سیستم پرونده NT مجموعه ای از عملکرد ، قابلیت اعتماد و سازگاری را مهیا می کند که در سیستم پرونده FAT یافت نمی شود .
این سیستم طوری طراحی شده که اعمال پوشه استاندارد از جمله خواندن ، نوشتن و جستجوی و حتی اعمال پیشرفته ای چون بهبود سیستم پوشه را بر روی فضای زیادی از دیسک به سرعت انجام می دهد .
با فرمت کردن یک نسخه با سیستم پرونده NTFS و چندین پوشه دیگر و یک جدول پوشه اصلی (MFT ) ایجاد می شود که شامل اطلاعاتی راجع به تمام فایل ها و پوشه های موجود در نسخۀ NTFS می باشد .
اولین اطلاعات بر روی نسخۀ NTFS ، بخش راه اندازی سیستم است که از 0 شروع شده و می تواند تا 16 نیز ادامه یابد .
اولین پوشه بر روی نسخۀ NTFS ، جدول پوشه اصلی است ( MFT ) .
شکل زیر طرحی از یک نسخۀ NTFS را نشان می دهد در زمانی که فرمت کردن به پایان رسیده.
این بخش اطلاعاتی راجع به NTFS را در بر دارد .
عناوین مورد بحث شامل عناوین زیر است :
بخش راه اندازی سیستم NTFS
جدول پرونده اصلی NTFS (MFT )
انواع پرونده های NTFS
ویژگی های فایل NTFS
فایل های سیستم NTFS
چندین جریان دادۀ NTFS
فایل های فشرده NTFS
فایل های رفرشده EFS ، NTFS
استفاده از EFS
دستور اینترنال EFS
ویژگی EFS
پی آمدهای EFS
فایل های یدکی NTFS
قابلیت بازیافت و تمامیت دادۀ NTFS
سیستم پرونده NTFS شامل ویژگی های امنیتی مورد نیاز برای سرورهای فایل و کامپیوترهای شخصی گران قیمت در یک محیط متحد است .
سیستم پرونده NTFS همچنین کنترل دستیابی به داده و امتیاز مالکیت را که برای تمامیت داده های مهم بسیار حائز اهمیت است را حمایت می کند .
هنگامی که پوشه های به اشتراک گذاشته بر روی یک کامپیوتر با ویندوز NT دارای مجوزهای خاص هستند ، فایل ها و پوشه های NTFS بدون به اشتراک گذاشتن می توانند مجوز داشته باشند .
NTFS تنها فایل بر روی ویندوز NT است که به شما این امکان را می دهد که مجوز ها را برای فایل های اختصاصی تعیین کنید.
سیستم پرونده NTFS یک طرح ساده اما در عین حال قدرتمند دارد .
اساساً ، هر چیزی بر روی نسخۀ یک فایل است و هر چیزی در یک فایل ، یک ویژگی است ، از ویژگی داده ، تا ویژگی امنیتی و ویژگی نام فایل .
هر بخش در نسخه NTFS که اختصاص یافته باشد به یک فایل متعلق است .
حتی سیستم پرونده متادیتا ( اطلاعاتی که به تنهایی سیستم پرونده را توصیف می کند ) نیز بخشی از یک فایل است .
تازه های NTFS5 (WINDOWS 2000 )
رمزگذاری سیستم رمزگذاری فایل ( EFS ) ، فن آوری رمزگذاری فایل هسته ای را مهیا می کند که فایل های رفر گذاری شده را بر روی نسخه های NTFS ذخیره می کنند .
EFS فایل ها را از دسترس مزاحمان دور نگه می دارد ، کسانی که ممکن است دسترسی غیر مجاز به داده های ذخیره شده نفوذ پذیر را پیدا کنند .
سهمیه های دیسک ویندوز 2000 از سهمیه های دیسک برای نسخه های NTFS پشتیبانی می کند .
شما می توانید از سهمیه های دیسک برای بازبینی و محدود کردن فضای دیسک استفاده کنید .
مراحل تجزیه دوباره مراحل تجزیه دوباره ؛ موارد جدیدی در NTFS هستند که می توانند برای فایل ها و پوشه های NTFS به کار برده شوند .
یک فایل یا پوشه که شامل مرحلۀ تجزیه دوباره است نیاز به رفتارهای اضافی دارد که در سیستم پرونده اصلی وجود ندارد .
مراحل تجزیه دوباره فایل توسط بسیاری از ویژگی های انبار جدید در ویندوز 2000 مورد استفاده قرار می گیرد که شامل مراحل تنظیم نسخه است .
مراحل تنظیم نسخه مراحل تنظیم نسخه ، موارد جدیدی از NTFS هستند .
بر اساس مراحل تجزیه دوباره ، مراحل تنظیم نسخه اجازه پیدا می کنند که دستیابی به ریشۀ یک نسخه محلی را به ساختار پروندۀ یک نسخۀ محلی دیگر پیوند دهند .
فایل های یدکی فایل های یدکی به برنامه ها امکان ایجاد فایل های بسیار بزرگتر را می دهند اما فضای دیسک را فقط به حدی که لازم است مصرف می کنند .
ردیابی لینک توزیع شده NTFS یک سرویس ردیابی لینک را مهیا می کند که از میان برهای فایل به خوبی لینک های OLE در پوشه های مرکب نگهداری می کند .
بخش راه اندازی سیستم
جدول 1-5 بخش راه اندازی یک نسخۀ فرمت شده با NTFS را نشان می دهد .
زمانی که شما یک نسخۀ NTFS را فرمت می کنید ، برنامۀ فرمت اولین 16 بخش را به بخش راه اندازی و بخش خود راه انداز اختصاص می دهد .
جدول 1-5 بخش راه اندازی NTFS
بر روی نسخه های NTFS فیلدهای داده که از BPBپیروی می کنند BPB توسعه یافته را شکل می دهند .
داده بر روی این فیلدها Ntldr را قادر به پیدا کردن جدول فایل اصلی می کند .
در شروع ویندوز .
بر روی نسخه های NTFS ، MFT در بخش از پیش تعریف شده واقع نشده ، همچون نسخه های FAT32 ، FAT16 .
به همین خاطر ، MFT می تواند انتقال داده شود ، اگر یک بخش بد در این محل نرمال وجود داشته باشد .
با این وجود اگر داده معیوب باشد ، MFT نمی تواند تعیین مکان کند و ویندوز NT / 2000 وانمود می کند که نسخه فرمت نشده است .
مثال های زیر بخش راه اندازی یک نسخۀ فرمت شده NTFS را در حین اجرای ویندوز 2000 نشان می دهد .
نتیجه چاپی در این سه بخش فرمت شده است :
بایت های 0A×0-00×0 هدایت پردازنده به بخش دیگر برنامه و OEM ID هستند .
بایت های 53×0-0B×0 ، BPB ، BPB توسعه یافته هستند .
کد باقیمانده ، کد خود راه انداز و انتهای نشان گر بخش است .
جدول زیر فیلدهای موجود در BPB ، BPB توسعه یافته بر روی نسخه های NTFS نشان می دهد .
فیلدها درB×0 ، 0D×0 ،15×0، 18×0 ، 1A×0 ، 1C×0 آغاز می شوند و بر روی نسخه های FAT16 ، FAT32 هماهنگ می شوند .
نسخه های ساده با داده های این مثال مطابقت می کنند .
نام فیلد (رشته )
بایت در بخش
هر بخش در هر دسته
بخش های ذخیره شده
همیشه 0
توسط NTFS استفاده نمی شود
توصیف گررسانه
هر بخش در هر مسیر
تعداد شبکه
بخش های نهان
توسط NTFS استفاده نمی شود
توسط NTFS استفاده نمی شود
بخش های کلی
تعداد دسته های اصلی برای پوشه
MFT
تعداد دسته های اصلی برای پوشه
MFT Mirr
هر دسته در هر بخش ثبت فایل
هر دسته در هر گروه فهرست
شماره سریال نسخه
حفاظت از بخش راه انداز
به خاطر این که یک سیستم عمل کننده برای دستیابی به یک نسخه به بخش راه انداز تکیه می کند ، پیشنهاد می شود شما ابزارهای اسکن دیسک همچون chkdsk را مرتب اجرا نمایید .
علاوه بر تهیه کپی پشتیبانی از تمام فایل ها برای حفاظت در برابر از دست دادن داده ها ، اگر نمی توانید به یک نسخه دست یابید .
جدول پوشه اصلی ( MFT ) NTFS هر فایلی بر روی نسخۀ NTFS توسط یک مدرک ( رکورد ) در یک فایل خاص به نام جدول پوشه اصلی ( MFT ) نمایش داده می شود .
NTFS ، اولین 16 ثبت از جدول را برای اطلاعات خاص ذخیره می کند .
اولین ثبت از این جدول خود جدول فایل اصلی را شرح می دهد که با یک ثبت کپی MFT دنبال می شود .
اگر اولین ثبت MFT خراب شد ، NTFS برای پیدا کردن فایل کپی ، همانی که اولین ثبت همانند اولین ثبت از MFT است ، اولین ثبت را می خواند .
محل قرار گرفتن بخش های داده برای هر دو فایل کپی MFT ، MFT در بخش راه انداز ثبت شده است .
یک کپی از بخش راه انداز در مرکز اصلی دیسک قرار می گیرد .
سومین ثبت از MFT فایل ثبت است (Log ) که برای بازیافت فایل مورد استفاده قرار می گیرد .
هفدهمین ثبت و ثبت های زیر از جدول فایل اصلی برای هر فایل و فهرستی هستند .
مثالی ساده از ساختار MFT جدول فایل اصلی مقدار شخصی از فضا را برای هر ثبت فایل در نظر می گیرد .
ویژگی های هر فایل در بخش مشخص شده در MFT نوشته می شود .
فایل ها و فهرست های کوچک ( به ویژه 1500 بایت یا کوچکتر ) مثل فایلی که در شکل بعد نشان داده شده می توانند در درون ثبت جدول فایل اصلی قرار بگیرند .
شکل 2-5 ثبت MFT برای فهرست یا فایل های کوچک این طرح به دسترسی فایل سرعت می بخشد ، در نظر بگیرید ، برای مثال ، سیستم پرونده FAT را که برای فهرست کردن نام ها و آدرس های هر فایل از جدول تعیین فایل استفاده می کند .
ورودی فهرست FAT شامل یک فهرست به جدول تعیین فایل است .
زمانی که شما بخواهید یک فایل را مشاهده کنید ، ابتدا FAT جدول اختصاصی فایل را می خواند و مطمئن می شود که چنین جدولی وجود دارد .
سپس FAT ، فایل را با استفاده از جستجوی زنجیر اتحادهای اختصاصی که برای فایل در نظر گرفته شده ، باز می یابد .
با NTFS به سرعت فایل را پیدا می کند، فایل برای استفادۀ شما آماده است .
مدارک فهرست درست مثل ثبت فایل درداخل جدول پوشه اصلی واقع شده اند .
به جای داده ها ، فهرست ها شامل اطلاعات فهرست می باشند.مدارک فهرست کوچک در ساختار MFT جای دارند .
فهرست های بزرگتر به شاخه های B سازمان دهی شده اند ، در حالی که دارای ثبت هایی با اشاره گر به دسته های خارجی هستند که شامل ورودی فهرست هایی است که نمی توانند در ساختار MFT جای گیرند .
انواع فایل های NTFS ـ ویژگی های فایل NTFS ـ فایل های سیستم NTFS ـ چندین جریان دارۀ NTFS ـ فایل های فشرده NTFS ـ فایل های رفرشده NTFS ـ استفاده از EFS ـ دستور EFS ـ ویژگی EFS ـ پی آمدهای EFS ـ فایل های یدکی NTFS ویژگی های فایل NTFS سیستم فایل NTFS هر فایل یا پوشه را همچون یک مجموعه از ویژگی های فایل مشاهده می کند .
عناصری مثل نام فایل اطلاعات امنیتی آن و حتی داده های آن فایل ، همه ویژگی های فایل هستند .
هر ویژگی توسط یک کد نوع ویژگی و نام ویژگی مشخص می شود .
زمانی که ویژگی های یک فایل می تواننددرثبت MFT جای گیرند .
آنها ویژگی های مستقر دارند .
برای مثال اطلاعاتی مثل نام فایل و نشان زمان همیشه در ثبت فایل MFT جای دارند .
زمانی که تمام اطلاعات یک فایل برای جای گرفتن در ثبت فایل MFT بسیار بزرگ هستند ، بعضی از ویژگی های آن مستقر نمی شوند .
ویژگی های غیر حاضر یک یا بیشتر دسته های فضای دیسک را در هر جایی بر روی نسخه تعیین می کنند .
NTFS برای توصیف محل تمام ثبت ویژگی ها ، یک لیست ویژگی ( مشخصات ) را ایجاد می کند .
جدول 3 ـ5 تمام مشخصات فایل را توسط سیستم فایل NTFS فهرست می کند .
این فهرست توسعه پذیر است ، به این معنی که دیگر خصوصیات فایل ها می توانند در آینده تعریف شوند .
جدول 3-5 خصوصیات فایل تعریف شده توسط NTFS جریان ابزار ثبت شده شبیه جریان داده هاست اما عملیات درست مثل تغییرات داده های NTFS در فایل ثبت NTFS ، ضبط می شوند .
این توسط EFS مورد استفاده قرار می گیرد .
فایل های سیستم NTFS NTFS شامل چندین فایل سیستم است .
تمام آنهایی که بر روی حجم NTFS از دید پنهان هستند .
یک فایل سیستم ، فایلی است که توسط برای ذخیره داده های آن و اجرای سیستم فایل استفاده می شود .
فایل های سیستم بر روی حجمی واقع شده اند .
جدول 4-5 داده های ذخیره شده در جدول فایل اصلی چندین جریان داده NTFS NTFS چندین جریان داده را پشتیبانی می کند ، جایی که نام جریان یک ویژگی جدید داده را بر روی فایل مشخص می کند .
یک دستگیره می تواند به روی هر یک از جریان داده ها باز شود .
پس یک جریان داده مجموعه ای از خصوصیات فایل است .
این ویژگی به شما این امکان را می دهد که داده را به عنوان یک واحد مجزا مدیریت کنید .
مثال زیر یک جریان متفاوت است : یک مجموعه از فایل ها ممکن است در جایی وجود داشته باشند که در آنجا فایل ها به عنوان جریان های متفاوت تعریف شده باشند .
مانند مثال زیر : یک فایل می تواند همزمان با بیشتر از یک برنامه کاربردی همراه شود مانند : مایکروسافت ورد و مایکروسافت ورد پد .
برای مثال : ساختار یک فایل مانند نمونه زیر یک همکاری فایل را نشان می دهد اما نه برای چندین فایل : برای ایجاد یک جریان داده متفاوت ، در اعلان دستور می توانید دستوری چون مثال زیر را تایپ کنید .
Echo .
text > program : sowrce – file More مهم هنگامی که شما یک فایل NTFS را به یک حجم FAT کپی می کنید مثل فلاپی ، جریان داده و دیگر ویژگی ها که توسط FAT پشتیبانی نشده اند از دست می روند .
فایل های فشرده NTFS ویندوز NT / 2000 ، فشرده سازی را بر روی فایل های فردی ، پرونده ها و کل حجم NTFS حمایت می کند .
فایل هایی که بر روی یک حجم NTFS فشرده می شوند ، می توانند توسط هر برنامه کاربردی ویندوز خوانده و نوشته شوند .
بدون این که اول توسط یک برنامه دیگر ناهم فشرده شوند .
زمانی که یک فایل خوانده می شود ناهم فشرده سازی به طور خود کار رخ می دهد وقتی که فایل بسته یا ذخیره می شود دوباره فشرده می شود .
فایل ها و پرونده های فشرده زمانی که در ویندوز اکسپلورر مشاهده می شوند ویژگی C را دارند .
تنها NTFS می تواند شکل فشرده ی دیتا را بخواند زمانی که یک فایل کاربردی مثل Microsoft word یادستور اجرایی سیستم مثل copy درخواست دسترس به فایل را می کند ، راه انداز فیلتر فشرده قبل از این که آن را در دسترس بگذارد آن را ناهم فشرده می کند .
برای مثال اگر شما یک فایل فشرده ویندوزNT /2000 دیگر را به یک پرونده فشرده بر روی دیسک خود کپی کنید ، فایل زمانی که خوانده می شود ، از حالت فشرده خارج می شود ، کپی می شود و سپس هنگام ذخیره دوباره فشرده می شود .
این فشرده سازی بسیار شبیه عمل کاربردی ویندوز 98 است با یک تفاوت مهم ـ عملکرد محدود شده نخستین حجم یا حجم اصلی را فشرده سازی در NTFS برای حمایت از اندازۀ دسته های تا اندازۀ KB4 است .
زمانی که سایز دسته بیشتر از 4 کیلو بایت است ، هیچ از عملکردهای فشرده سازی NTFS در دسترس نیست .
هر جریان داده NTFS شامل اطلاعاتی است که نشان می دهد آیا هیچ یک از بخش ها فشرده شده است یا خیر .
با فرم های فشرده شده منحصر به فرد توسط مجراها تشخیص داده می شوند .
اگر مجرایی وجود نداشته باشد ، NTFS برای پیدا کردن و پر کردن مجرا به طور خود کار قبلی را فشرده می کند .
سیستم رمز گذاری فایل ـ EFS .
پرونده های و پوشه های رمز گذاری شده .
سیستم رمزگذاری فایل فن آوری رمز گذاری فایل هسته ای را مهیا می کند که برای ذخیره سازی فایل های موجود در حجم NTFS استفاده می شوند .
کاربران همانطور که به هر فایل و پروندۀ دیگری کار می کنند با فایل ها و پوشه های رمز گذاری شده نیز کار می کنند .
رمز گزاری برای کاربری که فایل را رمز داده است ، ناپیدا نیست .
تیم زمانی که کاربردسترسی به فایل داردبه طورخود کار فایل یا پرونده را کشف رمز می کند .
زمانی که فایل ذخیره شد ، رمز گذاری اجرا می شود .
کاربرانی که مجاز به دستیابی به فایل ها و پرونده های رمز گذاری شده نیستند ، به طور پنهانی پیغام " دستیابی ممنوع شد " را دریافت می کنند .
اگر سعی در بازکردن ، کپی ، انتقال یا تغییر نام فایل رمز گذاری شده داشته باشند .
پیغام دقیق ممکن است بستگی به برنامه کاربری داشته باشد که سعی در دستیابی به فایل دارد زیرا این به حق کاربر برای فایل مربوط نیست بلکه به توانایی EFS در کشف رمز فایل با استفاده از رمز اختصاصی کاربر بستگی دارد .
EFS مزیت های زیر را داراست : 1 ـ برای کاربر و هر برنامه کاربردی پنهان است .
در فراموش کردن رمز گذاری فایل و ترک داده بدون محافظت ، هیچ خطری برای کاربر وجود ندارد .
یک فایل یا پرونده که رمز گذاری شده ، در پشت زمینه بدون کشف متقابل با کاربر رمز گذاری می شود .
کاربر لازم نیست که برای کشف رمز فایل ها ، رمز را به خاطر بسپارد .
2 ـ امنیت اصلی قوی : در مغایرت با دیگر راه حل ها ، زمانی که کلیدها بر اساس حروفی هستند که کاربر وارد می کند ، EFS کلیدهای تولید می کند که با دیکشنری هماهنگ است .
3 ـ تمام فرآیندهای فشرده سازی و نا هم فشرده سازی در حالت شالوده اجرا می شوند ، به استثنای خط رها کردن کلید در صفحه بندی فایل از جایی که می توانسته احتمالاً استخراج شود .
4 ـ EFS مکانیسم بازیافت داده را فراهم می کند که در تجارت با ارزش است ، برای ذخیره داده ها موقعیتی به آن می دهد اگر کسی که آن را رمز گذاری کرده ، شرکت را ترک کرده باشد .
EFS ـ سیستم رمز گذاری فایل : فایل ها و پرونده های رمز گذاری شده کاربر می تواند خصوصیات EFS را از طریق ویندوز اکسپلورر و یا با استفاده از خط دستور که exe .
ciphn نام دارد ، درخواست نماید .
برای استفاده از ویندوز اکسپلورر برای رمز گذاری فایل ، مشخصه فایل را با راست کلیک کردن بر روی نام فایل باز کنید .
بر روی دکمۀ Advance کلیک کرده ، خصوصیات Advance باز خواهد شد که به شما این امکان را می دهد که فایل را به عنوان یک فایل رمزگذاری شده علامت بزنید .
قبل از ذخیرۀ تنظیمات جدید ویندوز به کاربر این امکان را می دهد که فقط فایل یا کل پرونده را رمزگذاری کند .
که پیامد مهمی را به دنبال دارد .
زمانی که فایل به تنهایی می تواند حفاظت شود، برنامه کاربردی که فایل را باز می کند ممکن است در زمان کار با پوشه کپی های موقت از فایل را ایجاد کند .
اعمال درونی EFS EFS برای حفاظت از فایل ها درترکیب با فن آوری کلید عمومی از رمز گذاری متناسب کلیدی استفاده می کند .
دادۀ فایل با الگوی متناسب رمزگذاری شده است .
کلیدی که در رمزگذاری متناسب استفاده شده کلید رمز فایل نام دارد ( FEK ) .
FEK در چرخش خودش با یک الگوریتم کلید اختصاصی/عمومی رمزگذاری شده و همراه فایل ذخیره شده .
علت استفاده از دو الگوی متفاوت سرعت رمزگذاری است .
گنجایش عمل یک الگوریتم متناسب برای رمزگذاری مقدار زیادی اطلاعات بسیار زیاد است .
الگوریتم متناسب برای رمزگذاری حجم زیادی از اطلاعات 1000 بار سریع تر است .
به عنوان گام اول در رمزگذاری فایل ، NTFS یک فایل ثبت را به نام EFSO ایجاد می کند .
که به عنوان یک فایل رمزگذاری شده در پرونده اطلاعات حجم سیستم بر روی همان درایو قرار دارد .
پس EFS نیاز به دستیابی به محتویات Cryploapl دارد که از مهیا کننده رمز نویس اصلی مایکروسافت استفاده می کند.
با باز شدن محتویات رمز EFS کلید رمزگذاری فایل را تولید می کند ( FEK ) .
گام بعدی گرفتن جفت کلید اختصاصی است ، اگر آن در این مرحله وجود نداشته باشد ، EFS یک جفت جدید را تولید می کند .
EFS برای رمزگذاری FEK از الگوریتم 1024-bitRSA استفاده می کند .
پس EFS برای کاربر رایج ، فیلد رمزگشایی داده را ایجاد می کند ( DDS ) که جایی که FEK را قرار داده و آن را با کلید عمومی رمزگذاری می کند .
اگر عامل بازیافت توسط قوانین سیستم تعریف شده باشد EFS همچنین فیلد بازیافت داده ( DRF ) را ایجاد می کند و FEK رمزگذاری شده را با کلید عمومی عامل بازیافت در آنجا قرار می دهد .
برای هر عامل بازیافت تعریف شده یک DRA جدا ایجاد می شود .
لطفاً توجه کنید که در ویندوز XP ، هیچ عامل بازیافتی تعریف نشده بنابراین این مرحله حذف می شود .
حالا یک فایل موقت EFSO.tmp در همان پرونده به عنوان فایلی که قبلاً رمزگذاری شده ایجاد می شود .
محتویات فایل اصلی بعد از آنکه فایل اصلی با داده رمزگذاری شده دوباره نوشته می شود ، به فایل موقت کپی می شود .
به طور پیش فرض ، EFS برای رمزگذاری داده فایل از الگوریتم DESX به همراه کلیه 128 بایت استفاده می کند اما ویندوز نیز می تواند برای استفاده از الگوریتم 3DES قویتر به همراه کلید 168 بایت پیکربندی شود .
در این مورد استفاده از الگوریتم های موافق باید با قوانین LSA مطابقت کند .
EFS برای تشخیص اینکه از DESX استفاده می شود یا از 3DES ، از پایگاه داده استفاده می کند .
اگر HKLMXSYSTEM\Current\Control set\Control\LSA\EipsAlgorithmPolicy=1 پس از 3DES استفاده می شود .
اگر نه EFS .
HKLM\Software\Microsoft\Windows NT\Currentversioul EFS\Algorithm ID را چک می کند ، اگر حضور داشت ، CAIG-3DES یا CAIG-DESX را دارد ، در غیر این صورت از DESX باید استفاده شود .
پس از اینکه رمزگذاری انجام شد ، فایل های موقت و ثبت حذف می شوند .
پس از رمزگذاری فایل تنها کاربرانی که DDE یا DRF وابسته را دارند می توانند به فایل دسترسی پیدا کنند .
این مکانیسم از معنی امنیتی رایج جداست .
فایل باید به همراه کلید عمومی کاربر ، FEK رمزگذاری شده را نیز داشته باشد .
تنها کاربرانی که با استفاده از کلید اختصاصی خود توان رمزگذاری FEK را داشته باشند می توانند به فایل دست یابند .
نتیجه این است که کاربر که به فایل دسترسی پیدا می کند می تواند آن را رمزگذاری کند و بنابراین مانع از دسترسی صاحب آن می شود .
در ابتدا برای کاربری که فایل را رمزگذاری کرده ، تنها یک DDF ایجاد می شود اما بعداً می تواند به حلقۀ کلیدها کاربران دیگر را هم اضافه کند .
در این مورد EFS می تواند به آسانی FEK را با استفاده از کلید اختصاصی کاربری که می خواهد به فایل کاربر دیگر دسترسی پیدا کند ، رمزگشایی کند .
فرایند رمزگشایی برخلاف رمزگذاری است : ...
در ابتدا این مورد را کنترل می کند که آیا کاربر کلید اختصاصی دارد که با EFS استفاده شود یا نه .
اگر دارد ، آن کلید ویژگی های EFS را می خواند و در میان حلقه DDE به دنبال DDE می گردد برای کاربر رایج .
اگر DDE پیدا شد ، کلید اختصاصی کاربر برای رمزگشایی FEK استخراج شده از DDE استفاده می شود .
با استفاده از FEK رمزگشایی شده ، EFS داده فایل را رمزگشایی می کند .
باید به این مورد توجه شود که هرگز تمام فایل رمزگشایی نمی شود اما نسبتاً توسط بخش هایی از آن است که مدل بالاتر بخش خاصی را درخواست می کند .
فرایند بازیافت شبیه رمزگشایی است به جز این مورد که برای رمزگشایی FEK از کلید اختصاصی عامل بازیافت در DRE استفاده می کند نه در DDF .
قوانین DRA برای ویندوز 2000 و ویندوز XP متفاوت عمل می کند .
به طور پیش فرض در ویندوز 2000 بر روی کامپیوتر ها کنترل کننده سیستم به قوانین کلید عمومی به عنوان عامل بازیافت داده های رمزگشایی شده اضافه می شود .
بنابراین زمانی که کاربر فایل را رمزگذاری می کند ، هر دو زمینه DRF و DDF ایجاد می شود .
اگر DRA آخر نیز حذف شود ، تمام عملکرد EFS پایان می یابد و دیگر امکان رمزگذاری فایل وجود ندارد .
ویژگی EFS زمانی که NTFS فایل را رمزگذاری می کند ، کدها را نیز رمزگذاری کرده برای فایل و ویژگی EFS را برای فایل در جایی که DDFS و DDRS را ذخیره می کند ، ایجاد می کند .
این ویژگی در NTFS خصوصیت IO=0×100 را دارد و می تواند بر اساس تعداد DDES و DRFS هنگام کپی کردن از 0.5K تا چندین کیلو بایت ، بسیار طولانی شود .
اینجا نمونه ای از ویژگی EFS با جزئیات بیشتر شرح داده شده : ـ اندازه ویژگی EFS ـ SID کامپیوتر و شماره کاربر که پرونده را که در آن EFS تأییدیه را ذخیره می کند مشخص می کند .
برای گرفتن نام پرونده ، EFS بعضی مشابهت را به وجود می آورد : داده در EFS ذخیره شده 5A56 ……… ذخیره شده به دهدهی تبدیل می شود پیشوند SID اضافه می شود بنابراین پوشه خواهد بود : %User Profile % \ Applicatin Data\ Microsoft \Crypto\RSA\S-1-5-21-2025018970-693384732-167712168-12321 ـ اثر شست کلید عمومی ـ راهنمای کلید اختصاصی ( همچنین به عنوان نام محافظ استفاده می شود ) .
اگر در ویژگی EFS فقط یک DDF وجود داشته باشد ، نام محافظ می تواند EFS نشان داده شود ، اما به محض اینکه کاربران بیشتری به فایل اضافه شوند ، راهنمای PK برای تمام آنها ذخیره نشده و باید بر اساس اثر کلید عمومی از انبار تأییدیه دوباره بازیافت شود .
ـ نام مهیا کننده رمزساز = مهیا کننده رمزساز مایکروسافت V.I.O ـ FEK رمزگذاری شده .
معمولاً FEK در 128 بایت طول می کشد اما از زمانی که با 1024 بایت کلید RSA رمزگذاری شده ، طول رمزگذاری نیز 1024 بایت است .
نتایج همراه با EFS فایل موقت پاک نشده است .
زمانی که EFS فایل را رمزگذاری می کند ، محتویاتش را به فایل مخفی موقت به نام EFSO.tmp در همان پرونده ، به عنوان فایل رمزگذاری شده، کپی می تواند .
پس EFS متن ساده را با بلاک ها رمزگذاری کرده و داده ها رابه فایل اصلی می نویسد .
پس ازاینکه فرایند انجام شد ، فایل موقت حذف می شود .
مشکل اینجاست که EFS به آسانی آن را بدون پاک کردن محتویاتش پاک می کند .
که دستیابی به داده حفاظت نشده را از طریق Low-Level data recovery software like Active @ Undelete آسان می کند .
راه حل آن نیز ـ پاک کردن فضای خالی دیسک است .
حتی اگر متن ساده دوباره نوشته شده و اثر مغناطیسی کوچک قابل آشکار سازی باقی بماند ، بنابراین شانس خواندن داده های پاک شده را با تجهیزات درست به آن می دهد .
برای به حداقل رساندن این امکان ، از نرم افزار در دسترس تجاری برای تهیه ZDelete.net یا data erasing algorithm like active@eraer پیشرفته استفاده کنید .
در پرونده رمزگذاری شده اسامی فایل حفاظت نشده است .
در واقع رمزگذاری محتویات پوشه به معنای به کارگیری خودکار رمزگذاری برای تمام فایل ها در پرونده است نه رمزگذاری فهرست داده ها به تنهایی .
از زمانی که فایل می تواند اطلاعات حساس رادربرمی گیرد ، می تواند در امنیت یک قانون شکنی به حساب آید .
یکی از راه حل ها استفاده از آرشیو Zip رمزگذاری شده به جای پرونده هاست که با ویندور XP تقریباً همانند پرونده ها رفتار می کند .
بنابراین ، فقط یکی از فایل ها برای رمزگذاری لازم است و خود داده های آرشیو شده برای شکاف برداشتن سخت ترند .
ویندوز از تمام کلیدهای اختصاصی محافظت می کند با رمزگذاری آنها از طریق سرویس مخزن حفاظت شده .
مخزن خفاظت شده تمام کلیدهای اختصاصی را رمزگذاری کرده ، از کلید اصلی 512 بایت استنتاج کرده و آنها را در %User profile % \Application Data\Microsoft\Crypto\RSA\UserSID ذخیره می کند .
کلید اصلی توسط کلید رمزگذاری کلید اصلی که از رمز کاربر توسط استفاده از رمز وابسته به نقش استخراج کلید استنتاج شده ، رمزگذاری می شود و در %User profile % \Application Data\Microsoft\Protect\UserSID ذخیره می شود .
برخلاف تلاشها ویندوز از کلیدها محافظت می کند .
این واقعیت که تمام اطلاعات در کامپیوتر محلی ذخیره شده ، به مهاجمی که قصد دستیابی به درایو را دارد ، شانس نمایش کلیدها و استفاده از آنها در رمزگشایی داده های حفاظت شده را می دهد .
امنیت کلی می تواند توسط رمزگذاری کلیدهای اختصاصی به همراه کلید سیستم عمدتاً افزایش یابد .
برنامه سودمند Syskey.exe می تواند برای ذخیره کلید سیستم بر روی فلاپی و پاک کردن آن از کامپیوتر مورد استفاده واقع شود .
در این مورد کاربر باید از زمانی که سیستم بالا می آید ، یک دیسکت را با کلید سیستم وارد کند .
اگر چه که این روش باید با احتیاط انجام شود زیرا اگر دیسکت گم شود ، راهی برای دستیابی به کامپیوتر وجود ندارد .
فایل های یدکی NTFS یک فایل یدکی ویژگی دارد که باعث می شود زیر سیستم I/O تنها به داده های معنی دار اختصاص یابد .
دادۀ غیر صفر بر روی دیسک اختصاص دارد ولی دادۀ بی معنی این طور نیست .
زمانی که فایل یدکی خوانده می شود ، دادۀ اختصاص یافته همانطور که ذخیره شده بود باز می گردد .
دادۀ اختصاص نیافته باز می گردد ، به طور پیش فرض به عنوان 0 .
NTFS جریان دادۀ یدکی را باز می ستاند و فقط دیگر داده ها را به عنوان اختصاص یافته نگه می دارد .
زمانی که یک برنامه به یک فایل یدکی دست می یابد ، سیستم پرونده ها ، دادۀ اختصاص یافته را به عنوان داده واقعی جاری می کند و داده ها به عنوان صفر باز می ستاند .
NTFS شامل حمایت کامل فایل یدکی برای هر دو فایل فشرده و غیر فشرده می باشد .
NTFS اعمال روی فایل های یدکی را از طریق برگرداندن دادۀ اختصاص یافته و دادۀ یدکی ، می خواند .
اگر چه که NTFS کل مجموعه داده ها را به طور پیش فرض بر می گرداند اما این امکان وجود دارد که یک فایل یدکی را به عنوان دادۀ اختصاص یافته و گروهی از داده ها خواند ، بدون بازیافت کل مجموعۀ داده ها .
با مجموعه ویژگی های فایل های یدکی ، سیستم پرونده ها می تواند داده از هر جایی در فایل بازستاند و زمانی که یک برنامه کاربردی در حال اجراست ، دادۀ صفر را به جای ذخیره کردن و بازگرداندن آن به دادۀ واقعی ، واگذار می کند .
وجه مشترک برنامه کاربردی سیستم پرونده ها به فایل این امکان را می دهد که به عنوان بایت واقعی کپی یا برگردانده شود .
نتیجه ویژه دستیابی مؤثر مخزن سیستم پرونده هاست .
شکل بعد نشان می دهد که چطور داده یا بدون مجموعه ویژگی فایل یدکی ذخیره می شود .