第 4 章 利用 NTFS 实现文件系统的安全

张书源

本章要点 文件系统的种类和特点 NTFS 权限设置 NTFS 压缩 NTFS 加密

4.1 文件系统概述文件系统是操作系统在存储设备上保存数据所用的结构和机制。

文件系统以磁盘或分区为单位建立，一个磁盘或分区中只能使用一种文件系统。

常见文件系统有 FAT(FAT16) 、 FAT32 、 NTFS 、 CDFS( 只用于光盘 )等。

4.1.1 FAT 文件系统卷 ( 磁盘或分区 ) 最大值为 4GB 。

可识别的操作系统：所有操作系统，包括 MS-DOS 、 Windows 系列、 UNIX 、 Linux 等。

目前多用在软盘上。

存在的主要问题：

1 、支持的卷容量太小；

2 、空间浪费严重；

3 、缺乏安全保护能力。

07.9.27 05 专 (1 、 2) 15

4.1.2 FAT32 文件系统卷的容量从 512MB 到 2TB 。 (Windows 2003 只支持512MB 到 32GB)

可识别的操作系统： Windows 系列、部分版本的UNIX 、 Linux 。

目前多用在使用多重操作系统的计算机上。

存在的主要问题：

1 、不太适合大容量的磁盘卷（ 32GB 以上）；

2 、缺乏安全保护能力。

4.1.3 NTFS 文件系统卷的最大容量为 2TB 。

可识别的操作系统： Windows 2000/XP/2003 等。

存在的主要问题：

Windows 98 、 UNIX 、 Linux 等系统不支持 NTFS ；

NTFS 文件系统的主要特点1 、磁盘空间利用率高，簇的最大大小为 64KB 。

2 、支持的最大分区为 2TB 。

3 、支持对分区、文件夹、文件的压缩。

4 、支持对分区、文件夹、文件设置访问权限。

5 、支持对分区、文件夹、文件的加密。

6 、支持磁盘配额管理。

7 、只能被 Windows 2000/XP/2003 等系统识别。

磁盘文件系统的设置

方法一：在格式化磁盘时选择文件系统。

这种方法会导致磁盘中原有信息全部丢失。

方法二：在重装系统时将 FAT 或 FAT32 分区转换为NTFS 分区。

只要在重装系统时没有格式化磁盘，这种转换不会影响磁盘中原有的内容。

方法三：使用 Convert 命令把 FAT 或 FAT32 分区转换为 NTFS 分区。

如：打开“开始 | 运行”，输入命令 convert D:/fs:ntfs 就可以把 D 盘转换为 NTFS 系统。

这种转换不会影响磁盘中原有内容。

说明：通常只能将 FAT 或 FAT32 系统转换为 NTFS 系统，不能将 NTFS 系统转换成 FAT 或 FAT32 系统。如果必须转换，一般需要重新格式化磁盘。

4.2 NTFS 文件系统 NTFS 权限的设置 NTFS 权限的应用规则 NTFS 所有权 NTFS 压缩 NTFS 加密

4.2.2 NTFS 权限的设置权限分为共享权限和 NTFS 权限两种。共享权限只影响网络访问者， NTFS 权限既影响网络访问者也影响本地访问者。

NTFS 权限可以为驱动器、文件夹、注册表键值、打印机等进行设置。

权限可以配置给用户或组，不同用户或组对同一个文件夹或文件可以有不同的权限。

普通权限普通权限包括：

(1) 完全控制

(2) 修改

(3) 读取和运行

(4) 读取

(5) 写入

特别权限遍历文件夹 / 运行文件

列出文件夹 / 读取数据

读取属性

读取扩展属性

创建文件 / 写入数据

创建文件夹 / 附加数据

写入属性

写入扩展属性

删除

读取权限

修改权限

获得所有权

普通权限往往是若干种特别权限的组合。

所以普通权限可作为权限的粗略设置，特别权限可作为权限的精确设置。

权限的优先顺序每种权限都有“允许”和“拒绝”两种设置方法。

权限的来源有“直接设置”和“继承”两种。

如果权限的设置出现矛盾，系统按下面的优先顺序确定权限：

直接设置的拒绝→直接设置的允许→继承的拒绝→继承的允许

如：某文件夹继承了上层文件夹对某用户设置的允许“完全控制”权限，管理员为它添加了一个拒绝“删除”权限。则该用户对此文件夹可进行除删除外的其它所有操作。

NTFS 权限设置方法在对象（文件、文件夹或卷等）上单击右键，选择“共享和安全”（或“属性”），选择“安全”选项卡；

在上方的列表中列出的是有权访问该对象的用户和组，当选中一个用户或组时，在下方列出的是该用户或组的权限。

“添加 / 删除”按钮可在用户列表中添加 / 删除用户或组。

权限的高级设置允许父项的…：允许权限的继承。默认是选中的。

用在此显示的…：将更改的权限传播给子对象，使所有子对象与该对象的权限一致。默认是不选中的。

查看或设置特别权限选择“高级”设置中的一个权限项目，单击“编辑”按钮，可看到该项目的特别权限设置。

4.2.3 NTFS 权限的应用规则1 、权限的组合

如果一个用户同时属于多个组，而各个组对同一个文件有不同的权限，则这个用户得到的是各个组的累加权限。

2 、权限的继承

新建的文件或文件夹会自动继承上一级文件夹或驱动器的 NTFS 权限。

继承的权限是灰色的，不能更改，只能添加权限。比如在原来的允许上添加拒绝，就相当于消除了此权限。

3 、移动、复制对权限继承性的影响

(1) 在同一分区内移动文件或文件夹，权限保持不变。在不同分区间移动文件或文件夹，权限继承新位置的权限。

(2)复制文件或文件夹，权限会继承新位置的权限。

(3) 把文件或文件夹移动或复制到 FAT 分区中时权限会丢失。

4 、共享权限和 NTFS 权限

共享权限只有三种：读取、更改和完全控制。

共享权限只对网络访问的用户有效， NTFS 权限对本地用户和网络用户都有效。

网络用户的权限是共享权限和 NTFS 权限的交集。

“ 共享”选项卡： 共享权限：

Windows 2003 的默认共享权限是 Everyone 读取；

Windows 2000 的默认共享权限是 Everyone 完全控制。

5 、 NTFS 所有权

每个在 NTFS 分区上的文件和文件夹都有“所有权”属性。默认情况下，所有权归属于创建该文件或文件夹的用户。 所有权可以在

“高级”设置中的“所有者”选项卡中进行设置。

拥有所有权的用户可以更改该文件或文件夹的权限。

4.2.4 NTFS 权限设置问题几点说明：

权限最好以组为单位进行设置，这样可方便扩展。

拥有所有权的用户可以更改权限，所以权限对这种用户的限制能力有限。

管理员可以抢夺其他用户文件的所有权，所以也能随意变更权限的设置。

哪些人可以变更一个文件或文件夹的权限？

1 、拥有该文件夹或文件夹的所有权的用户。

2 、虽然没有所有权，但拥有“更改权限”这种特别权限的用户。

Administrators( 管理员 ) 组的用户可以抢夺其他用户的文件所有权，所以他们在抢夺了所有权后也可以更改权限。

如何修改继承的权限？方法一：修改上一层文件夹的权限。

这种方法会扩大权限的更改范围，不推荐使用。

方法二：用添加的允许增加权限，用添加的拒绝减小权限。

这种方法会使权限设置变得复杂，难以理解，不推荐使用。

方法三：删除所有继承的权限，用明确指定的方式重新设置权限。

删除继承权限的方法：

去除“允许父项的继承…”复选框，单击“应用”按钮，可以删除所有继承的权限，只保留明确指定的权限。

如何抢夺所有权？只有两种人员可以抢夺所有权：

1 、 Administrators( 管理员 ) 组的用户；

2 、拥有“获得所有权”这一特别权限的用户。

权限设置举例某文件夹，所有者为 Administrator ，权限设置要求：

1 、 Administrators 组：完全控制

2 、 User1 组：可读、可写、不能删除、不能修改文件属性

3 、 User2 组：只读

1 、如果该文件夹的所有者不是 Administrator ，应该先变更所有者。

2 、删除所有继承的权限，并删除所有无关的用户和组。

3 、在列表中添加 User1 组和 User2 组。（注：这两个组必须已经存在。）

4 、为 Administrators 、 User1 、 User2 组指派权限。

所有权：

如果需要同时变更文件夹内的对象所有权，应选中“替换子容器及对象的所有者”。

删除继承的权限：

添加用户：

设置 User1 组的权限：

粗略设置 精确设置

设置 User2 组的权限：

思考题：

1 、如果该文件夹设置为共享， User1 和 User2 的共享权限均设置为“完全控制”，则他们在网络访问时的实际权限是什么？

2 、如果 User1 的共享权限设置为“读取”， User2 的共享权限设置为“更改”，则他们在网络访问时的实际权限是什么？

4.2.5 NTFS 压缩利用压缩功能可节省一定的磁盘空间。

压缩可以在文件、文件夹或卷 ( 驱动器 ) 上进行。

压缩方法：

在对象上单击右键，选择“属性”；单击“常规”选项卡中的“高级”按钮；选中“压缩”属性，单击“确定”；设置压缩范围后，用“确定”关闭对话框。

说明：

NTFS 压缩不同于 .rar 、 .zip 等压缩方式，它不需要专门的软件，只要是在 NTFS 卷上就能进行。

NTFS 压缩后的文件在使用上与压缩前完全一样，不需要解压。

NTFS 压缩相当于一种文件属性，解压缩时只需去除该属性即可。

07.10.11 05 专 (1 、 2) 18

4.2.6 EFS 加密加密文件系统 (EFS) 是 NTFS 文件系统的一个组件。可用于 Windows 2000/XP/2003 等系统 (Windows XP Home 不支持 EFS) 。

加密可以在文件、文件夹上进行。

加密方法：

在对象上单击右键，选择“属性”；单击“常规”选项卡中的“高级”按钮；选中“加密”属性，单击“确定”；设置加密范围后，用“确定”关闭对话框。

说明：

EFS 加密是针对用户账户的，不需要密码。

EFS 加密后的文件在使用上与加密前完全一样，不需要解密。但只有用该帐户登录才能使用，其他用户 ( 包括管理员 ) 都不能访问。

EFS 加密与 NTFS 压缩不能同时使用。加密文件不能共享。

如果删除帐户或重装系统，将导致该用户加密的文件都无法打开，所以删除帐户或重装系统前应先解密。

加密的文件夹仍可被其他用户打开并查看目录列表，只是无法打开文件。所以把 NTFS 权限和加密结合使用才能更好的保护文件。

5.4 磁盘配额管理磁盘配额只能在 NTFS 卷上使用。

磁盘配额以卷 ( 驱动器 ) 为单位进行。

磁盘配额的用途是：

1 、限定各个用户可使用的磁盘容量；

2 、查看各个用户的磁盘使用量。

注：用户的磁盘使用量是指该用户拥有所有权的文件所占的磁盘空间大小。

只有管理员才有权管理磁盘配额。

1 、磁盘配额的启用打开资源管理器 (我的电脑 ) ，在想要启用磁盘配额的分区上单击右键，选择“属性”，选择“配额”选项卡。设置好各项参数后，即可启用磁盘配额。

说明：

磁盘配额限度：指定允许用户使用的磁盘空间大小；

警告级别：向用户发出“空间将不足”警告的数值。

拒绝将磁盘空间给超过配额限制的用户：如果选中此项，则用户只能使用限定的磁盘空间；如果未选中此项，则当用户配额用完时，仍能继续获得磁盘空间。此时磁盘配额的用途只是为了监测各用户的磁盘使用量。

说明：

启用磁盘配额后，除了管理员组的成员外，各个新增用户都将受到默认配额项的限制。

2 、磁盘配额的查看与设置单击“配额”选项卡中的“配额项”按钮，可以查看和设置各个用户的磁盘配额。

如果想要变更某用户的配额设置，可双击该用户的配额项。

这个设置只对该用户起作用，对其它用户的配额设置没有影响。

所以“配额”选项卡中的设置可看作是对所有用户起作用的通用设置，这里的设置是对个别用户的单独设置。

实验四 NTFS 文件系统 预习实验内容：

1 、 NTFS 权限 2 、 NTFS 加密

3 、 NTFS 压缩 4 、 NTFS 磁盘配额管理

基本要求：

1 、设置 NTFS 权限和 NTFS 特别权限。

2 、更改继承的权限和文件所有权。

3 、加密文件夹。

4 、压缩文件夹。

5 、设置用户的磁盘配额。