а файлова система - Обов'язкова вимога для безпечної операційної системи. Не маючи можливості довіряти файлової системі, що зберігає системні файли, не можна довіряти системі, робота якої реалізується за допомогою виконання цих файлів.
Розглянемо випадок проникнення вірусу на комп'ютер з Windows 95. Користувач виконує програму, містить вірус. Вірус визначає, яка програма запустила поточну програму, і заражає її, таким чином поширюючи себе далі на один рівень. При наступному запуску цієї програми вірус зробить те ж саме, а також заразить кожну програму, породжену цією програмою. Через кілька циклів вірус пошириться до ключових програм операційної системи, таким чином заражаючи кожен виконуваний в ній файл. Розглянемо тепер випадок, коли користувач виконує заражену вірусом програму в Windows 2000. Ця програма намагається записати свій вірусний заголовок у explorer . exe , але блокується засобами безпеки файлової системи NTFS , тому що у користувача немає дозволів на запис в explorer . exe . Завдяки NTFS цей тип вірусів моментально зупиняється Windows 2000. При попаданні в систему деяких вірусів вдається вижити в режимі користувача (наприклад, Макровіруси Word або черв'якам Outlook ), але ці віруси все одно не можуть заразити саму операційну систему - якщо тільки вірус не був запущений з облікового запису із адміністративним доступом до комп'ютера.
NTFS працює, порівнюючи токен доступу користувача зі списком контролю доступу ( ACL ), пов'язаним з кожним запитуваною файлом, перед тим, як дозволити користувачеві доступ до цього файлу. Цей простий механізм не дає несанкціонованим користувачам змінювати операційну систему або ще що-небудь, до чого у них немає спеціального доступу.
Типово Windows 2000 знаходиться в стані, предоставляющем повний доступ групі В«всеВ» ( everyone ) для кореня всіх дисків, внаслідок чого всі дозволи, успадковані створюваними там файлами, також доступні для всіх. Для отримання будь-якої реальної користі від безпеки файлової системи NTFS для додатків і збережених користувачами файлів необхідно видалити дозвіл, що надає повний доступ для всіх, і замінити його дозволами з відповідним рівнем безпеки для кожної папки на комп'ютері.
Управління дозволами файлової системи NTFS здійснюється просто і працює аналогічно тому; як дозволу встановлювалися в попередніх версіях Windows NT .
В Windows 2000 спадкуван...
