NTFS安全性最高
创新互联公司专业为企业提供项城网站建设、项城做网站、项城网站设计、项城网站制作等企业网站建设、网页设计与制作、项城企业网站模板建站服务,10余年项城做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。
影响文件安全性的主要因素,第一是人为因素,即由于人们有意或无意的行为,而使文件系统中的数据遭到破坏或丢失;第二是系统因素,即由于系统的某部分出现异常情况,而造成对数据的破坏或丢失,特别是作为数据存储介质的磁盘,在出现故障或损坏时,会对文件系统的安全性造成影响;第三是自然因素,即存放在磁盘上的数据,随着时间的推移将可能发生溢出或逐渐消失。为了确保文件系统的安全性,可针对上述原因而采取以下措施:
(1)通过存取控制机制来防止由人为因素所造成的文件不安全性。
(2)通过磁盘容错技术,来防止由磁盘部分的故障所造成的文件不安全性。(见4.5.5独立磁盘冗余阵列(RAID)技术)
(3)通过“后备系统”来防止由自然因素所造成的不安全性。
文件系统对文件的保护常采用存取控制方式进行,所谓存取控制就是不同的用户对文件的访问规定不同的权限,以防止文件被未经文件主同意的用户访问。
1.存取控制矩阵
理论上存取控制方法可用存取控制矩阵,它是一个二维矩阵,一维列出计算机的全部用户(进程),另一维列出系统中的全部文件,矩阵中每个元素Aij是表示第i个用户对第j个文件的存取权限。通常存取权限有可读、可写、可执行以及它们的组合如表5-12所示。
存取控制矩阵在概念上是简单清楚的,但实现上却有困难。当一个系统用户数和文件数很大时,二维矩阵要占很大的存储空间,验证过程也费时。
2.存取控制表(文件能被访问的用户)
存取控制矩阵由于太大而往往无法实现。一个改进的办法是按用户对文件的访问权力的差别对用户进行分类,由于某一文件往往只与少数几个用户有关,所以这种分类方法可使存取控制表大为简化。UNIX系统就是使用这种存取控制表方法,它把用户分成三类:文件主、同组用户和其它用户,每类用户的存取权限为可读、可写、可执行以及它们的组合。在用ls长列表显示时每组存取权限用三个字母RWX表示,如读、写和执行中那一样存取不允许则用“-”字符表示,用$ls -l长列表显示ls文件如下:
-r-xr-xr-t 1 bin bin 43296 May 13 1997 /opt/K/SCO/Unix/5.0.4Eb/bin/ls
显示前2-10共9个字符表示文件的存取权限,每3个字符为一组,分别表示文件主、同组用户和其它用户的存取权限。
由于存取控制表对每个文件将用户分类,所以该存取控制表可存放在每个文件的文件控制块(即目录表目)中,对UNIX它只需9位二进制来表示三类用户对文件的存取权限,它存在文件索引节点的di_mode中。
3.用户权限表(能力表:用户能访问的文件)
改进存取控制矩阵的另一种方法是以用户或用户组为单位将用户可存取的文件各集中起来存入一表,这称为用户权限表,表中每个表目表示该用户对应文件的存取权限,如表5-13所示。这相当于存取控制矩阵一行的简化。
3、保护域
保护域就是将访问控制权限一样的文件和对象组织成一个域,每个域的控制独立于其他域,每个用户必须在一定的域中才能访问文件或对象,否则不能访问对象或文件。
------------------------------------------------------------------------------------------------------------------------------------------------------
文件备份
文件系统中不论硬件和软件都会因电源中断和变化,用户粗野和不慎的操作而发生损坏和错误,所以为使至关重要的文件系统万无一失,应对保存在辅存中的文件采取一些保险措施,这些措施中最简便方法是“定期转储(备份)”,使一些重要的文件有多个副本。
文件备份分为逻辑备份和物理备份,逻辑备份是以文件为单位的备份,物理备份是以字节或数据块备份的,物理备份的是整个磁盘的数据。
1.分级备份
为了使备份更有效,可将备份分为几个等级,最低级备份级是全量转储,它将文件存储器中所有文件都保存起来,由于全量转储的信息量大,对大系统要费时数小时,转储时系统必须仃止向用户开放,所以全量转储的时间间隔相对较长。为了防止在二次全量转储之间信息丢失,在二次全量转储间又要排了增量转储,增量转储是将前一段时间内修改过的文件和新文件保存起来。
Windows 2000可以实现以下几种类型的备份:
常规备份:这种备份方式将拷贝所有选定的文件,且将其标记为已经备份状态。常规备份时,用户仅需要备份文件的最近一次副本用以恢复所有的文件。
增量备份:这种备份方式只备份那些自从上一次常规或增量备份后创建的或改动的文件,且将其标记为已经备份。如果用户将常规备份与增量备份结合起来使用,则需要最后一次常规备份集合和所有的增量备份集合以便于用来恢复数据。
差异备份:这种备份方式将拷贝那些自从上一次常规或增量备份后创建的或改动的文件,但不将文件标记为已经备份。如果用户结合使用常规备份和差异备份,那么需要最后一次常规备份集合和最后一次差异备份集合以用于恢复数据。
拷贝备份:这种备份方式将拷贝所有选定的文件,但不将文件标记为已经备份。拷贝对于常规备份和增量备份之间的文件备份而言十分有用,因为它不影响其他备份操作。
日常备份:这种备份方式则是拷贝在实施日常备份的当天被改动的选定文件。备份文件不标记已备份状态。
在备份之间数据改动量巨大或为其他备份种类提供基准时,常规备份是最好的。增量备份最适宜于记录频繁改动的数据过程。差异备份简化了恢复文件时的过程。用较少的介质实施长期存储时,用户可使用常规备份与增量或差异备份相结合的方式。
安全一直是IT部门关注的重点,微软也通过不断聆听客户的声音将一些好的创新应用到Windows Server的最新版本中,而且使它们部署起来更加方便。所有这些现象背后是微软对一些关键技术的改进,如NTFS的改进以及对旧版本BIOS的替换以提供新的安全功能。一句话概括就是Windows Server 2012点亮了Windows在企业中的安全之路。
简化的DirectAccess
IT部门一直宣称要采用一体化的企业远程访问机制,但至今都没有在企业安全需求和用户使用便捷之间找到平衡点。DirectAccess,这个最早出现在Windows Server2008和Windows 7 中的功能,通过将VPN作为网络后台组件(类似于自动配置DHCP的 IP地址)来满足这一需求。
使用DirectAccess的问题在于安装和排错。微软用户访问网关,IPv6以及加密问题都可能导致整个部署失败。
Windows Server 2012在安全性方面已经通过将DirectAccess划归为远程访问服务器角色中的选项而大大降低了复杂性和部署成本,现在DirectAccess和VPN拥有相同的选项复选框。对DirectAccess的设置也都集成到远程访问管理控制台中。
DirectAccess的向导首先检查先决条件,并建立网络位置服务器,IP-HTTPS和IPv6转换服务,如NAT64。如今,由IPv6带来的烦恼已经大大减少。以前的部署需要查阅几十页的文档。现在,整个部署只需要一个向导,这对于DirectAccess的部署是非常有帮助的。
文件安全性的巨大提升
在将所有文件转到SharePoint后,有关文件,文件服务器和文件权限的问题仍然是持续改进的方向,单纯的增加一台Web服务器并不能完全阻止安全威胁。开始时,文件服务器中的服务器消息块(SMB)协议的版本较低,到了Windows Server 2012,它已经升级到SMB 3.0。
SMB 3.0不仅在性能上大大提升,以充分利用最新的网络。此外它还集成了数据加密。这里的加密并不像IPSec那样对每一个数据包都进行加密,这不但增加了实施和排错的压力,而且很少人有愿意承担。相反,它是文件或文件夹级别的加密。SMB 3.0使用AES-CCM加密和AES-CMAC签名。
启用加密只需要简单的勾选一个复选框就可以完成。需要注意的是,使用加密的客户端和服务器都必须支持SMB 3.0,这就意味着只有Windows Server 2012和Windows 8之间才能进行这种加密连接,这种对客户端的要求可能会需要一些时间。如果环境中所有的客户端上没有全部安装最新的操作系统,请不要启用加密,因为这会让旧版本的客户端无法访问。
动态访问控制(DAC)是另一种针对文件级权限的安全技术。今天的IT环境中对文件的访问来自于不同类型的设备,访问文件的用户更是跨越多个作业类型和组织。访问控制的要求也不再局限在防火墙内测,它已经延伸到Internet。
DAC的目的是解决由NTFS升级和文件服务带来的最新挑战。DAC在标准的文件和共享权限上增加了一层,它可以通过策略控制文件权限,文件权限中的组成员关系和标签可以混合使用。将Active Directory联合服务和通过权限管理服务(RMS)进行的身份管理结合起来,便可以将权限扩展的内部网络之外。
这种基于声明的系统能够进行访问控制,审计和加密。例如,在一个文件上的标签可以触发策略自动加密文件。一个标签也可以允许其它组成员访问,如RD用户和特别项目组的成员。这对于那些有监管要求的访问控制,以及文件权限控制都非常有帮助。
这种控制也可以定义到设备级别,对于那些已经整合移动设备或者已经实施BYOD的公司来说,这真是太棒了。当系统按照用户身份,设备身份认证和策略进行定义时,文件权限的概念将更多地集中在策略的排列顺序上,而对于以前那种用户在不同用户组中产生权限冲突的情况,则越来越少。访问被拒绝的提示信息也得到了升级。现在,你可以自定义用户收到的消息内容,甚至可以将用户的访问请求也整合进去。
启动安全有保障
现在,即使在最基础的层面Windows也会得到保护。BIOS引导(BIOS boot strapper)技术已经被统一可扩展固件接口(UEFI)所替代,管理员可以利用它来进行安全引导。在某些芯片中,这项技术饱受有争议,因为它将锁定操作系统。对于Linux用户来说,这是一个麻烦,但对于企业IT人员来讲,它阻止了从未经授权的固件,驱动程序和操作系统中进行启动级别攻击的风险。
BitLocker功能的一个持续改进就是网络解锁模式,它可以通过域中的受信计算机通过网络连接来解锁BitLocker加密的驱动器。你也可以在安装Windows之前对驱动器进行加密,部署也因此变得更容易。此外,更改密码和PIN码不再需要管理员权限凸显了使用的便捷性。通过只加密已经使用的空间可以大大提高系统性能,并减少了因加密那些没有使用的空间而进行的不必要的等待。
Windows Server 2012在安全性方面的改进令人印象深刻。在这些改进中,有很多创新的理念,如DirectAccess以及NTFS中基于声明的访问模式等等。这些创新对于你的数据中心来说都是非常值得采用的。
单击“添加角色和功能”,进入到“选择服务器角色”界面,勾选“文件服务器”与“文件服务器资源管理器”,在弹出的对话框中单击“添加功能”按钮,最后单击“下一步”按钮。
2.安装文件服务器后,在服务器管理器中单击“文件和存储服务”选项,在出现的界面中单击“共享”选项,然后选择“任务”“新建共享”命令。
3.打开“为此共享选择配置文件”界面,本例我们选择“SMB共享-高级“单选钮,单击“下一步”按钮。
4.打开“选择服务器和此共享的路径”界面,选择“键入自定义路径”单选钮,然后单击右侧的“浏览”按钮,在弹出的对话框中选择要共享的文件夹,设置好共享路径后单击“下一步”按钮。
5.打开“指定共享名称”界面,设置文件夹共享名称,然后单击“下一步”按钮。打开“配置共享设置”界面,参照图中所示进行设置,然后单击“下一步”按钮。
6.打开“test的高级安全设置”对话框,这里我们先禁用继承的权限,再手动添加权限。首先单击“禁用继承”按钮,在弹出的对话框中单击“从此对象中删除所有已继承的权限”按钮。
7.打开“test的权限项目”界面,单击“选择主体”选项,在弹出的对话框中选择要设置权限的用户,然后单击“确定”按钮。在“test的权限项目”界面中勾选用户对应的权限。
8.打开“将配额应用到文件夹或卷”界面,选择“不应用配额”单选钮,暂时不启用配额,然后单击“下一步”按钮。打开“确认选择”界面,确认配置信息无误后,单击“创建”按钮即可。
扩展资料:
在Windows XP或Windows Server 2003系统中,对于设置为共享属性的文件夹而言,默认情况下可以被所有拥有访问权限的用户在“网上邻居”窗口中看到。其实可以将这些共享文件夹隐藏起来,从而只能通过UNC路径访问这些共享文件夹。
实现这一目的比较简单,只需在文件夹的共享名后加上$符号即可。例如将文件夹“文档”的共享名设置为“文档$”,则在“网上邻居”窗口中是看不到被隐藏的共享文件夹的,只有通过UNC路径才能看到。这样一来,共享文件夹的安全性则多了一份保障。
德国政府发言人斯蒂芬·赛贝特表示,媒体披露的“天堂文件”曝光了“避税天堂”的税收结构、操作模式和服务对象,德国政府对此表示欢迎。他说,此举将为全球税收改革提供动力,以增加税收透明度、打击“避税天堂”。
国际调查记者联盟5日曝光了大量“天堂文件”。据悉,近百家媒体通过调查金融服务公司和离岸公司注册机构的1340万份文件,披露了数百个知名公司、政客和名流的离岸利益,以及通过专业律师帮助避税的行为。
德国财政部和内政部表示,希望已获得“天堂文件”的媒体与政府共享信息,以帮助政府完善税制,调查德国的非法逃税者。
德国司法部长海科·马斯则要求欧盟惩治“天堂文件”所披露的公司和个人,采取更多措施打击“避税天堂”。
