3, SMTP, NNTP. По данным компании Netcraft на июнь 2015 года, почти 22 млн сайтов обслуживаются веб-сервером IIS, что составляет 12,32 % от общего числа веб-сайтов. [1]

    Версии IIS Править

    Номер версии Выпущена в составе Год
    1.0 Windows NT 3.51 1995
    2.0 Windows NT 4.0 1996
    3.0 Пакет обновления 3 для Windows NT 4.0 1997
    4.0 Пакет Option Pack для Windows NT 4.0 1998
    5.0 Windows 2000 2000
    5.1 Windows XP Professional 2001
    6.0 Windows Server 2003 2003
    7.0 Windows Vista; Windows Server 2008 2006
    7.5 Windows 7; Windows Server 2008 R2 2009
    8.0 Windows 8; Windows Server 2012 2012
    8.5 Windows 8.1; Windows Server 2012 R2 2013
    10 Windows 10; Windows Server 2020 2015

    Служба WWW в составе IIS Править

    Основным компонентом IIS является веб-сервер — служба WWW (называемая также W3SVC), которая предоставляет клиентам доступ к сайтам по протоколам HTTP и, если произведена настройка, HTTPS.

    Один сервер IIS может обслуживать несколько сайтов (IIS 6.0 и выше). Каждый сайт имеет следующие атрибуты:

    • IP-адрес сайта;
    • TCP-порт, на котором служба WWW ожидает подключений к данному сайту;
    • Заголовок узла (Host header name) — значение заголовкаHost запроса HTTP, указывающее обычно DNS-имя сайта.

    Таким образом, например, один сервер с одним IP-адресом может обслуживать на одном TCP-порту несколько сайтов. Для этого необходимо создать несколько DNS-записей, указывающих на IP-адрес сервера, и различать сайты по заголовкам узла.

    Для каждого сайта указывается домашний каталог — каталог в файловой системе сервера, соответствующий «корню» сайта. Например, если сайту www.example.com сопоставлен домашний каталог D:\example, то на запрос ресурса с адресом http://www.example.com/index.htm веб-сервер вернёт файл D:\example\index.htm.

    Архитектура службы WWW Править

    В IIS 6.0, доступном в составе систем Windows Server 2003, служба WWW претерпела серьёзные изменения. Был добавлен новый режим обработки запросов, называемый режимом изоляции рабочих процессов (Шаблон:Lang-en). В этом режиме все веб-приложения, обслуживаемые сервером, работают в разных процессах, что повышает стабильность и безопасность системы. Кроме того, для приёма запросов HTTP был создан новый драйвер http.sys, который работает в режиме ядра, что ускоряет обработку каждого запроса.

    Все запросы к статическому содержимому, не требующие исполнения скриптов, исполняются самим драйвером http.sys в ядре, что сближает веб-сервер IIS с серверами режима ядра.

    При этом запросы к динамическому содержимому исполняются рабочим процессом и загруженными в его адресное пространство модулями. С точки зрения пути исполнения запросов не существует центрального процесса, что повышает надежность в случае отказа, вызванного ошибкой в скрипте или ином модуле исполнения. Рабочие процессы автоматически перезапускаются при возникновении ошибок.

    Протокол SSL поддерживается отдельным процессом HTTP SSL, который служит мостом между протоколом TCP и драйвером http.sys.

    Безопасность в службе WWW Править

    Веб-сервер IIS предоставляет несколько способов разграничения доступа к сайтам и веб-приложениям. Служба WWW в составе IIS отличается от других веб-серверов тем, что функции обеспечения безопасности в ней тесно интегрированы с системой Windows NT, на основе которой она работает. В частности, чтобы получить доступ к защищённому ресурсу, посетитель должен ввести имя и пароль пользователя, существующего в системе Windows, на которой установлен IIS (или в домене Active Directory, если сервер принадлежит к домену). После этого пользователь работает с сайтом так же, как если бы он выполнил интерактивный вход в систему на сервере. К нему применяются установленные файловой системой NTFS разрешения на доступ к файлам и каталогам. Эта особенность IIS удобна для внутренних сайтов предприятий, однако практически неприменима для открытых сайтов Интернета, где невозможно создавать пользователя Windows для каждого зарегистрированного посетителя сайта. Поэтому в последнем случае разработчикам сайтов и веб-приложений обычно приходится использовать собственные механизмы ограничения доступа.

    Определённый пользователь Windows сопоставляется с каждым посетителем сайта даже в том случае, когда ограничение доступа не требуется. Этот режим называется режимом анонимного доступа. В этом случае посетитель представляется на сервере как специальный пользователь, имя которого обычно имеет формат IUSR_xxxx (где xxxx — имя компьютера, на котором установлен IIS, в седьмой версии этот специальный пользователь не содержит имени компьютера, то есть просто IUSR). Этому пользователю должен быть разрешён доступ к ресурсам, которые открыты анонимным посетителям.

    Начиная с версии 6.0 служба WWW поддерживает следующие методы аутентификации, то есть определения личности пользователя по имени и паролю: [2]

    • Анонимная аутентификация (anonymous authentication) — определение личности пользователя не выполняется.
    • Базовая аутентификация (basic authentication) — имя и пароль передаются по сети открытым текстом.
    • Дайджест-аутентификация (digest authentication) — пароль обрабатывается хеш-функцией перед отправкой по сети, что делает невозможным его прочтение в случае перехвата злоумышленником.
    • Встроенная аутентификация Windows (integrated Windows authentication) — выполняется попытка входа на сервер с теми же учётными данными, под которыми работает браузер пользователя.
    • Аутентификация для доступа к UNC-ресурсам (UNC authentication) — имя и пароль передаются удаленному серверу, на котором находится опубликованный в IIS UNC-ресурс, и удаленный сервер выполняет аутентификацию.
    • Аутентификация с использованием .NET Passport (.NET Passport Authentication) (удалена в Windows Server 2008 и IIS 7.0) [3] — для аутентификации используется служба .NET Passport.
    • Аутентификация с использованием клиентского сертификата (certificate authentication) — для аутентификации пользователь должен предоставить SSL-сертификат.

    Реализация веб-приложений для IIS Править

    Веб-сервер IIS поддерживает несколько различных технологий создания веб-приложений:

    • ASP.NET — разработанная Microsoft технология; для IIS это — основное на сегодняшний день [4] средство создания веб-приложений и веб-служб. IIS 6.0 поставляется вместе с операционными системами, в которые также изначально входит .NET Framework, так что поддержка ASP.NET как будто уже встроена в IIS 6.0; для более ранних версий необходимо отдельно загрузить и установить .NET Framework.
    • ASP — предшествовавшая ASP.NET технология создания динамических веб-страниц на основе сценариев. Входит в поставку IIS начиная с версии 3.0.
    • CGI — стандартная межплатформенная низкоуровневая технология создания динамических веб-страниц.
    • FastCGI — клиент-серверный протокол взаимодействия веб-сервера и приложения.
    • ISAPI — низкоуровневая технология, аналогичная интерфейсу модулей Apache, предоставляющая полный доступ ко всем возможностям IIS, возможность разработки веб-приложений в машинном коде и возможность переопределения части функций IIS и добавления к нему функций, как связанных с генерацией контента, так и не связанных с этим. Подсистема исполнения скриптов ASP и подсистема ASP.NET выполнены как модули ISAPI.
    • SSI — включение в одни страницы текста из других страниц. Строго говоря, веб-приложением не является, поскольку IIS поддерживает лишь ограниченный набор возможностей и без того малофункционального SSI. В частности, IIS5 поддерживает только статическое включение и игнорирует команды условного ветвления.

    Сам сервер поддерживает только CGI, FastCGI [5] , ISAPI и SSI. Все остальные технологии являются надстройками, работающими через CGI, FastCGI или ISAPI.

    При помощи CGI приложения для IIS могут разрабатываться на основе практически любых, в том числе сторонних, инструментов, допускающих запись в стандартный поток вывода и чтение переменных среды — Perl, C/С++ и даже средствами интерпретатора командной строки Cmd.exe.

    Технология ISAPI позволяет, с одной стороны, создавать специальные приложения для IIS, требующие особенно тесного взаимодействия с механизмом сервера, а с другой стороны, является удобной платформой для организации эффективного взаимодействия IIS с другими технологиями разработки веб-приложений — например, PHP и Perl.

    Почтовые возможности Править

    IIS поддерживает работу SMTP/POP3-сервисов. В современных версиях Microsoft Exchange Server реализация протоколов SMTP, POP3 и IMAP выполнена в виде подсистем к IIS, заменяющих поставляемые с IIS почтовые подсистемы.

    Iis защита файлов средствами ntfs

    Эту статью не стоит рассматривать как полноценное руководство по безопасности при настройке Internet Information Services версии 7.x — для того уже существует несколько талмудов, которые описывают предмет нашего разговора во всей его красе. Но не у всякого администратора имеется возможность досконально изучить эти книги, а конфигурировать веб-сервер надо уже сейчас. Поэтому хочется опубликовать краткий обзор мер безопасности, которые необходимо иметь в виду, работая с IIS , некий чек- лист что ли, по которому можно быстро пробежаться, сравнить с требованиями своего проекта и корпоративными гайдами по информационной безопасности.

    Обозначение 7.x означает, что здесь собран материал для обеих версий продукта: IIS 7 , поставляемый с Windows Server 2008 и Windows Vista , и IIS 7.5 , который Вы можете найти в «коробке» от Windows Server 2008 R2 и Windows 7 .

    Все меры, представленные в данной подборке, ни в коем случае не являются ОБЯЗАТЕЛЬНЫМИ. Более того, они могут даже противоречить системным требованиям Ваших веб-приложений. Решение о принятии той или иной меры все таки необходимо выносить в условиях конкретной ситуации. Здесь меры будут носить лишь ОПИСАТЕЛЬНЫЙ характер, чтобы администратор знал — вот здесь еще можно подкрутить ;)

    Все ответы

    Основы безопасности IIS

    Административные меры безопасности IIS

    Максимальное усиление безопасности IIS

    Кратко об Internet Information Services 7.x

    Internet Information Services 7.x — компонент веб-сервиса компании Microsoft для операционной системы Windows Server 2008 (R2) .

    На момент написания данного материала IIS 7.5 является последним в длинной линейке версий IIS . Начиная с версии 6.0, Microsoft в цикле разработки данного продукта решила сосредоточить особое внимание на безопасности и непрерывно следует этому подходу до сих пор. В результате IIS 7.x поставляется с большим количеством изменений по сравнению со своим предшественником и имеет огромное количество новых возможностей, которыми только надо умело пользоваться. IIS 7.x был полностью переработан и сейчас базируется на новой модульной архитектуре. Это означает, что вместо монолитного «черного ящика», который устанавливается по умолчанию и имеет лишь пару дополнительных возможностей, IIS 7.x теперь имеет около 40 отдельных компонентов — так называемых модулей. По умолчанию устанавливаются только самые основные модули; дополнительные же могут быть легко добавлены в случае необходимости. Это помогает значительно уменьшить площадь атаки на сервер, просто потому, что ненужные средства отсутствуют в системе. Модульная архитектура имеет множество преимуществ, и в части безопасности, и в администрировании, и в производительности веб-сервера. Кроме того, IIS 7.x не ограничивает Вас набором предразработанных модулей — пишите свои, если хотите заменить существующие, или есть требование расширить функциональность веб-сервера.

    Iis защита файлов средствами ntfs

    Защита Internet information Server (IIS), Windows Server 2003 Web Edition, правила настройки, обязательные и необязательные службы IIS

    С точки зрения безопасности при установке Internet Information Server для обращения пользователей из Интернета рекомендуется:

    • устанавливать его на специальную версию Windows Server 2003 — Web Edition . Эта версия изначально оптимизирована для работы Web -сервера, значительное число ненужных для работы Web -сервера служб на такой сервер просто установить не удастся. Если такой редакции нет или нужны возможности других версий Windows Server 2003, то настоятельно рекомендуется не устанавливать на этот компьютер другие сетевые службы и приложения ( DNS , службы контроллера домена, Exchange Server , SQL Server и т.п.). Каждое приложение — это дополнительная уязвимость;
    • не делать сервер, на котором стоит IIS , членом основного домена вашей сети. Он должен работать в рабочей группе;
    • для всего контента Web и FTP -сайтов должен использоваться отдельный логический раздел на диске (конечно, отформатированный в файловой системе NTFS ). Это сразу отсекает многочисленный класс проблем, связанных с путями в системе каталогов Web -сервера;
    • с точки зрения сетевых установок: на Web -сервере должен использоваться статический IP -адрес (или несколько IP -адресов). Других протоколов быть не должно. На сервере должен быть установлен только протокол TCP / IP без лишних сетевых компонентов (о службах будет рассказано ниже);
    • Web -сервер должен быть защищен брандмауэром, который должен отсекать весь трафик, кроме необходимого (обычно порт 80 и 443, иногда также порт, используемый для Web -администрирования сервера — он задается при установке). При необходимости должна быть установлена и настроена система IDS (возможно, с дополнительными параметрами, например, защищающая от DDoS -атак путем реконфигурации Web -сервера);
    • лучше, чтобы Web -сервер находился в физически отделенном от остальной сети предприятия сегменте или по крайней мере — в DMZ .

    Конечно же, чем меньше ненужных для работы IIS служб останется на Web -сервере — тем лучше, поскольку каждая служба — это дополнительные уязвимости. Какие службы обязательны для работы IIS :

    • WorldWideWebPublishingService — собственно говоря, это и есть Web -сервер;
    • IISAdminService — необходим для взаимодействия IIS с базой данных настроек;
    • SecurityAccountsManager — обеспечивает информирование о работе базы Security Account Manager , фактически — набор локальных учетных записей и групп и их права;
    • RemoteProcedureCall — служба, обеспечивающий стандартный программный интерфейс для взаимодействия многих компонентов Windows .

    Службы необязательные, но которые могут потребоваться в разных конфигурациях:

    • FTPPublishingService — если Web -сервер используется одновременно как FTP -сервер (по возможности лучше, чтобы файлы качались по протоколу HTTP — проще организовать докачку, защиту и т.п.);
    • SimpleMailTransferProtocol и NetworkNewsTransferProtocol — если функциональность этих протоколов нужна на Web -сервере (обычно для поддержки Web -приложений);
    • NetLogon — эта служба нужна, только если необходима аутентификация пользователей в домене Windows (она обеспечивает обращения к контроллеру домена);
    • RPCLocator — эта служба нужна, если только используется удаленное администрирование Web -сервера стандартными средствами Internet Services Manager (для администрирования через Web -интерфейс такой необходимости нет).

    Все остальные службы IIS не нужны (в том числе и Workstation , которая была необходима IIS в версиях до 5.0 включительно), хотя в некоторых ситуациях (для работы определенных Web -приложений) они могут потребоваться.

    С точки зрения того, какие компоненты IIS необходимо устанавливать, справку следует получить у разработчика Web -приложения. Описание компонентов IIS 6.0 и информацию о том, в каких ситуациях нужен каждый из компонентов, можно получить из статьи TechNet «How To >IIS Protection \ IIS Docs ).

    Неуправляемый Web -сервер (например, установленный «на всякий случай» на компьютере разработчика) — это потенциальная брешь в системе безопасности, поэтому в групповых политиках для Windows 2003 и XP появилась новая возможность — «запретить установку IIS «.

    Пароль защищает файлы на IIS без использования файлов NTFS разрешения

    Мы состоится online сообщает, что клиент будет войти и просмотреть. Отчеты ASP-страниц, потянув необходимые значения из базы данных SQL Server. Доступ клиента детали осуществляется с помощью таблицы в SQL Server.

    В прошлом мы имели один или несколько PDF или другие файлы, что клиент также может потребоваться доступ к онлайн-отчетов. Это были просто загружены в подпапку внутри ASP файлы, папки и ссылки на соответствующие страницы ASP.

    Если бы я хотел, чтобы защитить эти файлы, чтобы убедиться, что пользователь, пытающийся получить доступ к ним, вошедших в систему — существует ли способ сделать это? Я думаю, что файл будет храниться в базе данных. Как другим это удается?

    IIS6 FTP ignores NTFS file permissions?

    In an Intranet environment, I have an FTP server set up for publishing files to websites. A user connected to the production FTP server (allowed) to publish files (allowed) then navigated to a folder that was not hers (allowed) then wrote files there (allowed by FTP, but not by NTFS.)

    Only Administrators and System have rights to Write to that folder, and she’s not an adminstrator through any group.

    Does FTP ignore NTFS securities? How did she write to a site to which she only has read access?

    2 Answers 2

    IIS should honor NTFS permissions. Without being able to look at your ACLs it is very tempting to suspect that you have your permissions setup wrong. It might be useful if you ran cacls on the directory and posted the results.

    What user is the FTP service running as? It may be checking that user’s permission instead of the logged in user. I would expect (but do not know for certain) that a Microsoft FTP server (or one tightly integrated with MS proprietary stuff) would act as the user who logged in, but a third-party one probably would access the files as whatever user runs the service (SYSTEM or LOCAL SERVICE?).

    Not the answer you’re looking for? Browse other questions tagged iis ftp ntfs or ask your own question.

    Hot Network Questions

    Subscribe to RSS

    To subscribe to this RSS feed, copy and paste this URL into your RSS reader.

    site design / logo © 2020 Stack Exchange Inc; user contributions licensed under cc by-sa 4.0 with attribution required. rev 2020.11.11.35402

    Понравилась статья? Поделиться с друзьями:
    Кодинг, CSS и SQL