Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Sistemas de Arquivos Um sistema de arquivos é a estrutura em que os arquivos são nomeados, armazenados e acessados. O Microsoft® Windows® oferece suporte a três tipos de sistemas de arquivos em discos rígidos: FAT (file allocation table, tabela de alocação de arquivos) FAT32 (32-bit file allocation table, tabela de alocação de arquivos de 32 bits) Sistema de arquivos NTFS (Windows NT File System, sistema de arquivos do Windows NT) É importante que você compreenda como os sistemas de arquivos funcionam; assim, poderá selecionar aqueles mais adequados ao seu ambiente e a suas tarefas. Além disso, você deve saber como gerenciar arquivos e pastas e proteger arquivos particulares e confidenciais. Ao escolher um sistema de arquivos FAT, FAT32 ou NTFS, leve em consideração os recursos e as funções associados a ele. Além disso, você deve considerar as limitações, como tamanho máximo do volume, tamanho de clusters, tamanho de arquivos e compatibilidade com outros sistemas operacionais. Observação: O termo volume é usado neste módulo como referência aos volumes básicos (isto é, partições em um disco básico) e volumes dinâmicos. Para o Windows XP Professional, o NTFS é o sistema de arquivos indicado. O NTFS oferece suporte a recursos importantes, como compactação de arquivos, um nível maior de segurança e formatação de volumes com tamanhos muito grandes, para ser compatível com a tecnologia de discos mais recente. Você pode converter facilmente os volumes de FAT ou FAT32 em NTFS ao atualizar para o Windows XP Professional. Todos os dados em volumes FAT ou FAT32 existentes serão gravados nos novos volumes NTFS. Atenção: Depois de converter um volume em NTFS, você não pode convertê-lo de volta em FAT ou FAT32 sem formatá-lo. Usando FAT ou FAT32 O FAT é o sistema de arquivos usado pelo Microsoft MS-DOS® e pelas versões posteriores do Windows. O FAT32 foi introduzido com o Microsoft Windows 95 OSR2. O Windows XP Professional oferece suporte a FAT e FAT32. As principais diferenças entre o FAT e o FAT32 são: Tamanho do volume, Tamanho do cluster e Sistemas operacionais com suporte. O FAT funciona melhor em discos pequenos com estruturas de pastas simples. O FAT32 funciona bem em discos maiores com estruturas de pastas mais complexas. A tabela a seguir compara o FAT e o FAT32. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Sistema de Arquivos NTFS O NTFS é um sistema de arquivos disponível no Windows NT, Windows 2000, Windows 2003, Windows 2008, Windows XP, Vista e Seven (7). Ele não está disponível em outras versões dos sistemas operacionais Windows e oferece desempenho e recursos não encontrados no FAT ou FAT32. O NTFS oferece: Confiabilidade: O NTFS usa informações de arquivos de log e pontos de verificação para restaurar a consistência do sistema de arquivos quando o computador é reiniciado. No caso de um erro de setor defeituoso, o NTFS remapeia dinamicamente o cluster com o setor defeituoso e aloca um novo cluster para os dados. Ele também marca o cluster como defeituoso e não o usa mais. Mais segurança: Os arquivos do NTFS usam o Encrypting File System (EFS, sistema de arquivos com criptografia) para proteger arquivos e pastas. Se ativado, os arquivos e as pastas podem ser criptografados por um ou vários usuários. As vantagens da criptografia são a confidencialidade e a integridade dos dados, que podem protegê-los contra modificação acidental ou mal-intencionada. O NTFS também permite que você defina permissões em um arquivo ou uma pasta. Elas podem ser Somente leitura, Leitura e gravação ou Sem acesso. Gerenciamento aperfeiçoado de crescimento do armazenamento: O NTFS oferece suporte ao uso de cotas de disco. Elas permitem especificar a quantidade de espaço em disco disponível para os usuários. Ao ativar as cotas de disco, você poderá rastrear e controlar o uso do espaço em disco. Você pode determinar se os usuários têm permissão para exceder seus limites e também pode configurar o Windows XP Professional para registrar um evento quando um usuário exceder um nível de aviso ou limite de cota especificado. Com o NTFS, você pode facilmente criar espaço extra em disco por meio da compactação de arquivos, da extensão de volumes ou da montagem de uma unidade. A compactação de arquivos será abordada posteriormente neste módulo. Suporte a volumes de grande capacidade: Teoricamente, você pode formatar um volume com até 32 exabytes usando o NTFS, que também oferece suporte a arquivos de maior tamanho e a um número maior de arquivos por volume do que o FAT ou FAT32. O NTFS também gerencia o espaço em disco com eficiência por meio do uso de clusters menores. Por exemplo, um volume NTFS com 30 GB usa clusters de 4 KB. O mesmo volume formatado com FAT32 usa clusters de 16 KB. O uso de clusters menores reduz o espaço desperdiçado em discos rígidos. Quando o NTFS foi introduzido com o Windows NT, os usuários continuaram a formatar os volumes do sistema e de inicialização com FAT. No caso de uma falha de inicialização, um disquete inicializável pelo MS-DOS poderia ser usado para ajudar a solucionar o problema. Entretanto, com o Windows XP Professional, não é mais necessário usar o FAT para volumes do sistema e de inicialização, pois o Windows XP Professional oferece duas ferramentas de solução de problemas projetadas para acessar volumes NTFS: Modo de segurança: Neste modo, o Windows XP Professional é iniciado com o carregamento apenas do conjunto básico de drivers de dispositivo e serviços do sistema. Console de recuperação: Este é um ambiente especial de linha de comando que permite copiar arquivos do sistema do CD do sistema operacional, corrigir erros e solucionar problemas do sistema sem instalar uma outra cópia do sistema operacional. Para converter FAT ou FAT32 para NTFS utilize o Gerenciamento de Disco ou use o prompt de comando: convert letra_da_unidade: /FS:NTFS UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Sistemas Operacionais Proprietários Introdução às permissões de NTFS O Windows só fornece as permissões de NTFS nas partições NTFS formatadas. Para proteger arquivos e pastas nas partições NTFS, conceda as permissões de NTFS a cada conta de usuário ou grupo que precisa acessar o recurso. As permissões explícitas devem ser concedidas aos usuários para o acesso a recursos. Se nenhuma permissão for concedida, a conta de usuário não poderá obter acesso ao arquivo ou pasta. A segurança do NTFS será efetiva se um usuário obtiver acesso a uma pasta ou arquivo no computador ou através da rede. Lista de controle de acesso O NTFS armazena uma lista de controle de acesso (ACL) com cada arquivo e pasta em uma partição NTFS. A ACL contém uma lista de todas as contas de usuário, grupos e computadores aos quais foi concedido acesso para o arquivo ou pasta, além do tipo de acesso permitido. Para que um usuário acesse um arquivo ou pasta, a ACL deve conter uma entrada, chamada entrada de controle de acesso (ACE), para a conta de usuário, grupo ou computador ao qual o usuário pertence. A entrada deve permitir especificamente o tipo de acesso que o usuário está solicitando, para que ele consiga acessar o arquivo ou pasta. Se não existir nenhuma ACE na ACL, o Windows negará o acesso do usuário ao recurso. Permissões de NTFS Use as permissões de NTFS para especificar os usuários, grupos e computadores que podem acessar arquivos e pastas. As permissões de NTFS também determinam o que os usuários, grupos e computadores podem fazer com o conteúdo do arquivo ou pasta. Permissões de NTFS de pasta Conceda permissões de pasta para controlar o acesso aos arquivos,pastas e subpastas contidos nessa pasta. A tabela a seguir lista as permissões de NTFS padrão de pasta, que podem ser concedidas, e o tipo de acesso fornecido por cada uma delas. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Permissão de NTFS de pasta Permite que o usuário Read (Ler) Visualize os arquivos e as subpastas da pasta e os atributos, a propriedade e as permissões dessa pasta. Write (Gravar) Crie novos arquivos e subpastas na pasta, altere seus atributos e visualize as permissões e a propriedade dessa pasta. List Folder Contents (Listar o conteúdo da pasta) Visualize os nomes dos arquivos e subpastas da pasta. Read & Execute (Ler e executar) Percorra as pastas e execute as ações permitidas pelas permissões Read e List Folder Contents. Modify (Modificar) Exclua a pasta e execute as ações autorizadas pelas permissões Write e Read & Execute. Full Control (Controle total) Altere as permissões, aproprie-se, exclua as subpastas e os arquivos, e execute as ações autorizadas por todas as permissões de NTFS de pasta. Permissões de NTFS de arquivo Conceda permissões de arquivo para controlar o acesso a arquivos. A tabela a seguir lista as permissões de NTFS de arquivo, que podem ser concedidas, e o tipo de acesso que cada uma delas fornece aos usuários. Permissão de NTFS de arquivo Permite que o usuário Read Leia o arquivo e visualize os atributos, a propriedade e as permissões desse arquivo. Write Substitua o arquivo, altere seus atributos e visualize a propriedade e as permissões desse arquivo. Read & Execute Execute aplicativos e realize as ações autorizadas pela permissão Read. Modify Modifique e exclua o arquivo e execute as ações permitidas pelas permissões Write e Read & Execute. Full Control Altere as permissões, aproprie-se e execute as ações permitidas por todas as outras permissões de NTFS de arquivo. Importante: Quando você formata uma partição com o NTFS, o Windows concede automaticamente a permissão Full Control à pasta raiz para o grupo Everyone. Por padrão, esse grupo terá controle total sobre todos os arquivos e pastas criadas na pasta raiz. Para restringir o acesso a usuários autorizados, você deve alterar as permissões padrão para pastas e arquivos criados. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Como o Windows aplica permissões de NTFS Várias permissões de NTFS Herança de permissões de NTFS Copiando e movendo arquivos e pastas Discussão em sala de aula: Aplicando permissões de NTFS Por padrão, quando você concede permissões a usuários e grupos para uma pasta, eles obtêm acesso às subpastas e aos arquivos contidos nela. E importante compreender como as subpastas e os arquivos herdam as permissões de NTFS das pastas pai, de modo que você possa usar a herança para propagar permissões para arquivos e pastas. Se você conceder permissões a uma conta de usuário individual ou a um grupo do qual o usuário é participante de um arquivo ou pasta, esse usuário terá várias permissões para o mesmo recurso. Existem regras e prioridades associadas à forma como o NTFS combina várias permissões. Além disso, você também pode afetar as permissões ao copiar ou mover arquivos e pastas. Várias permissões de NTFS Se você conceder as permissões de NTFS a uma conta de usuário individual e a um grupo ao qual o usuário pertence, você terá concedido várias permissões a esse usuário. Existem regras para a maneira como o NTFS combina essas várias permissões para produzir a permissão efetiva do usuário. As permissões de NTFS são cumulativas As permissões efetivas de um usuário para um recurso é a combinação das permissões de NTFS concedidas à conta de usuário individual e as concedidas aos grupos aos quais o usuário pertence. Por exemplo, se um usuário tiver a permissão Read para uma pasta e for participante de um grupo com a permissão Write para a mesma pasta, esse usuário terá as permissões Read e Write para essa pasta. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS As permissões de arquivo substituem as permissões de pasta As permissões de NTFS de arquivo têm prioridade sobre as permissões de NTFS de pasta. Por exemplo, um usuário com a permissão Change para um arquivo poderá fazer alterações nesse arquivo, mesmo que só tenha a permissão Read para a pasta que o contém. A permissão Deny substitui outras permissões Você pode negar acesso a um arquivo ou pasta específica, concedendo a permissão Deny (Negar) à conta de usuário ou grupo. Mesmo que um usuário tenha permissão para acessar o arquivo ou pasta como participante de um grupo, negar a permissão a esse usuário bloqueia qualquer outra permissão dele. Portanto, a permissão Deny é uma exceção à regra cumulativa. Você deve evitar negar a permissão porque é mais fácil permitir acesso aos usuários e grupos do que especificamente negá-lo. É preferível estruturar os grupos e organizar os recursos em pastas, de forma que a concessão de permissões seja suficiente. Observação: Com o Windows , há uma diferença entre um usuário não ter acesso e negar especificamente acesso a um usuário, adicionando uma entrada de negação à ACL do arquivo ou pasta. Isso significa que, como administrador, você possui uma alternativa para negar acesso. Em vez disso, você pode simplesmente optar por não permitir a um usuário acesso a um arquivo ou pasta. Herança de permissões de NTFS Por padrão, as permissões que você concede a uma pasta pai são herdadas e propagadas para as subpastas e os arquivos contidos nessa pasta. No entanto, você poderá impedir a herança de permissões se desejar que as pastas ou os arquivos tenham permissões diferentes das permissões de sua pasta pai. Herança de permissões As permissões atribuídas a uma pasta pai também se aplicam às subpastas e aos arquivos contidos nela. Ao conceder permissões de NTFS para fornecer acesso a uma pasta, você concede permissões à pasta, a todos os arquivos e subpastas existentes e a todos os novos arquivos e subpastas criados nessa pasta. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Impedindo a herança de permissões Você pode impedir a herança de permissões, impedindo assim que subpastas e arquivos herdem as permissões de pastas pai. Para fazer isso, remova as permissões herdadas e mantenha apenas as que foram concedidas explicitamente. A subpasta para a qual você impede a herança de permissões de sua pasta pai se tornará a nova pasta pai. As subpastas e os arquivos contidos na nova pasta pai herdarão as permissões concedidas à sua pasta pai. Copiando e movendo arquivos e pastas Quando você copia ou move um arquivo ou pasta, as permissões podem ser alteradas, dependendo do local para o qual a pasta ou o arquivo é copiado ou movido. É importante compreender as alterações efetuadas nas permissões ao serem copiadas ou movidas. Copiando arquivos e pastas Quando você copia arquivos ou pastas de uma pasta para outra, ou de uma partição para outra, talvez as permissões para esses arquivos ou pastas sejam alteradas. A cópia de um arquivo ou pasta gera os seguintes efeitos nas permissões de NTFS: Quando você copia uma pasta ou arquivo dentro de uma única partição NTFS, a cópia da pasta ou arquivo herda as permissões da pasta de destino. Quando você copia uma pasta ou arquivo entre partições NTFS, a cópia dessa pasta ou arquivo herda as permissões da pasta de destino. Quando você copia arquivos ou pastas para partições que não são NTFS, como tabela de alocação de arquivos (FAT), as pastas e os arquivos perdem suas permissões de NTFSporque as partições que não são NTFS não oferecem suporte para essas permissões. Para copiar arquivos e pastas em uma única partição NTFS ou entre partições NTFS, você deve possuir a permissão Read para a pasta de origem e a permissão Write para a pasta de destino. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Movendo arquivos e pastas Quando você move um arquivo ou pasta, talvez as permissões sejam alteradas, dependendo da permissão da pasta de destino. Mover um arquivo ou pasta tem os seguintes efeitos nas permissões de NTFS: Quando você move uma pasta ou arquivo em uma mesma partição NTFS, essa pasta ou arquivo mantém as permissões originais. Quando você move uma pasta ou arquivo entre partições NTFS, essa pasta ou arquivo herda as permissões da pasta de destino. Quando você move uma pasta ou arquivo entre partições, a pasta ou arquivo é realmente copiado para o local e excluído da localização anterior. Quando você move arquivos ou pastas para partições que não são NTFS, essas pastas ou arquivos perdem as permissões de NTFS porque partições que não são NTFS não oferecem suporte para essas permissões. Para mover arquivos e pastas em uma mesma partição NTFS ou entre partições NTFS, você deve possuir a permissão Write para a pasta de destino e a permissão Modify para a pasta ou arquivo de origem. A permissão Modify é necessária para mover uma pasta ou arquivo, porque o Windows remove essa pasta ou arquivo da pasta de origem depois de copiá-lo para a pasta de destino. Discussão em sala de aula: Aplicando permissões de NTFS User1 é participante dos grupos Users e Sales. 1. O grupo Users tem a permissão Write e o grupo Sales tem a permissão Read para Folder1. Que permissões User1 tem para Folder1? 2. O grupo Users tem a permissão Read para Folder1. O grupo Sales tem a permissão Write para Folder2. Que permissões User1 tem para File2? 3. O grupo Users tem a permissão Modify para Folder1. File2 só deve ser acessado pelo grupo Sales e apenas para leitura. Que etapas você executaria para garantir que o grupo Sales tenha somente a permissão Read para File2? UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Usando permissões de NTFS Administradores, usuários com a permissão Full Control e os proprietários de arquivos ou de pastas podem conceder permissões, para esses arquivos ou pastas, a contas de usuário e grupos. Ao conceder as permissões de NTFS e controlar a herança, você dever seguir as práticas recomendadas para conceder permissões de modo mais eficiente. Você sempre deve conceder permissões de acordo com as necessidades dos grupos dos usuários. Concedendo permissões de NTFS Conceda permissões de NTFS na caixa de diálogo Properties (Propriedades) da pasta. Ao conceder ou modificar as permissões de NTFS para um arquivo ou pasta, você pode adicionar ou remover usuários, grupos ou computadores desse arquivo ou pasta. Ao selecionar um usuário ou grupo, você pode modificar as permissões desse usuário ou grupo. Na guia Security (Segurança) da caixa de diálogo Properties do arquivo ou da pasta, configure as opções descritas na tabela a seguir. Opção Descrição Name (Nome) Seleciona a conta de usuário ou grupo para o qual você deseja alterar permissões ou que deseja remover da lista. Permissions (Permissões) Concede uma permissão quando você marca a caixa de seleção Allow (Permitir). Nega uma permissão quando você marca a caixa de seleção Deny (Negar). Add (Adicionar) Abre a caixa de diálogo Select Users, Computers or Groups (Selecionar usuários, computadores ou grupos), que você usa para selecionar contas de usuário e grupos a serem adicionados à lista Name (Nome). Remove (Remover) Remove a conta de usuário ou grupo selecionado e as permissões associadas do arquivo ou da pasta. Definindo a herança de permissões UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Em geral, você deve permitir que o Windows propague as permissões de uma pasta pai para as subpastas e os arquivos que ela contém. A propagação de permissões simplifica a atribuição de permissões para recursos. No entanto, às vezes convém impedir a herança de permissões. Por exemplo, talvez você precise manter todos os arquivos do departamento de vendas em uma pasta de vendas na qual todos os funcionários desse departamento tenham a permissão Write. No entanto, você precisará limitar as permissões para alguns arquivos da pasta apenas à permissão Read. Para fazer isso, impeça a herança de modo que a permissão Write não se propague para os arquivos contidos na pasta. Por padrão, subpastas e arquivos herdam as permissões concedidas às suas pastas pai, conforme mostrado na guia Security da caixa de diálogo Properties quando a caixa de seleção Allow inheritable permissions from parent to propagate to this object (Permitir que permissões que foram herdadas do pai se propaguem para este objeto) é marcada. Para impedir que uma subpasta ou arquivo herde as permissões da pasta pai, desmarque essa caixa de seleção e selecione uma das duas opções descritas na tabela a seguir. Opção Descrição Copy (Copiar) Copia para a subpasta ou arquivo as permissões que foram herdadas anteriormente da pasta pai e nega a herança de permissões subseqüentes da pasta pai. Remove (Remover) Remove da subpasta ou do arquivo a permissão que foi herdada da pasta pai e mantém somente as permissões concedidas explicitamente à subpasta ou arquivo. Práticas recomendadas para conceder permissões de NTFS Conceder permissões a grupos, e não a usuários Agrupar recursos para simplificar a administração Permitir aos usuários apenas o nível de acesso necessário Criar grupos de acordo com o acesso que os participantes do grupo precisam Conceder permissões Read & Execute para pastas de aplicativos Conceder as permissões Read & Execute e Write para pastas de dados Considere as práticas recomendadas a seguir ao conceder as permissões de NTFS: 1. Conceda permissões a grupos, e não a usuários. É mais fácil gerenciar grupos do que usuários. Isso mantém a ACL com poucas entradas, o que aumenta o desempenho. 2. Para simplificar a administração, agrupe arquivos em pastas de aplicativos em que os aplicativos normalmente usados são mantidos, em pastas de dados compartilhadas com os arquivos de dados utilizados por vários usuários e em pastas base com os arquivos de cada usuário. Centralize as pastas base e as pastas de dados em uma partição separada. 3. Permita aos usuários apenas o nível de acesso necessário. Se um usuário só precisar ler um arquivo, conceda ao usuário ou grupo ao qual esse usuário foi adicionado a permissão Read para o arquivo. 4. Crie grupos de acordo com o tipo de acesso que seus participantes requerem para recursos e conceda as permissões apropriadas a esses grupos. 5. Ao conceder permissões para pastas de aplicativos, conceda a permissão Read & Execute aos grupos Users e Administrators. Isso impede que os dados e arquivos de aplicativo sejam excluídos ou danificados acidentalmente por usuários ou vírus. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS 6. Ao conceder permissões para pastas de dados, conceda as permissões Read & Execute e Write ao grupo Users e a permissão Full Control ao Creator. Isso permite que os usuários tenham a capacidade de ler e modificar os documentos criados por outros usuários e a capacidade de ler, modificar e excluir os arquivos e as pastas criados por eles próprios. Observação: Você só deve usar as permissões Deny quando é essencial negar acesso a uma conta de usuário ou grupo específico. Usando permissões especiais de NTFS Introdução às permissões especiais de NTFS Concedendo permissões especiais de NTFS As permissões de NTFS padrão geralmente fornecem todo o controle de acesso necessário para a segurança de seus recursos. No entanto, há ocasiões em que as permissões de NTFS padrão não fornecem um nível específico de acesso que você deseja conceder aos usuários. Para criar um nível de acesso específico, conceda as permissões de acesso especiais de NTFS. Introdução às permissões especiais de NTFS As permissões de acesso especiais fornecem um maior grau de controle para a concessão de acesso a recursos. Quando combinadas, as treze permissões de acesso especiais constituem as permissões de NTFS padrão. Por exemplo, a permissão Read padrão abrange as permissões de acesso especiais Read Data (Ler dados), Read Attributes (Ler atributos), Read Permissions (Ler permissões) e Read Extended Attributes (Ler atributos estendidos). Duas das permissões de acesso especiais são especialmente úteis para gerenciar o acesso a arquivos e pastas: Change Permissions (Alterar permissões) Conceda esta permissão para fornecer a um usuário a capacidade de alterar as permissões de um arquivo ou pasta. Take Ownership (Apropriar-se) Conceda esta permissão para fornecer a um usuário a capacidade de apropriar-se de arquivos e pastas. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Change Permissions Você pode atribuir a outros administradores e usuários a capacidade de alterar as permissões para um arquivo ou pasta sem lhes conceder a permissão Full Control sobre esse arquivo ou pasta. Dessa maneira, o administrador ou usuário não pode excluir nem gravar no arquivo ou pasta, mas pode conceder permissões ao arquivo ou pasta. Para atribuir aos administradores a capacidade de alterar permissões, conceda ao grupo Administrators a permissão Change Permissions para o arquivo ou pasta. Take Ownership Você pode transferir a propriedade de arquivos e pastas de uma conta de usuário ou grupo para outra conta de usuário ou grupo. Além disso, é possível conceder a alguém a capacidade de apropriar-se e, como administrador, você pode se apropriar de um arquivo ou pasta. As seguintes regras aplicam-se à apropriação de um arquivo ou pasta: O proprietário atual ou qualquer usuário com a permissão Full Control pode conceder a permissão padrão Full Control ou a permissão de acesso especial Take Ownership a outra conta de usuário ou grupo. Isso permite que a conta de usuário ou um participante do grupo se aproprie de um arquivo ou pasta. Um participante do grupo Administrators pode apropriar-se de uma pasta ou arquivo, independentemente das permissões concedidas para essa pasta ou arquivo. Se um administrador apropriar-se, o grupo Administrators se tomará proprietário e qualquer participante desse grupo poderá alterar as permissões para o arquivo ou pasta e conceder a permissão Take Ownership a outra conta de usuário ou grupo. Por exemplo, se um funcionário sair da empresa, o administrador poderá apropriar-se dos arquivos desse funcionário e conceder a permissão Take Ownership a outro funcionário e, depois, esse último poderá apropriar-se dos arquivos pertencentes ao anterior. Observação: Para tomar-se proprietário de um arquivo ou pasta, um usuário ou membro de um grupo com a permissão Take Ownership deverá apropriar-se explicitamente desse arquivo ou pasta. Não é possível conceder automaticamente a alguém a propriedade de um arquivo ou pasta. O proprietário de um arquivo, um participante do grupo Administrators ou qualquer pessoa com a permissão Full Control poderá conceder a permissão Take Ownership a uma conta de usuário ou grupo, que depois permitirá a apropriação. Concedendo permissões especiais de NTFS Para conceder as permissões de acesso especiais a usuários e grupos, execute as seguintes etapas: 1. Na caixa de diálogo Properties de um arquivo ou pasta, na guia Security, clique no botão Advanced (Avançado). 2. Na caixa de diálogo Access Control Settings (Configurações de controle de acesso) do arquivo ou da pasta, na guia Permissions (Permissões), selecione a conta de usuário ou o grupo ao qual você deseja aplicar as permissões de acesso especiais de NTFS e clique em View/Edit (Exibir/Editar). 3. Na caixa de diálogo Permissions Entry (Entrada de permissões) do arquivo ou da pasta, configure as opções descritas na tabela a seguir. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Opção Descrição Name (Nome) Especifica o nome da conta de usuário ou grupo. Para selecionar uma conta de usuário ou grupo diferente, clique em Change (Alterar). Apply onto (Aplicar em) Especifica o nível da hierarquia de pastas em que as permissões de acesso especiais são herdadas. O padrão é This folder, subfolders, and files (Esta pasta, subpastas e arquivos). Permissions (Permissões) Concede as permissões de acesso especiais. Para conceder as permissões Change Permissions ou Take Ownership, marque a caixa de seleção Allow (Permitir) correspondente. Opção Descrição Apply these permissions to objects and/or containers within this container only (Aplicar estas permissões a objetos e/ou recipientes apenas neste recipiente) Especifica se as subpastas e os arquivos de uma pasta herdam dela as permissões de acesso especiais. Marque esta caixa de seleção para propagar as permissões de acesso especiais para arquivos e subpastas. Desmarque essa caixa de seleção para impedir a herança de permissões. Clear All (Limpar tudo) Clique neste botão para desmarcar todas as permissões selecionadas. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Compactando dados em uma partição NTFS A compactação de dados do sistema de arquivos NTFS permite compactar arquivos e pastas. As pastas e os arquivos compactados ocupam menos espaço em uma partição formatada com o NTFS, permitindo armazenar mais dados. Você pode definir o estado de compactação como compactado ou descompactado para arquivos e pastas. As pastas e os arquivos copiados ou movidos podem manter seus estados de compactação ou herdar o estado da pasta de destino para a qual foram copiados ou movidos. Siga as práticas recomendadas para o gerenciamento da compactação de dados. Introdução a arquivos e pastas compactados Cada arquivo e pasta de uma partição NTFS tem um estado de compactação, que pode ser compactado ou descompactado. O estado de compactação de uma pasta não reflete necessariamente o dos arquivos e das subpastas dessa pasta. Por exemplo, uma pasta pode estar compactada e todos os arquivos contidos nela podem estar descompactados. Observe que uma pasta descompactada pode conter arquivos compactados. Considere o seguinte ao trabalhar com pastas ou arquivos compactados: Alocação de espaço:O NTFS aloca o espaço em disco com base no tamanho do arquivo descompactado. Se você copiar um arquivo compactado para uma partição NTFS que não tenha espaço suficiente para ele, será exibida uma mensagem de erro indicando que não há espaço em disco suficiente para o arquivo. Cor de exibição do estado de compactação:Você pode alterar a cor de exibição de pastas e arquivos compactados para distingui-los de pastas e arquivos descompactados. Acesso a arquivos compactados através de aplicativos: Os arquivos compactados podem ser lidos e gravados por qualquer aplicativo baseado no Windows ou no Microsoft MS-DOS®, sem que primeiro sejam descompactados por outro programa. Quando um aplicativo ou comando do sistema operacional solicita acesso a um arquivo compactado, o Windows XP o descompacta automaticamente. Quando você fecha ou salva ou arquivo, o Windows XP o compacta novamente. Compactando arquivos e pastasO Windows Explorer permite definir o estado de compactação de arquivos e pastas e alterar a cor de exibição de arquivos e pastas compactados. Observação: Não é possível compactar um arquivo ou pasta se estiver criptografada. Se a caixa de seleção Criptografar o conteúdo para proteger os dados for marcada, você não poderá compactar o arquivo ou pasta. Definindo o estado de compactação Para definir o estado de compactação de uma pasta ou arquivo, na caixa de diálogo Atributos avançados, marque a caixa de seleção Compactar o conteúdo para economizar espaço em disco. Se você compactar uma pasta, o Windows XP exibirá a caixa de diálogo Confirmar alterações de atributo, que possui duas opções adicionais. Essas opções são descritas na tabela a seguir. Opção Descrição Aplicar alterações somente a esta pasta Compacta somente a pasta selecionada e quaisquer novos arquivos ou subpastas adicionados a ela. Aplicar alterações a esta pasta, subpastas e arquivos Compacta a pasta e todos os arquivos e subpastas contidos e adicionados a ela. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Alterando a cor da exibição Você pode definir uma cor de exibição alternativa para arquivos e pastas compactados. No Windows Explorer, no menu Ferramentas, clique em Opções de pasta. Na guia Exibir, marque a caixa de seleção Exibir com cor alternativa arquivos e pastas compactados. Copiando e movendo arquivos e pastas compactados A lista a seguir descreve como o Windows trata o estado de compactação de um arquivo ou pasta quando você copia ou move um arquivo ou pasta compartilhada dentro ou entre partições NTFS, ou entre partições NTFS e não-NTFS: Como mostrado na seção A da ilustração, quando você copia um arquivo ou pasta dentro de uma partição NTFS, o arquivo herda o estado de compactação da pasta de destino. Por exemplo, se você copiar um arquivo ou pasta compactada para uma pasta descompactada, o arquivo ou pasta será automaticamente descompactada. Como mostrado na seção B da ilustração, quando você move um arquivo ou pasta dentro de uma partição NTFS, esse arquivo ou pasta mantém o estado de compactação original. Por exemplo, se você mover um arquivo compactado para uma pasta descompactada, ele continuará compactado. Como mostrado na seção C da ilustração, quando você copia um arquivo ou pasta entre partições NTFS, esse arquivo ou pasta herda o estado de compactação da pasta de destino. Como mostrado na seção D da ilustração, quando você move um arquivo ou pasta entre partições NTFS, esse arquivo ou pasta herda o estado de compactação da pasta de destino. Como o Windows 2000 trata a movimentação entre partições como uma cópia e depois uma exclusão, os arquivos herdam o estado de compactação da pasta de destino. Importante: O Windows oferece suporte apenas para a compactação de partições NTFS. Quando você move ou copia um arquivo ou pasta compactada para uma partição ou disco não-NTFS, o Windows descompacta automaticamente esse arquivo ou pasta. Observação: Quando você copia um arquivo compactado, o Windows descompacta-o e compacta-o novamente como um novo arquivo. Isso pode diminuir o desempenho. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Práticas recomendadas para a compactação dos dados Determinar os tipos de arquivos a serem compactados Não compactar arquivos já compactados Usar diferentes cores de exibição para arquivos e pastas compactados Compactar os dados estáticos, em vez dos dados que são alterados com freqüência. Considere as práticas recomendadas a seguir para o gerenciamento da compactação em partições NTFS: Como alguns tipos de arquivo são compactados em tamanhos menores que outros, selecione os arquivos a serem compactados com base no tamanho de arquivo resultante previsto. Por exemplo, como os arquivos de bitmap do Windows contêm dados mais redundantes que os arquivos executáveis de aplicativos, esse tipo de arquivo é compactado em um tamanho menor. Em geral, os bitmaps são compactados em tamanhos menores que 50% do tamanho de arquivo original, enquanto os arquivos de aplicativo são raramente compactados em tamanhos menores que 75% do tamanho original. Não compacte arquivos já compactados. O Windows tentará compactar o arquivo ainda mais, desperdiçando o tempo do sistema e não produzindo espaço em disco adicional. Para facilitar a localização dos dados compactados, use diferentes cores de exibição para pastas e arquivos compactados. Compacte os dados estáticos, em vez dos dados que são alterados com freqüência. A compactação e descompactação de arquivos geram certa sobrecarga no sistema. Ao optar por compactar os arquivos acessados com pouca freqüência, você minimiza o tempo do sistema dedicado às atividades de compactação e descompactação. Configurando cotas de disco em partições NTFS Use cotas de disco para gerenciar o crescimento do armazenamento em ambientes distribuídos. As cotas de disco permitem alocar o espaço em disco disponível aos usuários, com base nos arquivos e nas pastas que eles possuem. As cotas de disco permitem controlar a quantidade de espaço em disco em que os usuários podem armazenar arquivos. É importante que você compreenda como as cotas de disco funcionam, de modo que possa implementá-las na rede de forma eficiente. Usando cotas de disco As cotas de disco do Windows XP controlam o uso do espaço em disco com base em cada usuário e cada partição. Dessa forma, o Windows controla o espaço em disco de cada usuário, independentemente da pasta em que os arquivos são armazenados. A lista a seguir descreve as características das cotas de disco: O uso do disco é baseado na propriedade de arquivos e pastas. Quando um usuário copia ou salva um novo arquivo em uma partição NTFS ou apropria-se de um arquivo em uma partição NTFS, o Windows XP contabiliza o espaço em disco do arquivo, de acordo com o limite de cota do usuário. As cotas de disco não usam a compactação de disco. Cada byte não compactado é deduzido das cotas dos usuários, independentemente da quantidade de espaço em disco rígido que está sendo UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS usada realmente. Um dos motivos disso é que a compactação de arquivos produz graus diferentes de compactação para diferentes tipos de arquivos. O espaço livre para aplicativos é baseado no limite de cota. Quando você ativa as cotas de disco, o espaço livre que o Windows relata para os aplicativos da partição corresponde à quantidade de espaço restante no limite de cota de disco do usuário. O Windows controla as cotas de disco de forma independente para cada partição NTFS, mesmo que as partições residam no mesmo disco rígido físico. Importante: Aplique cotas de disco somente a partições formatadas no sistema de arquivos NTFS do Windows XP. Para controlar a quantidade de espaço em disco disponível para que os usuários armazenem arquivos, defina uma notificação de cota de disco para especificar quando o Windows deve registrar um evento, indicando que o usuário está se aproximando do limite especificado. Imponha os limites de cota de disco e negue acesso aos usuários se eles excederem seus limites ou substitua a cota de disco e permita-lhes acesso contínuo. Configurando cotas de disco Você pode configurar cotas de disco para impor os limites e as notificações de cota de disco a todos os usuários e a usuários individuais. Ativando cotas de disco Para ativar as cotas de disco, abra a caixa de diálogo Properties de um disco. Na guia Quota (Cota), configure as opções descritas na tabela a seguir. Opção Descrição Ativar gerenciamento de cotas Marque esta caixa de seleçãopara ativar o gerenciamento de cotas de disco. Negar espaço em disco para usuários excedendo o limite de cota Marque esta caixa de seleção de forma que a mensagem Out of disk space (Espaço em disco insuficiente) seja exibida e os usuários não possam gravar no disco quando excederem sua alocação de espaço em disco. Não limitar uso do disco Selecione esta opção quando não desejar limitar a quantidade de espaço em disco rígido para os usuários. Limitar espaço em disco a Configura a quantidade de espaço em disco que os usuários podem usar. Definir nível de notificação como Configura a quantidade de espaço em disco disponível a um usuário antes que o Windows 2000 registre um evento, indicando que o usuário está próximo de seu limite de utilização. Entradas de cota Clique neste botão para adicionar uma nova entrada, excluir uma entrada e visualizar as propriedades de uma entrada de cota. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Impondo cotas de disco a todos os usuários Para impor limites de cota a todos os usuários, execute as seguintes etapas: 1. Nas caixas Limit disk space to e Set warning level-to, digite os valores de limite e nível de notificação de cota que você deseja definir. 2. Marque a caixa de seleção Deny disk space to users exceeding quota limit. O Windows XP monitorará o uso e não permitirá que os usuários criem arquivos ou pastas na partição quando eles excederem o limite. Impondo cotas de disco a usuários específicos Para impor limites de cota a um usuário específico, execute as seguintes etapas: 3. Na caixa de diálogo Propriedades de um disco, na guia Cota, clique no botão Entradas de Cota. 4. Na caixa de diálogo Entradas de cota de, crie uma entrada clicando em Nova entrada de cota no menu Cota e selecionando um usuário. Configure o limite de espaço em disco e o nível de notificação para o usuário individual. Protegendo dados usando o EFS O EFS fornece criptografia no nível de arquivo ou pasta para partições NTFS. A tecnologia de criptografia EFS é baseada em chave pública, é executada como um serviço integrado do sistema e ativa a recuperação de arquivos através de um Agente de recuperação do EFS designado. É fácil gerenciar o EFS porque quando ele é necessário para o acesso aos dados críticos que foram criptografados por um usuário, e esse usuário ou sua chave não está disponível, o Agente de recuperação do EFS (normalmente um administrador) pode descriptografar o arquivo. Se você compreender as vantagens do EFS, usará eficientemente essa tecnologia na rede. Introdução ao EFS O EFS permite que os usuários armazenem dados no disco rígido no formato criptografado. Depois que um usuário criptografa um arquivo, esse arquivo permanece criptografado pelo tempo em que estiver armazenado no disco. Os usuários individuais podem usar o EFS para criptografar arquivos para fins de confidencialidade. O EFS possui vários recursos-chave: Funciona em segundo piano e é transparente para usuários e aplicativos. Permite que somente o usuário autorizado obtenha acesso a um arquivo criptografado. O EFS descriptografa automaticamente o arquivo para uso e, depois, criptografa o novamente quando é salvo. Os administradores podem recuperar os dados criptografados por outro usuário. Com isso, os dados estarão acessíveis se o usuário que os criptografou não estiver disponível ou perder sua chave particular. Fornece suporte à recuperação de dados internos. A infra-estrutura de segurança do Windows 2000 Server impõe a configuração das chaves de recuperação de dados. Você só poderá usar a criptografia de arquivo se o computador local estiver configurado com uma ou mais chaves de recuperação. O EFS irá gerar automaticamente as chaves de recuperação e salvá-las no Registro quando o acesso ao domínio não for possível. Necessita de pelo menos um Recovery Agent para recuperar os arquivos criptografados. E possível designar vários Agente de recuperação do EFS para gerenciar o Programa de Recuperação do EFS. Cada agente de recuperação requer um certificado do EFS Recovery Agent. Observação: Criptografia e compactação são recursos mutuamente exclusivos. Portanto, é permitida a criptografia ou a compactação de um arquivo, mas não ambas. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Criptografando uma pasta ou arquivo Para criptografar arquivos ou pastas, crie uma pasta NTFS e criptografe-a na caixa de diálogo Propriedades da pasta. Na guia Geral, clique em Avançado e, em seguida, clique em Encrypt contents to secure data. Depois que você criptografa a pasta, os arquivos salvos nela são criptografados automaticamente com chaves de criptografia de arquivo. Essas chaves são as chaves simétricas e rápidas destinadas à criptografia em massa. O Windows XP criptografa o arquivo em blocos, com uma chave de criptografia de arquivo diferente para cada bloco. Todas as chaves de criptografia de arquivo são armazenadas no campo de descriptografia de dados (DDF) e no campo de recuperação de dados (DRF) no cabeçalho do arquivo. Todos os arquivos e subpastas criados em uma pasta criptografada também são automaticamente criptografados. Cada arquivo tem uma chave de criptografia exclusiva, fazendo com que a renomeação de arquivos seja segura. Se você mover um arquivo de uma pasta criptografada para uma pasta não criptografada na mesma partição, o arquivo permanecerá criptografado. Descriptografando uma pasta ou arquivo Quando você abre um arquivo criptografado, o EFS o detecta automaticamente e localiza um certificado de usuário e a sua chave particular associada no cabeçalho do arquivo. O EFS aplica a chave particular ao DDF para desbloquear a lista de chaves de criptografia de arquivo, permitindo que o conteúdo do arquivo seja exibido como texto simples. O acesso ao arquivo criptografado é negado a todas as pessoas, exceto ao proprietário da chave particular. Somente o proprietário do arquivo ou um Recovery Agent poderá descriptografá-lo. Isso ocorrerá mesmo se administradores alterarem as permissões ou os atributos do arquivo ou se apropriarem do arquivo. Mesmo se você se apropriar de um arquivo criptografado, não será possível lê- lo, a menos que você tenha a chave particular, ou seja, um Agente de recuperação. Observação: Não é possível compartilhar um arquivo criptografado com outros usuários. Recuperando uma pasta ou arquivo criptografado Se a chave particular do proprietário não estiver disponível, o Recovery Agent poderá abrir o arquivo usando sua própria chave particular, que é aplicada ao DRF para desbloquear a lista de chaves de criptografia de arquivo. Se o Recovery Agent estiver usando outro computador da rede, será necessário enviar o arquivo para ele. O Agente de recuperação pode levar sua chave particular para o computador do proprietário, mas não é uma prática de segurança recomendada copiar uma chave privada para outro computador. É uma boa prática de segurança alternar agentes de recuperação. No entanto, se a designação do agente for alterada, o acesso ao arquivo será negado. Por essa razão, recomenda-se manter os certificados de recuperação e as chaves particulares até que todos os arquivos criptografados com eles sejam atualizados. Para recuperar um arquivo ou pasta criptografada como um agente de recuperação designado, execute as etapas a seguir: 1. Use o Microsoft Windows Backup ou outra ferramenta de backup para restaurar uma versão de backup do usuário do arquivo ou pasta criptografada para o computador em que seu certificado de recuperação de arquivo está localizado. 2. No Windows Explorer, abra a caixa de diálogo Propriedades do arquivo ou pasta. Na guia Geral, clique em Avançado. 3. Desmarque a caixa de seleção Encryptcontents to secure data. 4. Faça uma versão de backup do arquivo ou da pasta descriptografada e retorne a versão de backup para o usuário. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS Aplicar permissões de NTFS via comando Por padrão, quando você concede permissões a usuários e grupos para uma pasta, eles obtêm acesso às subpastas e aos arquivos contidos nela. E importante compreender como as subpastas e os arquivos herdam as permissões de NTFS das pastas pai, de modo que você possa usar a herança para propagar permissões para arquivos e pastas. Para aplicar permissões NTFS usando linha de comando, é necessário utilizar o aplicativo CACLS.exe CACLS = Mostra e modifica a lista de controle de acesso das pastas e arquivos (ACL) O ACL(Access Control Lists) somente poderá ser aplicado em arquivos armazenados no formato NTFS. Cada ACL determina qual usuário (ou grupo de usuários) pode ler ou editar um arquivo. Quando um novo arquivo é criado, normalmente ele herda o ACL da pasta onde ele foi criado. Para editar um arquivo, o usuário deve ter a permissão “MODIFICAR” (ou ser o proprietétio do arquivo) Para usar o comando CACLS e mudar a lista ACL, é necessário ter a permissão de controle total. Assim, o proprietário do arquivo sempre terá controle total sobre os arquivos dos quais ele criou. Sintaxe CACLS caminho [opções] Chave opções podem ser aplicadas nas seguintes combinações: /T procura pelo caminho incluindo todas as subpastas. /E Edita a lista ACL (deixando as outras permissões inalteradas) /C Continua quando ocorrer erros de acesso negado. /G usuário:permissão Atribui permissões de acesso. As permissões podem ser: R Read (Leitura) W Write (Gravar) C Change - read/write (Modificar – Ler/Gravar) F Full control (Controle Total) /R usuário Revoga as permissões dada a um usuário específico (válido somente com /E). /P usuário:permissão Substitui as permissões de acesso. As permissões podem ser: N None (nenhuma) R Read (Leitura) W Write (Gravar) C Change - read/write (Modificar – Ler/Gravar) F Full control (Controle Total) /D usuário Nega acesso ao usuário. Em todas as opções acima, “usuário” pode ser o nome da conta do usuário ou um grupo de usuários (local ou global). OBS: contas de usuários ou grupos com nome composto deverão estar entre aspas. Exemplo: "Usuários Avançados" Se não especificar nenhuma opção, o comando irá exibir a lista ACL para o arquivo especificado. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A08 - NTFS EXEMPLOS Mostrar as permissões da pasta corrente: CACLS . Mostrar a lista de permissões de um arquivo: CACLS arquivo.txt Mostrar a lista de permissões de múltiplos arquivos: CACLS *.txt Atribuir a permissão Somente Leitura: CACLS arquivo.txt /E /G "Usuários":R Atribuir a permissão Controle Total: CACLS arquivo.txt /E /G "Financeiro":F Revogar as permissões do primeiro grupo: CACLS arquivo.txt /E /R "Usuários" Atribuir a permissão Controle Total a uma pasta incluindo todas as subpastas: CACLS c:\docs\work /E /T /C /G "Financeiro":F
Compartilhar