Agora vamos ver alguns detalhes sobre os sistemas de arquivos que o Windows XP reconhece e também sobre permissões NTFS.

Um sistema de arquivos determina a maneira como o Windows XP organiza e recupera as informações no Disco rígido ou em outros tipos de mídia. O Windows XP reconhece os seguintes sistemas de arquivos:

• FAT
• FAT32
• NTFS
• NTFS 5

O sistema FAT vem desde a época do MS-DOS e tem sido mantido por questões de compatibilidade. Além disso se você tiver instalado mais de um Sistema Operacional no seu computador, alguns sistemas mais antigos (DOS, Windows 3.x e as primeiras versões do Windows 95) somente reconhecem o sistema FAT. Com o sistema de arquivos FAT, a única maneira de restringir o acesso ao conteúdo de uma pasta compartilhada é através das permissões de compartilhamento, as quais, conforme descrito anteriormente, não terão nenhum efeito se o usuário estiver logado localmente, na máquina onde a pasta foi compartilhada. Com a utilização do sistema FAT, alguns recursos avançados, tais como compressão, criptografia e auditoria, não estão disponíveis.

O sistema FAT32 apresenta algumas melhorias em relação ao sistema FAT. Existe um melhor aproveitamento do espaço no disco, o que conseqüentemente gera menor desperdício do espaço em disco. Um grande inconveniente do sistema FAT32 é que ele não é reconhecido pelo Windows NT Server 4.0. Com o sistema de arquivos FAT32, a única maneira de restringir o acesso ao conteúdo de uma pasta compartilhada é através das permissões de compartilhamento, as quais, conforme descrito anteriormente, não terão nenhum efeito se o usuário estiver logado localmente, na máquina onde a pasta foi compartilhada. Com a utilização do sistema FAT32, alguns recursos avançados, tais como compressão, criptografia e auditoria, não estão disponíveis.

O sistema de arquivos NTFS é utilizado no Windows NT Server 4.0 e foi mantido no Windows 2000 e também no Windows XP por questões de compatibilidade. É um sistema bem mais eficiente do que FAT e FAT32, além de permitir uma série de recursos avançados, tais como:

• Permissões de controle de acesso a arquivos e pastas
• Compressão
• Auditoria de acesso
• Partições bem maiores do que as permitidas com FAT e FAT32
• Desempenho bem superior do que com FAT e FAT32

Uma das principais vantagens do NTFS é que ele permite que sejam definidas permissões de acesso para arquivos e pastas, isto é, possa ter arquivos em uma mesma pasta, com permissões diferentes para usuários diferentes. Além disso, as permissões NTFS têm efeito localmente, isto é, mesmo que o usuário faça o logon no computador onde um determinado arquivo existe, se o usuário não tiver as permissões NTFS necessárias, ele não poderá acessar o arquivo. Isso confere um alto grau de segurança, desde que as permissões NTFS sejam configuradas corretamente.

No Windows 2000 Server foi introduzido NTFS 5, a nova versão do NTFS, que é a versão utilizada pelo Windows XP. O NTFS 5 apresenta diversas melhorias em relação à versão mais antiga do NTFS, tais como:

• Criptografia de arquivos e pastas (a criptografia é uma maneira de “embaralhar” a informação de tal forma que, mesmo que um arquivo seja copiado, o arquivo se torna ilegível, a não ser para a pessoa que possui a chave para descriptografar o arquivo). Falaremos sobre criptografia de arquivos e pastas no Capítulo 10.
• Quotas de usuário, fazendo com que seja possível limitar o espaço em disco que cada usuário pode utilizar. Este assunto será abordado no Capítulo 10.
• Gerenciamento e otimização melhorado.

Conforme descrito anteriormente, podemos definir permissões de acesso para pastas ou arquivos, mas somente em unidades formatadas com o sistema de arquivos NTFS (seja na versão do NT Server 4.0 ou o NTFS 5 do Windows 2000 Server, Windows XP e Windows Server 2003). Por isso que é aconselhável instalar o Windows XP sempre em unidades formatadas com NTFS, pois isso melhora a segurança. As partições NTFS apresentam um desempenho um pouco inferior do que as partições FAT32, em termos de velocidade. Porém em termos de segurança não existe comparação, e por isso recomendo a utilização do sistema NTFS. Se você estiver em dúvidas, no momento da instalação do Windows XP, pode optar por formatar o disco rígido utilizando FAT 32. Depois é possível converter para NTFS, sem perda de dados. Porém cuidado, pois uma vez convertida uma partição para NTFS não é possível reverter para FAT32. A única maneira é fazer um backup do disco rígido, formatando-o novamente com FAT32 e restaurar o backup.

Com relação às permissões NTFS, temos um conjunto diferente de permissões quando tratamos de pastas ou arquivos. Na Figura 7.7 temos um resumo das permissões de pasta e de arquivos, com as ações associadas com cada permissão.

Figura 7.7 Ações associadas com as permissões de pasta e arquivos.

A seguir temos a descrição, com maiores detalhes, para cada uma das permissões listadas na Figura 7.7.

• Permissão Desviar pasta/Executar arquivo: Estas permissões são aplicadas a pastas e arquivos. Para as pastas, Desviar pasta permite ou nega o movimento através de pastas para acessar outros arquivos ou pastas, mesmo que o usuário não tenha permissões referentes às pastas desviadas (aplica-se somente a pastas). Por exemplo vamos supor que o usuário tem permissão para acessar pasta C:\Documentos, não tem permissão para acessar a pasta C:\Documentos\Ofícios e tem permissão para acessar a pasta C:\Documentos\Ofícios\2001. Neste caso, o usuário, para chegar até a pasta 2001, terá que passar pela pasta Ofícios, para a qual ele não tem permissão. Para que o usuário possa passar pela pasta Ofício, podemos atribuir-lhe a permissão Desviar pasta. Desviar pasta tem efeito apenas quando o grupo ou usuário não tem o direito de usuário Ignorar verificação com desvio no snap-in de diretivas de grupo (Por padrão, o grupo Todos têm o direito de usuário Ignorar verificação com desvio.).

Para os arquivos: Executar arquivo permite ou nega a execução de arquivos de programa (aplica-se somente a arquivos). Ao definir a permissão Desviar pasta em uma pasta, você não está automaticamente definindo a permissão Executar arquivo em todos os arquivos dessa pasta.

• Permissão Listar pasta/Ler dados: Listar pasta permite ou nega a exibição de nomes de arquivos e sub-pastas dentro da pasta. Essa permissão afeta apenas o conteúdo da pasta em questão, não afetando o fato de a pasta na qual a permissão está sendo definida ser listada ou não. Aplica-se somente a pastas. Ler dados permite ou nega a exibição de dados em arquivos (aplica-se somente a arquivos). Por exemplo, se o usuário tem permissão de Ler dados em um arquivo do Word, este usuário poderá abrir o arquivo, porém não poderá alterá-lo ou excluí-lo.
• Permissão Ler atributos: Permite ou nega a exibição de atributos de um arquivo ou pasta, como somente leitura ou oculto. Os atributos são definidos pelo NTFS. Para acessar os atributos de uma pasta ou arquivo, clique com o botão direito do mouse na pasta/arquivo e, no menu que surge, dê um clique na opção Propriedades.
• Permissão Ler atributos estendidos: Permite ou nega a exibição de atributos estendidos de um arquivo ou pasta. Os atributos estendidos são definidos por programas e podem variar de acordo com o programa utilizado para criar cada arquivo.
• Permissão Criar arquivos/Gravar dados: Criar arquivos permite ou nega a criação de arquivos dentro da pasta (aplica-se somente a pastas). Gravar dados permite ou nega as alterações no arquivo e a substituição de um conteúdo existente (aplica-se somente a arquivos). Esta permissão é mais conhecida por permissão de Escrita (ou Alteração).
• Permissão Criar pastas/Acrescentar dados: Criar pastas permite ou nega a criação de pastas dentro da pasta (aplica-se somente a pastas). Acrescentar dados permite ou nega as alterações no final do arquivo, mas não a alteração, exclusão ou substituição de dados existentes (aplica-se somente a arquivos).
• Permissão Gravar atributos: Permite ou nega a alteração de atributos de um arquivo ou pasta, como somente leitura ou oculto. Os atributos são definidos pelo NTFS. A permissão Gravar atributos não implica a criação ou exclusão de arquivos ou pastas, apenas inclui a permissão para efetuar alterações nos atributos de um arquivo ou de uma pasta.
• Permissão Gravar atributos estendidos: Permite ou nega a alteração de atributos estendidos de um arquivo ou pasta. Os atributos estendidos são definidos por programas e podem variar de acordo com o programa utilizado para a criação de cada arquivo. A permissão Gravar atributos estendidos não implica a criação ou exclusão de arquivos ou pastas, apenas inclui a permissão para efetuar alterações nos atributos de um arquivo ou de uma pasta.
• Permissão Excluir sub-pastas e arquivos: Permite ou nega a exclusão de sub-pastas e arquivos, mesmo que a permissão Excluir não tenha sido concedida na sub-pasta ou arquivo (aplica-se a pastas). Por exemplo, se você não tem permissão de Excluir na pasta Documentos, mas tem permissão de Excluir em um arquivo memo.doc, que está na pasta Documentos, você conseguirá Excluir o documento memo.doc, pois as permissões de arquivo têm precedência sobre as permissões de pastas, quando conflitantes.
• Permissão Ler permissões: Permite ou nega a leitura de permissões do arquivo ou pasta, como Controle total, Ler e Gravar. Se o usuário não tiver esta permissão, ele não poderá exibir a lista com as permissões definidas para um arquivo e/ou pasta.
• Permissão Alterar permissões: Permite ou nega a alteração de permissões do arquivo ou pasta, como Controle total, Ler e Gravar. Esta é uma permissão “poderosa” e que deve ser utilizada com cuidado. Uma vez que o usuário tem permissão para Alterar permissões, ele pode perfeitamente atribuir Controle total para ele mesmo, ou seja, para a sua conta de usuário.
• Permissão Apropriar-se (Take Ownership): Permite ou nega a apropriação do arquivo ou pasta. O proprietário de um arquivo ou pasta sempre pode alterar permissões, independentemente de qualquer permissão existente que proteja o arquivo ou pasta. O dono de um arquivo ou pasta, por padrão, é o usuário que cria o arquivo/pasta.
• Permissão Sincronizar: Permite ou nega a espera de segmentos diferentes no identificador para o arquivo ou pasta e a sincronização com outro segmento que possa sinalizá-lo. Essa permissão aplica-se somente a programas de vários segmentos e processos, envolvidos com processos de sincronização de dados.

Todo arquivo ou pasta em uma unidade formatada com NTFS possui uma “Lista de controle de acesso (Access Control List ) – ACL. Nesta ACL fica uma lista de todas as contas de usuários e grupos para os quais foi garantido acesso para o recurso, bem como o nível de acesso de cada um deles.

Existem alguns detalhes que devemos reforçar/revisar sobre as permissões NTFS:

• Permissões NTFS são cumulativas, isto é, se um usuário pertence a mais de um grupo, os quais tem diferentes níveis de permissão para um recurso, a permissão efetiva do usuário é a soma das permissões.
• Permissões NTFS para um arquivo têm prioridade sobre permissões NTFS para pastas. Por exemplo se um usuário tem permissão NTFS de escrita em uma pasta, mas somente permissão NTFS de leitura para um arquivo dentro desta pasta, a sua permissão efetiva será somente a de leitura, pois a permissão para o arquivo tem prioridade sobre a permissão para a pasta.
• Negar uma permissão NTFS tem prioridade sobre permitir. Por exemplo, se um usuário pertence a dois grupos diferentes. Para um dos grupos foi dada permissão de leitura para um arquivo e para o outro grupo foi Negada a permissão de leitura; o usuário não terá o direito de leitura, pois Negar tem prioridade sobre Permitir.

Agora que já vimos a teoria necessária, vamos praticar um pouco. Nos próximos tópicos iremos aprender a compartilhar pastas, atribuir permissões de compartilhamento. Iremos aprender a acessar pastas compartilhadas através da rede. Depois vamos trabalhar um pouco com as permissões NTFS. Veremos como atribuir permissões NTFS e testar uma série de situações práticas.

Para os exemplos práticos a seguir, vamos utilizar as contas e grupos criados no Capítulo 7: user1, user2, user3, user4 e user5, bem como os respectivos grupos: vendas, diretoria e empresa. No Capítulo 6, após alterarmos as diretivas locais de segurança, no Capítulo 7, é possível que algumas contas tenham sido bloqueadas. O Windows XP bloqueia as contas que não atendem às novas definições e diretivas de segurança. Por exemplo, se definimos que o tamanho mínimo da senha será de 8 caracteres, serão bloqueadas todas as contas com senha menor do que 8 caracteres. Para evitar que estas contas sejam bloqueadas, vamos redefinir a senha de cada conta. Abra o console Gerenciamento do computador, navegue até a opção Usuários e grupos locais, dê um clique na opção Usuários e localize cada usuário criado no capítulo anterior (se você tiver alguma dúvida sobre o gerenciamento de contas de usuários e como usar estas opções, volte ao Capítulo 6 e revise os tópicos relativos a contas de usuários e grupos). Dê um clique duplo na conta do usuário, para abrir a janela de propriedades da conta. Se a opção Conta bloqueada estiver marcada, desmarque-a e dê um clique no botão OK. Quando uma conta está bloqueada, ela não é exibida na lista de contas que é mostrada na inicialização do Windows XP. Agora que já desbloqueamos as contas, vamos redefinir a senha de uma por uma. Clique com o botão direito do mouse na conta user1, no menu de opções que é exibido dê um clique na opção Definir senha. Surge uma janela de aviso. Dê um clique no botão Prosseguir. Será exibida uma janela para que você digite e confirme a nova senha do usuário user1. Digite senha123 e confirme. Dê um clique no botão OK. Surge uma janela com um aviso de que a senha foi redefinida com sucesso. Dê um clique no botão OK. Redefina a senha para as demais contas: user2, user3, user4 e user5. Para estas contas utilize a mesma senha: senha123.

Com isso temos a seguinte configuração de usuários/grupos:

Grupos criados no Capítulo 6:

Utilizaremos estes grupos e usuários para definir as permissões de compartilhamento e também as permissões NTFS, mais adiante.

Não esqueça: Estou utilizando como exemplo uma pequena rede com dois computadores. Neste caso, não existe um domínio baseado em servidores com o Windows 2000 Server ou com o Windows Server 2003 e com o Active Directory instalado. Nesta situação, temos que criar as mesmas contas e grupos em cada um dos computadores da rede. Com isso os usuários têm que ser criados nos dois computadores e com a mesma senha. Quando alteramos a senha de um usuário em um dos computadores, também devemos alterar no outro. Veja o trabalho de administração que teremos. Agora imagine isto multiplicado para 5, 10 ou 20 computadores. Por isso que, normalmente, a partir de 10 computadores é utilizada uma rede baseada em domínios, onde temos servidores Windows 2000 Server ou com o Windows Server 2003 e com o Active Directory instalado. Se você for conectar um recurso em um computador e a senha está diferente no computador de destino, você será solicitado a digitar a senha que está configurada, para o usuário logado, no computador de destino. Por exemplo, vamos supor que o usuário jsilva tem a senha “senha123” no computador1 e “senhaabc” no computador2. O usuário jsilva faz o logon no computador1 e tenta acessar uma pasta compartilhada no computador2. Ao tentar fazer a conexão, o seu nome de logon (jsilva) e a sua senha (senha123) são enviadas para o computador2, para verificar se o jsilva pode acessar o referido recurso. Como as senhas estão diferentes nos dois computadores, será aberta uma janela para que o usuário jsilva digite a senha que está configurada para este usuário no computador2 (computador que ele está tentando acessar). Parece complicado administrar para dois computadores? Imagine para 10 ou 20? Agora já dá para entender o porquê do uso de redes baseadas no conceito de domínio, com servidores baseados no Windows 2000 Server ou Windows Server 2003. Falaremos mais sobre domínios e Active Directory no Capítulo 11 e no Anexo.