ec1 - trabalho 5

Transcrição

ec1 - trabalho 5

Carlos Silva, João Constantino – Engenharia Informática
Autores: Carlos Silva, João Constantino
Data: 20/12/2003
01-01-2004
Página 1
01-01-2004
Página 2
Índice
Índice ................................................................................................................................ 2
Índice de Ilustrações ......................................................................................................... 3
Objectivos ......................................................................................................................... 5
Introdução ......................................................................................................................... 5
O disco rígido ................................................................................................................... 6
Conceitos básicos de um Sistema de Ficheiros ................................................................ 7
Atributos de ficheiros ................................................................................................... 7
Operações sobre ficheiros ............................................................................................. 7
Estrutura de Directórios ................................................................................................ 8
Análise das Camadas de um Sistema de Ficheiros ........................................................... 9
FCB – File Control Block ........................................................................................... 10
Alocação de Blocos (Block Allocation) ..................................................................... 11
Alocação Contígua (Contiguous Block Allocation) ............................................... 12
Alocação Linkada (Linked Block Allocation)........................................................ 12
Alocação indexada de blocos (Indexed Block Allocation) ..................................... 13
Gestão de espaço livre (Free Space Management) ..................................................... 13
Bit Vector (= Bit Map) ........................................................................................... 13
Lista linkada (Linked List) ..................................................................................... 14
Manutenção do File System............................................................................................ 14
Características do File System em Windows.................................................................. 15
Sistema de Ficheiros em Windows ................................................................................. 20
Volume ....................................................................................................................... 20
Tabela de Atribuição para Ficheiros (FAT)................................................................ 20
FAT32 ......................................................................................................................... 20
Sistema de Ficheiros NTFS (New Technology File System) ..................................... 20
Sistema de Ficheiros suportado por cada Sistema Operativo Windows......................... 21
Selecção do Sistema de Ficheiros ................................................................................... 21
Sistemas de ficheiros do Windows ................................................................................. 24
Descrição geral das propriedades de ficheiros em Windows ......................................... 25
O utilitário Diskpart........................................................................................................ 27
Descrição geral da compressão de ficheiros ................................................................... 28
Compressão NTFS versus Pastas comprimidas (.ZIP) ............................................... 28
Compressão NTFS .................................................................................................. 28
Pastas Comprimidas (.ZIP) ..................................................................................... 28
O utilitário Compact ....................................................................................................... 29
Sintaxe ........................................................................................................................ 29
Observações ................................................................................................................ 29
Encriptar e desencriptar dados ........................................................................................ 30
Utilizar chaves de encriptação .................................................................................... 30
A Encriptação de ficheiros...................................................................................... 30
A Desencriptação de ficheiros ................................................................................ 30
Armazenar ficheiros encriptados em servidores remotos ........................................... 31
Internet Protocol security (IPSec)................................................................................... 31
Utilizar 'Certificados' ...................................................................................................... 32
Utilizar 'Pastas Web' para transferência segura de ficheiros .......................................... 33
Utilizar 'Pastas Web' versus FTP .................................................................................... 34
01-01-2004
Página 3
Armazenar dados em segurança ..................................................................................... 35
Introdução à utilização do 'Sistema de ficheiros de encriptação'.................................... 35
Encriptar e desencriptar dados com o 'Sistema de ficheiros de encriptação' .................. 36
Encriptar dados ........................................................................................................... 36
Aceder a dados encriptados ........................................................................................ 36
Copiar, mover ou mudar o nome de dados encriptados.............................................. 36
Desencriptar dados...................................................................................................... 37
Efectuar cópias de segurança e recuperar dados encriptados ......................................... 37
Efectuar cópias de segurança e restaurar dados encriptados ...................................... 37
Recuperar dados encriptados ...................................................................................... 37
Configurar uma política de recuperação ..................................................................... 38
Descrição geral do 'Sistema de ficheiros de encriptação' ............................................... 38
Cipher ............................................................................................................................. 39
Sintaxe ........................................................................................................................ 39
Encriptação de dados ...................................................................................................... 39
Protocolo de autenticação 'Challenge handshake' da Microsoft (MS-CHAP) ............... 41
Extensible Authentication Protocol (EAP) ..................................................................... 41
L2TP (Layer Two Tunneling Protocol) .......................................................................... 42
Encriptar e desencriptar dados com o 'Sistema de ficheiros de encriptação' .................. 43
Criptografia do sistema: Utilizar algoritmos em conformidade com FIPS para
encriptação ...................................................................................................................... 43
Descrição .................................................................................................................... 43
Ferramentas do 'Gestor de configuração da segurança' .................................................. 43
Modelos de segurança..................................................................................................... 44
Análise e configuração da segurança.............................................................................. 44
Definições de segurança ................................................................................................. 45
Política de segurança local.............................................................................................. 45
Automatizar tarefas de configuração de segurança ........................................................ 46
Arquivos de certificados ................................................................................................. 46
Definições de requisições automáticas de certificados................................................... 49
Política de autoridade de certificação de raiz fidedigna ................................................. 50
Referências ..................................................................................................................... 51
Índice de Ilustrações
ILUSTRAÇÃO 1-DISCO RÍGIDO .....................................................................................................................................6
ILUSTRAÇÃO 2-ESTRUTURA DE DIRECTÓRIOS...........................................................................................................8
ILUSTRAÇÃO 3-LAYER DO FILE SYSTEM.....................................................................................................................9
ILUSTRAÇÃO 4-LEITURA DO DISCOUNIDADES DO SISTEMA DE FICHEIROS ..........................................................9
UNIDADES DO SISTEMA DE FICHEIROS.....................................................................................................................10
ILUSTRAÇÃO 5-ESTRUTURA SECTOR~CLUSTER~FICHEIRO....................................................................................10
ILUSTRAÇÃO 6-LAYOUT EM DISCO DE UM FILE SYSTEM........................................................................................11
ILUSTRAÇÃO 7-A LOCAÇÃO CONTÍGUA.....................................................................................................................12
ILUSTRAÇÃO 8-A LOCAÇÃO LINKADA.......................................................................................................................12
ILUSTRAÇÃO 9-A LOCAÇÃO INDEXADA.....................................................................................................................13
LUSTRAÇÃO 10-BIT VECTOR.......................................................................................................................................13
ILUSTRAÇÃO 11-LISTA LIGADA .................................................................................................................................14
ILUSTRAÇÃO 12-TAMANHO DO DISCO VS CLUSTER................................................................................................15
ILUSTRAÇÃO 13-INDEXAÇÃO DE BLOCOS EM FAT.................................................................................................15
ILUSTRAÇÃO 14-NTFS M ETADATA..........................................................................................................................16
ILUSTRAÇÃO 15-ESTRUTURA DO REGISTO MFT.....................................................................................................17
01-01-2004
Página 4
ILUSTRAÇÃO 16-ESTRUTURA DO REGISTO MFT PARA DIRECTÓRIOS..................................................................17
ILUSTRAÇÃO 17 – APLICAÇÕES ~ SISTEMA DE FICHEIROS.....................................................................................18
ILUSTRAÇÃO 18-OPERAÇÃO DE LEITURA DE UM FICHEIRO ...................................................................................19
ILUSTRAÇÃO 19-SISTEMA DE FICHEIROS SUPORTADOS EM WINDOWS...............................................................21
ILUSTRAÇÃO 20-COMPATIBILIDADE SISTEMA DE FICHEIROS ~ SISTEMA OPERATIVO .....................................22
ILUSTRAÇÃO 21-TAMANHOS POSSÍVEIS DE DISCO ~ SISTEMA DE FICHEIROS......................................................23
ILUSTRAÇÃO 22-UTILIZAR ´PASTAS W EB' VS FTP.................................................................................................34
ILUSTRAÇÃO 23-NÍVEIS DE ENCRIPTAÇÃO SUPORTADOS POR MPPE E IPSEC ...................................................40
ILUSTRAÇÃO 24-TÚNEL PPTP ...................................................................................................................................40
ILUSTRAÇÃO 25-TÚNEL L2TP...................................................................................................................................42
ILUSTRAÇÃO 26-FERRAMENTAS DO GESTOR DE CONFIGURAÇÃO DE SEGURANÇA ..........................................44
ILUSTRAÇÃO 27-M ODELOS DE SEGURANÇA ............................................................................................................44
ILUSTRAÇÃO 28-A NÁLISE E CONFIGURAÇÃO DA SEGURANÇA..............................................................................45
ILUSTRAÇÃO 29-DEFINIÇÕES DE SEGURANÇA.........................................................................................................45
ILUSTRAÇÃO 30-POLÍTICA DE SEGURANÇA LOCAL.................................................................................................46
ILUSTRAÇÃO 31-CERTIFICADOS ................................................................................................................................49
01-01-2004
Página 5
Objectivos
Análise do Sistema de Ficheiros em Ambiente Windows e Armazenamento
eficiente da informação no disco duro.
Introdução
Desde o seu aparecimento há mais de vinte anos, o papel dos computadores
pessoais tem evoluído drasticamente. Empresas e utilizadores individuais
utilizam computadores para armazenar e manipular dados e gerir negócios. No
entanto, quando os utilizadores ligam e utilizam esses mesmos computadores,
normalmente não prestam muita atenção às constantes operações de escrita e
leitura que se sucedem nos seus discos rígidos.
01-01-2004
Página 6
O disco rígido
Para que os sistemas de ficheiros possam ser entendidos, o disco físico em si
também tem que ser entendido. Os discos rígidos, tipo de disco físico que
encontramos na maioria dos computadores, são utilizados para armazenar
sistemas operativos, ficheiros de programas e dados. Os discos rígidos contêm
vários pratos, feitos de alumínio, ou mais recentemente, vidro. O vidro é
utilizado nos discos mais recentes e de maior capacidade porque os “pratos”
podem ser mais finos e são mais resistentes ao calor que os discos libertam
quando em funcionamento.
Para que os pratos possam armazenar informação são revestidos com um
material sensível a alterações magnéticas, contendo principalmente ligas de
óxido de ferro e cobalto. Os dados armazenados na superfície dos pratos são
acedidos por uma cabeça, que é movida pelo braço da cabeça. Há geralmente
uma cabeça por cada lado do prato. A figura seguinte mostra os componentes
principais de um disco rígido.
Ilustração 1-Disco Rígido
A informação armazenada no disco rígido é dividida em muitas áreas distintas
nos pratos. Essas áreas são definidas por pistas (tracks), sectores e cilindros.
Uma pista é um anel sobre a superfície do prato, contendo informação. As
pistas de cada prato estão alinhadas com as dos pratos situados acima ou
abaixo. Cada conjunto de pistas identicamente posicionadas formam aquilo a
que chamamos cilindro. Os sectores podem ser “visualizados” como fatias de
um prato. Os sectores são necessários de forma a ler informação de uma pista
sem ter necessariamente de ler a totalidade da mesma.
01-01-2004
Página 7
Conceitos básicos de um Sistema de Ficheiros
Os sistemas operativos necessitam uma forma de gerir os dados armazenados
num disco rígido. É aqui que entram os sistemas de ficheiros: eles
proporcionam ao sistema operativo uma forma de organizar os ficheiros em
disco de forma a ser possível a sua leitura posterior.
Atributos de ficheiros
Os atributos que a maioria dos sistemas operativos dão a um ficheiro incluem
os seguintes:
•
•
•
•
•
•
Nome – Este é o atributo de um ficheiro com que os utilizadores lidam
mais frequentemente. É constituído por duas partes: corpo do nome e
extensão (com regras variáveis para a atribuição do nome, corpo e
extensão, em função do sistema operativo).
Tipo – o tipo de um ficheiro determina o tipo de operações que é
possível efectuar sobre ele. O sistema operativo normalmente associa
uma determinada acção a cada tipo de ficheiro (p.ex. abrir com o
Microsoft Word, executar, etc.)
Localização – Apontador para o ficheiro, no dispositivo onde ele está
armazenado.
Tamanho – O tamanho do ficheiro, normalmente em bytes, words ou
blocos.
Protecção – normalmente especificada pelo utilizador, define o nível de
acesso permitido a outros utilizadores. Diferentes níveis podem incluir
leitura, execução, escrita, etc.
Hora, Data e proprietário – a maioria dos sistemas operativos
normalmente regista a data e hora de criação, ultima modificação, ultima
utilização. Alguns sistemas operativos, como o Windows NT, guardam
também informação sobre o utilizador que criou o ficheiro.
Operações sobre ficheiros
Olhando um ficheiro como um tipo de dados abstracto , há um certo número de
diferentes operações que podem ser levadas a cabo sobre ficheiros. Estas
operações são fornecidas pelo sistema operativo como chamadas de sistema
(system calls). As operações básicas incluem:
•
•
Criação – de forma a permitir a criação de um ficheiro o sistema
operativo deve alocar o espaço necessário ao seu armazenamento. Em
seguida deve criar uma nova entrada no directório, de forma a permitir
ao utilizador “ver” que o ficheiro está naquele directório.
Escrita – Para escrever num ficheiro, o sistema operativo controla um
apontador de escrita que especifica a próxima posição onde a escrita
deve ser efectuada. Sempre que acontece uma operação de escrita este
apontador tem de ser actualizado.
•
•
01-01-2004
Página 8
Leitura – Tal como na escrita, o sistema operativo controla um
apontador de leitura, que especifica a próxima posição a ler. Sempre
que acontece uma operação de leitura este apontador tem que ser
actualizado.
Eliminação – O sistema operativo, em primeiro lugar, tem de localizar o
ficheiro a eliminar. Uma vez encontrado, o espaço associado ao ficheiro
é libertado, e a entrada no directório correspondente ao ficheiro é
removida.
Estrutura de Directórios
Um directório permite aos utilizadores organizar ficheiros de acordo com um
determinado propósito. A estrutura de directórios mais comum é a estrutura em
árvore (que olhamos como tendo a estrutura de uma árvore invertida). Neste
tipo de estrutura, existe um directório raiz que contém ficheiros e outros
directórios. Os sub directórios da raiz, por sua vez, podem conter ficheiros e
sub directórios, que por sua vez também podem conter outros ficheiros e sub
directórios, etc. A figura seguinte mostra como uma estrutura de directórios em
árvore pode ser vista:
Ilustração 2-Estrutura de directórios
01-01-2004
Página 9
Análise das Camadas de um Sistema de Ficheiros
Podemos olhar o Sistema de Ficheiros como sendo formado por várias
camadas:
Logical File System
Guarda e gere a estrutura de ficheiros através do FCB
(file control block)
File organization module
Traduz blocos lógicos em fisicos
Basic File system
Converte blocos fisicos em parametros do disco (drive
1, cilindro 73, pista 2, sector 10 etc)
I/O Control
Trans fere dados entre a memória e o disco
Ilustração 3-Layer do file system
Parâmetros para ler do disco:
#cilindro(=#track)
#prato(=#surface)
#sector
“transfer size”
Ilustração 4-Leitura do disco
01-01-2004
Página 10
Unidades do Sistema de Ficheiros
•
Sector – a menor unidade que pode ser acedida num disco (tipicamente
512 bytes)
•
Bloco(ou Cluster) – a menor unidade que pode ser alocada na
construção de um ficheiro
•
Qual o tamanho real de um ficheiro de 1 byte no disco?
– Ocupa pelo menos um cluster,
– Que pode consistir de 1~8 sectores,
– Portanto o ficheiro pode necessitar ~4KB espaço em disco.
Estrutura Sector~Cluster~Ficheiro
Ilustração 5-Estrutura sector~cluster~ficheiro
FCB – File Control Block
•
•
•
•
Contém atributos de ficheiros mais a localização dos blocos
– Permissões
– Datas (criação, accesso, escrita)
– Dono, grupo, ACL (Access Control List)
– Tamanho do ficheiro
– Localização do conteúdo do ficheiro
UNIX File System - I-node
FAT/FAT32 - parte da FAT (File Allocation Table)
NTFS - parte da MFT (Master File Table)
01-01-2004
Página 11
Partições
• Os discos são divididos em uma ou mais partições.
• Cada partição pode ter o seu próprio Sistema de Ficheiros (UFS, FAT,
NTFS …).
Layout em disco de um Sistema de Ficheiros:
Boot Super File descriptors
block block
(FCBs)
File data blocks
Ilustração 6-Layout em disco de um file system
•
•
Super block – define um sistema de ficheiros
– Tamanho do sistema de ficheiros (file system)
– Tamanho da área do “file descriptor”
– Inicio da lista de blocos livres
– Localização do FCB no directório raíz
– outros meta-dados, como permissões e data/hora (time stamps)
Onde armazenar a imagem de boot?
Boot block
• Dual Boot
– Múltiplos Sistemas Operativos podem ser instalados na mesma
máquina.
– Como sabe o sistema como fazer boot?
•
Boot Loader
– Entende diferentes sistemas operativos e sistemas de ficheiros
– Está armazenado numa localização especifica em disco
– Lê o Boot Block para encontrar a imagem de boot.
Alocação de Blocos (Block Allocation)
•
•
•
Alocação contigua
Alocação linkada
Alocação indexada
01-01-2004
Página 12
Alocação Contígua (Contiguous Block Allocation)
Ilustração 7-Alocação contígua
•
Prós: read/seek eficiente porque a localização em disco, tanto
sequencial como aleatória pode ser obtida instantaneamente.
•
Contras: Ao criar um ficheiro não sabemos o número necessário de
blocos…o que pode levar à necessidade de desfragmentar o disco
(podemos ter espaço livre em disco, mas, de forma contigua não)
Alocação Linkada (Linked Block Allocation)
Ilustração 8-Alocação linkada
01-01-2004
Página 13
•
Prós: Menor fragmentação, alocação de blocos mais flexivel
•
Contras: Leitura sequencial exige mais saltos das cabeças para o bloco
seguinte, leitura aleatória menos eficiente. Quanto mais blocos ocupar o
ficheiro mais operações de posicionamento são necessárias.
Alocação indexada de blocos (Indexed Block Allocation)
Ilustração 9-Alocação indexada
•
•
•
Mantém um array de apontadores para os blocos
O acesso aleatório passa a ser tão fácil como o sequencial
Utilizado no UNIX File S ystem
Gestão de espaço livre (Free Space Management)
Sempre que um ficheiro é eliminado é necessário fazer a gestão dos blocos
livres. Isto pode ser feito de duas formas: Bit Vector (ou BitMap), em que cada
bit representa um bloco, ou Lista ligada (Linked List).
Bit Vector (= Bit Map)
lustração 10-bit
vector
•
•
01-01-2004
Página 14
Prós: pode ser eficiente com o apoio de hardware, podemos encontrar n
blocos livres de uma só vez
Contras: o tamanho do Btimap cresce de acordo com a capacidade do
disco. Torna-se inificiente quando o Bitmap deixa de poder ser
totalmente carregado em memória.
Lista linkada (Linked List)
Ilustração 11-Lista ligada
•
•
Prós: não há necessidade de manter uma tabela global
Contras : é necessário aceder uma vez a cada bloco de forma a
encontrar o próximo bloco livre (atravessar a lista linkada pode exigir
um numero muito elevado de operações I/O)
Manutenção do File System
Entre as operações necessárias à manutenção do file system, temos:
•
•
•
•
Formatar: permite criar o layout do file system (super-block, I-nodes,…)
Blocos não utilizáveis (Bad blocks): a maioria dos discos contém alguns
o que implica manter numa lista de “bad blocks”. Operações de
“scandisk” permitem a sua detecção…
Desfragmentação: rearranjo de blocos de forma contigua
Verificação Scanning: após crash do sistema, correcção de de
inconsistências nos descriptores de ficheiros.
01-01-2004
Página 15
Características do File System em Windows
FAT (File Allocation Table)
A tabela FAT fica localizada no topo do volume. São mantidas duas cópias
para o caso de uma se danificar. O tamanho do cluster é determinado pelo
tamanho do disco:
Tamanho do disco
Tamanho do Cluster
512MB ou menos
513MB até 1024MB(1GB)
1025MB até 2048MB(2GB)
2049MB e maior
512 bytes
1024 bytes (1KB)
2048 bytes (2KB)
4096 bytes (4KB)
Numero de
sectores
1
2
4
8
Ilustração 12-tamanho do disco vs cluster
Indexação de blocos em FAT
Ilustração 13-Indexação de blocos em FAT
Limitações da FAT:
• as referências aos clusters são de 16bits, logo no máximo 2^16=65,536
clusters estão acessiveis
• Partições limitadas a 2~4 GB
• Demasiado pequenas para as exigências actuais
• Para partições acima dos 200 MB, a performance degrada-se
rápidamente
• Espaço desperdiçado em cada cluster aumenta
01-01-2004
Página 16
FAT32 - melhoramento da FAT
•
•
Utilização mais eficiente do espaço em disco porque permite clusters
mais pequenos devido às referências de 32 bits
Mais robusto e flexivel: a raiz tornou-se uma pasta vulgar, isto é, pode
estar localizada em qualquer parte do disco, cópia da tabela de alocação
de ficheiros
NTFS
O NFTS usa o MFT (Master File Table, análogo à FAT) e obedece aos
seguintes objectivos:
•
•
•
Objectivos de design: tolerante a falhas (Fault-tolerance), segurança,
escalabilidade.
Escalabilidade: NTFS referencia cluster com endereçamentos de 64
bits, permite portanto clusters mais pequenos. Pode mapear discos de
tamanhos que certamente não veremos nos anos mais próximos.
Fiabilidade : sob o NTFS, um registo de transacções é mantido de
forma a que o CHKDSK possa fazer o rollback de transações para o
último COMMIT (transação com sucesso), de forma a permitir a
recuperação para um estado de consistência do sistema.
NTFS Metadata Files
Nome MFT
$MFT
$MFTMIRR
$LOGFILE
$VOLUME
$ATTRDEF
.
$BITMAP
$BOOT
$BADCLUS
$QUOTA
$UPCASE
Descrição
Master File Table
Cópia dos 16 primeiros registos da
MFT
Ficheiro de registo de transacções
Numero de série do Volume, data de
criação e flag “dirty”
Definição de atributos
Directório raiz
Mapeamento de Cluster (em-uso
versus livres)
Boot record do drive
Lista “bad clusters” no drive
quota do utilizador
Mapeia carateres minusculos para o
seu correspondente maiusculo
Ilustração 14-NTFS Metadata
NTFS : Estrutura do registo MFT
Ilustração 15-Estrutura do registo MFT
Estrutura do registo MFT para directórios
Ilustração 16-Estrutura do registo MFT para directórios
01-01-2004
Página 17
01-01-2004
Página 18
Os esquemas seguintes pretendem dar uma ideia da interacção das aplicações
com o sistema de ficheiros, de uma operação de abertura de ficheiro e de uma
operação de leitura de ficheiro.
Application~ File System Interaction
Process
control
block
Open file
table
(system-wide)
File descriptors
(Metadata)
File
system
info
File
descriptor
s
Open
file
pointer
array
Directories
.
.
.
File data
open(file…) under the hood
•
•
•
•
•
Search directory structure
for the given file path
Copy file descriptors into inmemory data structure
fd = open( FileName, access)
PCB
Allocate & link up
data structures
Open
file
table
Directory look up
by file path
Create an entry in systemwide open-file-table
Create an entry in PCB
Return the file pointer to
user
Metadata
File system on disk
Ilustração 17 – Aplicações ~ sistema de ficheiros
read(file…) under the hood
read( fd, userBuf, size )
PCB
Find open file
descriptor
Open
file
table
read( fileDesc, userBuf, size )
Logical → phyiscal
Metadata
read( device, phyBlock, size )
Buffer
cache
Get physical block to sysBuf
copy to userBuf
Disk device driver
Ilustração 18-Operação de leitura de um ficheiro
01-01-2004
Página 19
01-01-2004
Página 20
Sistema de Ficheiros em Windows
Num sistema operativo, um Sistema de Ficheiros é uma estrutura global na
qual são atribuídos nomes aos ficheiros e estes são armazenados. O Windows
suporta três sistemas de ficheiros: NTFS, FAT e FAT32. O utilizador selecciona
um sistema de ficheiros quando efectua a instalação do Windows, formata um
volume existente ou instala um novo disco rígido.
Volume
Um volume é uma área de armazenamento num disco rígido. É formatado
através da utilização de um sistema de ficheiros, tal como o FAT ou NTFS, e
tem uma letra de unidade atribuída. Um disco rígido único pode ter vários
volumes e estes também podem expandir-se por vários discos.
Tabela de Atribuição para Ficheiros (FAT)
Sistema de ficheiros utilizado pelo MS-DOS e por outros sistemas operativos
baseados no Windows para organizar e gerir ficheiros. A tabela de atribuição
para ficheiros (FAT, File Allocation Table) é uma estrutura de dados criada pelo
Windows quando se formata um volume utilizando os sistemas de ficheiros
FAT ou FAT32. O Windows armazena informação sobre cada ficheiro na FAT
para que estes possam ser acedidos mais tarde.
FAT32
Um derivado do sistema de ficheiros da tabela de atribuição para ficheiros
(FAT, File Allocation Table). A FAT32 suporta tamanhos de cluster mais
pequenos e volumes maiores do q ue a FAT, resultando numa atribuição de
espaço mais eficiente nos volumes FAT32.
Em termos de armazenamento de dados, cluster é a mais pequena quantidade
de espaço em disco que pode ser atribuída para suportar um ficheiro. Todos os
sistemas de ficheiros utilizados pelo Windows organizam os discos rígidos com
base em conjuntos de sectores, que consistem em um ou mais sectores
contíguos. Quanto mais pequeno for o conjunto de sectores, mais eficiente será
a forma como o disco armazena as informações. Se não for especificado
qualquer tamanho de conjunto de sectores durante a formatação, o Windows
selecciona predefinições com base no tamanho do volume. Estas predefinições
são seleccionadas para reduzir a quantidade de espaço perdida e a quantidade
de fragmentação no volume. A um conjunto de sectores é também dado o
nome de unidade de atribuição.
Nota: Cluster, em termos de rede informática, significa um grupo de computadores
independentes que funcionam em conjunto para fornecer um conjunto comum de serviços e
apresentar uma imagem de sistema único aos clientes. A utilização de um cluster aumenta a
disponibilidade dos serviços e a escalabilidade e facilidade de gestão do sistema operativo que
fornece o serviço.
Sistema de Ficheiros NTFS (New Technology File System)
Sistema de ficheiros avançado que fornece funções de desempenho,
segurança, fiabilidade e funções avançadas que não são encontradas em
versões FAT. Por exemplo, o NTFS garante consistência do volume utilizando
01-01-2004
Página 21
técnicas padrão de registo e recuperação de transacções. Se um sistema
falhar, o NTFS utiliza o respectivo ficheiro de registo e as informações do ponto
de verificação para restaurar a consistência do sistema de ficheiros. No
Windows 2000 e Windows XP, o NTFS também fornece funções avançadas
como, por exemplo, permissões de ficheiro e pasta, encriptação, quotas de
disco e compressão.
Sistema de Ficheiros suportado por cada Sistema
Operativo Windows
Sistema operativo
MS-DOS
Windows 3.1
Windows 95
Windows 95 OSR2
Windows 98
Windows 2000
Windows XP
Sistema de ficheiros suportado
FAT
FAT
FAT
FAT, FAT32
FAT, FAT32
FAT32, NTFS
FAT32, NTFS
Ilustração 19-Sistema de Ficheiros suportados em Windows
Selecção do Sistema de Ficheiros
É possível optar entre três sistemas de ficheiros para partições de disco num
computador que esteja a executar o Windows XP: NTFS, FAT e FAT32. O
sistema de ficheiros NTFS é recomendado pelos seguintes motivos:
•
•
•
•
O NTFS é um sistema mais poderoso do que o FAT ou o FAT32,
incluindo funcionalidades necessárias ao alojamento do Active Directory,
bem como de outras importantes funcionalidades de segurança. Só
pode utilizar funcionalidades tais como o Active Directory e a segurança
baseada no domínio, se seleccionar o NTFS como sistema de ficheiros.
A conversão de partições para NTFS é um procedimento fácil. O
programa de configuração facilita a conversão, independentemente do
facto das partições utilizarem FAT, FAT32 ou versões anteriores do
NTFS. Este tipo de conversão mantém os ficheiros intactos (ao contrário
da formatação de uma partição). Quando uma partição é formatada com
o NTFS ou convertida utilizando um comando de conversão, o NTFS
revela-se a melhor opção como sistema de ficheiros.
Para poder manter o controlo de acesso a ficheiros e pastas e suportar
contas limitadas, é necessário utilizar o NTFS. Se se utilizar o FAT32,
todos os utilizadores terão acesso aos ficheiros no disco rígido,
independentemente do tipo de conta que possuam (administrador,
limitado ou padrão).
O sistema de ficheiros NTFS é aquele que melhor funciona com discos
grandes. (O segundo melhor sistema de ficheiros para discos grandes é
o FAT32.)
01-01-2004
Página 22
Existe uma situação na qual poderá ser conveniente seleccionar FAT ou FAT32
como sistema de ficheiros: se for necessário ter um computador que por vezes
execute uma versão anterior do Windows e noutras execute o Windows XP,
será necessário ter uma partição FAT ou FAT32 como partição principal (ou de
arranque) no disco rígido. A maioria das versões anteriores do Windows não
pode aceder a uma partição se esta utilizar a última versão do NTFS. As duas
excepções são o Windows 2000 e o Windows NT 4.0 com o Service Pack 4 ou
posterior. O Windows NT 4.0 com o Service Pack 4 ou posterior tem acesso a
partições com a versão mais recente do NTFS, mas com algumas limitações:
não consegue aceder a ficheiros que tenham sido armazenados utilizando
funcionalidades do NTFS que não existiam quando o Windows NT 4.0 foi
lançado.
No entanto, para qualquer outra situação que não a de múltiplos sistemas
operativos, o sistema de ficheiros recomendado é o NTFS.
Importante
•
Depois de converter uma unidade ou partição para NTFS, não é possível
simplesmente voltar a convertê-la para FAT ou FAT32. É necessário
voltar a formatar a unidade ou partição, procedimento que irá apagar
todos os dados, incluindo os programas e ficheiros pessoais existentes
na partição.
A tabela que se segue descreve a compatibilidade de cada sistema de ficheiros
com vários sistemas operativos:
NTFS
Um computador que utilize
o Windows XP ou o
Windows 2000 pode aceder
a ficheiros numa partição
NTFS. Um computador que
utilize o Windows NT 4.0
com o Service Pack 4 ou
posterior poderá conseguir
aceder a alguns ficheiros.
Outros sistemas operativos
não permitem o acesso.
FAT
O acesso é
disponibilizado
através de MS-DOS,
de todas as versões
do Windows, do
Windows NT, do
Windows 2000, do
Windows XP e do
OS/2.
FAT32
O acesso só é
disponibilizado através do
Windows 95 OSR2, do
Windows 98, do
Windows Millennium
Edition, do Windows 2000
e do Windows XP.
Ilustração 20-Compatibilidade Sistema de Ficheiros ~ Sistema Operativo
01-01-2004
Página 23
A tabela que se segue compara os tamanhos possíveis de disco e de ficheiro
em cada sistema de ficheiros.
NTFS
O tamanho de volume
mínimo recomendado é de
aproximadamente 10
megabytes (MB).
É possível a existência de
volumes superiores a 2
terabytes (TB).
Não pode ser utilizado em
disquetes.
O tamanho de ficheiro é
limitado apenas pelo
tamanho do volume.
FAT
O tamanho dos
volumes varia entre a
capacidade de uma
disquete e 4 gigabytes
(GB).
Não suporta domínios.
FAT32
Volumes entre
512 MB e 2 TB.
No Windows XP, só
pode formatar um
volume FAT32 até
32 GB.
Não suporta
domínios.
O tamanho máximo de
ficheiro é de 2 GB.
O tamanho máximo
de ficheiro é de 4 GB.
Ilustração 21-Tamanhos possíveis de disco ~ sistema de ficheiros
Nota: Alguns programas mais antigos podem não funcionar num volume do
NTFS, pelo que se deverá consultar os requisitos actuais do software antes de
efectuar a conversão.
01-01-2004
Página 24
Sistemas de ficheiros do Windows
Antes de formatar um volume ou uma partição, é necessário ter em
consideração o sistema de ficheiros a utilizar para a formatação. O
Windows 2000 e o Windows XP suportam o sistema de ficheiros NTFS, a
tabela de a tribuição para ficheiros (FAT) e FAT32. O NTFS é o sistema de
ficheiros recomendado para o Windows 2000 e Windows XP, por suportar
diversas funcionalidades que os outros sistemas de ficheiros não suportam, tais
como as permissões de ficheiro e de pasta, encriptação, suporte de volumes
grandes e a gestão de ficheiros dispersos. No entanto, é necessário formatar o
volume ou a partição como FAT, caso se tencione aceder aos ficheiros nesse
volume, ou partição, a partir de outros sistemas operativos, incluindo MS-DOS,
Windows 95, Windows 98, Windows Millennium Edition e Windows NT 4.0. A
escolha deve recair sobre o NTFS apenas se se pretender executar o
Windows 2000 ou o Windows XP e se pretender tirar partido das
funcionalidades do NTFS. As seguintes funcionalidades são exclusivas do
NTFS:
•
•
•
•
•
Compressão
Quotas de disco
Encriptação
Pontos de montagem
Armazenamento remoto
Para além disso, o NTFS é necessário em todos os discos dinâmicos e discos
de tabela de partição (GTP).
Tabela de partição GUID (GTP) é um esquema de partição de disco utilizado
pela EFI (Extensible Firmware Interface) em computadores baseados no
Itanium. A GPT oferece mais vantagens do que a partição do registo de
arranque principal (MBR, Master Boot Record), porque permite até 128
partições por disco, fornece suporte de volumes até 18 exabytes de tamanho,
permite tabelas de partição primárias e secundárias para redundância e
suporta discos únicos e IDs de partição (GUID).
Um disco dinâmico é um disco físico que só pode ser acedido através do
Windows 2000 e do Windows XP. Os discos dinâmicos fornecem
funcionalidades que não estão ao alcance dos discos básicos, tais como
suporte de volumes que se expandem por vários discos. Os discos dinâmicos
utilizam uma base de dados oculta para controlar a informação sobre os
volumes dinâmicos no disco e noutros discos dinâmicos no computador. É
possível converter discos básicos em discos dinâmicos utilizando o snap-in de
gestão de discos ou do utilitário da linha de comandos DiskPart. Quando se
converte um disco básico num disco dinâmico, todos os volumes básicos
existentes tornam-se volumes dinâmicos.
Uma partição é parte de um disco físico que funciona como se fosse um disco
separado fisicamente. Depois de criar uma partição, é necessário formatá-la e
atribuir-lhe uma letra de unidade antes de poder armazenar dados na mesma.
01-01-2004
Página 25
Nos discos básicos, as partições são conhecidas como volumes básicos, que
incluem partições principais e unidades lógicas. Em discos dinâmicos, as
partições são conhecidas como volumes dinâmicos, que incluem volumes
simples, stripe, expandidos, mirror e RAID -5.
Descrição geral das propriedades de ficheiros em
Windows
Os ficheiros e as pastas têm folhas de propriedades que apresentam
informações, tais como o tamanho, a localização e a data de criação do ficheiro
ou da pasta. Quando visualiza as propriedades de um ficheiro ou de uma
pasta, também pode obter informações sobre:
•
•
•
•
•
Atributos do ficheiro ou da pasta.
Tipo de ficheiro.
Nome do programa que abre o ficheiro.
Número de ficheiros e subpastas contidos na pasta.
Última vez que o ficheiro foi modificado ou acedido.
Dependendo do tipo de ficheiro ou pasta, também é possível visualizar
informações adicionais, apresentadas nos seguintes separadores:
Geral - Identifica o tipo de ficheiro; o programa associado ao ficheiro; a
respectiva localização e tamanho; e as datas de criação, da última modificação
e da última abertura.
Reproduzir automaticamente : Permite alterar a forma como o Windows
processa os ficheiros de multimédia que detecta num dispositivo de
armazenamento amovível, tal como uma câmara digital ou um CD-ROM. Por
exemplo, quando o Windows detecta faixas de música na unidade de CD-ROM,
pode reproduzi-las automaticamente ou permitir que as visualize numa pasta.
Segurança - Apresenta os outros utilizadores que poderão modificar, ler e
executar, ver o conteúdo das pastas, escrever no ficheiro ou pasta, ou ter
acesso só para leitura.
Partilhar - Permite partilhar a pasta com outros utilizadores e definir
permissões de acesso para os ficheiros que esta contenha.
Personalizada - Permite criar novas propriedades para um ficheiro que
forneçam informações adicionais sobre o mesmo.
Personalizar - Permite alterar a imagem que aparece numa pasta na vista
Miniaturas - Permite alterar o ícone da pasta e escolher um novo modelo para
uma pasta. Os modelos de pasta podem conter ligações de tarefas e
informações sobre ficheiros especializados, como, por exemplo, ficheiros de
imagem ou música.
01-01-2004
Página 26
Resumo - Apresenta informações sobre o ficheiro, incluindo o título, o assunto,
a categoria e o autor.
Atalho - Apresenta o nome do atalho, as informações de destino e a tecla de
atalho. Permite-lhe escolher a forma como o item é apresentado quando o
atalho é aberto: numa janela padrão, num ecrã inteiro (maximizado) ou como
um botão na barra de tarefas (minimizado). Também permite visualizar o
destino do atalho, alterar o ícone do atalho e abrir um atalho como um utilizador
diferente .
01-01-2004
Página 27
Utilizar a 'Gestão de discos'
A Gestão de discos é um utilitário do sistema para a gestão de discos rígidos
e das partições ou volumes neles contidos. Com a Gestão de discos, é possível
inicializar novos discos, criar volumes e formatar volumes com os sistemas de
ficheiros FAT, FAT32 ou NTFS. A Gestão de discos permite executar a maior
parte das tarefas relacionadas com discos sem encerrar o computador. A
maioria das alterações à configuração tem efeito imediato.
O utilitário Diskpart
Cria e elimina partições num disco rígido. O comando diskpart está disponível
apenas quando utiliza a Consola de recuperação.
DiskPart.exe é um interpretador de comandos em modo de texto que permite a
gestão de objectos (discos, partições ou volumes) utilizando scripts ou
introduzindo dados directamente numa linha de comandos. Antes de poder
utilizar os comandos de DiskPart.exe num disco, partição ou volume, deve
primeiro listar e, em seguida, seleccionar o objecto sobre o qual vai incidir.
Depois de definir o objecto com o foco, qualquer comando de DiskPart.exe que
utilize actua sobre esse objecto.
É possível listar os objectos disponíveis para determinar o número ou a letra de
unidade de um objecto utilizando os comandos list disk, list volume e list
partition. Os comandos list disk e list volume apresentam todos os discos e
volumes no computador. No entanto, o comando list partition apenas
apresenta as partições no disco com o foco. Quando utiliza os comandos list,
aparece um asterisco (*) junto ao objecto com o foco. A selecção de um objecto
pode ser feita pelo respectivo número ou letra de unidade, por exemplo, disco
0, partição 1, volume 3 ou volume C.
Quando se selecciona um objecto, o foco mantém-se nesse objecto até
seleccionar um objecto diferente. Por exemplo, se o foco estiver no disco 0 e
seleccionar o volume 8 no disco 2, o foco muda do disco 0 para o volume 8 do
disco 2. Alguns comandos mudam o foco automaticamente. Por exemplo,
quando se cria uma partição nova, o foco muda automaticamente para a nova
partição.
Apenas é possível evidenciar uma partição no disco seleccionado. Quando
uma partição tem o foco, o volume relacionado (eventualmente existente)
também tem o foco. Quando um volume tem o foco, o disco e a partição
relacionados também têm o foco, se o volume estiver mapeado para uma única
partição específica. Se não for este o caso, perde-se o foco do disco e da
partição.
01-01-2004
Página 28
Descrição geral da compressão de ficheiros
Comprimir ficheiros, pastas e programas diminui o respectivo tamanho e reduz
a quantidade de espaço utilizado nas unidades ou nos dispositivos de
armazenamento amovíveis. A compressão de uma unidade diminui a
quantidade de espaço utilizado por todos os ficheiros e pastas armazenados na
mesma. O Windows suporta dois tipos de compressão: A compressão NTFS e
a compressão utilizando a funcionalidade Pastas comprimidas (.ZIP).
Compressão NTFS versus Pastas comprimidas (.ZIP)
Compressão NTFS
Se não tiver uma unidade NTFS, esta opção não está disponível.
•
•
•
•
•
•
•
•
É possível comprimir ficheiros e pastas individuais utilizando a
compressão NTFS, bem como unidades NTFS completas.
É possível comprimir uma pasta sem comprimir o respectivo conteúdo.
É possível trabalhar com ficheiros NTFS sem os descomprimir.
É possível visualizar nomes de pastas e ficheiros comprimidos NTFS
numa cor diferente, para tornar mais fácil a sua identificação.
É provável que ocorra uma diminuição no desempenho ao trabalhar com
ficheiros comprimidos NTFS. Quando se abre um ficheiro comprimido, o
Windows descomprime-o a utomaticamente e, quando se fecha o
ficheiro, o Windows comprime-o novamente. Este processo pode
diminuir o desempenho do computador.
As pastas e os ficheiros comprimidos NTFS só permanecem
comprimidos quando estão armazenados numa unidade NTFS.
Não é possível encriptar um ficheiro comprimido NTFS.
A encriptação de ficheiros NTFS não está disponível no Windows XP
Home Edition.
Pastas Comprimidas (.ZIP)
•
•
•
•
•
•
Os ficheiros e pastas que são comprimidos utilizando a funcionalidade
Pastas comprimidas (.ZIP) permanecem comprimidos nas unidades
FAT e NTFS.
É possível executar alguns programas directamente a partir destas
pastas comprimidas sem os descomprimir. Também se pode abrir
ficheiros directamente a partir das pastas comprimidas.
Os ficheiros e as pastas comprimidos podem ser movidos para qualquer
unidade ou pasta no computador, na Internet ou na rede, e são
compatíveis com outros programas de compressão de ficheiros.
As pastas comprimidas utilizando esta funcionalidade são identificadas
pelo ícone de um fecho de correr.
Pode proteger ficheiros armazenados numa pasta comprimida (.ZIP)
com uma palavra-passe.
Comprimir ficheiros utilizando a funcionalidade Pastas comprimidas
(.ZIP) não diminui o desempenho do computador.
•
01-01-2004
Página 29
Para comprimir ficheiros individuais utilizando Pastas comprimidas
(.ZIP), cria-se uma pasta comprimida e, em seguida, movem-se ou
copiam-se os ficheiros para essa pasta.
Nota: A funcionalidade Pastas comprimidas (.ZIP) não está disponível no
Windows XP 64-Bit Edition.
O utilitário Compact
Apresenta e altera a compressão de ficheiros ou directórios em partições
NTFS. Utilizado sem parâmetros, compact apresenta o estado de compressão
do directório actual.
Sintaxe
compact [{/c|/u}] [/s[:dir]] [/a] [/i] [/f] [/q] [NomeFicheiro[...]]
Observações
•
•
O comando compact, a versão da linha de comandos da funcionalidade
de compressão do sistema de ficheiros NTFS, apresenta e altera o
atributo de compressão de ficheiros e directórios em partições NTFS. O
estado de compressão de um directório indica se os ficheiros
adicionados ao directório serão comprimidos automaticamente. Quando
é definido o estado de compressão de um directório, o estado de
compressão de ficheiros já existentes não é necessariamente alterado.
Não se pode utilizar compact para ler, escrever ou montar volumes que
tenham sido comprimidos utilizando DriveSpace ou DoubleSpace.
01-01-2004
Página 30
Encriptar e desencriptar dados
É possível armazenar dados em segurança com o Sistema de ficheiros de
encriptação (EFS, Encrypting File System). O EFS efectua este
procedimento encriptando dados em ficheiros e pastas NTFS seleccionados.
Uma vez que o EFS é integrado com o sistema de ficheiros, é fácil de gerir,
difícil de atacar e transparente para o utilizador. Isto é particularmente útil no
que respeita à protecção de dados em computadores vulneráveis a roubo,
como os computadores portáteis.
Os ficheiros e pastas não podem ser encriptados ou desencriptados em
volumes FAT. Além disso, o EFS foi concebido para armazenar dados de forma
segura em computadores locais. Como tal, não suporta a transmissão em
segurança de ficheiros por uma rede. Podem utilizar-se outras tecnologias,
tais como a IPSec (Internet Protocol Security), juntamente com o EFS no
sentido de fornecer uma solução alternativa. Para mais informações é
necessário um estudo mais aprofundado do IPSec.
Utilizar chaves de encriptação
Depois de o utilizador ter especificado que um ficheiro deve ser encriptado, o
processo encriptação de dados é completamente transparente para o
utilizador. O utilizador não necessita de compreender este processo.
A Encriptação de ficheiros funciona do seguinte modo:
•
•
•
Cada ficheiro tem uma chave de encriptação de ficheiros exclusiva, a
qual é posteriormente utilizada para desencriptar os dados do ficheiro.
A chave de encriptação de ficheiros está, em si mesma, encriptada e
está protegida pela chave pública do utilizador correspondendo ao
certificado EFS do utilizador.
A chave de encriptação de ficheiros também está protegida pela chave
pública de cada utilizador EFS adicional, q ue tenha sido autorizada para
desencriptar o ficheiro e cada agente de recuperação.
O certificado EFS e a chave privada utilizados podem ser emitidos por um
número de origens, incluindo certificados gerados automaticamente,
certificados criados pelas auto ridades de certificação Microsoft (AC), ou outras
AC. Para mais informações sobre certificados de terceiros e do EFS,
recomenda-se a consulta do artigo Q273856, "Third-Party Certificate Authority
Support for Encrypting File System," em Microsoft Knowledge Base
(http://www.microsoft.com/).
A Desencriptação de ficheiros funciona do seguinte modo:
•
Para desencriptar um ficheiro, a chave de encriptação de ficheiros deve,
primeiro, ser desencriptada. A chave de encriptação de ficheiros é
•
01-01-2004
Página 31
desencriptada se o utili zador possuir uma chave privada correspondente
à chave pública.
O utilizador original pode não ser a única pessoa que pode desencriptar
a chave de encriptação de ficheiros. Outros utilizadores ou agentes de
recuperação designados também podem desencriptar a chave de
encriptação de ficheiros, utilizando a sua própria chave privada.
As chaves privadas são mantidas em segurança num arquivo protegido de
chaves ou num directório separado, e não no Gestor de contas de segurança
(SAM, Security Accounts Manager).
Armazenar ficheiros encriptados em servidores remotos
Se, em ambiente Windows XP, se pretender armazenar ficheiros encriptados
em servidores remotos, será útil saber o seguinte:
•
•
•
•
•
•
O Windows XP suporta o armazenamento de dados encriptados em
servidores remotos.
Os utilizadores apenas podem utilizar remotamente o EFS se ambos os
computadores forem membros da mesma floresta Windows XP.
Os dados encriptados não são encriptados durante o percurso através
da rede, mas apenas quando são armazenados no disco. A excepção a
esta regra ocorre se o sistema incluir a IPSec (Internet Protocol
security) ou Web Distributed Authoring and Versioning (WebDAV).
A IPSec encripta os dados enquanto estes são transportados através de
uma rede TCP/IP. Se o ficheiro for encriptado antes de ser copiado ou
movido para uma pasta WebDAV num servidor, permanecerá encriptado
durante a transmissão e enquanto estiver armazenado no servidor.
Os ficheiros encriptados não são acessíveis a clientes Macintosh.
Actualmente, o armazenamento de certificados EFS e de chaves
privadas em smart cards não é suportado.
Actualmente, a protecção forte por chave privada não é suportada para
as chaves privadas EFS.
Antes de os utilizadores poderem encriptar ficheiros residentes num servidor
remoto, um administrador deverá designar o servidor remoto como fidedigno
para delegação. Isto permite a encriptação desses ficheiros a todos os
utilizadores com ficheiros nesse servidor.
Internet Protocol security (IPSec)
O IPSec é uma estrutura de normas abertas para assegurar comunicações
privadas seguras através de redes IP, mediante a utilização de serviços de
segurança criptográficos.
Notas:
•
Parte dos serviços relacionados com IPSec foram desenvolvidos em
conjunto pela Microsoft e pela Cisco Systems, Inc.
•
•
•
•
01-01-2004
Página 32
Chave pública: Metade não secreta de um par de chaves criptográficas
utilizada com um algoritmo de chave pública. Normalmente, as chaves
públicas são utilizadas para encriptar uma chave de sessão, verificar
uma assinatura digital ou encriptar dados que podem ser desencriptados
com a chave privada correspondente.
Agente de recuperação: Utilizador para o qual é emitido um certificado
de chave pública com o objectivo de recuperar dados do utilizador
encriptados com o sistema de ficheiros de encriptação (EFS, Encrypting
File System).
Chave privada: A metade secreta de um par de chaves criptográficas
utilizada com um algoritmo de chave pública. As chaves privadas são
normalmente utilizadas para desencriptar uma chave de sessão
simétrica, assinar dados digitalmente ou desencriptar dados que tenham
sido encriptados com a chave pública correspondente.
Web Distributed Authoring and Versioning (WebDAV): Protocolo de
aplicação relacionado com HTTP 1.1 que permite aos clientes publicar e
gerir recursos de forma transparente na World Wide Web.
Utilizar 'Certificados'
Certificados é um “snap-in” que ajuda a solicitar novos certificados de chave
pública e a gerir os certificados existentes. Os Certificados são utilizados pela
maior parte dos serviços de segurança de chave pública e aplicações que
fornecem autenticação, integridade de dados e comunicações seguras ao
longo de redes não seguras, como a Internet. Os Administradores podem gerir
certificados próprios e de outros utilizadores, um computador ou um serviço. Os
utilizadores só podem gerir certificados próprios.
Notas/Definições:
Snap-in: Tipo de ferramenta que pode adicionar a uma consola suportada pela Consola de
gestão da Microsoft (MMC, Microsoft Management Console). Um snap-in autónomo pode ser
adicionado automaticament e; um snap-in de extensão só pode ser adicionado para expandir a
função de outro snap-in.
Certificado: Um documento digital que é normalmente utilizado na autenticação e troca segura
de informações em redes abertas, como a Internet, extranets e intranets. Um certificado
associa de forma segura uma chave pública à entidade que detém a correspondente chave
privada. Os certificados são assinados digitalmente pela autoridade de certificação emissora e
podem ser emitidos para um utilizador, computador ou serviço. O formato mais aceite para
certificados é definido pela norma internacional ITU-T X.509 versão 3.
Autenticação: O processo de verificação que confirma se uma entidade ou um objecto é quem
ou o que afirma ser. Alguns exemplos incluem a confirmação da origem e da integridade das
informações, tal como a verificação de uma assinatura digital ou da identidade de um utilizador
ou de um computador.
Administrador: Para o Windows XP Professional, uma pessoa responsável pela configuração
e gestão de controladores de domínio ou computadores locais e das suas contas de utilizador e
de grupo, que atribua palavras-passe e permissões e que ajude os utilizadores nos problemas
de rede. Os administradores são membros do grupo de Administradores e têm controlo total
sobre o domínio ou computador. No WindowsXP Home Edition, uma pessoa que pode efectuar
alterações ao nível de todo o sistema no computador, que pode instalar software e que tem
acesso a todos os ficheiros do computador. Uma pessoa que tenha uma conta de
administrador do computador tem acesso total a outras contas de utilizador do computador.
01-01-2004
Página 33
Serviço: Programa, rotina ou processo que desempenha uma função específica do sistema
para suportar outros programas, em especial a níveis inferiores (próximo do hardware).
Quando os serviços são fornecidos através de uma rede, podem ser publicados no Active
Directory, facilitando a utilização e administração centralizada no serviço. Alguns exemplos de
serviços incluem o Gestor de contas de segurança, a Replicação de ficheiros e o
Encaminhamento e acesso remoto.
Consola de gestão da Microsoft (MMC): Uma plataforma para hospedar ferramentas
administrativas, designadas por consolas. Uma consola pode conter ferramentas, pastas ou
outros contentores, páginas World Wide Web e outros itens administrativos. Estes itens são
apresentados no painel esquerdo da consola, designado por árvore da consola. Uma consola
tem uma ou mais janelas que podem fornecer vistas da árvore da consola. A janela principal
MMC fornece comandos e ferramentas para a criação de consolas. As funções de criação de
MMC e a própria árvore da consola podem estar ocultas se uma consola estiver no modo de
utilizador.
Utilizar 'Pastas Web' para transferência segura de
ficheiros
Pastas Web ou WebDAV, é um protocolo de trans ferência de ficheiros que
suporta transferência de ficheiros segura através de intranets e da Internet.
Com Pastas Web, é possível enviar, transferir, e gerir ficheiros num
computador remoto através de uma intranet e da Internet. Pastas Web
assemelha-se ao protocolo de transferência de ficheiros (FTP); no entanto,
Pastas Web fornece um ambiente mais seguro para transferência de ficheiros
através da Web.
01-01-2004
Página 34
Utilizar 'Pastas Web' versus FTP
Protocolo
Pastas
Web
FTP
Segurança de palavra-passe
Sempre que o servidor Web
estiver a utilizar SSL; por
vezes, se não estiver
Nunca
Encriptaçãode dados
Sempre se o servidor Web
estiver a utilizar SSL; nunca
se não estiver
Nunca
Ilustração 22-Utilizar ´Pastas Web' vs FTP
Pastas Web protege a palavra-passe e os dados encriptados quando envia
informações para um servidor Web que esteja a utilizar SSL (Secure Socket
Layer). Se o servidor não estiver a utilizar SSL, a funcionalidade Pastas Web
pode proteger a palavra-passe se o servidor estiver configurado para utilizar
autenticação do Windows. No entanto, não pode encriptar os dados enviados
para o servidor. Se um servidor estiver a utilizar SSL, o endereço Internet do
servidor começa com https:// em vez de http://.
O FTP não utiliza encriptação ou outro mecanismo de segurança para proteger
a palavra-passe quando inicia sessão num servidor. Além disso, não se pode
encriptar os dados quando se estiver a utilizar FTP para enviar ficheiros para
ou de um servidor. Isto coloca as informações em risco, porque qualquer
pessoa que utilize hardware ou software de rede pode capturar as informações
à medida que são transferidas.
A utilização de Pastas Web para transferir ficheiros, pastas e outros dados
para servidores Web que utilizam SSL é a forma mais segura de transferir
informação. Adicionalmente, os utilizadores domésticos devem activar um
firewall pessoal para protecção máxima.
Notas/Definições:
File Transfer Protocol (FTP): Membro do conjunto de protocolos TCP/IP utilizado para copiar
ficheiros entre dois computadores na Internet. Ambos os computadores têm de suportar as
respectivas funções FTP: um tem de ser um cliente FTP e o outro um servidor FTP.
Servidor Web: Computador mantido por um administrador de sistema ou fornecedor de
serviços Internet (ISP, Internet service provider) e que responde a pedidos de um browser do
utilizador.
Secure Sockets Layer (SSL): Padrão aberto proposto para estabelecer um canal de
comunicação seguro para impedir a intercepção de informações críticas, tais como números de
cartões de crédito. Em primeiro lugar, permite transacções financeiras electrónicas seguras na
World Wide Web, apesar de também se destinar a trabalhar em outros serviços da Internet.
Firewall: Combinação de hardware e software que fornece um sistema de segurança,
normalmente para impedir o acesso não autorizado do exterior a uma rede interna ou intranet.
Um firewall impede a comunicação directa entre uma rede e computadores externos,
encaminhando a comunicação através de um servidor proxy que esteja fora da rede. O servidor
proxy determina se é seguro transmitir um ficheiro através da rede. Um firewall também é
designado por gateway de segurança.
01-01-2004
Página 35
Armazenar dados em segurança
A segurança dos dados armazenados refere-se à capacidade de armazenar
dados no disco de uma forma encriptada. Quando utilizam o Sistema de
ficheiros de Encriptação (EFS, Encrypting File System), os utilizadores
podem encriptar os dados na altura em que são armazenados no disco.
Introdução à utilização do 'Sistema de ficheiros de
encriptação'
Como já foi referido, o Sistema de ficheiros de encriptação (EFS, Encrypting
File System) permite aos utilizadores armazenarem os seus dados do disco em
formato encriptado. De uma forma geral podemos definir Encriptação e
Desencriptação da seguinte forma:
Encriptação é o processo de conversão dos dados para um formato que não
pode ser lido por outro utilizador. Uma vez que um utilizador tenha encriptado
um ficheiro, o ficheiro permanece automaticamente encriptado sempre que seja
armazenado no disco.
Desencriptação é o processo de conversão de dados do formato encriptado
para o formato original. Uma vez que um utilizador tenha desencriptado um
ficheiro, o ficheiro permanece desencriptado sempre que seja armazenado no
disco.
O EFS fornece as seguintes funcionalidades:
•
•
•
•
•
Os utilizadores podem encriptar os seus ficheiros quando os armazenam
no disco. A encriptação é tão fácil como seleccionar uma caixa de
verificação na caixa de diálogo Propriedades do ficheiro.
O acesso a ficheiros encriptados é rápido e fácil. Os utilizadores vêem
os dados em texto simples quando acedem aos dados do disco.
A encriptação dos dados é executada automaticamente e é
completamente transparente para o utilizador.
Os utilizadores podem desencriptar activamente um ficheiro limpando a
caixa de verificação Encriptação na caixa de diálogo Propriedades do
ficheiro.
Os administradores podem recuperar os dados encriptados por outro
utilizador. Isto assegura que os dados estejam acessíveis se o utilizador
que os encriptou já não esti ver disponível ou tiver perdido a sua chave
privada.
O EFS encripta os dados apenas quando são armazenados no disco. Para
encriptar os dados tal como são transportados através de uma rede TCP/IP,
encontram-se disponíveis duas funcionalidades -IPSec (Internet Protocol
security) e encriptação PPTP.
01-01-2004
Página 36
Encriptar e desencriptar dados com o 'Sistema de
ficheiros de encriptação'
Encriptar dados
A configuração predefinida do Sistema de ficheiros de encriptação (EFS)
não requer esforços administrativos – os utilizadores podem iniciar
imediatamente a encriptação dos ficheiros. O EFS gera automaticamente um
par de chaves de encriptação para um utilizador se não existir nenhuma. O
EFS utiliza o DESX (Data Encryption Standard) expandido ou o 3DES
(Triple-DES) como algoritmo de encriptação.
Os serviços de encriptação estão disponíveis a partir do Explorador do
Windows. Os utilizadores podem encriptar um ficheiro ou uma pasta, utilizando
a função da linha de comandos cipher.
Os utilizadores podem encriptar um ficheiro ou uma pasta através da definição
da propriedade de encriptação para ficheiros e pastas, da mesma forma como
são definidos outros atributos, tais como, só de leitura, comprimido ou oculto.
Se um utilizador encriptar uma pasta, todos os ficheiros e subpastas criados ou
adicionados à pasta encriptada são automaticamente encriptados. Recomendase aos utilizadores que encriptem ao nível da pasta.
Os ficheiros ou pastas comprimidos também não podem ser encriptados. Se o
utilizador marcar um ficheiro ou pasta comprimido para encriptação, esse
ficheiro ou pasta é descomprimido. Além disso, as pastas marcadas para
encriptação não estão na realidade encriptadas. Só são encriptados os
ficheiros da pasta, bem como quaisquer novos ficheiros criados ou movidos
para a pasta.
Aceder a dados encriptados
Os utilizadores acedem aos ficheiros encriptados do mesmo modo que acedem
a ficheiros não encriptados. Por isso, quando um utilizador acede a um ficheiro
encriptado armazenado no disco, o utilizador pode ler o conteúdo do ficheiro
em modo normal. Quando o utilizador armazena de novo o ficheiro no disco, o
EFS encripta novamente o ficheiro de forma transparente.
Copiar, mover ou mudar o nome de dados encriptados
A cópia ou movimentação de ficheiros não encriptados para uma pasta
encriptada causa a encriptação automática desses ficheiros na nova pasta.
Contudo, a operação inversa não desencripta os ficheiros automaticamente. Os
ficheiros mantêm a propriedade de encriptação até que sejam explicitamente
desencriptados ou movidos para um volume que não seja NTFS. De modo
semelhante, mudar o nome de um ficheiro encriptado não altera o seu estado
de encriptado.
01-01-2004
Página 37
Desencriptar dados
Pode-se desencriptar um ficheiro limpando a caixa de verificação Encriptação
na caixa de diálogo Propriedades do ficheiro. Uma vez desencriptado, o
ficheiro permanece desencriptado até que se volte a encriptá-lo. Não é possível
reencriptar automaticamente um ficheiro, mesmo que exista num directório
marcado como encriptado.
É possível desencriptar um ficheiro limpando a caixa de verificação
Encriptação na caixa de diálogo Propriedades do ficheiro ou utilizando o
comando cipher.
Efectuar cópias de segurança e recuperar dados
encriptados
As principais tarefas administrativas associadas ao Sistema de ficheiros de
encriptação (EFS, Encrypting File System) são efectuar a cópia de segurança
e restaurar ficheiros encriptados, configurar uma política de recuperação e
recuperar dados encriptados.
Efectuar cópias de segurança e restaurar dados encriptados
As cópias de segurança de ficheiros encriptados serão também encriptadas,
desde que utilize um programa de cópias de segurança concebido para o
Windows XP.
Quando restaurar dados encriptados, os dados permanecerão encriptados
após a operação de restauro.
Recuperar dados encriptados
A Recuperação de dados refere-se ao processo de desencriptação de um
ficheiro sem ter a chave privada do utilizador que encriptou o ficheiro.
Poderá ser necessário recuperar os dados recorrendo a um agente de
recuperação, se:
•
•
•
Um utilizador deixa a empresa.
Um utilizador perde a chave privada.
Uma agência de segurança efectuar um pedido.
Para recuperar um ficheiro, o agente de recuperação:
1. Efectua cópias de segurança dos ficheiros encriptados.
2. Move as cópias de segurança para um sistema seguro.
3. Importa o certificado de recuperação dos ficheiros e a chave privada
desse sistema.
4. Restaura os ficheiros de cópia de segurança.
5. Desencripta os ficheiros utilizando o Explorador do Windows ou o
comando cipher do EFS.
01-01-2004
Página 38
Configurar uma política de recuperação
Pode-se utilizar o snap-in da Política de grupo para definir a política de
recuperação de dados para servidores membros do domínio ou para servidores
autónomos ou de grupo de trabalho. Tanto se pode pedir um certificado de
recuperação como exportar e importar os seus certificados de recuperação.
Poderá pretender-se delegar a administração da política de recuperação a um
administrador designado. Apesar de se aconselhar a limitação do número de
pessoas autorizadas a recuperar dados encriptados, o facto de se permitir a
acção de múltiplos administradores como agentes de recuperação fornece uma
fonte de recuperação alternativa, caso tal se torne necessário.
Descrição geral do 'Sistema de ficheiros de
encriptação'
O Sistema de Encriptação de Ficheiros (EFS) fornece a tecnologia de base de
encriptação de ficheiros, utilizada para armazenar ficheiros encriptados em
volumes de sistemas de ficheiros NTFS. Uma vez encriptado um ficheiro ou
uma pasta, é possível trabalhar nos ficheiros ou pastas encriptados como se
fossem documentos normais.
A encriptação é transparente para o utilizador que encriptou o ficheiro. O que
significa que não é necessário desencriptar manualmente o ficheiro encriptado
antes da sua utilização. O ficheiro pode ser aberto e modificado como
habitualmente.
A utilização do EFS é semelhante à utilização de permissões em ficheiros e
pastas. Podem utilizar-se ambos os métodos para restringir o acesso a dados.
Contudo, se um utilizador estranho ao sistema obtiver acesso físico não
autorizado aos seus ficheiros ou pastas encriptados, ele será impedido de os
ler. Se o utilizador não autorizado tentar abrir ou copiar o ficheiro ou pasta
encriptados, recebe uma mensagem de acesso negado. As permissões em
ficheiros e pastas não protegem de ataques físicos não autorizados.
É possível encriptar ou desencriptar um ficheiro ou uma pasta através da
definição da propriedade de encriptação para ficheiros ou pastas, da mesma
forma como são definidos outros atributos, tais como, só de leitura, comprimido
ou oculto. Se encriptar uma pasta, todos os ficheiros e subpastas criados no
ficheiro encriptado, são encriptados automaticamente. Recomenda-se que a
encriptação seja efectuada ao nível da pasta.
Também é possível encriptar ou desencriptar um ficheiro ou uma pasta, através
da utilização do comando cipher. Quando se trabalha com ficheiros e pastas
encriptados, deve ter-se em atenção as seguintes informações:
•
•
Apenas podem encriptar-se ficheiros e pastas em volumes NTFS. Como
o WebDAV trabalha com o NTFS, o NTFS é necessário para encriptar
ficheiros utilizando o protocolo WebDAV.
Os ficheiros ou pastas comprimidos também não podem ser encriptados.
Se o utilizador marcar um ficheiro ou pasta para encriptação, esse
ficheiro ou pasta é descomprimido.
•
•
•
•
•
01-01-2004
Página 39
Os ficheiros encriptados podem ser desencriptados, copiando ou
movendo o ficheiro para um volume, que não seja um volume NTFS.
A movimentação de ficheiros desencriptados para uma pasta encriptada
causa a encriptação automática desses ficheiros na nova pasta.
Contudo, a operação inversa não desencripta os ficheiros
automaticamente. Os ficheiros têm de ser desencriptados
explicitamente.
Não podem encriptar-se os ficheiros marcados com o atributo Sistema,
nem os ficheiros do directório “pasta do sistema”.
A encriptação de uma pasta ou ficheiro não protege contra a eliminação
ou a listagem de ficheiros ou directórios. Qualquer utilizador com a
permissão adequada pode eliminar ou listar pastas ou ficheiros
encriptados. Por essa razão, recomenda-se a utilização de EFS em
combinação com permissões NTFS.
É possível encriptar ou desencriptar ficheiros e pastas localizadas num
computador remoto, desde que este tenha a encriptação remota
activada. Contudo, se abrir o ficheiro encriptado na rede, os dados
transmitidos na rede por este processo não são encriptados. Outros
protocolos, como o SSL/TLS (Single Socket Layer/Transport Layer
Security) ou a IPSec (Internet Protocol security), têm de ser utilizados
para encriptar dados pela ligação. O WebDAV, contudo, pode
encriptar o ficheiro localmente e transmiti-lo encriptado.
Cipher
Apresenta ou altera a encriptação de pastas e ficheiros em volumes NTFS.
Utilizado sem parâmetros, o comando cipher apresenta o estado de
encriptação da pasta actual e de todos os ficheiros nela contidos.
Sintaxe
cipher [{/e|/d}] [/s:dir] [/a] [/i] [/f] [/q] [/h] [/k] [/u[/n]] [Nomedocaminho [...]] |
[/r:Nomedocaminhosemextensão] | [/w:Nomedocaminho]
Encriptação de dados
O conceito de encriptação equivale a guardar algo de valioso num cofre com
uma chave. Os dados confidenciais são encriptados utilizando um algoritmo
chave, o que torna impossível a sua leitura sem o conhecimento da chave. As
chaves de encriptação de dados são determinadas em tempo de ligação entre
uma ligação e o computador que se encontra no lado oposto. A utilização da
encriptação de dados pode ser iniciada pelo computador ou pelo servidor com
o qual está a estabelecer ligação.
A funcionalidade Ligações de rede suporta dois tipos de encriptação: A MPPE
(Microsoft Point-to-Point Encryption) da Microsoft, que utiliza a encriptação
RSA RC4 e uma implementação do Internet Protocol security (IPSec), que
utiliza os algoritmos de encriptação Data Encryption Standard (DES) e Triple
DES. Tanto o MPPE como o IPSec suportam vários níveis de e ncriptação, tal
como é apresentado na seguinte tabela.
01-01-2004
Página 40
Implementação da encriptação
MPPE Standard (40 bits, 56 bits)
MPPE Strong (128 bits)
IPSec DES (56 bits)
IPSec Triple DES (3DES, 168 bits)
Ilustração 23-Níveis de encriptação suportados por MPPE e IPSec
Por predefinição, são instalados ficheiros de encriptação padrão (40 bits e 56
bits) e forte (128 bits). A utilização da encriptação está limitada apenas em
alguns países ou regiões. Estas limitações encontram-se descritas no Web site
da Microsoft (http://www.microsoft.com/portugal).
Notas
•
•
•
Os controlos de servidor são flexíveis e podem ser definidos de forma a
negar a utilização de encriptação, requerer um método de encriptação
específico ou permitir ao computador seleccionar um método de
encriptação. Por predefinição, a maioria dos servidores permite a
encriptação e autoriza os clientes a seleccionar os respectivos métodos
de encriptação. Este procedimento funciona para a maioria dos
computadores. Um administrador do sistema define os requisitos de
encriptação.
Para activar a encriptação de dados baseada na MPPE para ligações de
acesso telefónico ou de rede privada virtual (VPN, Virtual Private
Network), é necessário seleccionar os métodos de autenticação MSCHAP, MS-CHAP v2 ou EAP-TLS. Estes métodos de autenticação
geram as chaves utilizadas no processo de encriptação.
As redes privadas virtuais (VPN) utilizam a encriptação conforme o tipo
de servidor ao qual estão a estabelecer ligação. Se a ligação VPN
estiver configurada para estabelecer ligação a um servidor PPTP (Pointto-Point Tunneling Protocol), será utilizada a encriptação MPPE. Se a
VPN estiver configurada para estabelecer ligação a um servidor L2TP,
serão utilizados os métodos de encriptação IPSec. Se a VPN estiver
configurada para um tipo de servidor automático, ou seja, a selecção
predefinida, será feita a tentativa para utilizar, em primeiro lugar, o L2TP
e a encriptação associada IPSec se o computador tiver um certificado de
máquina; em seguida o PPTP e a e ncriptação associada MPPE.
Ilustração 24-Túnel PPTP
01-01-2004
Página 41
Protocolo de autenticação 'Challenge handshake' da Microsoft (MS-CHAP)
A Microsoft criou o MS-CHAP para autenticar estações de trabalho Windows
remotas, fornecendo a funcionalidade à qual os utilizadores baseados na LAN
estão habituados e integrando os algoritmos hash utilizados em redes
Windows. Tal como o CHAP, o MS-CHAP utiliza um mecanismo de pergunta resposta para evitar o envio da palavra-passe durante o processo de
autenticação.
O MS-CHAP utiliza o algoritmo hash Message Digest 4 (MD4) e o algoritmo de
encriptação Data Encryption Standard (DES) para gerar a pergunta e a
resposta e fornece mecanismos para comunicar erros de ligação e para mudar
a palavra-passe do utilizador. O pacote de resposta encontra-se num formato
especificamente concebido para funcionar com produtos de funcionamento em
rede no Windows 95, Windows 98, Windows Millennium Edition, Windows NT,
Windows 2000 e Windows XP.
Extensible Authentication Protocol (EAP)
O Extensible Authentication Protocol (EAP) é uma extensão do Protocolo ponto
a ponto (PPP) que permite a utilização de métodos de autenticação arbitrários
utilizando trocas de credenciais e informações de comprimentos arbitrários. O
EAP foi desenvolvido como resposta a uma procura crescente de métodos de
autenticação que utilizam outros dispositivos de segurança e fornece uma
arquitectura padrão da indústria para o suporte de métodos de autenticação
adicionais no PPP.
Ao utilizar o EAP, pode ser adicionado suporte para vários esquemas de
autenticação específicos conhecidos como tipos de EAP, incluindo cartões
token, palavras-passe únicas, autenticação de chaves públicas utilizando smart
cards e certificados, entre outros. O EAP, em conjunto com tipos de EAP fortes,
é um componente tecnológico vital para ligações de rede privada virtual (VPN)
seguras. Os tipos de EAP fortes, tais como os baseados em certificados,
oferecem maior segurança contra ataques em força ou ataques de dicionários
e acesso a palavras-passe que os protocolos de autenticação baseados em
palavras-passe, tais como o CHAP ou MS-CHAP.
O Windows XP inclui suporte para dois tipos de EAP:
•
•
EAP-MD5 CHAP (equivalente ao protocolo de autenticação CHAP)
EAP-TLS, utilizado para autenticação baseada em certificados de
utilizador.
O EAP-TLS é um método de autenticação mútua, ou seja, quer o cliente quer o
servidor provam as respectivas identidades. Durante a troca EAP-TLS, o cliente
de acesso remoto envia o respectivo certificado do utilizador e o servidor de
acesso remoto envia o respectivo certificado do computador. Se algum dos
certificados não for enviado ou for inválido, a ligação será terminada.
01-01-2004
Página 42
Nota: Durante o processo de autenticação do EAP-TLS, são geradas chaves
de encriptação secretas partilhadas para a Microsoft Point-to-Point Encryption
(MPPE).
L2TP (Layer Two Tunneling Protocol)
É possível aceder a uma rede privada através da Internet ou de outra rede
pública utilizando uma ligação de rede privada virtual (VPN) com o Layer Two
Tunneling Protocol (L2TP). O L2TP é um protocolo de túnel padrão da indústria
da Internet com, sensivelmente, a mesma funcionalidade do Point-to-Point
Tunnelong Protocol (PPTP). A implementação do L2TP no Windows XP foi
concebida para ser executada em redes IP. Esta implementação do L2TP não
suporta a utilização de túnel nativo no X.25, Frame Relay ou redes ATM
(Asynchronous Transfer Mode – ATM, um protocolo orientado para ligações de
alta velocidade utilizado para transportar muitos tipos diferentes de tráfego de
rede. Dados de pacotes ATM numa célula de comprimento fixo de 53 bytes que
podem ser trocados rapidamente entre ligações lógicas de uma rede).
Com base nas especificações Layer Two Forwarding (L2F) e Point-to-Point
Tunneling Protocol (PPTP), é possível utilizar o L2TP para configurar túneis
nas várias redes intervenientes. Tal como o PPTP, o L2TP inclui pacotes do
Point-to-Point Protocol (PPP) que, por sua vez, incluem protocolos IP ou IPX,
permitindo aos utilizadores executarem remotamente programas dependentes
de protocolos de rede específicos.
O protocolo IPX/SPX não está disponível para o Windows XP 64-Bit Edition.
Com o L2TP, o computador com o Windows 2000 Server em que está a iniciar
sessão executa todas as validações e verificações de segurança. Também
permite a encriptação de dados, melhorando a segurança no envio de
informações por redes não seguras. Ao utilizar o novo protocolo de
autenticação e encriptação de segurança do protocolo da Internet (IPSec), a
transferência de dados através de uma VPN com o L2TP activo é tão segura
como numa simples rede local de um site empresarial.
Ilustração 25-Túnel L2TP
01-01-2004
Página 43
Encriptar e desencriptar dados com o 'Sistema de
ficheiros de encriptação'
O Sistema de ficheiros de encriptação (EFS, Encrypting File System) é
utilizado para:
•
•
•
•
Encriptar dados
Aceder a dados encriptados
Copiar, mover ou mudar o nome de dados encriptados
Desencriptar dados
Criptografia do sistema: Utilizar algoritmos em conformidade com FIPS
para encriptação
A configuração do fornecedor de segurança pode ser consultada em
configuração do computador\Definições do Windows\Definições de
segurança\Políticas locais\Opções de segurança
Descrição
Determina se o fornecedor de segurança TLS/SSL suporta apenas o conjunto
de cifra TLS_RSA_WITH_3DES_EDE_CBC_SHA. De facto, isto significa que o
fornecedor suporta apenas o protocolo TLS como cliente e como servidor (se
aplicável). Utiliza apenas o algoritmo de encriptação Triple DES para a
encriptação do tráfego TLS, apenas o algoritmo de chave pública RSA para a
troca e autenticação de chaves TLS e apenas o algoritmo hash SHA-1 para os
requisitos de hash TLS.
Para o serviço de sistema de ficheiros de encriptação (EFS, Encrypting File
System), suporta apenas o algoritmo de encriptação Triple DES para encriptar
dados de ficheiros suportados pelo sistema de ficheiros do NTFS do Windows.
Por predefinição, o Sistema de encriptação de ficheiros (EFS) utiliza o
algoritmo DESX para encriptar dados de ficheiros.
Ferramentas do 'Gestor de configuração da segurança'
Pode utilizar estas ferramentas para gerir a política de segurança no
computador, unidade organizacional ou domínio.
Ferramenta do
Descrição
'Gestor de
configuração da
segurança'
Modelos de
Um modelo de segurança é um ficheiro que representa
segurança
uma configuração da segurança ou política de
segurança. Estes modelos podem ser aplicados depois
à política de computador local ou importados para um
objecto de política de grupo.
Análise e
Ferramenta para analisar ou configurar a segurança do
configuração da
segurança
Extensão Definições
de Segurança para a
política de grupo
Política de segurança
local
Ferramenta da linha
de comandos
Secedit.exe
01-01-2004
Página 44
computador utilizando um modelo de segurança.
F ferramenta para editar definições de segurança
individuais num domínio, local ou unidade
organi zacional.
Ferramenta para editar definições de segurança
individuais para o computador local.
Ferramenta para automatizar tarefas de configuração
de segurança.
Ilustração 26-Ferramentas do Gestor de Configuração de Segurança
Modelos de segurança
Um modelo de segurança é um ficheiro que representa uma configuração da
segurança. Os modelos de segurança são representações que podem ser
aplicadas a um computador local, importadas para um objecto de poítica de
grupo ou utilizadas para analisar a segurança.
Ferramenta do 'Gestor de
configuração da
segurança'
Análise e configuração da
segurança
Extensão Definições de
segurança para a política
de grupo
Política de segurança local
Ferramenta da linha de
comandos Secedit.exe
Descrição
Ferramenta para analisar ou configurar a
segurança do computador utilizando um modelo
de segurança.
individuais num domínio, local ou unidade
organizacional no Active Directory.
individuais para o computador local.
Ferramenta para automatizar tarefas de
configuração de segurança.
Ilustração 27-Modelos de segurança
Análise e configuração da segurança
O snap-in Análise e configuração da segurança pode ser utilizado para
analisar e configurar a segurança do computador local.
Ferramenta 'Gestor de
configuração da
segurança'
Extensão Definições de
Política de grupo
Política de segurança
local
Descrição
Define uma política de segurança num modelo.
Estes modelos podem ser aplicados ao snap-in
Política de grupo ou ao computador local.
Edita definições de segurança individuais num
domínio, local ou unidade organizacional.
Edita definições de segurança individuais no
computador local.
Secedit.exe
01-01-2004
Página 45
Automatiza tarefas de configuração de segurança
numa linha de comandos.
Ilustração 28-Análise e configuração da segurança
Definições de segurança
Através de definições de segurança, é possível modificar a política de
segurança de uma unidade organizacional, de um domínio ou de um local, a
partir de qualquer computador associado a um domínio.
•
As definições de segurança permitem a um administrador de segurança
modificar definições de segurança atribuídas a um objecto de Política de
grupo.
Outras ferramentas de política de segurança incluem:
Gestor de
configuração da
segurança
Modelos de
segurança
Análise e
configuração da
segurança
Política de
segurança local
Ferramenta da linha
de comandos
Secedit.exe
Descrição
É possível definir uma política de segurança num
modelo. Estes modelos podem ser aplicados a um
objecto de Política de grupo ou à segurança do
computador local.
É possível utilizar esta ferramenta para configurar o
computador utilizando um modelo de segurança ou para
comparar as definições actuais do computador com as
definições especificadas num modelo de segurança.
individuais no computador local.
Ferramenta para automatizar tarefas de configuração da
segurança.
Ilustração 29-Definições de segurança
Política de segurança local
A Política de segurança local pode ser utilizada para modificar directamente
políticas de conta e locais, políticas de chaves públicas e políticas de
segurança IP do computador local.
As outras ferramentas de política de segurança incluem:
Ferramenta 'Gestor de
configuração da
segurança'
Análise e configuração
Descrição
Para definir uma política de segurança num modelo.
Estes modelos podem ser aplicados à Política de
grupo ou ao computador local.
Para configurar o computador com um modelo de
da segurança
01-01-2004
Página 46
segurança ou para comparar as definições actuais
do computador com as definições especificadas
num modelo de segurança.
Para editar as definições individuais de segurança
num domínio, local ou unidade organizacional.
Extensão de definições
de segurança para
Política de grupo
Ferramenta da linha de
comandos Secedit.exe
Para automatizar tarefas de configuração da
segurança.
Ilustração 30-Política de segurança local
Automatizar tarefas de configuração de segurança
Chamando a ferramenta Secedit.exe da linha de comandos a partir de um
ficheiro batch ou de um programador de tarefas automático, pode utilizá-la para
criar e aplicar modelos automaticamente, bem como para analisar a segurança
do sistema. Também pode executá-la dinamicamente a partir da linha de
comandos.
O Secedit.exe é útil quando existem vários computadores em que a segurança
deve ser analisada ou configurada, sendo necessário efectuar estas tarefas
fora das horas de expediente.
Arquivos de certificados
O Windows XP armazena um certificado localmente no computador ou
dispositivo que o pediu ou, no caso de um utilizador, no computador ou
dispositivo que o utilizador utilizou para o pedir. A localização do arquivo
denomina -se arquivos de certificados. Um arquivo de certificados tem
frequentemente vários certificados, possivelmente emitidos por várias
autoridades de certificação diferentes.
Utilizando o snap-in Certificados, pode apresentar o arquivo de certificados de
um utilizador, computador ou serviço, dependendo do objectivo para o qual os
certificados foram emitidos ou utilizando as respectivas categorias de
armazenamento lógicas. Quando apresenta certificados de acordo com as
respectivas categorias de armazenamento, também pode optar por apresentar
os arquivos físicos, mostrando a hierarquia de armazenamento de certificados.
(Este passo só é recomendado para utilizadores avançados.)
Se o utilizador tiver direitos para tal, poderá importar ou exportar certificados a
partir de quaisquer pastas no arquivo de certificados. Além disso, se a chave
privada associada a um certificado estiver marcada como disponível para
exportação, poderá exportar ambos para um ficheiro PKCS #12.
O Windows também pode publicar certificados para o Active Directory. Publicar
um certificado no Active Directory permite a todos os utilizadores ou
computadores com permissões adequadas obter o certificado quando
necessário.
01-01-2004
Página 47
Os certificados podem ser apresentados por objectivos ou por arquivos lógicos,
tal como apresentado na tabela que se segue. O snap-in Certificados tem por
predefinição a apresentação de certificados por arquivos lógicos. (A lista de
arquivos de objectivos de certificados não inclui todos os arquivos de objectivos
possíveis)
Apresentar Nome da pasta
por
Arquivo
Pessoal
lógico
Autoridades de
certificação de
raiz fidedigna
Confiança
empresarial
Autoridades de
certificação
intermediárias
Pessoas
fidedignas
Conteúdo
Certificados associados a chaves privadas às
quais tem acesso. Estes são os certificados
que foram emitidos para o utilizador ou para
o computador ou serviço para o qual está a
gerir certificados.
Em computadores num domínio do Active
Directory do Windows 2000 os
administradores podem colocar
automaticamente certificados neste arquivo,
utilizando a inscrição automática baseada na
política de grupo..
Autoridades de certificação implicitamente
fidedignas. Inclui todos os certificados
existentes no arquivo de autoridades de
certificação de raiz de terceiros e certificados
raiz da organização do utilizador e da
Microsoft.
Se um administrador pretender adicionar
certificados de autoridades de certificação de
terceiros a este arquivo para todos os
computadores num domínio do Active
Directory do Windows 2000, pode utilizar a
política de grupo para distribuir certificados
de raiz fidedigna à sua organização.
Um contentor para listas de certificados
fidedignos. Uma lista de certificados de
confiança fornece um mecanismo para
confiar em certificados de raiz assinados
automaticamente de outras organizações e
para limitar os objectivos para os quais estes
certificados são de confiança.
Certificados emitidos para autoridades de
certificação subordinadas.
Certificados emitidos para pessoas ou
entidades finais explicitamente fidedignas. Na
maior parte dos casos, estes certificados são
assinados automaticamente ou são
certificados explicitamente fidedignos numa
Outras pessoas
Fabricantes
fidedignos
Certificados não
permitidos
Objectivo
Autoridades de
certificação de
raiz de terceiros
Requisições de
inscrição de
certificados
Objecto de
utilizador do
Active Directory
Autenticação de
servidor
Autenticação de
cliente
Assinatura em
código
Correio
electrónico
seguro
Sistema de
ficheiros de
encriptação
Recuperação de
ficheiros
01-01-2004
Página 48
aplicação como, por exemplo, o Microsoft
Outlook.
Certificados emitidos para pessoas ou
entidades finais implicitamente fidedignas.
Estes certificados têm de fazer parte de uma
hierarquia de certificação fidedigna. Na maior
parte dos casos, trata-se de certificados
colocados em cache para serviços tal como o
Sistema de ficheiros de encriptação, onde
os certificados são utilizados para criar
autorizações para desencriptar um ficheiro
encriptado.
Certificados de autoridades de certificação
que as políticas de restrição de software
consideram fidedignas.
Estes são os certificados nos quais decidiu
explicitamente não confiar, utilizando a
política de restrição de software ou clicando
em "Não confiar neste certificado" quando a
decisão lhe for apresentada no correio ou
num Web browser.
Certificados de raiz fidedigna de autoridades
de certificação que não a Microsoft e a
organização do utilizador.
Requisições de certificados pendentes ou
rejeitadas.
Certificados associados ao objecto de
utilizador e publicados no Active Directory.
Certificados que os programas servidor
utilizam para se autenticar perante clientes.
Certificados que os programas cliente
utilizam para se autenticar perante
servidores.
Certificados associados a pares de chaves
utilizados para assinar conteúdo activo.
utilizados para assinar mensagens de correio
electrónico.
que encriptam e desencriptam a chave
simétrica utilizada pelo sistema de ficheiros
de encriptação para encriptar e desencriptar
dados.
que encriptam e desencriptam a chave
simétrica utilizada pelo sistema de ficheiros
de encriptação para recuperar dados
01-01-2004
Página 49
encriptados.
Ilustração 31-Certificados
Ao observar o conteúdo de um arquivo de certificados no modo Arquivo
lógico, vemos o que parecem ser duas cópias do mesmo certificado no
arquivo. Tal acontece porque o mesmo certificado é armazenado em arquivos
físicos separados num arquivo lógico, tal como os arquivos físicos Registo e
Empresa no arquivo lógico das autoridades de certificação de raiz fidedigna.
Quando o conteúdo dos arquivos de certificados físicos está combinado numa
vista de arquivo lógico, ambas as instâncias do mesmo certificado são
apresentadas.
É possível verificar isto ao definir a opção de visualização para mostrar os
arquivos de certificados físicos e, em seguida, notar se o certificado está
armazenado em arquivos físicos separados no mesmo arquivo lógico. Se
comparar os números de série, pode verificar que se trata do mesmo
certificado.
Notas/definições:
Arquivo de certificados: Normalmente, um armazenamento permanente onde os certificados,
as listas de revogação de certificados e as listas de certificados fidedignos são armazenados.
Autoridade de certificação (AC): Entidade responsável pelo estabelecimento e garantia da
autenticidade de chaves públicas pertencentes a utilizadores (entidades finais) ou outras
autoridades de certificação. As actividades de uma autoridade de certificação podem incluir a
associação de chaves públicas a nomes distintos através de certificados assinados, a gestão
de números de série de certificados e a revogação de certificados.
PKCS #12: A norma de sintaxe de troca de informações pessoais (Personal Information
Exchange Syntax Standard), desenvolvida e mantida pela RSA Data Security, Inc. Esta norma
de sintaxe especifica um formato portátil para armazenar ou transportar as chaves privadas,
certificados e vários segredos de um utilizador.
Definições de requisições automáticas de certificados
A inscrição de certificados é o processo de requisição, recepção e instalação
de um certificado. Utilizando definições de certificados automáticos em
Políticas de chaves públicas, é possível fazer com que os computadores
associados a um objecto de Política de grupo sejam automaticamente inscritos
em certificados. Este procedimento pode evitar o passo de inscrição explícita
de certificados relacionados com computadores, para cada computador.
Depois de estabelecer uma requisição automática de certificados, as
requisições de certificados reais irão ocorrer na vez seguinte que os
computadores associados ao objecto de Política de grupo iniciem sessão na
rede.
Nota:
•
As requisições automáticas de certificados só funcionam com
autoridades de certificação (AC) que executem o módulo de política
empresarial.
•
01-01-2004
Página 50
É necessário ter privilégios de administrador para estabelecer
requisições automáticas de certificados para um objecto de Política de
grupo.
Política de autoridade de certificação de raiz fidedigna
Para estabelecer uma autoridade de certificação (AC) de raiz fidedigna
utilizando a Política de grupo, o objecto de Política de grupo que se criar tem
de ter acesso ao certificado raiz. Para isso, é necessário importar uma cópia do
certificado de autoridade raiz.
Para um certificado da AC de raiz ser importado, o certificado raiz tem de estar
em ficheiros PKCS # 12, em ficheiros PKCS #7 ou em ficheiros de certificado
X.509v3 codificados com códigos binários.
Notas/Definições:
Normas de criptografia de chaves públicas (PKCS ): Família de normas para criptografia de
chave pública que inclui encriptação RSA, correspondência de chave Diffie-Hellman,
encriptação baseada na palavra-passe, sintaxe expandida, sintaxe de mensagens
criptográficas, sintaxe de informações de chaves privadas e sintaxe de requisição de
certificados, bem como atributos seleccionados. Desenvolvida, da propriedade de e mantida
pela RSA Data Security, Inc.
PKCS #7: A norma de sintaxe de mensagem criptográfica (Cryptographic Message Syntax
Standard). Trata-se de uma sintaxe geral desenvolvida e mantida pela RSA Data Security, Inc.,
para dados aos quais a criptografia pode ser aplicada, tais como assinaturas digitais e
encriptação. Também fornece uma sintaxe para disseminar certificados ou listas de revogação
de certificados.
Certificado X.509v3: Versão 3 da recomendação ITU-T X.509 para a sintaxe e o formato do
certificado. É o formato padrão de certificados utilizado pelos processos baseados em
certificados do Windows XP. Um certificado X.509 inclui a chave pública e informações sobre a
pessoa ou entidade à qual o certificado é emitido, informações sobre o certificado e
informações opcionais sobre a autoridade de certificação (AC) que emite o certificado.
01-01-2004
Página 51
Referências
(Todas as referências: Dezembro de 2003)
http://www.acro.it/Acro-3F504B3D31323933.html
http://is- it-true.org/nt/utips/utips154.shtml
http://hershelcroy.tripod.com/computers/id11.html
http://www.ceenet.org/workshops/work97.html
http://www.ece.umd.edu/class/ents650/
http://www.computerhope.com/fat32.htm
http://www.digit- life.com/articles/ntfs/index3.html
http://www.techadvice.com/tech/F/FileSystems.htm
http://205.236.5.89/~hrdcor3/CO/Final_Project/BootSector.FAT32.html
http://www.nonags.com/nonags/forum/general/data/5604.shtml
http://computer.howstuffworks.com/vpn.htm
http://web.mit.edu/kerberos/dist/index.html#KFW2.5
http://www.oldstuff.myagora.net/powerload/fat32/fat2.htm
http://dast.nlanr.net/Guides/GettingStarted/Methods.html#Security
http://www.openssl.org/docs/ssl/ssl.html
http://hjem.get2net.dk/rune_moeller_barnkob/filesystems/fat32.html
http://hjem.get2net.dk/rune_moeller_barnkob/filesystems/fat.html
http://hjem.get2net.dk/rune_moeller_barnkob/filesystems/vfat.html
http://www.mega-tokyo.com/os/os- faq- fs.html
http://www.pcnineoneone.com/howto/filesystems1.html
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windo
wsserver2003/proddocs/entserver/Best_Connectivity_and_Security.asp
http://www.tml.hut.fi/Studies/Tik-110.350/1998/Essays/ssl.html
http://www.multingles.net/docs/almacenamiento.htm
http://thingy.apana.org.au/~fun/slrn/clusters.html
http://www.systemsmedic.com/SoftwareEdu2.htm
http://www.ssh.org/
http://www3.tsl.uu.se/~micke/ssl_links.html
http://www.ltsw.se/knbase/tcp/tcp1.htp
http://www.project9.com/fat32/
http://www.giodo.gov.pl/opwst/prywatnosc-www-ssl-en.html
http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci557332,00.html
http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci557332,00.html
http://cwdixon.com/support/win98_support/fat32.htm
http://umeet.uninet.edu/umeet2002/talk/2002-12-18-redes1.txt.html
www.microsoft.com (vários links)

ec1 - trabalho 5

Transcrição

Documentos relacionados

Aplicações informáticas

AF invitacion seminario PAN malware pt

trab máquina virtual jorge

Software anti-vírus Avast! 4 Edição Profissional

Guião elementar - Núcleo Minerva da Universidade de Évora

undelete 2009 professional edition - NBE

Software de Edição de Vídeo

n.º 4

Flash Fxp - Ajuda NetMadeira

Dicas rápidas para funcionamento com o ECOTECT