ec1 - trabalho 5
Transcrição
ec1 - trabalho 5
Carlos Silva, João Constantino – Engenharia Informática Autores: Carlos Silva, João Constantino Data: 20/12/2003 01-01-2004 Página 1 Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 2 Índice Índice ................................................................................................................................ 2 Índice de Ilustrações ......................................................................................................... 3 Objectivos ......................................................................................................................... 5 Introdução ......................................................................................................................... 5 O disco rígido ................................................................................................................... 6 Conceitos básicos de um Sistema de Ficheiros ................................................................ 7 Atributos de ficheiros ................................................................................................... 7 Operações sobre ficheiros ............................................................................................. 7 Estrutura de Directórios ................................................................................................ 8 Análise das Camadas de um Sistema de Ficheiros ........................................................... 9 FCB – File Control Block ........................................................................................... 10 Alocação de Blocos (Block Allocation) ..................................................................... 11 Alocação Contígua (Contiguous Block Allocation) ............................................... 12 Alocação Linkada (Linked Block Allocation)........................................................ 12 Alocação indexada de blocos (Indexed Block Allocation) ..................................... 13 Gestão de espaço livre (Free Space Management) ..................................................... 13 Bit Vector (= Bit Map) ........................................................................................... 13 Lista linkada (Linked List) ..................................................................................... 14 Manutenção do File System............................................................................................ 14 Características do File System em Windows.................................................................. 15 Sistema de Ficheiros em Windows ................................................................................. 20 Volume ....................................................................................................................... 20 Tabela de Atribuição para Ficheiros (FAT)................................................................ 20 FAT32 ......................................................................................................................... 20 Sistema de Ficheiros NTFS (New Technology File System) ..................................... 20 Sistema de Ficheiros suportado por cada Sistema Operativo Windows......................... 21 Selecção do Sistema de Ficheiros ................................................................................... 21 Sistemas de ficheiros do Windows ................................................................................. 24 Descrição geral das propriedades de ficheiros em Windows ......................................... 25 O utilitário Diskpart........................................................................................................ 27 Descrição geral da compressão de ficheiros ................................................................... 28 Compressão NTFS versus Pastas comprimidas (.ZIP) ............................................... 28 Compressão NTFS .................................................................................................. 28 Pastas Comprimidas (.ZIP) ..................................................................................... 28 O utilitário Compact ....................................................................................................... 29 Sintaxe ........................................................................................................................ 29 Observações ................................................................................................................ 29 Encriptar e desencriptar dados ........................................................................................ 30 Utilizar chaves de encriptação .................................................................................... 30 A Encriptação de ficheiros...................................................................................... 30 A Desencriptação de ficheiros ................................................................................ 30 Armazenar ficheiros encriptados em servidores remotos ........................................... 31 Internet Protocol security (IPSec)................................................................................... 31 Utilizar 'Certificados' ...................................................................................................... 32 Utilizar 'Pastas Web' para transferência segura de ficheiros .......................................... 33 Utilizar 'Pastas Web' versus FTP .................................................................................... 34 Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 3 Armazenar dados em segurança ..................................................................................... 35 Introdução à utilização do 'Sistema de ficheiros de encriptação'.................................... 35 Encriptar e desencriptar dados com o 'Sistema de ficheiros de encriptação' .................. 36 Encriptar dados ........................................................................................................... 36 Aceder a dados encriptados ........................................................................................ 36 Copiar, mover ou mudar o nome de dados encriptados.............................................. 36 Desencriptar dados...................................................................................................... 37 Efectuar cópias de segurança e recuperar dados encriptados ......................................... 37 Efectuar cópias de segurança e restaurar dados encriptados ...................................... 37 Recuperar dados encriptados ...................................................................................... 37 Configurar uma política de recuperação ..................................................................... 38 Descrição geral do 'Sistema de ficheiros de encriptação' ............................................... 38 Cipher ............................................................................................................................. 39 Sintaxe ........................................................................................................................ 39 Encriptação de dados ...................................................................................................... 39 Protocolo de autenticação 'Challenge handshake' da Microsoft (MS-CHAP) ............... 41 Extensible Authentication Protocol (EAP) ..................................................................... 41 L2TP (Layer Two Tunneling Protocol) .......................................................................... 42 Encriptar e desencriptar dados com o 'Sistema de ficheiros de encriptação' .................. 43 Criptografia do sistema: Utilizar algoritmos em conformidade com FIPS para encriptação ...................................................................................................................... 43 Descrição .................................................................................................................... 43 Ferramentas do 'Gestor de configuração da segurança' .................................................. 43 Modelos de segurança..................................................................................................... 44 Análise e configuração da segurança.............................................................................. 44 Definições de segurança ................................................................................................. 45 Política de segurança local.............................................................................................. 45 Automatizar tarefas de configuração de segurança ........................................................ 46 Arquivos de certificados ................................................................................................. 46 Definições de requisições automáticas de certificados................................................... 49 Política de autoridade de certificação de raiz fidedigna ................................................. 50 Referências ..................................................................................................................... 51 Índice de Ilustrações ILUSTRAÇÃO 1-DISCO RÍGIDO .....................................................................................................................................6 ILUSTRAÇÃO 2-ESTRUTURA DE DIRECTÓRIOS...........................................................................................................8 ILUSTRAÇÃO 3-LAYER DO FILE SYSTEM.....................................................................................................................9 ILUSTRAÇÃO 4-LEITURA DO DISCOUNIDADES DO SISTEMA DE FICHEIROS ..........................................................9 UNIDADES DO SISTEMA DE FICHEIROS.....................................................................................................................10 ILUSTRAÇÃO 5-ESTRUTURA SECTOR~CLUSTER~FICHEIRO....................................................................................10 ILUSTRAÇÃO 6-LAYOUT EM DISCO DE UM FILE SYSTEM........................................................................................11 ILUSTRAÇÃO 7-A LOCAÇÃO CONTÍGUA.....................................................................................................................12 ILUSTRAÇÃO 8-A LOCAÇÃO LINKADA.......................................................................................................................12 ILUSTRAÇÃO 9-A LOCAÇÃO INDEXADA.....................................................................................................................13 LUSTRAÇÃO 10-BIT VECTOR.......................................................................................................................................13 ILUSTRAÇÃO 11-LISTA LIGADA .................................................................................................................................14 ILUSTRAÇÃO 12-TAMANHO DO DISCO VS CLUSTER................................................................................................15 ILUSTRAÇÃO 13-INDEXAÇÃO DE BLOCOS EM FAT.................................................................................................15 ILUSTRAÇÃO 14-NTFS M ETADATA..........................................................................................................................16 ILUSTRAÇÃO 15-ESTRUTURA DO REGISTO MFT.....................................................................................................17 Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 4 ILUSTRAÇÃO 16-ESTRUTURA DO REGISTO MFT PARA DIRECTÓRIOS..................................................................17 ILUSTRAÇÃO 17 – APLICAÇÕES ~ SISTEMA DE FICHEIROS.....................................................................................18 ILUSTRAÇÃO 18-OPERAÇÃO DE LEITURA DE UM FICHEIRO ...................................................................................19 ILUSTRAÇÃO 19-SISTEMA DE FICHEIROS SUPORTADOS EM WINDOWS...............................................................21 ILUSTRAÇÃO 20-COMPATIBILIDADE SISTEMA DE FICHEIROS ~ SISTEMA OPERATIVO .....................................22 ILUSTRAÇÃO 21-TAMANHOS POSSÍVEIS DE DISCO ~ SISTEMA DE FICHEIROS......................................................23 ILUSTRAÇÃO 22-UTILIZAR ´PASTAS W EB' VS FTP.................................................................................................34 ILUSTRAÇÃO 23-NÍVEIS DE ENCRIPTAÇÃO SUPORTADOS POR MPPE E IPSEC ...................................................40 ILUSTRAÇÃO 24-TÚNEL PPTP ...................................................................................................................................40 ILUSTRAÇÃO 25-TÚNEL L2TP...................................................................................................................................42 ILUSTRAÇÃO 26-FERRAMENTAS DO GESTOR DE CONFIGURAÇÃO DE SEGURANÇA ..........................................44 ILUSTRAÇÃO 27-M ODELOS DE SEGURANÇA ............................................................................................................44 ILUSTRAÇÃO 28-A NÁLISE E CONFIGURAÇÃO DA SEGURANÇA..............................................................................45 ILUSTRAÇÃO 29-DEFINIÇÕES DE SEGURANÇA.........................................................................................................45 ILUSTRAÇÃO 30-POLÍTICA DE SEGURANÇA LOCAL.................................................................................................46 ILUSTRAÇÃO 31-CERTIFICADOS ................................................................................................................................49 Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 5 Objectivos Análise do Sistema de Ficheiros em Ambiente Windows e Armazenamento eficiente da informação no disco duro. Introdução Desde o seu aparecimento há mais de vinte anos, o papel dos computadores pessoais tem evoluído drasticamente. Empresas e utilizadores individuais utilizam computadores para armazenar e manipular dados e gerir negócios. No entanto, quando os utilizadores ligam e utilizam esses mesmos computadores, normalmente não prestam muita atenção às constantes operações de escrita e leitura que se sucedem nos seus discos rígidos. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 6 O disco rígido Para que os sistemas de ficheiros possam ser entendidos, o disco físico em si também tem que ser entendido. Os discos rígidos, tipo de disco físico que encontramos na maioria dos computadores, são utilizados para armazenar sistemas operativos, ficheiros de programas e dados. Os discos rígidos contêm vários pratos, feitos de alumínio, ou mais recentemente, vidro. O vidro é utilizado nos discos mais recentes e de maior capacidade porque os “pratos” podem ser mais finos e são mais resistentes ao calor que os discos libertam quando em funcionamento. Para que os pratos possam armazenar informação são revestidos com um material sensível a alterações magnéticas, contendo principalmente ligas de óxido de ferro e cobalto. Os dados armazenados na superfície dos pratos são acedidos por uma cabeça, que é movida pelo braço da cabeça. Há geralmente uma cabeça por cada lado do prato. A figura seguinte mostra os componentes principais de um disco rígido. Ilustração 1-Disco Rígido A informação armazenada no disco rígido é dividida em muitas áreas distintas nos pratos. Essas áreas são definidas por pistas (tracks), sectores e cilindros. Uma pista é um anel sobre a superfície do prato, contendo informação. As pistas de cada prato estão alinhadas com as dos pratos situados acima ou abaixo. Cada conjunto de pistas identicamente posicionadas formam aquilo a que chamamos cilindro. Os sectores podem ser “visualizados” como fatias de um prato. Os sectores são necessários de forma a ler informação de uma pista sem ter necessariamente de ler a totalidade da mesma. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 7 Conceitos básicos de um Sistema de Ficheiros Os sistemas operativos necessitam uma forma de gerir os dados armazenados num disco rígido. É aqui que entram os sistemas de ficheiros: eles proporcionam ao sistema operativo uma forma de organizar os ficheiros em disco de forma a ser possível a sua leitura posterior. Atributos de ficheiros Os atributos que a maioria dos sistemas operativos dão a um ficheiro incluem os seguintes: • • • • • • Nome – Este é o atributo de um ficheiro com que os utilizadores lidam mais frequentemente. É constituído por duas partes: corpo do nome e extensão (com regras variáveis para a atribuição do nome, corpo e extensão, em função do sistema operativo). Tipo – o tipo de um ficheiro determina o tipo de operações que é possível efectuar sobre ele. O sistema operativo normalmente associa uma determinada acção a cada tipo de ficheiro (p.ex. abrir com o Microsoft Word, executar, etc.) Localização – Apontador para o ficheiro, no dispositivo onde ele está armazenado. Tamanho – O tamanho do ficheiro, normalmente em bytes, words ou blocos. Protecção – normalmente especificada pelo utilizador, define o nível de acesso permitido a outros utilizadores. Diferentes níveis podem incluir leitura, execução, escrita, etc. Hora, Data e proprietário – a maioria dos sistemas operativos normalmente regista a data e hora de criação, ultima modificação, ultima utilização. Alguns sistemas operativos, como o Windows NT, guardam também informação sobre o utilizador que criou o ficheiro. Operações sobre ficheiros Olhando um ficheiro como um tipo de dados abstracto , há um certo número de diferentes operações que podem ser levadas a cabo sobre ficheiros. Estas operações são fornecidas pelo sistema operativo como chamadas de sistema (system calls). As operações básicas incluem: • • Criação – de forma a permitir a criação de um ficheiro o sistema operativo deve alocar o espaço necessário ao seu armazenamento. Em seguida deve criar uma nova entrada no directório, de forma a permitir ao utilizador “ver” que o ficheiro está naquele directório. Escrita – Para escrever num ficheiro, o sistema operativo controla um apontador de escrita que especifica a próxima posição onde a escrita deve ser efectuada. Sempre que acontece uma operação de escrita este apontador tem de ser actualizado. Carlos Silva, João Constantino – Engenharia Informática • • 01-01-2004 Página 8 Leitura – Tal como na escrita, o sistema operativo controla um apontador de leitura, que especifica a próxima posição a ler. Sempre que acontece uma operação de leitura este apontador tem que ser actualizado. Eliminação – O sistema operativo, em primeiro lugar, tem de localizar o ficheiro a eliminar. Uma vez encontrado, o espaço associado ao ficheiro é libertado, e a entrada no directório correspondente ao ficheiro é removida. Estrutura de Directórios Um directório permite aos utilizadores organizar ficheiros de acordo com um determinado propósito. A estrutura de directórios mais comum é a estrutura em árvore (que olhamos como tendo a estrutura de uma árvore invertida). Neste tipo de estrutura, existe um directório raiz que contém ficheiros e outros directórios. Os sub directórios da raiz, por sua vez, podem conter ficheiros e sub directórios, que por sua vez também podem conter outros ficheiros e sub directórios, etc. A figura seguinte mostra como uma estrutura de directórios em árvore pode ser vista: Ilustração 2-Estrutura de directórios Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 9 Análise das Camadas de um Sistema de Ficheiros Podemos olhar o Sistema de Ficheiros como sendo formado por várias camadas: Logical File System Guarda e gere a estrutura de ficheiros através do FCB (file control block) File organization module Traduz blocos lógicos em fisicos Basic File system Converte blocos fisicos em parametros do disco (drive 1, cilindro 73, pista 2, sector 10 etc) I/O Control Trans fere dados entre a memória e o disco Ilustração 3-Layer do file system Parâmetros para ler do disco: #cilindro(=#track) #prato(=#surface) #sector “transfer size” Ilustração 4-Leitura do disco Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 10 Unidades do Sistema de Ficheiros • Sector – a menor unidade que pode ser acedida num disco (tipicamente 512 bytes) • Bloco(ou Cluster) – a menor unidade que pode ser alocada na construção de um ficheiro • Qual o tamanho real de um ficheiro de 1 byte no disco? – Ocupa pelo menos um cluster, – Que pode consistir de 1~8 sectores, – Portanto o ficheiro pode necessitar ~4KB espaço em disco. Estrutura Sector~Cluster~Ficheiro Ilustração 5-Estrutura sector~cluster~ficheiro FCB – File Control Block • • • • Contém atributos de ficheiros mais a localização dos blocos – Permissões – Datas (criação, accesso, escrita) – Dono, grupo, ACL (Access Control List) – Tamanho do ficheiro – Localização do conteúdo do ficheiro UNIX File System - I-node FAT/FAT32 - parte da FAT (File Allocation Table) NTFS - parte da MFT (Master File Table) Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 11 Partições • Os discos são divididos em uma ou mais partições. • Cada partição pode ter o seu próprio Sistema de Ficheiros (UFS, FAT, NTFS …). Layout em disco de um Sistema de Ficheiros: Boot Super File descriptors block block (FCBs) File data blocks Ilustração 6-Layout em disco de um file system • • Super block – define um sistema de ficheiros – Tamanho do sistema de ficheiros (file system) – Tamanho da área do “file descriptor” – Inicio da lista de blocos livres – Localização do FCB no directório raíz – outros meta-dados, como permissões e data/hora (time stamps) Onde armazenar a imagem de boot? Boot block • Dual Boot – Múltiplos Sistemas Operativos podem ser instalados na mesma máquina. – Como sabe o sistema como fazer boot? • Boot Loader – Entende diferentes sistemas operativos e sistemas de ficheiros – Está armazenado numa localização especifica em disco – Lê o Boot Block para encontrar a imagem de boot. Alocação de Blocos (Block Allocation) • • • Alocação contigua Alocação linkada Alocação indexada Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 12 Alocação Contígua (Contiguous Block Allocation) Ilustração 7-Alocação contígua • Prós: read/seek eficiente porque a localização em disco, tanto sequencial como aleatória pode ser obtida instantaneamente. • Contras: Ao criar um ficheiro não sabemos o número necessário de blocos…o que pode levar à necessidade de desfragmentar o disco (podemos ter espaço livre em disco, mas, de forma contigua não) Alocação Linkada (Linked Block Allocation) Ilustração 8-Alocação linkada Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 13 • Prós: Menor fragmentação, alocação de blocos mais flexivel • Contras: Leitura sequencial exige mais saltos das cabeças para o bloco seguinte, leitura aleatória menos eficiente. Quanto mais blocos ocupar o ficheiro mais operações de posicionamento são necessárias. Alocação indexada de blocos (Indexed Block Allocation) Ilustração 9-Alocação indexada • • • Mantém um array de apontadores para os blocos O acesso aleatório passa a ser tão fácil como o sequencial Utilizado no UNIX File S ystem Gestão de espaço livre (Free Space Management) Sempre que um ficheiro é eliminado é necessário fazer a gestão dos blocos livres. Isto pode ser feito de duas formas: Bit Vector (ou BitMap), em que cada bit representa um bloco, ou Lista ligada (Linked List). Bit Vector (= Bit Map) lustração 10-bit vector Carlos Silva, João Constantino – Engenharia Informática • • 01-01-2004 Página 14 Prós: pode ser eficiente com o apoio de hardware, podemos encontrar n blocos livres de uma só vez Contras: o tamanho do Btimap cresce de acordo com a capacidade do disco. Torna-se inificiente quando o Bitmap deixa de poder ser totalmente carregado em memória. Lista linkada (Linked List) Ilustração 11-Lista ligada • • Prós: não há necessidade de manter uma tabela global Contras : é necessário aceder uma vez a cada bloco de forma a encontrar o próximo bloco livre (atravessar a lista linkada pode exigir um numero muito elevado de operações I/O) Manutenção do File System Entre as operações necessárias à manutenção do file system, temos: • • • • Formatar: permite criar o layout do file system (super-block, I-nodes,…) Blocos não utilizáveis (Bad blocks): a maioria dos discos contém alguns o que implica manter numa lista de “bad blocks”. Operações de “scandisk” permitem a sua detecção… Desfragmentação: rearranjo de blocos de forma contigua Verificação Scanning: após crash do sistema, correcção de de inconsistências nos descriptores de ficheiros. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 15 Características do File System em Windows FAT (File Allocation Table) A tabela FAT fica localizada no topo do volume. São mantidas duas cópias para o caso de uma se danificar. O tamanho do cluster é determinado pelo tamanho do disco: Tamanho do disco Tamanho do Cluster 512MB ou menos 513MB até 1024MB(1GB) 1025MB até 2048MB(2GB) 2049MB e maior 512 bytes 1024 bytes (1KB) 2048 bytes (2KB) 4096 bytes (4KB) Numero de sectores 1 2 4 8 Ilustração 12-tamanho do disco vs cluster Indexação de blocos em FAT Ilustração 13-Indexação de blocos em FAT Limitações da FAT: • as referências aos clusters são de 16bits, logo no máximo 2^16=65,536 clusters estão acessiveis • Partições limitadas a 2~4 GB • Demasiado pequenas para as exigências actuais • Para partições acima dos 200 MB, a performance degrada-se rápidamente • Espaço desperdiçado em cada cluster aumenta Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 16 FAT32 - melhoramento da FAT • • Utilização mais eficiente do espaço em disco porque permite clusters mais pequenos devido às referências de 32 bits Mais robusto e flexivel: a raiz tornou-se uma pasta vulgar, isto é, pode estar localizada em qualquer parte do disco, cópia da tabela de alocação de ficheiros NTFS O NFTS usa o MFT (Master File Table, análogo à FAT) e obedece aos seguintes objectivos: • • • Objectivos de design: tolerante a falhas (Fault-tolerance), segurança, escalabilidade. Escalabilidade: NTFS referencia cluster com endereçamentos de 64 bits, permite portanto clusters mais pequenos. Pode mapear discos de tamanhos que certamente não veremos nos anos mais próximos. Fiabilidade : sob o NTFS, um registo de transacções é mantido de forma a que o CHKDSK possa fazer o rollback de transações para o último COMMIT (transação com sucesso), de forma a permitir a recuperação para um estado de consistência do sistema. NTFS Metadata Files Nome MFT $MFT $MFTMIRR $LOGFILE $VOLUME $ATTRDEF . $BITMAP $BOOT $BADCLUS $QUOTA $UPCASE Descrição Master File Table Cópia dos 16 primeiros registos da MFT Ficheiro de registo de transacções Numero de série do Volume, data de criação e flag “dirty” Definição de atributos Directório raiz Mapeamento de Cluster (em-uso versus livres) Boot record do drive Lista “bad clusters” no drive quota do utilizador Mapeia carateres minusculos para o seu correspondente maiusculo Ilustração 14-NTFS Metadata Carlos Silva, João Constantino – Engenharia Informática NTFS : Estrutura do registo MFT Ilustração 15-Estrutura do registo MFT Estrutura do registo MFT para directórios Ilustração 16-Estrutura do registo MFT para directórios 01-01-2004 Página 17 Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 18 Os esquemas seguintes pretendem dar uma ideia da interacção das aplicações com o sistema de ficheiros, de uma operação de abertura de ficheiro e de uma operação de leitura de ficheiro. Application~ File System Interaction Process control block Open file table (system-wide) File descriptors (Metadata) File system info File descriptor s Open file pointer array Directories . . . File data open(file…) under the hood • • • • • Search directory structure for the given file path Copy file descriptors into inmemory data structure fd = open( FileName, access) PCB Allocate & link up data structures Open file table Directory look up by file path Create an entry in systemwide open-file-table Create an entry in PCB Return the file pointer to user Metadata File system on disk Ilustração 17 – Aplicações ~ sistema de ficheiros Carlos Silva, João Constantino – Engenharia Informática read(file…) under the hood read( fd, userBuf, size ) PCB Find open file descriptor Open file table read( fileDesc, userBuf, size ) Logical → phyiscal Metadata read( device, phyBlock, size ) Buffer cache Get physical block to sysBuf copy to userBuf Disk device driver Ilustração 18-Operação de leitura de um ficheiro 01-01-2004 Página 19 Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 20 Sistema de Ficheiros em Windows Num sistema operativo, um Sistema de Ficheiros é uma estrutura global na qual são atribuídos nomes aos ficheiros e estes são armazenados. O Windows suporta três sistemas de ficheiros: NTFS, FAT e FAT32. O utilizador selecciona um sistema de ficheiros quando efectua a instalação do Windows, formata um volume existente ou instala um novo disco rígido. Volume Um volume é uma área de armazenamento num disco rígido. É formatado através da utilização de um sistema de ficheiros, tal como o FAT ou NTFS, e tem uma letra de unidade atribuída. Um disco rígido único pode ter vários volumes e estes também podem expandir-se por vários discos. Tabela de Atribuição para Ficheiros (FAT) Sistema de ficheiros utilizado pelo MS-DOS e por outros sistemas operativos baseados no Windows para organizar e gerir ficheiros. A tabela de atribuição para ficheiros (FAT, File Allocation Table) é uma estrutura de dados criada pelo Windows quando se formata um volume utilizando os sistemas de ficheiros FAT ou FAT32. O Windows armazena informação sobre cada ficheiro na FAT para que estes possam ser acedidos mais tarde. FAT32 Um derivado do sistema de ficheiros da tabela de atribuição para ficheiros (FAT, File Allocation Table). A FAT32 suporta tamanhos de cluster mais pequenos e volumes maiores do q ue a FAT, resultando numa atribuição de espaço mais eficiente nos volumes FAT32. Em termos de armazenamento de dados, cluster é a mais pequena quantidade de espaço em disco que pode ser atribuída para suportar um ficheiro. Todos os sistemas de ficheiros utilizados pelo Windows organizam os discos rígidos com base em conjuntos de sectores, que consistem em um ou mais sectores contíguos. Quanto mais pequeno for o conjunto de sectores, mais eficiente será a forma como o disco armazena as informações. Se não for especificado qualquer tamanho de conjunto de sectores durante a formatação, o Windows selecciona predefinições com base no tamanho do volume. Estas predefinições são seleccionadas para reduzir a quantidade de espaço perdida e a quantidade de fragmentação no volume. A um conjunto de sectores é também dado o nome de unidade de atribuição. Nota: Cluster, em termos de rede informática, significa um grupo de computadores independentes que funcionam em conjunto para fornecer um conjunto comum de serviços e apresentar uma imagem de sistema único aos clientes. A utilização de um cluster aumenta a disponibilidade dos serviços e a escalabilidade e facilidade de gestão do sistema operativo que fornece o serviço. Sistema de Ficheiros NTFS (New Technology File System) Sistema de ficheiros avançado que fornece funções de desempenho, segurança, fiabilidade e funções avançadas que não são encontradas em versões FAT. Por exemplo, o NTFS garante consistência do volume utilizando Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 21 técnicas padrão de registo e recuperação de transacções. Se um sistema falhar, o NTFS utiliza o respectivo ficheiro de registo e as informações do ponto de verificação para restaurar a consistência do sistema de ficheiros. No Windows 2000 e Windows XP, o NTFS também fornece funções avançadas como, por exemplo, permissões de ficheiro e pasta, encriptação, quotas de disco e compressão. Sistema de Ficheiros suportado por cada Sistema Operativo Windows Sistema operativo MS-DOS Windows 3.1 Windows 95 Windows 95 OSR2 Windows 98 Windows 2000 Windows XP Sistema de ficheiros suportado FAT FAT FAT FAT, FAT32 FAT, FAT32 FAT32, NTFS FAT32, NTFS Ilustração 19-Sistema de Ficheiros suportados em Windows Selecção do Sistema de Ficheiros É possível optar entre três sistemas de ficheiros para partições de disco num computador que esteja a executar o Windows XP: NTFS, FAT e FAT32. O sistema de ficheiros NTFS é recomendado pelos seguintes motivos: • • • • O NTFS é um sistema mais poderoso do que o FAT ou o FAT32, incluindo funcionalidades necessárias ao alojamento do Active Directory, bem como de outras importantes funcionalidades de segurança. Só pode utilizar funcionalidades tais como o Active Directory e a segurança baseada no domínio, se seleccionar o NTFS como sistema de ficheiros. A conversão de partições para NTFS é um procedimento fácil. O programa de configuração facilita a conversão, independentemente do facto das partições utilizarem FAT, FAT32 ou versões anteriores do NTFS. Este tipo de conversão mantém os ficheiros intactos (ao contrário da formatação de uma partição). Quando uma partição é formatada com o NTFS ou convertida utilizando um comando de conversão, o NTFS revela-se a melhor opção como sistema de ficheiros. Para poder manter o controlo de acesso a ficheiros e pastas e suportar contas limitadas, é necessário utilizar o NTFS. Se se utilizar o FAT32, todos os utilizadores terão acesso aos ficheiros no disco rígido, independentemente do tipo de conta que possuam (administrador, limitado ou padrão). O sistema de ficheiros NTFS é aquele que melhor funciona com discos grandes. (O segundo melhor sistema de ficheiros para discos grandes é o FAT32.) Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 22 Existe uma situação na qual poderá ser conveniente seleccionar FAT ou FAT32 como sistema de ficheiros: se for necessário ter um computador que por vezes execute uma versão anterior do Windows e noutras execute o Windows XP, será necessário ter uma partição FAT ou FAT32 como partição principal (ou de arranque) no disco rígido. A maioria das versões anteriores do Windows não pode aceder a uma partição se esta utilizar a última versão do NTFS. As duas excepções são o Windows 2000 e o Windows NT 4.0 com o Service Pack 4 ou posterior. O Windows NT 4.0 com o Service Pack 4 ou posterior tem acesso a partições com a versão mais recente do NTFS, mas com algumas limitações: não consegue aceder a ficheiros que tenham sido armazenados utilizando funcionalidades do NTFS que não existiam quando o Windows NT 4.0 foi lançado. No entanto, para qualquer outra situação que não a de múltiplos sistemas operativos, o sistema de ficheiros recomendado é o NTFS. Importante • Depois de converter uma unidade ou partição para NTFS, não é possível simplesmente voltar a convertê-la para FAT ou FAT32. É necessário voltar a formatar a unidade ou partição, procedimento que irá apagar todos os dados, incluindo os programas e ficheiros pessoais existentes na partição. A tabela que se segue descreve a compatibilidade de cada sistema de ficheiros com vários sistemas operativos: NTFS Um computador que utilize o Windows XP ou o Windows 2000 pode aceder a ficheiros numa partição NTFS. Um computador que utilize o Windows NT 4.0 com o Service Pack 4 ou posterior poderá conseguir aceder a alguns ficheiros. Outros sistemas operativos não permitem o acesso. FAT O acesso é disponibilizado através de MS-DOS, de todas as versões do Windows, do Windows NT, do Windows 2000, do Windows XP e do OS/2. FAT32 O acesso só é disponibilizado através do Windows 95 OSR2, do Windows 98, do Windows Millennium Edition, do Windows 2000 e do Windows XP. Ilustração 20-Compatibilidade Sistema de Ficheiros ~ Sistema Operativo Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 23 A tabela que se segue compara os tamanhos possíveis de disco e de ficheiro em cada sistema de ficheiros. NTFS O tamanho de volume mínimo recomendado é de aproximadamente 10 megabytes (MB). É possível a existência de volumes superiores a 2 terabytes (TB). Não pode ser utilizado em disquetes. O tamanho de ficheiro é limitado apenas pelo tamanho do volume. FAT O tamanho dos volumes varia entre a capacidade de uma disquete e 4 gigabytes (GB). Não suporta domínios. FAT32 Volumes entre 512 MB e 2 TB. No Windows XP, só pode formatar um volume FAT32 até 32 GB. Não suporta domínios. O tamanho máximo de ficheiro é de 2 GB. O tamanho máximo de ficheiro é de 4 GB. Ilustração 21-Tamanhos possíveis de disco ~ sistema de ficheiros Nota: Alguns programas mais antigos podem não funcionar num volume do NTFS, pelo que se deverá consultar os requisitos actuais do software antes de efectuar a conversão. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 24 Sistemas de ficheiros do Windows Antes de formatar um volume ou uma partição, é necessário ter em consideração o sistema de ficheiros a utilizar para a formatação. O Windows 2000 e o Windows XP suportam o sistema de ficheiros NTFS, a tabela de a tribuição para ficheiros (FAT) e FAT32. O NTFS é o sistema de ficheiros recomendado para o Windows 2000 e Windows XP, por suportar diversas funcionalidades que os outros sistemas de ficheiros não suportam, tais como as permissões de ficheiro e de pasta, encriptação, suporte de volumes grandes e a gestão de ficheiros dispersos. No entanto, é necessário formatar o volume ou a partição como FAT, caso se tencione aceder aos ficheiros nesse volume, ou partição, a partir de outros sistemas operativos, incluindo MS-DOS, Windows 95, Windows 98, Windows Millennium Edition e Windows NT 4.0. A escolha deve recair sobre o NTFS apenas se se pretender executar o Windows 2000 ou o Windows XP e se pretender tirar partido das funcionalidades do NTFS. As seguintes funcionalidades são exclusivas do NTFS: • • • • • Compressão Quotas de disco Encriptação Pontos de montagem Armazenamento remoto Para além disso, o NTFS é necessário em todos os discos dinâmicos e discos de tabela de partição (GTP). Tabela de partição GUID (GTP) é um esquema de partição de disco utilizado pela EFI (Extensible Firmware Interface) em computadores baseados no Itanium. A GPT oferece mais vantagens do que a partição do registo de arranque principal (MBR, Master Boot Record), porque permite até 128 partições por disco, fornece suporte de volumes até 18 exabytes de tamanho, permite tabelas de partição primárias e secundárias para redundância e suporta discos únicos e IDs de partição (GUID). Um disco dinâmico é um disco físico que só pode ser acedido através do Windows 2000 e do Windows XP. Os discos dinâmicos fornecem funcionalidades que não estão ao alcance dos discos básicos, tais como suporte de volumes que se expandem por vários discos. Os discos dinâmicos utilizam uma base de dados oculta para controlar a informação sobre os volumes dinâmicos no disco e noutros discos dinâmicos no computador. É possível converter discos básicos em discos dinâmicos utilizando o snap-in de gestão de discos ou do utilitário da linha de comandos DiskPart. Quando se converte um disco básico num disco dinâmico, todos os volumes básicos existentes tornam-se volumes dinâmicos. Uma partição é parte de um disco físico que funciona como se fosse um disco separado fisicamente. Depois de criar uma partição, é necessário formatá-la e atribuir-lhe uma letra de unidade antes de poder armazenar dados na mesma. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 25 Nos discos básicos, as partições são conhecidas como volumes básicos, que incluem partições principais e unidades lógicas. Em discos dinâmicos, as partições são conhecidas como volumes dinâmicos, que incluem volumes simples, stripe, expandidos, mirror e RAID -5. Descrição geral das propriedades de ficheiros em Windows Os ficheiros e as pastas têm folhas de propriedades que apresentam informações, tais como o tamanho, a localização e a data de criação do ficheiro ou da pasta. Quando visualiza as propriedades de um ficheiro ou de uma pasta, também pode obter informações sobre: • • • • • Atributos do ficheiro ou da pasta. Tipo de ficheiro. Nome do programa que abre o ficheiro. Número de ficheiros e subpastas contidos na pasta. Última vez que o ficheiro foi modificado ou acedido. Dependendo do tipo de ficheiro ou pasta, também é possível visualizar informações adicionais, apresentadas nos seguintes separadores: Geral - Identifica o tipo de ficheiro; o programa associado ao ficheiro; a respectiva localização e tamanho; e as datas de criação, da última modificação e da última abertura. Reproduzir automaticamente : Permite alterar a forma como o Windows processa os ficheiros de multimédia que detecta num dispositivo de armazenamento amovível, tal como uma câmara digital ou um CD-ROM. Por exemplo, quando o Windows detecta faixas de música na unidade de CD-ROM, pode reproduzi-las automaticamente ou permitir que as visualize numa pasta. Segurança - Apresenta os outros utilizadores que poderão modificar, ler e executar, ver o conteúdo das pastas, escrever no ficheiro ou pasta, ou ter acesso só para leitura. Partilhar - Permite partilhar a pasta com outros utilizadores e definir permissões de acesso para os ficheiros que esta contenha. Personalizada - Permite criar novas propriedades para um ficheiro que forneçam informações adicionais sobre o mesmo. Personalizar - Permite alterar a imagem que aparece numa pasta na vista Miniaturas - Permite alterar o ícone da pasta e escolher um novo modelo para uma pasta. Os modelos de pasta podem conter ligações de tarefas e informações sobre ficheiros especializados, como, por exemplo, ficheiros de imagem ou música. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 26 Resumo - Apresenta informações sobre o ficheiro, incluindo o título, o assunto, a categoria e o autor. Atalho - Apresenta o nome do atalho, as informações de destino e a tecla de atalho. Permite-lhe escolher a forma como o item é apresentado quando o atalho é aberto: numa janela padrão, num ecrã inteiro (maximizado) ou como um botão na barra de tarefas (minimizado). Também permite visualizar o destino do atalho, alterar o ícone do atalho e abrir um atalho como um utilizador diferente . Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 27 Utilizar a 'Gestão de discos' A Gestão de discos é um utilitário do sistema para a gestão de discos rígidos e das partições ou volumes neles contidos. Com a Gestão de discos, é possível inicializar novos discos, criar volumes e formatar volumes com os sistemas de ficheiros FAT, FAT32 ou NTFS. A Gestão de discos permite executar a maior parte das tarefas relacionadas com discos sem encerrar o computador. A maioria das alterações à configuração tem efeito imediato. O utilitário Diskpart Cria e elimina partições num disco rígido. O comando diskpart está disponível apenas quando utiliza a Consola de recuperação. DiskPart.exe é um interpretador de comandos em modo de texto que permite a gestão de objectos (discos, partições ou volumes) utilizando scripts ou introduzindo dados directamente numa linha de comandos. Antes de poder utilizar os comandos de DiskPart.exe num disco, partição ou volume, deve primeiro listar e, em seguida, seleccionar o objecto sobre o qual vai incidir. Depois de definir o objecto com o foco, qualquer comando de DiskPart.exe que utilize actua sobre esse objecto. É possível listar os objectos disponíveis para determinar o número ou a letra de unidade de um objecto utilizando os comandos list disk, list volume e list partition. Os comandos list disk e list volume apresentam todos os discos e volumes no computador. No entanto, o comando list partition apenas apresenta as partições no disco com o foco. Quando utiliza os comandos list, aparece um asterisco (*) junto ao objecto com o foco. A selecção de um objecto pode ser feita pelo respectivo número ou letra de unidade, por exemplo, disco 0, partição 1, volume 3 ou volume C. Quando se selecciona um objecto, o foco mantém-se nesse objecto até seleccionar um objecto diferente. Por exemplo, se o foco estiver no disco 0 e seleccionar o volume 8 no disco 2, o foco muda do disco 0 para o volume 8 do disco 2. Alguns comandos mudam o foco automaticamente. Por exemplo, quando se cria uma partição nova, o foco muda automaticamente para a nova partição. Apenas é possível evidenciar uma partição no disco seleccionado. Quando uma partição tem o foco, o volume relacionado (eventualmente existente) também tem o foco. Quando um volume tem o foco, o disco e a partição relacionados também têm o foco, se o volume estiver mapeado para uma única partição específica. Se não for este o caso, perde-se o foco do disco e da partição. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 28 Descrição geral da compressão de ficheiros Comprimir ficheiros, pastas e programas diminui o respectivo tamanho e reduz a quantidade de espaço utilizado nas unidades ou nos dispositivos de armazenamento amovíveis. A compressão de uma unidade diminui a quantidade de espaço utilizado por todos os ficheiros e pastas armazenados na mesma. O Windows suporta dois tipos de compressão: A compressão NTFS e a compressão utilizando a funcionalidade Pastas comprimidas (.ZIP). Compressão NTFS versus Pastas comprimidas (.ZIP) Compressão NTFS Se não tiver uma unidade NTFS, esta opção não está disponível. • • • • • • • • É possível comprimir ficheiros e pastas individuais utilizando a compressão NTFS, bem como unidades NTFS completas. É possível comprimir uma pasta sem comprimir o respectivo conteúdo. É possível trabalhar com ficheiros NTFS sem os descomprimir. É possível visualizar nomes de pastas e ficheiros comprimidos NTFS numa cor diferente, para tornar mais fácil a sua identificação. É provável que ocorra uma diminuição no desempenho ao trabalhar com ficheiros comprimidos NTFS. Quando se abre um ficheiro comprimido, o Windows descomprime-o a utomaticamente e, quando se fecha o ficheiro, o Windows comprime-o novamente. Este processo pode diminuir o desempenho do computador. As pastas e os ficheiros comprimidos NTFS só permanecem comprimidos quando estão armazenados numa unidade NTFS. Não é possível encriptar um ficheiro comprimido NTFS. A encriptação de ficheiros NTFS não está disponível no Windows XP Home Edition. Pastas Comprimidas (.ZIP) • • • • • • Os ficheiros e pastas que são comprimidos utilizando a funcionalidade Pastas comprimidas (.ZIP) permanecem comprimidos nas unidades FAT e NTFS. É possível executar alguns programas directamente a partir destas pastas comprimidas sem os descomprimir. Também se pode abrir ficheiros directamente a partir das pastas comprimidas. Os ficheiros e as pastas comprimidos podem ser movidos para qualquer unidade ou pasta no computador, na Internet ou na rede, e são compatíveis com outros programas de compressão de ficheiros. As pastas comprimidas utilizando esta funcionalidade são identificadas pelo ícone de um fecho de correr. Pode proteger ficheiros armazenados numa pasta comprimida (.ZIP) com uma palavra-passe. Comprimir ficheiros utilizando a funcionalidade Pastas comprimidas (.ZIP) não diminui o desempenho do computador. Carlos Silva, João Constantino – Engenharia Informática • 01-01-2004 Página 29 Para comprimir ficheiros individuais utilizando Pastas comprimidas (.ZIP), cria-se uma pasta comprimida e, em seguida, movem-se ou copiam-se os ficheiros para essa pasta. Nota: A funcionalidade Pastas comprimidas (.ZIP) não está disponível no Windows XP 64-Bit Edition. O utilitário Compact Apresenta e altera a compressão de ficheiros ou directórios em partições NTFS. Utilizado sem parâmetros, compact apresenta o estado de compressão do directório actual. Sintaxe compact [{/c|/u}] [/s[:dir]] [/a] [/i] [/f] [/q] [NomeFicheiro[...]] Observações • • O comando compact, a versão da linha de comandos da funcionalidade de compressão do sistema de ficheiros NTFS, apresenta e altera o atributo de compressão de ficheiros e directórios em partições NTFS. O estado de compressão de um directório indica se os ficheiros adicionados ao directório serão comprimidos automaticamente. Quando é definido o estado de compressão de um directório, o estado de compressão de ficheiros já existentes não é necessariamente alterado. Não se pode utilizar compact para ler, escrever ou montar volumes que tenham sido comprimidos utilizando DriveSpace ou DoubleSpace. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 30 Encriptar e desencriptar dados É possível armazenar dados em segurança com o Sistema de ficheiros de encriptação (EFS, Encrypting File System). O EFS efectua este procedimento encriptando dados em ficheiros e pastas NTFS seleccionados. Uma vez que o EFS é integrado com o sistema de ficheiros, é fácil de gerir, difícil de atacar e transparente para o utilizador. Isto é particularmente útil no que respeita à protecção de dados em computadores vulneráveis a roubo, como os computadores portáteis. Os ficheiros e pastas não podem ser encriptados ou desencriptados em volumes FAT. Além disso, o EFS foi concebido para armazenar dados de forma segura em computadores locais. Como tal, não suporta a transmissão em segurança de ficheiros por uma rede. Podem utilizar-se outras tecnologias, tais como a IPSec (Internet Protocol Security), juntamente com o EFS no sentido de fornecer uma solução alternativa. Para mais informações é necessário um estudo mais aprofundado do IPSec. Utilizar chaves de encriptação Depois de o utilizador ter especificado que um ficheiro deve ser encriptado, o processo encriptação de dados é completamente transparente para o utilizador. O utilizador não necessita de compreender este processo. A Encriptação de ficheiros funciona do seguinte modo: • • • Cada ficheiro tem uma chave de encriptação de ficheiros exclusiva, a qual é posteriormente utilizada para desencriptar os dados do ficheiro. A chave de encriptação de ficheiros está, em si mesma, encriptada e está protegida pela chave pública do utilizador correspondendo ao certificado EFS do utilizador. A chave de encriptação de ficheiros também está protegida pela chave pública de cada utilizador EFS adicional, q ue tenha sido autorizada para desencriptar o ficheiro e cada agente de recuperação. O certificado EFS e a chave privada utilizados podem ser emitidos por um número de origens, incluindo certificados gerados automaticamente, certificados criados pelas auto ridades de certificação Microsoft (AC), ou outras AC. Para mais informações sobre certificados de terceiros e do EFS, recomenda-se a consulta do artigo Q273856, "Third-Party Certificate Authority Support for Encrypting File System," em Microsoft Knowledge Base (http://www.microsoft.com/). A Desencriptação de ficheiros funciona do seguinte modo: • Para desencriptar um ficheiro, a chave de encriptação de ficheiros deve, primeiro, ser desencriptada. A chave de encriptação de ficheiros é Carlos Silva, João Constantino – Engenharia Informática • 01-01-2004 Página 31 desencriptada se o utili zador possuir uma chave privada correspondente à chave pública. O utilizador original pode não ser a única pessoa que pode desencriptar a chave de encriptação de ficheiros. Outros utilizadores ou agentes de recuperação designados também podem desencriptar a chave de encriptação de ficheiros, utilizando a sua própria chave privada. As chaves privadas são mantidas em segurança num arquivo protegido de chaves ou num directório separado, e não no Gestor de contas de segurança (SAM, Security Accounts Manager). Armazenar ficheiros encriptados em servidores remotos Se, em ambiente Windows XP, se pretender armazenar ficheiros encriptados em servidores remotos, será útil saber o seguinte: • • • • • • O Windows XP suporta o armazenamento de dados encriptados em servidores remotos. Os utilizadores apenas podem utilizar remotamente o EFS se ambos os computadores forem membros da mesma floresta Windows XP. Os dados encriptados não são encriptados durante o percurso através da rede, mas apenas quando são armazenados no disco. A excepção a esta regra ocorre se o sistema incluir a IPSec (Internet Protocol security) ou Web Distributed Authoring and Versioning (WebDAV). A IPSec encripta os dados enquanto estes são transportados através de uma rede TCP/IP. Se o ficheiro for encriptado antes de ser copiado ou movido para uma pasta WebDAV num servidor, permanecerá encriptado durante a transmissão e enquanto estiver armazenado no servidor. Os ficheiros encriptados não são acessíveis a clientes Macintosh. Actualmente, o armazenamento de certificados EFS e de chaves privadas em smart cards não é suportado. Actualmente, a protecção forte por chave privada não é suportada para as chaves privadas EFS. Antes de os utilizadores poderem encriptar ficheiros residentes num servidor remoto, um administrador deverá designar o servidor remoto como fidedigno para delegação. Isto permite a encriptação desses ficheiros a todos os utilizadores com ficheiros nesse servidor. Internet Protocol security (IPSec) O IPSec é uma estrutura de normas abertas para assegurar comunicações privadas seguras através de redes IP, mediante a utilização de serviços de segurança criptográficos. Notas: • Parte dos serviços relacionados com IPSec foram desenvolvidos em conjunto pela Microsoft e pela Cisco Systems, Inc. Carlos Silva, João Constantino – Engenharia Informática • • • • 01-01-2004 Página 32 Chave pública: Metade não secreta de um par de chaves criptográficas utilizada com um algoritmo de chave pública. Normalmente, as chaves públicas são utilizadas para encriptar uma chave de sessão, verificar uma assinatura digital ou encriptar dados que podem ser desencriptados com a chave privada correspondente. Agente de recuperação: Utilizador para o qual é emitido um certificado de chave pública com o objectivo de recuperar dados do utilizador encriptados com o sistema de ficheiros de encriptação (EFS, Encrypting File System). Chave privada: A metade secreta de um par de chaves criptográficas utilizada com um algoritmo de chave pública. As chaves privadas são normalmente utilizadas para desencriptar uma chave de sessão simétrica, assinar dados digitalmente ou desencriptar dados que tenham sido encriptados com a chave pública correspondente. Web Distributed Authoring and Versioning (WebDAV): Protocolo de aplicação relacionado com HTTP 1.1 que permite aos clientes publicar e gerir recursos de forma transparente na World Wide Web. Utilizar 'Certificados' Certificados é um “snap-in” que ajuda a solicitar novos certificados de chave pública e a gerir os certificados existentes. Os Certificados são utilizados pela maior parte dos serviços de segurança de chave pública e aplicações que fornecem autenticação, integridade de dados e comunicações seguras ao longo de redes não seguras, como a Internet. Os Administradores podem gerir certificados próprios e de outros utilizadores, um computador ou um serviço. Os utilizadores só podem gerir certificados próprios. Notas/Definições: Snap-in: Tipo de ferramenta que pode adicionar a uma consola suportada pela Consola de gestão da Microsoft (MMC, Microsoft Management Console). Um snap-in autónomo pode ser adicionado automaticament e; um snap-in de extensão só pode ser adicionado para expandir a função de outro snap-in. Certificado: Um documento digital que é normalmente utilizado na autenticação e troca segura de informações em redes abertas, como a Internet, extranets e intranets. Um certificado associa de forma segura uma chave pública à entidade que detém a correspondente chave privada. Os certificados são assinados digitalmente pela autoridade de certificação emissora e podem ser emitidos para um utilizador, computador ou serviço. O formato mais aceite para certificados é definido pela norma internacional ITU-T X.509 versão 3. Autenticação: O processo de verificação que confirma se uma entidade ou um objecto é quem ou o que afirma ser. Alguns exemplos incluem a confirmação da origem e da integridade das informações, tal como a verificação de uma assinatura digital ou da identidade de um utilizador ou de um computador. Administrador: Para o Windows XP Professional, uma pessoa responsável pela configuração e gestão de controladores de domínio ou computadores locais e das suas contas de utilizador e de grupo, que atribua palavras-passe e permissões e que ajude os utilizadores nos problemas de rede. Os administradores são membros do grupo de Administradores e têm controlo total sobre o domínio ou computador. No WindowsXP Home Edition, uma pessoa que pode efectuar alterações ao nível de todo o sistema no computador, que pode instalar software e que tem acesso a todos os ficheiros do computador. Uma pessoa que tenha uma conta de administrador do computador tem acesso total a outras contas de utilizador do computador. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 33 Serviço: Programa, rotina ou processo que desempenha uma função específica do sistema para suportar outros programas, em especial a níveis inferiores (próximo do hardware). Quando os serviços são fornecidos através de uma rede, podem ser publicados no Active Directory, facilitando a utilização e administração centralizada no serviço. Alguns exemplos de serviços incluem o Gestor de contas de segurança, a Replicação de ficheiros e o Encaminhamento e acesso remoto. Consola de gestão da Microsoft (MMC): Uma plataforma para hospedar ferramentas administrativas, designadas por consolas. Uma consola pode conter ferramentas, pastas ou outros contentores, páginas World Wide Web e outros itens administrativos. Estes itens são apresentados no painel esquerdo da consola, designado por árvore da consola. Uma consola tem uma ou mais janelas que podem fornecer vistas da árvore da consola. A janela principal MMC fornece comandos e ferramentas para a criação de consolas. As funções de criação de MMC e a própria árvore da consola podem estar ocultas se uma consola estiver no modo de utilizador. Utilizar 'Pastas Web' para transferência segura de ficheiros Pastas Web ou WebDAV, é um protocolo de trans ferência de ficheiros que suporta transferência de ficheiros segura através de intranets e da Internet. Com Pastas Web, é possível enviar, transferir, e gerir ficheiros num computador remoto através de uma intranet e da Internet. Pastas Web assemelha-se ao protocolo de transferência de ficheiros (FTP); no entanto, Pastas Web fornece um ambiente mais seguro para transferência de ficheiros através da Web. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 34 Utilizar 'Pastas Web' versus FTP Protocolo Pastas Web FTP Segurança de palavra-passe Sempre que o servidor Web estiver a utilizar SSL; por vezes, se não estiver Nunca Encriptaçãode dados Sempre se o servidor Web estiver a utilizar SSL; nunca se não estiver Nunca Ilustração 22-Utilizar ´Pastas Web' vs FTP Pastas Web protege a palavra-passe e os dados encriptados quando envia informações para um servidor Web que esteja a utilizar SSL (Secure Socket Layer). Se o servidor não estiver a utilizar SSL, a funcionalidade Pastas Web pode proteger a palavra-passe se o servidor estiver configurado para utilizar autenticação do Windows. No entanto, não pode encriptar os dados enviados para o servidor. Se um servidor estiver a utilizar SSL, o endereço Internet do servidor começa com https:// em vez de http://. O FTP não utiliza encriptação ou outro mecanismo de segurança para proteger a palavra-passe quando inicia sessão num servidor. Além disso, não se pode encriptar os dados quando se estiver a utilizar FTP para enviar ficheiros para ou de um servidor. Isto coloca as informações em risco, porque qualquer pessoa que utilize hardware ou software de rede pode capturar as informações à medida que são transferidas. A utilização de Pastas Web para transferir ficheiros, pastas e outros dados para servidores Web que utilizam SSL é a forma mais segura de transferir informação. Adicionalmente, os utilizadores domésticos devem activar um firewall pessoal para protecção máxima. Notas/Definições: File Transfer Protocol (FTP): Membro do conjunto de protocolos TCP/IP utilizado para copiar ficheiros entre dois computadores na Internet. Ambos os computadores têm de suportar as respectivas funções FTP: um tem de ser um cliente FTP e o outro um servidor FTP. Servidor Web: Computador mantido por um administrador de sistema ou fornecedor de serviços Internet (ISP, Internet service provider) e que responde a pedidos de um browser do utilizador. Secure Sockets Layer (SSL): Padrão aberto proposto para estabelecer um canal de comunicação seguro para impedir a intercepção de informações críticas, tais como números de cartões de crédito. Em primeiro lugar, permite transacções financeiras electrónicas seguras na World Wide Web, apesar de também se destinar a trabalhar em outros serviços da Internet. Firewall: Combinação de hardware e software que fornece um sistema de segurança, normalmente para impedir o acesso não autorizado do exterior a uma rede interna ou intranet. Um firewall impede a comunicação directa entre uma rede e computadores externos, encaminhando a comunicação através de um servidor proxy que esteja fora da rede. O servidor proxy determina se é seguro transmitir um ficheiro através da rede. Um firewall também é designado por gateway de segurança. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 35 Armazenar dados em segurança A segurança dos dados armazenados refere-se à capacidade de armazenar dados no disco de uma forma encriptada. Quando utilizam o Sistema de ficheiros de Encriptação (EFS, Encrypting File System), os utilizadores podem encriptar os dados na altura em que são armazenados no disco. Introdução à utilização do 'Sistema de ficheiros de encriptação' Como já foi referido, o Sistema de ficheiros de encriptação (EFS, Encrypting File System) permite aos utilizadores armazenarem os seus dados do disco em formato encriptado. De uma forma geral podemos definir Encriptação e Desencriptação da seguinte forma: Encriptação é o processo de conversão dos dados para um formato que não pode ser lido por outro utilizador. Uma vez que um utilizador tenha encriptado um ficheiro, o ficheiro permanece automaticamente encriptado sempre que seja armazenado no disco. Desencriptação é o processo de conversão de dados do formato encriptado para o formato original. Uma vez que um utilizador tenha desencriptado um ficheiro, o ficheiro permanece desencriptado sempre que seja armazenado no disco. O EFS fornece as seguintes funcionalidades: • • • • • Os utilizadores podem encriptar os seus ficheiros quando os armazenam no disco. A encriptação é tão fácil como seleccionar uma caixa de verificação na caixa de diálogo Propriedades do ficheiro. O acesso a ficheiros encriptados é rápido e fácil. Os utilizadores vêem os dados em texto simples quando acedem aos dados do disco. A encriptação dos dados é executada automaticamente e é completamente transparente para o utilizador. Os utilizadores podem desencriptar activamente um ficheiro limpando a caixa de verificação Encriptação na caixa de diálogo Propriedades do ficheiro. Os administradores podem recuperar os dados encriptados por outro utilizador. Isto assegura que os dados estejam acessíveis se o utilizador que os encriptou já não esti ver disponível ou tiver perdido a sua chave privada. O EFS encripta os dados apenas quando são armazenados no disco. Para encriptar os dados tal como são transportados através de uma rede TCP/IP, encontram-se disponíveis duas funcionalidades -IPSec (Internet Protocol security) e encriptação PPTP. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 36 Encriptar e desencriptar dados com o 'Sistema de ficheiros de encriptação' Encriptar dados A configuração predefinida do Sistema de ficheiros de encriptação (EFS) não requer esforços administrativos – os utilizadores podem iniciar imediatamente a encriptação dos ficheiros. O EFS gera automaticamente um par de chaves de encriptação para um utilizador se não existir nenhuma. O EFS utiliza o DESX (Data Encryption Standard) expandido ou o 3DES (Triple-DES) como algoritmo de encriptação. Os serviços de encriptação estão disponíveis a partir do Explorador do Windows. Os utilizadores podem encriptar um ficheiro ou uma pasta, utilizando a função da linha de comandos cipher. Os utilizadores podem encriptar um ficheiro ou uma pasta através da definição da propriedade de encriptação para ficheiros e pastas, da mesma forma como são definidos outros atributos, tais como, só de leitura, comprimido ou oculto. Se um utilizador encriptar uma pasta, todos os ficheiros e subpastas criados ou adicionados à pasta encriptada são automaticamente encriptados. Recomendase aos utilizadores que encriptem ao nível da pasta. Os ficheiros ou pastas comprimidos também não podem ser encriptados. Se o utilizador marcar um ficheiro ou pasta comprimido para encriptação, esse ficheiro ou pasta é descomprimido. Além disso, as pastas marcadas para encriptação não estão na realidade encriptadas. Só são encriptados os ficheiros da pasta, bem como quaisquer novos ficheiros criados ou movidos para a pasta. Aceder a dados encriptados Os utilizadores acedem aos ficheiros encriptados do mesmo modo que acedem a ficheiros não encriptados. Por isso, quando um utilizador acede a um ficheiro encriptado armazenado no disco, o utilizador pode ler o conteúdo do ficheiro em modo normal. Quando o utilizador armazena de novo o ficheiro no disco, o EFS encripta novamente o ficheiro de forma transparente. Copiar, mover ou mudar o nome de dados encriptados A cópia ou movimentação de ficheiros não encriptados para uma pasta encriptada causa a encriptação automática desses ficheiros na nova pasta. Contudo, a operação inversa não desencripta os ficheiros automaticamente. Os ficheiros mantêm a propriedade de encriptação até que sejam explicitamente desencriptados ou movidos para um volume que não seja NTFS. De modo semelhante, mudar o nome de um ficheiro encriptado não altera o seu estado de encriptado. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 37 Desencriptar dados Pode-se desencriptar um ficheiro limpando a caixa de verificação Encriptação na caixa de diálogo Propriedades do ficheiro. Uma vez desencriptado, o ficheiro permanece desencriptado até que se volte a encriptá-lo. Não é possível reencriptar automaticamente um ficheiro, mesmo que exista num directório marcado como encriptado. É possível desencriptar um ficheiro limpando a caixa de verificação Encriptação na caixa de diálogo Propriedades do ficheiro ou utilizando o comando cipher. Efectuar cópias de segurança e recuperar dados encriptados As principais tarefas administrativas associadas ao Sistema de ficheiros de encriptação (EFS, Encrypting File System) são efectuar a cópia de segurança e restaurar ficheiros encriptados, configurar uma política de recuperação e recuperar dados encriptados. Efectuar cópias de segurança e restaurar dados encriptados As cópias de segurança de ficheiros encriptados serão também encriptadas, desde que utilize um programa de cópias de segurança concebido para o Windows XP. Quando restaurar dados encriptados, os dados permanecerão encriptados após a operação de restauro. Recuperar dados encriptados A Recuperação de dados refere-se ao processo de desencriptação de um ficheiro sem ter a chave privada do utilizador que encriptou o ficheiro. Poderá ser necessário recuperar os dados recorrendo a um agente de recuperação, se: • • • Um utilizador deixa a empresa. Um utilizador perde a chave privada. Uma agência de segurança efectuar um pedido. Para recuperar um ficheiro, o agente de recuperação: 1. Efectua cópias de segurança dos ficheiros encriptados. 2. Move as cópias de segurança para um sistema seguro. 3. Importa o certificado de recuperação dos ficheiros e a chave privada desse sistema. 4. Restaura os ficheiros de cópia de segurança. 5. Desencripta os ficheiros utilizando o Explorador do Windows ou o comando cipher do EFS. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 38 Configurar uma política de recuperação Pode-se utilizar o snap-in da Política de grupo para definir a política de recuperação de dados para servidores membros do domínio ou para servidores autónomos ou de grupo de trabalho. Tanto se pode pedir um certificado de recuperação como exportar e importar os seus certificados de recuperação. Poderá pretender-se delegar a administração da política de recuperação a um administrador designado. Apesar de se aconselhar a limitação do número de pessoas autorizadas a recuperar dados encriptados, o facto de se permitir a acção de múltiplos administradores como agentes de recuperação fornece uma fonte de recuperação alternativa, caso tal se torne necessário. Descrição geral do 'Sistema de ficheiros de encriptação' O Sistema de Encriptação de Ficheiros (EFS) fornece a tecnologia de base de encriptação de ficheiros, utilizada para armazenar ficheiros encriptados em volumes de sistemas de ficheiros NTFS. Uma vez encriptado um ficheiro ou uma pasta, é possível trabalhar nos ficheiros ou pastas encriptados como se fossem documentos normais. A encriptação é transparente para o utilizador que encriptou o ficheiro. O que significa que não é necessário desencriptar manualmente o ficheiro encriptado antes da sua utilização. O ficheiro pode ser aberto e modificado como habitualmente. A utilização do EFS é semelhante à utilização de permissões em ficheiros e pastas. Podem utilizar-se ambos os métodos para restringir o acesso a dados. Contudo, se um utilizador estranho ao sistema obtiver acesso físico não autorizado aos seus ficheiros ou pastas encriptados, ele será impedido de os ler. Se o utilizador não autorizado tentar abrir ou copiar o ficheiro ou pasta encriptados, recebe uma mensagem de acesso negado. As permissões em ficheiros e pastas não protegem de ataques físicos não autorizados. É possível encriptar ou desencriptar um ficheiro ou uma pasta através da definição da propriedade de encriptação para ficheiros ou pastas, da mesma forma como são definidos outros atributos, tais como, só de leitura, comprimido ou oculto. Se encriptar uma pasta, todos os ficheiros e subpastas criados no ficheiro encriptado, são encriptados automaticamente. Recomenda-se que a encriptação seja efectuada ao nível da pasta. Também é possível encriptar ou desencriptar um ficheiro ou uma pasta, através da utilização do comando cipher. Quando se trabalha com ficheiros e pastas encriptados, deve ter-se em atenção as seguintes informações: • • Apenas podem encriptar-se ficheiros e pastas em volumes NTFS. Como o WebDAV trabalha com o NTFS, o NTFS é necessário para encriptar ficheiros utilizando o protocolo WebDAV. Os ficheiros ou pastas comprimidos também não podem ser encriptados. Se o utilizador marcar um ficheiro ou pasta para encriptação, esse ficheiro ou pasta é descomprimido. Carlos Silva, João Constantino – Engenharia Informática • • • • • 01-01-2004 Página 39 Os ficheiros encriptados podem ser desencriptados, copiando ou movendo o ficheiro para um volume, que não seja um volume NTFS. A movimentação de ficheiros desencriptados para uma pasta encriptada causa a encriptação automática desses ficheiros na nova pasta. Contudo, a operação inversa não desencripta os ficheiros automaticamente. Os ficheiros têm de ser desencriptados explicitamente. Não podem encriptar-se os ficheiros marcados com o atributo Sistema, nem os ficheiros do directório “pasta do sistema”. A encriptação de uma pasta ou ficheiro não protege contra a eliminação ou a listagem de ficheiros ou directórios. Qualquer utilizador com a permissão adequada pode eliminar ou listar pastas ou ficheiros encriptados. Por essa razão, recomenda-se a utilização de EFS em combinação com permissões NTFS. É possível encriptar ou desencriptar ficheiros e pastas localizadas num computador remoto, desde que este tenha a encriptação remota activada. Contudo, se abrir o ficheiro encriptado na rede, os dados transmitidos na rede por este processo não são encriptados. Outros protocolos, como o SSL/TLS (Single Socket Layer/Transport Layer Security) ou a IPSec (Internet Protocol security), têm de ser utilizados para encriptar dados pela ligação. O WebDAV, contudo, pode encriptar o ficheiro localmente e transmiti-lo encriptado. Cipher Apresenta ou altera a encriptação de pastas e ficheiros em volumes NTFS. Utilizado sem parâmetros, o comando cipher apresenta o estado de encriptação da pasta actual e de todos os ficheiros nela contidos. Sintaxe cipher [{/e|/d}] [/s:dir] [/a] [/i] [/f] [/q] [/h] [/k] [/u[/n]] [Nomedocaminho [...]] | [/r:Nomedocaminhosemextensão] | [/w:Nomedocaminho] Encriptação de dados O conceito de encriptação equivale a guardar algo de valioso num cofre com uma chave. Os dados confidenciais são encriptados utilizando um algoritmo chave, o que torna impossível a sua leitura sem o conhecimento da chave. As chaves de encriptação de dados são determinadas em tempo de ligação entre uma ligação e o computador que se encontra no lado oposto. A utilização da encriptação de dados pode ser iniciada pelo computador ou pelo servidor com o qual está a estabelecer ligação. A funcionalidade Ligações de rede suporta dois tipos de encriptação: A MPPE (Microsoft Point-to-Point Encryption) da Microsoft, que utiliza a encriptação RSA RC4 e uma implementação do Internet Protocol security (IPSec), que utiliza os algoritmos de encriptação Data Encryption Standard (DES) e Triple DES. Tanto o MPPE como o IPSec suportam vários níveis de e ncriptação, tal como é apresentado na seguinte tabela. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 40 Implementação da encriptação MPPE Standard (40 bits, 56 bits) MPPE Strong (128 bits) IPSec DES (56 bits) IPSec Triple DES (3DES, 168 bits) Ilustração 23-Níveis de encriptação suportados por MPPE e IPSec Por predefinição, são instalados ficheiros de encriptação padrão (40 bits e 56 bits) e forte (128 bits). A utilização da encriptação está limitada apenas em alguns países ou regiões. Estas limitações encontram-se descritas no Web site da Microsoft (http://www.microsoft.com/portugal). Notas • • • Os controlos de servidor são flexíveis e podem ser definidos de forma a negar a utilização de encriptação, requerer um método de encriptação específico ou permitir ao computador seleccionar um método de encriptação. Por predefinição, a maioria dos servidores permite a encriptação e autoriza os clientes a seleccionar os respectivos métodos de encriptação. Este procedimento funciona para a maioria dos computadores. Um administrador do sistema define os requisitos de encriptação. Para activar a encriptação de dados baseada na MPPE para ligações de acesso telefónico ou de rede privada virtual (VPN, Virtual Private Network), é necessário seleccionar os métodos de autenticação MSCHAP, MS-CHAP v2 ou EAP-TLS. Estes métodos de autenticação geram as chaves utilizadas no processo de encriptação. As redes privadas virtuais (VPN) utilizam a encriptação conforme o tipo de servidor ao qual estão a estabelecer ligação. Se a ligação VPN estiver configurada para estabelecer ligação a um servidor PPTP (Pointto-Point Tunneling Protocol), será utilizada a encriptação MPPE. Se a VPN estiver configurada para estabelecer ligação a um servidor L2TP, serão utilizados os métodos de encriptação IPSec. Se a VPN estiver configurada para um tipo de servidor automático, ou seja, a selecção predefinida, será feita a tentativa para utilizar, em primeiro lugar, o L2TP e a encriptação associada IPSec se o computador tiver um certificado de máquina; em seguida o PPTP e a e ncriptação associada MPPE. Ilustração 24-Túnel PPTP Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 41 Protocolo de autenticação 'Challenge handshake' da Microsoft (MS-CHAP) A Microsoft criou o MS-CHAP para autenticar estações de trabalho Windows remotas, fornecendo a funcionalidade à qual os utilizadores baseados na LAN estão habituados e integrando os algoritmos hash utilizados em redes Windows. Tal como o CHAP, o MS-CHAP utiliza um mecanismo de pergunta resposta para evitar o envio da palavra-passe durante o processo de autenticação. O MS-CHAP utiliza o algoritmo hash Message Digest 4 (MD4) e o algoritmo de encriptação Data Encryption Standard (DES) para gerar a pergunta e a resposta e fornece mecanismos para comunicar erros de ligação e para mudar a palavra-passe do utilizador. O pacote de resposta encontra-se num formato especificamente concebido para funcionar com produtos de funcionamento em rede no Windows 95, Windows 98, Windows Millennium Edition, Windows NT, Windows 2000 e Windows XP. Extensible Authentication Protocol (EAP) O Extensible Authentication Protocol (EAP) é uma extensão do Protocolo ponto a ponto (PPP) que permite a utilização de métodos de autenticação arbitrários utilizando trocas de credenciais e informações de comprimentos arbitrários. O EAP foi desenvolvido como resposta a uma procura crescente de métodos de autenticação que utilizam outros dispositivos de segurança e fornece uma arquitectura padrão da indústria para o suporte de métodos de autenticação adicionais no PPP. Ao utilizar o EAP, pode ser adicionado suporte para vários esquemas de autenticação específicos conhecidos como tipos de EAP, incluindo cartões token, palavras-passe únicas, autenticação de chaves públicas utilizando smart cards e certificados, entre outros. O EAP, em conjunto com tipos de EAP fortes, é um componente tecnológico vital para ligações de rede privada virtual (VPN) seguras. Os tipos de EAP fortes, tais como os baseados em certificados, oferecem maior segurança contra ataques em força ou ataques de dicionários e acesso a palavras-passe que os protocolos de autenticação baseados em palavras-passe, tais como o CHAP ou MS-CHAP. O Windows XP inclui suporte para dois tipos de EAP: • • EAP-MD5 CHAP (equivalente ao protocolo de autenticação CHAP) EAP-TLS, utilizado para autenticação baseada em certificados de utilizador. O EAP-TLS é um método de autenticação mútua, ou seja, quer o cliente quer o servidor provam as respectivas identidades. Durante a troca EAP-TLS, o cliente de acesso remoto envia o respectivo certificado do utilizador e o servidor de acesso remoto envia o respectivo certificado do computador. Se algum dos certificados não for enviado ou for inválido, a ligação será terminada. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 42 Nota: Durante o processo de autenticação do EAP-TLS, são geradas chaves de encriptação secretas partilhadas para a Microsoft Point-to-Point Encryption (MPPE). L2TP (Layer Two Tunneling Protocol) É possível aceder a uma rede privada através da Internet ou de outra rede pública utilizando uma ligação de rede privada virtual (VPN) com o Layer Two Tunneling Protocol (L2TP). O L2TP é um protocolo de túnel padrão da indústria da Internet com, sensivelmente, a mesma funcionalidade do Point-to-Point Tunnelong Protocol (PPTP). A implementação do L2TP no Windows XP foi concebida para ser executada em redes IP. Esta implementação do L2TP não suporta a utilização de túnel nativo no X.25, Frame Relay ou redes ATM (Asynchronous Transfer Mode – ATM, um protocolo orientado para ligações de alta velocidade utilizado para transportar muitos tipos diferentes de tráfego de rede. Dados de pacotes ATM numa célula de comprimento fixo de 53 bytes que podem ser trocados rapidamente entre ligações lógicas de uma rede). Com base nas especificações Layer Two Forwarding (L2F) e Point-to-Point Tunneling Protocol (PPTP), é possível utilizar o L2TP para configurar túneis nas várias redes intervenientes. Tal como o PPTP, o L2TP inclui pacotes do Point-to-Point Protocol (PPP) que, por sua vez, incluem protocolos IP ou IPX, permitindo aos utilizadores executarem remotamente programas dependentes de protocolos de rede específicos. O protocolo IPX/SPX não está disponível para o Windows XP 64-Bit Edition. Com o L2TP, o computador com o Windows 2000 Server em que está a iniciar sessão executa todas as validações e verificações de segurança. Também permite a encriptação de dados, melhorando a segurança no envio de informações por redes não seguras. Ao utilizar o novo protocolo de autenticação e encriptação de segurança do protocolo da Internet (IPSec), a transferência de dados através de uma VPN com o L2TP activo é tão segura como numa simples rede local de um site empresarial. Ilustração 25-Túnel L2TP Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 43 Encriptar e desencriptar dados com o 'Sistema de ficheiros de encriptação' O Sistema de ficheiros de encriptação (EFS, Encrypting File System) é utilizado para: • • • • Encriptar dados Aceder a dados encriptados Copiar, mover ou mudar o nome de dados encriptados Desencriptar dados Criptografia do sistema: Utilizar algoritmos em conformidade com FIPS para encriptação A configuração do fornecedor de segurança pode ser consultada em configuração do computador\Definições do Windows\Definições de segurança\Políticas locais\Opções de segurança Descrição Determina se o fornecedor de segurança TLS/SSL suporta apenas o conjunto de cifra TLS_RSA_WITH_3DES_EDE_CBC_SHA. De facto, isto significa que o fornecedor suporta apenas o protocolo TLS como cliente e como servidor (se aplicável). Utiliza apenas o algoritmo de encriptação Triple DES para a encriptação do tráfego TLS, apenas o algoritmo de chave pública RSA para a troca e autenticação de chaves TLS e apenas o algoritmo hash SHA-1 para os requisitos de hash TLS. Para o serviço de sistema de ficheiros de encriptação (EFS, Encrypting File System), suporta apenas o algoritmo de encriptação Triple DES para encriptar dados de ficheiros suportados pelo sistema de ficheiros do NTFS do Windows. Por predefinição, o Sistema de encriptação de ficheiros (EFS) utiliza o algoritmo DESX para encriptar dados de ficheiros. Ferramentas do 'Gestor de configuração da segurança' Pode utilizar estas ferramentas para gerir a política de segurança no computador, unidade organizacional ou domínio. Ferramenta do Descrição 'Gestor de configuração da segurança' Modelos de Um modelo de segurança é um ficheiro que representa segurança uma configuração da segurança ou política de segurança. Estes modelos podem ser aplicados depois à política de computador local ou importados para um objecto de política de grupo. Análise e Ferramenta para analisar ou configurar a segurança do Carlos Silva, João Constantino – Engenharia Informática configuração da segurança Extensão Definições de Segurança para a política de grupo Política de segurança local Ferramenta da linha de comandos Secedit.exe 01-01-2004 Página 44 computador utilizando um modelo de segurança. F ferramenta para editar definições de segurança individuais num domínio, local ou unidade organi zacional. Ferramenta para editar definições de segurança individuais para o computador local. Ferramenta para automatizar tarefas de configuração de segurança. Ilustração 26-Ferramentas do Gestor de Configuração de Segurança Modelos de segurança Um modelo de segurança é um ficheiro que representa uma configuração da segurança. Os modelos de segurança são representações que podem ser aplicadas a um computador local, importadas para um objecto de poítica de grupo ou utilizadas para analisar a segurança. Ferramenta do 'Gestor de configuração da segurança' Análise e configuração da segurança Extensão Definições de segurança para a política de grupo Política de segurança local Ferramenta da linha de comandos Secedit.exe Descrição Ferramenta para analisar ou configurar a segurança do computador utilizando um modelo de segurança. Ferramenta para editar definições de segurança individuais num domínio, local ou unidade organizacional no Active Directory. Ferramenta para editar definições de segurança individuais para o computador local. Ferramenta para automatizar tarefas de configuração de segurança. Ilustração 27-Modelos de segurança Análise e configuração da segurança O snap-in Análise e configuração da segurança pode ser utilizado para analisar e configurar a segurança do computador local. Ferramenta 'Gestor de configuração da segurança' Modelos de segurança Extensão Definições de Política de grupo Política de segurança local Descrição Define uma política de segurança num modelo. Estes modelos podem ser aplicados ao snap-in Política de grupo ou ao computador local. Edita definições de segurança individuais num domínio, local ou unidade organizacional. Edita definições de segurança individuais no computador local. Carlos Silva, João Constantino – Engenharia Informática Secedit.exe 01-01-2004 Página 45 Automatiza tarefas de configuração de segurança numa linha de comandos. Ilustração 28-Análise e configuração da segurança Definições de segurança Através de definições de segurança, é possível modificar a política de segurança de uma unidade organizacional, de um domínio ou de um local, a partir de qualquer computador associado a um domínio. • As definições de segurança permitem a um administrador de segurança modificar definições de segurança atribuídas a um objecto de Política de grupo. Outras ferramentas de política de segurança incluem: Gestor de configuração da segurança Modelos de segurança Análise e configuração da segurança Política de segurança local Ferramenta da linha de comandos Secedit.exe Descrição É possível definir uma política de segurança num modelo. Estes modelos podem ser aplicados a um objecto de Política de grupo ou à segurança do computador local. É possível utilizar esta ferramenta para configurar o computador utilizando um modelo de segurança ou para comparar as definições actuais do computador com as definições especificadas num modelo de segurança. Ferramenta para editar definições de segurança individuais no computador local. Ferramenta para automatizar tarefas de configuração da segurança. Ilustração 29-Definições de segurança Política de segurança local A Política de segurança local pode ser utilizada para modificar directamente políticas de conta e locais, políticas de chaves públicas e políticas de segurança IP do computador local. As outras ferramentas de política de segurança incluem: Ferramenta 'Gestor de configuração da segurança' Modelos de segurança Análise e configuração Descrição Para definir uma política de segurança num modelo. Estes modelos podem ser aplicados à Política de grupo ou ao computador local. Para configurar o computador com um modelo de Carlos Silva, João Constantino – Engenharia Informática da segurança 01-01-2004 Página 46 segurança ou para comparar as definições actuais do computador com as definições especificadas num modelo de segurança. Para editar as definições individuais de segurança num domínio, local ou unidade organizacional. Extensão de definições de segurança para Política de grupo Ferramenta da linha de comandos Secedit.exe Para automatizar tarefas de configuração da segurança. Ilustração 30-Política de segurança local Automatizar tarefas de configuração de segurança Chamando a ferramenta Secedit.exe da linha de comandos a partir de um ficheiro batch ou de um programador de tarefas automático, pode utilizá-la para criar e aplicar modelos automaticamente, bem como para analisar a segurança do sistema. Também pode executá-la dinamicamente a partir da linha de comandos. O Secedit.exe é útil quando existem vários computadores em que a segurança deve ser analisada ou configurada, sendo necessário efectuar estas tarefas fora das horas de expediente. Arquivos de certificados O Windows XP armazena um certificado localmente no computador ou dispositivo que o pediu ou, no caso de um utilizador, no computador ou dispositivo que o utilizador utilizou para o pedir. A localização do arquivo denomina -se arquivos de certificados. Um arquivo de certificados tem frequentemente vários certificados, possivelmente emitidos por várias autoridades de certificação diferentes. Utilizando o snap-in Certificados, pode apresentar o arquivo de certificados de um utilizador, computador ou serviço, dependendo do objectivo para o qual os certificados foram emitidos ou utilizando as respectivas categorias de armazenamento lógicas. Quando apresenta certificados de acordo com as respectivas categorias de armazenamento, também pode optar por apresentar os arquivos físicos, mostrando a hierarquia de armazenamento de certificados. (Este passo só é recomendado para utilizadores avançados.) Se o utilizador tiver direitos para tal, poderá importar ou exportar certificados a partir de quaisquer pastas no arquivo de certificados. Além disso, se a chave privada associada a um certificado estiver marcada como disponível para exportação, poderá exportar ambos para um ficheiro PKCS #12. O Windows também pode publicar certificados para o Active Directory. Publicar um certificado no Active Directory permite a todos os utilizadores ou computadores com permissões adequadas obter o certificado quando necessário. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 47 Os certificados podem ser apresentados por objectivos ou por arquivos lógicos, tal como apresentado na tabela que se segue. O snap-in Certificados tem por predefinição a apresentação de certificados por arquivos lógicos. (A lista de arquivos de objectivos de certificados não inclui todos os arquivos de objectivos possíveis) Apresentar Nome da pasta por Arquivo Pessoal lógico Autoridades de certificação de raiz fidedigna Confiança empresarial Autoridades de certificação intermediárias Pessoas fidedignas Conteúdo Certificados associados a chaves privadas às quais tem acesso. Estes são os certificados que foram emitidos para o utilizador ou para o computador ou serviço para o qual está a gerir certificados. Em computadores num domínio do Active Directory do Windows 2000 os administradores podem colocar automaticamente certificados neste arquivo, utilizando a inscrição automática baseada na política de grupo.. Autoridades de certificação implicitamente fidedignas. Inclui todos os certificados existentes no arquivo de autoridades de certificação de raiz de terceiros e certificados raiz da organização do utilizador e da Microsoft. Se um administrador pretender adicionar certificados de autoridades de certificação de terceiros a este arquivo para todos os computadores num domínio do Active Directory do Windows 2000, pode utilizar a política de grupo para distribuir certificados de raiz fidedigna à sua organização. Um contentor para listas de certificados fidedignos. Uma lista de certificados de confiança fornece um mecanismo para confiar em certificados de raiz assinados automaticamente de outras organizações e para limitar os objectivos para os quais estes certificados são de confiança. Certificados emitidos para autoridades de certificação subordinadas. Certificados emitidos para pessoas ou entidades finais explicitamente fidedignas. Na maior parte dos casos, estes certificados são assinados automaticamente ou são certificados explicitamente fidedignos numa Carlos Silva, João Constantino – Engenharia Informática Outras pessoas Fabricantes fidedignos Certificados não permitidos Objectivo Autoridades de certificação de raiz de terceiros Requisições de inscrição de certificados Objecto de utilizador do Active Directory Autenticação de servidor Autenticação de cliente Assinatura em código Correio electrónico seguro Sistema de ficheiros de encriptação Recuperação de ficheiros 01-01-2004 Página 48 aplicação como, por exemplo, o Microsoft Outlook. Certificados emitidos para pessoas ou entidades finais implicitamente fidedignas. Estes certificados têm de fazer parte de uma hierarquia de certificação fidedigna. Na maior parte dos casos, trata-se de certificados colocados em cache para serviços tal como o Sistema de ficheiros de encriptação, onde os certificados são utilizados para criar autorizações para desencriptar um ficheiro encriptado. Certificados de autoridades de certificação que as políticas de restrição de software consideram fidedignas. Estes são os certificados nos quais decidiu explicitamente não confiar, utilizando a política de restrição de software ou clicando em "Não confiar neste certificado" quando a decisão lhe for apresentada no correio ou num Web browser. Certificados de raiz fidedigna de autoridades de certificação que não a Microsoft e a organização do utilizador. Requisições de certificados pendentes ou rejeitadas. Certificados associados ao objecto de utilizador e publicados no Active Directory. Certificados que os programas servidor utilizam para se autenticar perante clientes. Certificados que os programas cliente utilizam para se autenticar perante servidores. Certificados associados a pares de chaves utilizados para assinar conteúdo activo. Certificados associados a pares de chaves utilizados para assinar mensagens de correio electrónico. Certificados associados a pares de chaves que encriptam e desencriptam a chave simétrica utilizada pelo sistema de ficheiros de encriptação para encriptar e desencriptar dados. Certificados associados a pares de chaves que encriptam e desencriptam a chave simétrica utilizada pelo sistema de ficheiros de encriptação para recuperar dados Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 49 encriptados. Ilustração 31-Certificados Ao observar o conteúdo de um arquivo de certificados no modo Arquivo lógico, vemos o que parecem ser duas cópias do mesmo certificado no arquivo. Tal acontece porque o mesmo certificado é armazenado em arquivos físicos separados num arquivo lógico, tal como os arquivos físicos Registo e Empresa no arquivo lógico das autoridades de certificação de raiz fidedigna. Quando o conteúdo dos arquivos de certificados físicos está combinado numa vista de arquivo lógico, ambas as instâncias do mesmo certificado são apresentadas. É possível verificar isto ao definir a opção de visualização para mostrar os arquivos de certificados físicos e, em seguida, notar se o certificado está armazenado em arquivos físicos separados no mesmo arquivo lógico. Se comparar os números de série, pode verificar que se trata do mesmo certificado. Notas/definições: Arquivo de certificados: Normalmente, um armazenamento permanente onde os certificados, as listas de revogação de certificados e as listas de certificados fidedignos são armazenados. Autoridade de certificação (AC): Entidade responsável pelo estabelecimento e garantia da autenticidade de chaves públicas pertencentes a utilizadores (entidades finais) ou outras autoridades de certificação. As actividades de uma autoridade de certificação podem incluir a associação de chaves públicas a nomes distintos através de certificados assinados, a gestão de números de série de certificados e a revogação de certificados. PKCS #12: A norma de sintaxe de troca de informações pessoais (Personal Information Exchange Syntax Standard), desenvolvida e mantida pela RSA Data Security, Inc. Esta norma de sintaxe especifica um formato portátil para armazenar ou transportar as chaves privadas, certificados e vários segredos de um utilizador. Definições de requisições automáticas de certificados A inscrição de certificados é o processo de requisição, recepção e instalação de um certificado. Utilizando definições de certificados automáticos em Políticas de chaves públicas, é possível fazer com que os computadores associados a um objecto de Política de grupo sejam automaticamente inscritos em certificados. Este procedimento pode evitar o passo de inscrição explícita de certificados relacionados com computadores, para cada computador. Depois de estabelecer uma requisição automática de certificados, as requisições de certificados reais irão ocorrer na vez seguinte que os computadores associados ao objecto de Política de grupo iniciem sessão na rede. Nota: • As requisições automáticas de certificados só funcionam com autoridades de certificação (AC) que executem o módulo de política empresarial. Carlos Silva, João Constantino – Engenharia Informática • 01-01-2004 Página 50 É necessário ter privilégios de administrador para estabelecer requisições automáticas de certificados para um objecto de Política de grupo. Política de autoridade de certificação de raiz fidedigna Para estabelecer uma autoridade de certificação (AC) de raiz fidedigna utilizando a Política de grupo, o objecto de Política de grupo que se criar tem de ter acesso ao certificado raiz. Para isso, é necessário importar uma cópia do certificado de autoridade raiz. Para um certificado da AC de raiz ser importado, o certificado raiz tem de estar em ficheiros PKCS # 12, em ficheiros PKCS #7 ou em ficheiros de certificado X.509v3 codificados com códigos binários. Notas/Definições: Normas de criptografia de chaves públicas (PKCS ): Família de normas para criptografia de chave pública que inclui encriptação RSA, correspondência de chave Diffie-Hellman, encriptação baseada na palavra-passe, sintaxe expandida, sintaxe de mensagens criptográficas, sintaxe de informações de chaves privadas e sintaxe de requisição de certificados, bem como atributos seleccionados. Desenvolvida, da propriedade de e mantida pela RSA Data Security, Inc. PKCS #7: A norma de sintaxe de mensagem criptográfica (Cryptographic Message Syntax Standard). Trata-se de uma sintaxe geral desenvolvida e mantida pela RSA Data Security, Inc., para dados aos quais a criptografia pode ser aplicada, tais como assinaturas digitais e encriptação. Também fornece uma sintaxe para disseminar certificados ou listas de revogação de certificados. Certificado X.509v3: Versão 3 da recomendação ITU-T X.509 para a sintaxe e o formato do certificado. É o formato padrão de certificados utilizado pelos processos baseados em certificados do Windows XP. Um certificado X.509 inclui a chave pública e informações sobre a pessoa ou entidade à qual o certificado é emitido, informações sobre o certificado e informações opcionais sobre a autoridade de certificação (AC) que emite o certificado. Carlos Silva, João Constantino – Engenharia Informática 01-01-2004 Página 51 Referências (Todas as referências: Dezembro de 2003) http://www.acro.it/Acro-3F504B3D31323933.html http://is- it-true.org/nt/utips/utips154.shtml http://hershelcroy.tripod.com/computers/id11.html http://www.ceenet.org/workshops/work97.html http://www.ece.umd.edu/class/ents650/ http://www.computerhope.com/fat32.htm http://www.digit- life.com/articles/ntfs/index3.html http://www.techadvice.com/tech/F/FileSystems.htm http://205.236.5.89/~hrdcor3/CO/Final_Project/BootSector.FAT32.html http://www.nonags.com/nonags/forum/general/data/5604.shtml http://computer.howstuffworks.com/vpn.htm http://web.mit.edu/kerberos/dist/index.html#KFW2.5 http://www.oldstuff.myagora.net/powerload/fat32/fat2.htm http://dast.nlanr.net/Guides/GettingStarted/Methods.html#Security http://www.openssl.org/docs/ssl/ssl.html http://hjem.get2net.dk/rune_moeller_barnkob/filesystems/fat32.html http://hjem.get2net.dk/rune_moeller_barnkob/filesystems/fat.html http://hjem.get2net.dk/rune_moeller_barnkob/filesystems/vfat.html http://www.mega-tokyo.com/os/os- faq- fs.html http://www.pcnineoneone.com/howto/filesystems1.html http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windo wsserver2003/proddocs/entserver/Best_Connectivity_and_Security.asp http://www.tml.hut.fi/Studies/Tik-110.350/1998/Essays/ssl.html http://www.multingles.net/docs/almacenamiento.htm http://thingy.apana.org.au/~fun/slrn/clusters.html http://www.systemsmedic.com/SoftwareEdu2.htm http://www.ssh.org/ http://www3.tsl.uu.se/~micke/ssl_links.html http://www.ltsw.se/knbase/tcp/tcp1.htp http://www.project9.com/fat32/ http://www.giodo.gov.pl/opwst/prywatnosc-www-ssl-en.html http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci557332,00.html http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci557332,00.html http://cwdixon.com/support/win98_support/fat32.htm http://umeet.uninet.edu/umeet2002/talk/2002-12-18-redes1.txt.html www.microsoft.com (vários links)