Текст книги "Microsoft Windows XP Professional. Опыт сдачи сертификационного экзамена 70-270"

Программа Проверка диска служит для поиска и исправления ошибок файловой системы, поиска поврежденных секторов и восстановления тех данных, которые еще можно прочитать. Запуск этой программы производится из окна свойств тома, нажатием кнопки Выполнить проверку на вкладке Сервис. Перед запуском проверки диска следует закрыть все файлы и приложения, запущенные с этого диска. Окно работающей программы проверки диска показано на рис. 8.11.

Рис. 8.11. Программа проверки диска

Для этой программы существует эквивалент, позволяющий выполнять проверку дисков на ошибки в командной строке и включать такие задания в сценарии и пакетные файлы. Команда chkdsk имеет следующий синтаксис:

chkdsk [том: [[путь]имя_файла]] [/F] [/V] [/R] [/X] [/I] [/С] [/L[: размер]]

Параметры команды chkdsk:

□ том: – определяет точку подключения или имя тома проверяемого диска;

□ имя_файла – файлы, проверяемые на наличие фрагментации (только для томов с файловыми системами FAT и FAT32);

□ /f – исправление ошибок на диске;

□ /V – вывод полного пути и имени для каждого файла на проверяемом томе (только для томов с файловыми системами FAT и FAT32);

□ /R – поиск поврежденных секторов и восстановление их содержимого (требуется параметр /f);

□ /X – предварительное отключение тома. Все открытые дескрипторы для этого тома будут недействительны (требуется параметр /f);

□ /I – менее строгая проверка индексных элементов (только для NTFS);

□ /C – пропуск проверки циклов внутри структуры папок (только для NTFS);

□ /L: размер – изменение размера файла журнала до указанной величины (Кбайт). Если размер не указан, выводится текущее значение размера (только для NTFS);

□ /? – вывод справки по использованию команды chkdsk.

В консоли восстановления команда chkdsk может иметь всего два параметра:

□ /р – выполнение углубленной проверки, даже если диск не помечен для проверки посредством chkdsk;

□ /r – поиск поврежденных секторов и восстановление той части данных, которая может быть прочитана. Действие этого параметра включает в себя действие параметра /р.

Если запустить на выполнение команду без каких-либо параметров, будет проверен текущий диск без использования операций, задаваемых ключами.

В примере (листинг 8.1) утилита chkdsk используется для проверки тома FAT32.

Примечание

Для выполнения программы chkdsk в режиме консоли восстановления необходим файл autochk.exe, находящийся в папке System32. Если этот файл не найден, будет произведена попытка найти его на установочном диске Windows ХР Professional. Если файл не найден и там, его местоположение будет запрошено у пользователя.

Листинг 8.1. Проверка тома FAT32 программой chkdsk

Если вы хотите исправить ошибки на томе NTFS с помощью программы chkdsk (запустив ее с параметром /f), нельзя открывать файлы на этом диске, в противном случае вы получите следующее сообщение:

Невозможно выполнить команду Chkdsk на этом томе, т. к. том используется другим процессом. Чтобы запустить Chkdsk, вначале следует отключить этот том.

ВСЕ ОТКРЫТЫЕ ДЕСКРИПТОРЫ ТОМА БУДУТ ДАЛЕЕ НЕВЕРНЫ.

Подтверждаете отключение тома? [Y(да)/N(нет)]

Если же отключение тома невозможно, так как он используется каким-либо приложением или системным процессом, вам будет предложено произвести проверку тома при следующей загрузке Windows ХР Professional.

Проверку без исправления ошибок можно произвести даже в том случае, если том содержит используемые в данный момент файлы (листинг 8.2).

Листинг 8.2. Проверка тома NTFS программой chkdsk

Программа DiskPart.exe – это работающий в текстовом режиме командный интерпретатор, который позволяет управлять объектами (дисками, томами и разделами) с помощью сценариев или команд, вводимых в командной строке интерпретатора.

С помощью Diskpart можно выполнять следующие задачи:

□ получение списка физических дисков, разделов и томов, имеющихся в системе;

□ вывод свойств дисков и томов;

□ смена активного раздела;

□ назначение или удаление буквы тома или точки подключения;

□ создание или удаление разделов, логических дисков или томов;

□ преобразование пустого динамического диска в базовый;

□ преобразование базового диска в динамический;

□ расширение базовых и динамических томов;

□ импорт группы внешних дисков в группу дисков локального компьютера;

□ подключение отключенного диска или тома;

□ поиск новых дисков, добавленных в систему.

Примечание

При работе в консоли восстановления команда Diskpart отличается от той же команды, используемой в обычном режиме. В консоли восстановления с помощью этой команды можно только создать или удалить раздел.

Windows 2000 и Windows ХР Professional не поддерживают зеркальные наборы, чередующиеся наборы, чередующиеся наборы с четностью и наборы томов, созданные в Windows NT 4.0. Необходимо создать резервные копии этих томов на нескольких дисках и затем удалить эти тома или преобразовать их в динамические диски перед установкой или обновлением до Windows ХР Professional. Если резервные копии этих томов не были созданы перед установкой или обновлением системы, доступ к этим томам можно получить при помощи служебной программы ftonline. Эта утилита может быть установлена как компонент средств поддержки, расположенных в папке supporttools на установочном компакт-диске Windows ХР Professional.

8.4. Компрессия данных

Сжатие файлов позволяет сократить их размер и уменьшить объем пространства, занимаемый ими на дисках. Windows ХР Professional поддерживает два типа сжатия: сжатие NTFS и использование сжатых zip-папок. Обе технологии позволяют хранить больше данных на имеющихся дисках, не устанавливая дополнительные запоминающие устройства. Обе технологии имеют свои преимущества и ограничения. Рассмотрим их особенности подробнее.

Сжатые папки на самом деле являются не папками, а файлами, архивированными в формате ZIP. Встроенный в Windows ХР Professional архиватор позволяет рассматривать такой файл как папку, но при передаче сжатой папки на другую систему, не поддерживающую технологию прозрачного доступа к zip-архивам, сжатая папка будет восприниматься такой системой как обычный файл. Кроме того, если в настройках Проводника Windows у вас разрешено отображение расширения для зарегистрированных типов файлов, вы можете увидеть, что имя каждой сжатой папки заканчивается расширением zip (рис. 8.12). Если переименовать сжатую папку так, чтобы она не имела этого расширения, система перестанет отображать такой файл как сжатую папку.

Рис. 8.12. Изображение сжатой папки

Чтобы создать сжатую папку, в меню Файл Проводника Windows выберите в подменю Создать команду Сжатая папка. В окне появится новый объект в виде обычной папки, но с застежкой.

После создания сжатой папки пользователь имеет возможность сжимать файлы или другие папки, копируя их в созданную папку. Однако не следует ошибаться, думая, что если одну сжатую папку поместить в другую, занимаемое на диске место уменьшится. Если папка уже сжата, то при повторном сжатии размер может измениться совсем незначительно, причем как уменьшиться, так и увеличиться.

К тому же при работе с файлами и папками, находящимися в сжатой папке, которая, в свою очередь, тоже находится в сжатой папке, с этими папками могут происходить странные вещи – окно сжатой паки может внезапно закрыться, даже не сообщив об ошибке, или сообщить, что папка повреждена или не существует.

Но все же, наличие встроенного архиватора – это очень полезная функция, и при разумном использовании предоставляет целый ряд преимуществ:

□ сжатые папки остаются сжатыми как на томах NTFS, так и на томах с файловой системой FAT;

□ документы и программы, не зависящие от других файлов в сжатой папке, можно запускать, не извлекая их из сжатой папки;

□ сжатые папки можно перемещать на любой диск, передавать по сети и электронной почте, сохраняя сжатие – получить доступ к zip-папке можно при наличии любой совместимой программы архивации;

□ файлы, находящиеся в сжатой zip-папке, можно защитить паролем;

□ сжатые zip-папки можно шифровать с помощью файловой системы EFS;

□ хранение папок, сжатых этим методом, никак не влияет на производительность компьютера. Сам же процесс сжатия влияет незначительно – в зависимости от объема сжимаемой информации и используемого системой оборудования.

Примечание

Установка внешней программы-архиватора, поддерживающей возможность работы с архивами ZIP, например, WinZip или WinRar, отключит встроенную возможность работы с zip-папками.

В отличие от работы со сжатыми zip-папками, при использовании сжатия NTFS, операционная система сжимает и распаковывает файлы автоматически. Вы можете копировать файлы, сжатые с помощью компрессии NTFS, на другие компьютеры абсолютно прозрачно. То есть Windows ХР Professional сама вернет файл в несжатое состояние, и другая система сможет беспрепятственно работать с полученным файлом, даже если она не поддерживает сжатие NTFS. Когда какое-либо приложение открывает сжатый файл, операционная система автоматически производит декомпрессию, а когда приложение закрывает этот файл, он опять сжимается.

Сжатие NTFS имеет следующие преимущества:

□ при работе со сжатыми файлами и папками не требуются действия пользователя для их сжатия и декомпрессии. Система производит все действия автоматически;

□ сжатие NTFS можно применять к целым томам (том должен использовать файловую систему NTFS – файловая система FAT32 не поддерживает возможность сжатия файлов);

□ сжимать можно как отдельные файлы в папке, так и полностью папку со всем ее содержимым. Также можно настроить сжатие папки, не сжимая при этом уже имеющиеся в ней файлы;

□ для удобства можно настроить выделение имен файлов и папок, использующих сжатие NTFS, другим цветом, чтобы отличать их от несжатых.

К сожалению, кроме преимуществ этот способ сжатия имеет и целый ряд недостатков:

□ снижение быстродействия. Так как при открытии сжатого файла Windows ХР Professional автоматически распаковывает его, а при закрытии снова сжимает, выполнение этих действий занимает ресурсы компьютера, вследствие чего снижается производительность других компонентов операционной системы и работающих приложений;

□ для файлов, уже сжатых какой-либо программой-архиватором (например, WinZip или WinRar), компрессия NTFS не освободит дополнительного дискового пространства, но производительность работы с этими файлами все же снизится, так как процесс сжатия все равно выполняется;

□ файлы и папки, сжатые средствами NTFS, остаются в сжатом состоянии только до тех пор, пока они находятся на томах с файловой системой NTFS;

□ информация о размере сжатых файлов получается на основе их несжатого размера. Поэтому при копировании файла, для которого хватает места на диске, если файл сжать, но не хватает, если не сжимать, пользователь получит сообщение о том, что на диске недостаточно места, и копирование не будет произведено. Кроме того, при использовании дисковых квот учитывается размер несжатых файлов, а не фактически занимаемое сжатыми файлами место;

□ файл, использующий компрессию NTFS, нельзя шифровать средствами EFS.

Ознакомившись с предоставляемыми преимуществами и имеющимися недостатками, пользователь может обоснованно принимать решение, следует ли использовать эту технологию.

Для того чтобы включить сжатие файла или папки, следует вызвать окно свойств выбранного объекта и, нажав кнопку Другие напротив надписи Атрибуты, открыть диалоговое окно, показанное на рис. 8.13, и установить переключатель Сжимать содержимое для экономии места на диске.

Обратите внимание, что переключатели для установки сжатия и шифрования выглядят так, будто бы можно включить их оба, на самом деле это сделать не удастся.

Примечание

Для получения возможности установить атрибут сжатия для файла или папки необходимо иметь разрешение Запись для этого объекта.

После установки необходимого атрибута и нажатия ОК в обоих диалоговых окнах для папки вам будут предложены две возможности: сжать папку и все ее содержимое или сжать только папку (рис. 8.14). Если вы выберете сжатие только папки, все вложенные файлы и папки сохранят свое текущее состояние, но все новые файлы, копируемые в эту папку и создаваемые в ней, будут сжатыми.

Рис. 8.13. Диалоговое окно Дополнительные атрибуты

Рис. 8.14. Диалоговое окно Подтверждение изменения атрибутов

Если вы устанавливали атрибут сжатия для отдельного файла, сжатие применится без дополнительных вопросов.

Если вы хотите применить сжатие для целого тома NTFS, установите флажок Сжимать диск для экономии места на вкладке Общие окна свойств этого тома.

При копировании и перемещении файлов и папок, сжатых с помощью файловой системы NTFS, следует учитывать следующие правила:

□ при копировании файла в пределах одного тома или на другой том NTFS полученная копия наследует атрибут сжатия папки назначения. Копирование сжатого файла в несжатую папку автоматически распаковывает этот файл. Копирование несжатого файла в сжатую папку автоматически сжимает этот файл. То же самое относится и к перемещению файла или папки на другой том NTFS;

□ при перемещении файла или папки в пределах одного тома атрибут сжатия перемещаемого объекта остается в прежнем состоянии;

□ копирование или перемещения сжатого файла или папки на любой носитель с файловой системой FAT или FAT32 автоматически делает файл несжатым.

8.5. Использование EFS

Шифрованная файловая система (EFS) обеспечивает пользователей Windows ХР Professional технологией шифрования, интегрированной в файловую систему NTFS. В общих словах, шифрование можно описать как выполнение над данными какой-либо последовательности действий, позволяющей изменить эти данные так, чтобы их нельзя было прочитать. Закон, в соответствии с которым выполняется преобразование, называется алгоритмом шифрования. Для выполнения преобразования данных алгоритм шифрования использует некий набор данных, обычно число, называемый ключом шифрования. Существуют два типа систем шифрования:

□ системы шифрования, использующие симметричный ключ. В этих системах используется один и тот же секретный ключ как для шифрования данных, так и для их расшифровки;

□ системы шифрования при помощи открытого ключа, называемые также системами ассиметричного шифрования. В таких системах исходные данные шифруются при помощи одного ключа – открытого ключа (public key), а расшифровывание происходит с помощью другого ключа – закрытого (private key). С помощью открытого ключа невозможно выполнить расшифровывание данных, зашифрованных тем же открытым ключом.

Файловая система EFS на разных этапах использует обе эти технологии шифрования.

EFS интегрирована в файловую систему NTFS, ею легко управлять, она надежна и прозрачна для пользователя. Это особенно удобно для защиты данных на компьютерах, которые могут оказаться уязвимыми для кражи, таких как переносные компьютеры.

Шифрование EFS является прозрачным для пользователя, зашифровавшего файл. Это означает, что перед использованием файл не нужно расшифровывать. После того как файлы или папки зашифрованы, с ними работают так же, как и с другими файлами или папками. Пользователю достаточно один раз задать шифрование файла или папки, и дальнейший процесс шифрования и расшифровывания данных будет для него незаметен.

Установить шифрование для файла можно с помощью установки атрибута шифрования в том же окне (см. рис. 8.13), в котором устанавливается сжатие файлов. Пользователь просто должен установить переключатель Шифровать содержимое для защиты данных, а всю остальную работу выполняет операционная система. Для включения шифрования файлов и папок можно также воспользоваться утилитой командной строки Cipher.exe, которая рассматривается далее в этой главе.

Когда пользователь помечает файл для шифрования, EFS генерирует уникальный ключ шифрования файла (FEK, File Encryption Key), с помощью которого происходит симметричное шифрование данных файла.

Затем сам ключ шифрования файла зашифровывается с помощью открытого ключа пользователя и помещается в заголовок файла. Ключ шифрования файла также зашифровывается открытым ключом каждого дополнительного пользователя EFS, уполномоченного расшифровывать файлы, и ключом каждого агента восстановления.

Криптография открытого ключа требует значительное количество времени для выполнения математических операций, с помощью которых происходит шифрование и расшифровывание данных. С помощью систем симметричного шифрования данные обрабатываются от 100 до 1000 раз быстрее, хотя ассиметричное шифрование гораздо надежнее. Поэтому в EFS данные шифруются сначала с помощью симметричного шифрования, а затем используемый для шифрования файла ключ (FEK) защищается открытым ключом пользователя, а также открытыми ключами тех пользователей, которые уполномочены расшифровывать файлы. Зашифрованный ключ можно безбоязненно хранить вместе с файлом, так как расшифровать его можно только при наличии соответствующего закрытого ключа. Если даже кто-то получит полный доступ к диску, на котором хранятся зашифрованные файлы, он не сможет прочитать ничего, кроме набора нечитаемых символов, так как для расшифровки файла необходимо сначала расшифровать его ключ шифрования. А ключ шифрования файла расшифровывается только в том случае, если имеется соответствующий закрытый ключ.

Восстановление зашифрованных данных очень важно в случае, если сотрудник ушел из компании, и необходимо получить доступ к зашифрованным им данным. Или в том случае, если пользователь потерял закрытый ключ шифрования. Восстановление данных возможно с помощью лица, назначенного агентом восстановления. Агентом восстановления называется пользователь, уполномоченный расшифровывать данные, зашифрованные другим пользователем. У каждого агента восстановления есть специальный сертификат с соответствующим закрытым ключом, позволяющий восстанавливать данные в области влияния политики восстановления.

Использование агента восстановления не является лазейкой в системе безопасности, с помощью которой можно получать доступ к зашифрованным файлам. Возможность расшифровать файлы других пользователей имеется, потому что, когда пользователь выполняет шифрование файла, копия ключа шифрования защищается открытым ключом агента восстановления и хранится вместе с зашифрованным файлом. Для более полного понимания приведем последовательность процессов, происходящих при шифровании файла.

1. Пользователь инициирует шифрование файла.

2. Создается уникальный ключ шифрования файла (FEK, File Encryption Key).

3. С помощью FEK происходит симметричное шифрование данных файла.

4. FEK защищается открытым ключом пользователя и записывается в заголовок файла.

Шаг 4 повторяется для каждого пользователя, уполномоченного расшифровывать данные, в том числе и для агента восстановления.

Таким образом, никаких лазеек и «задних ходов» в EFS нет. Расшифровать данные может только тот пользователь, открытым ключом которого был зашифрован ключ шифрования файла.

Политика восстановления (recovery policy) – это политика открытого ключа, которая обеспечивает назначение одной или нескольких учетных записей пользователя агентами восстановления шифрованных данных.

Для компьютеров, которые являются частью сети, политика восстановления настраивается на уровне домена, организационной единицы или отдельного компьютера.

В домене Windows ХР Professional политика восстановления, используемая по умолчанию, внедряется при настройке первого контроллера домена. Администратор домена выпускает самозаверяющий сертификат, который указывает на администратора домена, как на агента восстановления. В политику в любое время можно добавить дополнительных агентов восстановления и удалить исходного агента.

Если вы по каким-либо причинам хотите запретить использование шифрования на локальном компьютере, вы можете сделать это для следующих сочетаний «пользователь-файл»:

□ все файлы для всех пользователей компьютера;

□ отдельные файлы или папки для всех пользователей компьютера;

□ отдельные файлы или папки для отдельных пользователей компьютера.

Следует также учитывать, что если компьютер входит в домен, шифрование EFS можно запретить с помощью групповой политики.