Alterações no sistema de ficheiros e para a pilha de armazenamento para restringir o acesso directo volume no Windows Vista e no Windows Server 2008 e de acesso directo ao disco

Traduções de Artigos Traduções de Artigos
Artigo: 942448 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo descreve as alterações que foram efectuadas para o sistema de ficheiros e para a pilha de armazenamento para restringir o acesso directo ao disco e volume directa de acesso no Windows Server 2008 e no Windows Vista.

Mais Informação

Fundo

Quando um programa abre um identificador de ficheiro exclusivo, o programa assume que o conteúdo do ficheiro não pode ser modificado mais. No entanto, o conteúdo do ficheiro pode ser modificado se condições seguintes forem verdadeiras:
  • Outro programa abre o identificador de ficheiro para o volume subjacente ou para o disco subjacente.
  • O programa efectua alterações para a localização onde reside o ficheiro.
Instabilidade do sistema ou de danos pode ocorrer quando um programa escreve directamente para um volume montado por um sistema de ficheiros sem primeiro obter acesso exclusivo ao volume. Isto acontece porque a escrita para o volume poderá entrarem em conflito com o escreve de sistema do ficheiro. Quando tais colisões ocorrem, o conteúdo do volume pode ser deixado num estado inconsistente.

Para reduzir o efeito desta questão, foram efectuadas alterações para o sistema de ficheiros e para a pilha de armazenamento para restringir o acesso directo ao disco ou para um volume.

Detalhes da alteração para o sistema de ficheiros e para a pilha de armazenamento

  • Um sistema de ficheiros pode escrever um identificador de volume apenas se as seguintes condições forem verdadeiras:
    • Condição 1: os sectores que estão a ser escritos para são sectores de arranque.

      Nota Esta condição existe para suportar programas tais como programas antivírus, programas de configuração e outros programas que tem de actualizar o código de arranque do volume do sistema. O volume do sistema não pode ser bloqueado.
    • Condição 2: os sectores que estiverem a ser escritos para residem fora do espaço do ficheiro de sistema.

      Nota A região entre o fim do espaço do ficheiro de sistema e o fim do espaço do volume não está sob o controlo do sistema de ficheiros. Assim, não existe nenhuma razão para requerer o volume a ser bloqueado para escrita.
    • Condição 3: O volume foi bloqueado implicitamente pedindo acesso de escrita exclusivo.
    • Condição 4: O volume foi bloqueado explicitamente, pedindo um pedido de bloqueio ou a um pedido de desmontagem.
    • 5 De condição: O pedido de escrita tem um sinalizador SL_FORCE_DIRECT_WRITE que indica que a condição 2 deve ser ignorada.

      Nota Existem filtros de sistema de ficheiro que escrever para a região de espaço livre de um volume sem primeiro bloquear o volume. Se tiverem os filtros de sistema do ficheiro para o fazer, os filtros de sistema do ficheiro podem definir um sinalizador no pedido de escrita que informa o sistema de ficheiros para permitir que a escrita ocorrer. Este sinalizador só pode ser definido a partir de dentro de modo kernel.
  • As alterações para o sistema de ficheiros e para a pilha de armazenamento não se aplicam se o volume não está montado ou se o volume não tiver nenhum sistema de ficheiros.
  • O sistema de ficheiros UDFS e o sistema de ficheiros FASTFAT limitam as alterações que são efectuadas para o sistema de ficheiros e para a pilha de armazenamento. Estas alterações estão limitadas ao suporte de tipo de disco.

    Nota A maior parte dos programas CD mastering escrever directamente no volume sem primeiro bloquear o volume. Alguns programas CD mastering mesmo ignoram a camada de sistema do ficheiro. Nestes casos, estes programas escrevem directamente para a camada de armazenamento. Porque o ficheiro de paginação só pode ser hospedado em unidades de disco, não existe qualquer razão para aplicar as alterações que foram efectuadas para o sistema de ficheiros e para a pilha de armazenamento para unidades ópticas.
  • Os controladores de armazenamento podem escrever um identificador de disco se as condições seguintes forem verdadeiras:
    • Condição 1: os sectores que estão a ser escritos para não incidem dentro de um volume.

      Nota Os programas utilizam os sectores que estão fora os volumes para armazenar metadados. As tabelas de partição também residem nos sectores que estão fora os volumes. Uma vez que estes sectores não são sob o controlo de qualquer sistema de ficheiros, não existe qualquer razão para bloquear o acesso de sectores.
    • Condição 2: os sectores que estiverem a ser escritos para incidem dentro de um volume montado está bloqueado explicitamente.
    • Condição 3: os sectores que estão a ser escritos para incidem dentro de um volume que não está montado ou Outono dentro de um volume não tiver nenhum sistema de ficheiros.
  • As alterações para o sistema de ficheiros e para a pilha de armazenamento também se aplicam aos blocos de paridade de um volume.
  • As alterações para o sistema de ficheiros e para a pilha de armazenamento serão aplicadas para sistemas de 32 bits e sistemas de 64 bits.
Para além para a API WriteFile vários, existem pedidos de controlo de E/S de dispositivo que podem ser utilizados para emitir escritas para um volume ou para um disco. As alterações para o sistema de ficheiros e para a pilha de armazenamento também se aplicam a pedidos de controlo de E/S de dispositivo. Os pedidos de controlo de E/S de dispositivo incluem os seguintes comandos:
  • IOCTL_STORAGE_MANAGE_DATA_SET_ATTRIBUTES
  • IOCTL_SCSI_PASS_THROUGH
  • IOCTL_SCSI_PASS_THROUGH_DIRECT
  • SCSIOP_WRITE6
  • SCSIOP_WRITE
  • SCSIOP_WRITE_VERIFY
  • SCSIOP_WRITE_SAME
  • SCSIOP_WRITE_LONG
  • SCSIOP_XDWRITE
  • SCSIOP_XPWRITE
  • SCSIOP_XDWRITE_READ
  • SCSIOP_WRITE12
  • SCSIOP_WRITE_VERIFY12
  • SCSIOP_WRITE16
  • SCSIOP_WRITE_VERIFY16
  • SCSIOP_WRITE_SAME16
  • SCSIOP_WRITE_LONG16
  • SCSIOP_WRITE_XDWRITE_EXTENDED16
  • SCSIOP_WRITE_COPY
  • SCSIOP_WRITE_COPY_COMPARE
O seguinte grupo de comandos falha porque são obsoletos:
  • IOCTL_ATA_PASS_THROUGH
  • IOCTL_ATA_PASS_THROUGH_DIRECT
  • IDE_COMMAND_WRITE
  • IDE_COMMAND_WRITE_DMA
  • IDE_COMMAND_WRITE_DMA_QUEUED
  • IDE_COMMAND_WRITE_MULTIPLE
  • IDE_COMMAND_WRITE_EXT
  • IDE_COMMAND_WRITE_DMA_EXT
  • IDE_COMMAND_WRITE_DMA_FUA_EXT
  • IDE_COMMAND_WRITE_DMA_QUEUED_EXT
  • IDE_COMMAND_WRITE_DMA_QUEUED_FUA_EXT
  • IDE_COMMAND_WRITE_MULTIPLE_EXT
  • IDE_COMMAND_WRITE_MULTIPLE_FUA_EXT
Para comandos SCSI, os comandos de 32 bytes de escrita não são filtrados porque existem apenas 16 bytes no CDB. Xdwrite expandido, a cópia e os comandos de comparar cópia são falhou.

Para comandos ATA, o bit LBA é consultado para determinar se o desvio foi especificado no formato CHS ou no formato LBA. Porque o sistema não consegue obter a geometria real, todos os pedidos que são enviados no formato CHS são falhou. Este não deve ser um problema porque todos os discos modernos esperam que o desvio está num formato LBA.

Questões de compatibilidade de programa e atenuações

As alterações para o sistema de ficheiros e para a pilha de armazenamento podem fazer com que alguns programas falhar. Esses programas falham porque utilizam o acesso directo para o disco ou para o volume.

O efeito na compatibilidade de programa serão mínimo pelas seguintes razões:
  • Programas de cópia de segurança tem de desmontar o volume antes de escrever no volume. Caso contrário, o programa escreve irá entrarem em conflito com operações de escrita do ficheiro de sistema. Tais conflitos irão resultar na corrupção ou na instabilidade do sistema.
  • Programas de criação de partições tabelas de partição que residem em sectores que estão fora as regiões de volume de destino. Sistemas de ficheiros não controlam tais sectores. Uma vez que o acesso a estes sectores está activado, os programas de criação de partições não são afectados.
  • Recuperação programas irá provavelmente a ser executado em volumes que o sistema de ficheiros não pode montar. Uma vez que o acesso a RAW volumes está activado, esses programas de recuperação não são afectados.
  • Programas de nível de encriptação de bloquear normalmente têm um controlador de filtro que reside na pilha de disco que está sob o controlador do Gestor de partição. O controlador de filtro filtros de entrada saída (E/S) que emite o controlador do Gestor de partição. Por conseguinte, as alterações para o sistema de ficheiros e para a pilha de armazenamento não afectam os programas de nível de encriptação do bloco. Se o controlador de filtro reside na pilha de volume, o controlador de filtro serão abaixo os sistemas de ficheiros. Por conseguinte, as alterações para o sistema de ficheiros e para a pilha de armazenamento não afectam os programas de nível de encriptação do bloco.
  • CD mastering programas não são afectados porque o sistema de ficheiros UDFS e o sistema de ficheiros FAT32 não efectua verificações quando o sistema de ficheiros está montado unidades ópticas. No entanto, os programas CD mastering podem ser afectados no seguinte cenário:
    • Um programa bloqueia o respectivo ficheiro.
    • O programa efectua consultas extensões do ficheiro.
    • O programa utiliza um identificador de volume para escrever directamente para as extensões do ficheiro.
    No entanto, não aconselhamos este cenário porque este cenário pode causar os metadados do ficheiro ser sincronizadas. Quando estão fora de sincronia metadados do ficheiro, podem ocorrer danos nos ficheiros.

Propriedades

Artigo: 942448 - Última revisão: 31 de janeiro de 2008 - Revisão: 2.1
A informação contida neste artigo aplica-se a:
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Palavras-chave: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB942448 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 942448

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com