系统权限——你用好了吗？(５)

　　3.NTFS与权限

　　在前面我提到了NTFS文件系统，自己安装过Win2000/XP的用户应该会注意到安装过程中出现的“转换分区格式为NTFS”的选择，那么什么是NTFS？NTFS（New Technology File System）是一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式，只有使用NT技术的系统对它直接提供支持，也就是说，如果系统崩溃了，用户将无法使用外面流行的普通光盘启动工具修复系统，因此，是使用传统的FAT32还是NTFS，一直是个倍受争议的话题，但如果用户要使用完全的系统权限功能，或者要安装作为服务器使用，建议最好还是使用NTFS分区格式。

　　与FAT32分区相比，NTFS分区多了一个“安全”特性（图.FAT32与NTFS的比较），在里面，用户可以进一步设置相关的文件访问权限，而且前面提到的相关用户组指派的文件权限也只有在NTFS格式分区上才能体现出来。例如，来宾组的用户再也不能随便访问到NTFS格式分区的任意一个文件了，这样可以减少系统遭受一般由网站服务器带来的入侵损失，因为IIS账户对系统的访问权限仅仅是来宾级别而已，如果入侵者不能提升权限，那么他这次的入侵可以算是白忙了。

　　使用NTFS分区的时候，用户才会察觉到系统给管理员组用户设定的限制：一些文件即使是管理员也无法访问，因为它是SYSTEM成员建立的，并且设定了权限。（图.NTFS权限审核导致访问被拒绝）

　　但是NTFS系统会带来一个众所周知的安全隐患：NTFS支持一种被称为“交换数据流” （Alternate Data Stream，ADs）的存储特性，原意是为了和Macintosh的HFS文件系统兼容而设计的，使用这种技术可以在一个文件资源里写入相关数据（并不是写入文件中），而且写进去的数据可以使用很简单的方法把它提取出来作为一个独立文件读取，甚至执行，这就给入侵者提供了一个可乘之机，例如在一个正常程序里插入包含恶意代码的数据流，在程序运行时把恶意代码提取出来执行，就完成了一次破坏行动。（图.隐秘的数据流）

　　不过值得庆幸的是，数据流仅仅能存在于NTFS格式分区内，一旦存储介质改变为FAT32、CDFS等格式，数据流内容便会消失了，破坏代码也就不复存在。