يقضي مدراء تكنولوجيا المعلومات الكثير من الوقت والموارد في المشاريع المتعلقة بالأنظمة التحليلية لمعالجة معلومات المبيعات وبيانات الأعمال القياسية الأخرى. وفي الوقت نفسه، يتم إنشاء لوحات معلومات للمديرين لعرض مؤشرات أداء الشركة ومساعدتهم في وضع توقعات للمستقبل. تجلب مثل هذه الأنظمة فوائد تجارية كبيرة، ولكن في الواقع، فإن الفرص التي تفتحها ليست سوى جزء صغير مما يمكن فعله بالبيانات المتاحة للمؤسسة، كما يقول كريشنا ناثان، رئيس قسم المعلومات في شركة S&P Global (المعروفة سابقًا باسم McGraw Hill Financial)، والتي تتعامل مع إدارة التصنيف الائتماني، فضلا عن تقديم الخدمات الاستشارية والتحليلية لسوق الأوراق المالية. وتحت قيادة ناثان، تم تصميم وتنفيذ نظام جديد لمعالجة البيانات على مستوى المؤسسة، وتنفيذ استراتيجية تهدف إلى تسريع نمو الأعمال وإنشاء عروض جديدة للعملاء.

بدأت بعض الشركات في جمع بيانات إضافية - يسمونها بديلة أو غير تقليدية أو متعامدة. على الرغم من أن هذا لا يزال جديدًا، إلا أنه يجب على مدراء تكنولوجيا المعلومات أن يصبحوا على دراية بالتكنولوجيا اليوم. بعد كل شيء، قريبا جدا سوف تصبح البيانات البديلة أداة إلزامية للعديد من الشركات.

ومع ذلك، لا تتعجل لتوظيف متخصص آخر باهظ الثمن. دعونا معرفة ما نتحدث عنه في الواقع.

ما هي "البيانات البديلة"

تعريف ناثان للبيانات البديلة هو أنها البيانات التي تأتي من مصادر غير تقليدية ويمكن تحليلها لتقديم رؤى مفيدة بالإضافة إلى ما تحصل عليه عادة.

لنفترض أن لديك سلسلة بيع بالتجزئة وتنوي فتح متجر جديد في مدينة أخرى. عادةً ما يعتمد هذا القرار على أداء متاجرك في مدينة معينة وفي مدن أخرى.

يمكن أن يكون المصدر البديل للبيانات هنا هو صور مواقف السيارات في السوبر ماركت التي تم التقاطها على مدار عدة أشهر - يمكن ربط مستويات إشغال مواقف السيارات بحجم المبيعات. بالإضافة إلى معلومات حول حركة المشاة في المنطقة التي من المقرر افتتاح المتجر فيها. من خلال الجمع بين المعلومات التي تتلقاها، يمكنك تعلم شيء جديد من شأنه أن يساعدك في عملك.

توفر S&P Global أيضًا خدمات تحليلية لبورصات السلع، ويجب على مدير تكنولوجيا المعلومات أن يفكر باستمرار في كيفية تقديم رؤى إضافية للعملاء باستخدام مصادر بيانات بديلة، وكيفية الجمع بين أجزاء مختلفة من المعلومات لتزويد العملاء بمعلومات لا يمكنهم الحصول عليها في أي مكان آخر.

لنفترض أن لدى S&P Global معلومات تفيد بأن مصفاة النفط في روتردام يمكنها إنتاج 100 ألف برميل من المنتجات البترولية يوميًا. لكن بسبب نقص العرض تتم معالجة ما يقارب 70 ألف برميل، أي أن الطاقة الاستيعابية متوفرة لـ 30 ألفاً أخرى. ماذا يحدث بعد دخول ناقلة نفط تحمل 30 ألف برميل إلى الميناء؟ يوضح ناثان قائلاً: "إذا كان تقرير الطاقة الإنتاجية المتاحة للمحطة صادرًا قبل أسبوع، فلن نعرف أن النفط قد تم تفريغه للتو". – أي أن البيانات التقليدية أصبحت قديمة. وهذا هو المكان الذي يكون فيه مصدر البيانات البديلة مثل صور الأقمار الصناعية مفيدًا. إذا قمنا بتحليل صور الأقمار الصناعية إلى جانب مصادر أخرى، فسنحصل على صورة أكثر دقة للاحتياطيات والإنتاج في الوقت الفعلي تقريبًا.

البيانات البديلة ورئيس قسم المعلومات

حتى لو لم يكن لديك سيناريوهات تطبيق جاهزة، تعرف على التقنيات الجديدة. تخطيط الأنظمة التي تسمح لك بدمج مصادر بيانات متعددة للتحليل. تعلم كيفية إدارة سلسلة تسليم البيانات وحمايتها ومراعاة حقوق الاستخدام. وقم بتعيين الموظفين اللازمين - فأنت بحاجة إلى علماء بيانات ذوي خبرة يمكنهم تحليل البيانات واستخراج المعلومات المفيدة.

لبدء مشروع بسرعة في مجال البيانات البديلة، يمكنك استخدام حل جاهز. وهذا ما فعلته شركة S&P Global عندما استحوذت شركة Platts، وهي شركة تابعة للشركة، على cFlow، وهي أداة لتفسير صور الأقمار الصناعية. يقدم CFlow أدوات تصور تسمح لك بمراقبة التغيرات في التدفقات التجارية على طول طرق السفن وتوفر معلومات عن حجم وطبيعة حمولة الناقلات.

إقناع إدارة الشركة بأن الوقت قد حان للاستثمار في البيانات البديلة - شراء الحلول الحالية أو إنشاء الحلول الخاصة بك. ستعمل بعض مشاريع البيانات البديلة الخاصة بك، لكن الكثير منها سيفشل. حسنًا، إذا كانت البيانات البديلة تجلب معلومات قيمة حقًا، فاستخدمها لتلقي الأموال اللازمة لمشاريع جديدة.

- مارثا هيلر ما هي "البيانات البديلة" وكيف يمكنك استخدامها؟ رئيس قسم المعلومات. 3 يناير 2017

    واجه معظم مستخدمي أنظمة التشغيل الحديثة لعائلة Windows موقفًا حيث يتم فتح ملف المساعدة بتنسيق CHM (وحدة المساعدة المترجمة) جزئيًا فقط - يمكنك فقط عرض جدول المحتويات بدون محتويات عناصره:

بالإضافة إلى ذلك، إذا حاولت فتح ملف CHM موجود على مشاركة عبر شبكة باستخدام مسار UNC (اصطلاح التسمية العالمي) مثل \\server\h\help.chm، فلن يتم عرض أقسامه. بمعنى آخر، يمكنك عادةً عرض ملفات .chm فقط إذا لم يتم استلامها عبر الشبكة.

تحدث صورة مماثلة عند محاولة فتح ملف قابل للتنفيذ تم تنزيله من الشبكة. سترى تحذيرًا أمنيًا:

علاوة على ذلك، يمكن فتح نفس الملف، المستخرج من الأرشيف الذي تم تنزيله أيضًا من الإنترنت، على هذا الكمبيوتر دون أي مشاكل. في الواقع، الاختلاف الوحيد هو أن الملف الذي يتم فتحه تم إنشاؤه محليًا، أثناء عملية فك الضغط، ولم يتم تنزيله عبر الشبكة. بمعنى آخر، يتمتع Windows بالقدرة على تحديد أصل الشبكة للملف، والرد عليه باستخدام إعدادات أمان معينة.

آلية تحديد أصل الشبكة للملفات.

في نظام الملفات NTFS، يتم تمثيل كل ملف (أو دليل) كمجموعة من العناصر الفردية تسمى صفات. عناصر مثل اسم الملف، وإعدادات الأمان، وحتى البيانات كلها سمات للملف. يتم تعريف كل سمة بواسطة رمز نوع السمة، واختياريًا، اسم السمة. لذلك، على سبيل المثال، اسم الملف موجود في السمة اسم الملفوالمحتوى - في السمة بيانات، معلومات حول المالك وحقوق الوصول موجودة في السمة واصف الأمنإلخ. محتويات كل ملف ($DATA attribute) عبارة عن مجموعة تيارات، حيث يتم تخزين البيانات. لكل ملف أو دليل في NTFS، يوجد مؤشر ترابط رئيسي واحد على الأقل يتم فيه تخزين البيانات فعليًا. ومع ذلك، بالإضافة إلى الموضوع الرئيسي، يمكن أيضًا ربط ملف أو دليل به بديل (أالبديل دآتا سدفق - ADS)، والتي قد تحتوي أيضًا على بعض البيانات التي لا علاقة لها بأي حال من الأحوال ببيانات الدفق الرئيسي. الدفق الرئيسي للملف ليس له اسم وتم تعيينه كـ بيانات $:"". يجب أن يكون للتدفقات البديلة اسم، على سبيل المثال - $DATA:"ستريم داتا"- تيار بديل بالاسم StreamData

عند تنفيذ وظائف كتابة البيانات إلى ملف، يتم وضعها في دفق البيانات الرئيسي. عندما نفتح، على سبيل المثال، ملفًا نصيًا باستخدام برنامج "المفكرة"، يمكننا الوصول إلى بيانات الموضوع الرئيسي. لا يتم عرض بيانات التدفقات البديلة، عند استخدام الوصول القياسي، ولا توجد حتى أي علامة على وجودها. ومع ذلك، يمكن الوصول إلى بيانات الدفق البديلة المرتبطة بملف أو دليل محدد باستخدام برامج خاصة أو باستخدام بناء جملة خاص في سطر أوامر Windows.

على سبيل المثال، كتابة نص إلى ملف test.txt باستخدام الأمر صدى صوت:

صدى البيانات الرئيسية > test.txt- اكتب النص "بيانات الدفق الرئيسي" إلى ملف test.txt، وهو ما يعني الكتابة إلى الدفق الرئيسي غير المسمى.

ولكن يمكنك تغيير الأمر:

صدى بيانات الدفق البديل > test.txt:stream1- اكتب النص "بيانات الدفق البديل" إلى الدفق البديل بالاسم تيار1ملف test.txt

يمكنك الآن فتح، على سبيل المثال، كل من التدفقات باستخدام برنامج "المفكرة":

اختبار المفكرة.txt- سيتم فتح محتويات الدفق الرئيسي بالنص "بيانات الدفق الرئيسي"

اختبار المفكرة.txt:stream1- سيتم فتح محتويات الدفق البديل بالنص "بيانات الدفق البديل"

ومع ذلك، فإن التدفقات البديلة، كونها غير مرئية للأدوات القياسية للعمل مع كائنات نظام الملفات، تُستخدم في كثير من الأحيان لتخزين معلومات إضافية حول الملفات ومعلومات الخدمة الأخرى. لذلك، على سبيل المثال، عند تنزيل الملفات من الإنترنت، تضيف المتصفحات دفق بديل يسمى معرف المنطقةوالتي يمكن فتحها بالمفكرة كما في المثال أعلاه

المفكرة %USERPROFILE%\Downloads\ChromeSetup.exe:Zone.Identifier- افتح تيارًا بديلاً بالاسم الموجود في المفكرة معرف المنطقة ChromeSetup.exeلا يتعين عليك تحديد المسار إلى الملف عن طريق تنفيذ الأمر أولاً للانتقال إلى دليل الملفات التي تم تنزيلها بواسطة المستخدم الحالي (مع الموقع القياسي لمجلدات خدمة المستخدم):

القرص المضغوط %USERPROFILE%\التنزيلات- انتقل إلى دليل الملفات التي تم تنزيلها.

المفكرة ChromeSetup.exe:Zone.Identifier- فتح دفق بديل بالاسم معرف المنطقةلملف تثبيت متصفح Google Chrome المسمى ChromeSetup.exeفي الدليل الحالي.

كما ترون فإن محتويات الدفق البديل تحتوي على الأسطر:

- علامة القسم مع وصف منطقة نقل البيانات
معرف المنطقة = 3- معرف المنطقة.

تتيح هذه المعلومات تحديد أصل الملف عن طريق رقم المعرف معرف المنطقة:

0 - الكمبيوتر المحلي (المحلي).
1 - الشبكة المحلية المحلية (الإنترانت)
2 - المواقع الموثوقة
3 - إنترنت
4 - المواقع الخطرة (المواقع المحظورة)

هذا التعريف للمناطق، على سبيل المثال، يتوافق مع إعدادات الأمان لبرنامج Internet Explorer:

في هذه الحالة، يمكنك تحديد أن الملف ChromeSetup.exeتم الحصول عليها من الإنترنت (معرف المنطقة = 3). عند تشغيل مثل هذا الملف، سيتم إصدار تحذير أمني بشأن مصدر غير موثوق به. تعمل ميزات الأمان لتطبيقات Microsoft Office بطريقة مماثلة عندما تحذر من خطورة فتح الملفات التي تم تنزيلها من الإنترنت. لنفس السبب، لا يتم فتح محتويات ملفات المساعدة بتنسيق CHM - تسمح محتويات الدفق البديل بتصنيفها على أنها خطيرة، بغض النظر عن الخطر الفعلي أو غير الموجود.

حاول تغيير نفس المفكرة، قيمة ZoneId إلى 0 ، والذي سيتوافق مع الأصل المحلي للملف، وسيختفي تحذير الأمان، وكذلك المشكلات المتعلقة بفتح مستندات المكتب أو موضوعات المساعدة في ملفات .chm.

سيحدث سلوك مماثل لأنظمة الأمان في الحالات التي يتم فيها حذف محتويات الدفق البديل (جعله فارغًا)، أو يتم حذف الدفق البديل نفسه تمامًا.

بدءًا من نظام التشغيل Windows 7، يمكنك استخدام الأمر للحصول على قائمة بتدفقات الملفات البديلة ديرمع المعلمة / ر:

دير /r %UserpRofile%\Downloads- عرض قائمة الملفات والتدفقات البديلة في الدليل التحميلاتالمستخدم الحالي.

للعمل مع التدفقات البديلة في أي إصدار من نظام التشغيل Windows، يمكنك استخدام الأداة المساعدة Streams.exeمن حزمة برامج Microsoft Sysinternals Suite. تحتوي الحزمة على العديد من البرامج الصغيرة للتشخيص والتحسين والإدارة، بما في ذلك الأداة المساعدة التي تسمح لك بالتعويض عن أوجه القصور في العمل مع التدفقات البديلة.

تنسيق سطر الأوامر:

Streams.exe [-s] [-d]ملف أو دليل

خيارات سطر الأوامر:

-س- الدلائل الفرعية العملية.
-د- حذف تيارات بديلة.
-nobanner- لا تعرض شعار البداية ومعلومات حقوق النشر.

أمثلة على الاستخدام:

تيارات.exe /؟- عرض تعليمات حول استخدام البرنامج.

تيارات myfile.txt- عرض معلومات حول تدفقات الملفات myfile.txt

تيارات –d myfile.txt- إزالة تدفقات الملفات البديلة myfile.txt

تيارات -d -s D:\Downloads\*.*- حذف التدفقات البديلة لجميع الملفات والدلائل الفرعية في الدليل د:\التنزيلات\

في نظام التشغيل Windows 8 وأنظمة التشغيل الأحدث، يتيح لك PowerShell أيضًا العمل مع سلاسل العمليات البديلة:

الحصول على العنصر -المسار -المسار C:\FirefoxSetup.exe -البث *- عرض معلومات حول المواضيع في الملف C:\FirefoxSetup.exe.

الحصول على المحتوى - المسار C:\FirefoxSetup.exe - منطقة البث- عرض محتويات تيار بديل معرف المنطقةملف C:\FirefoxSetup.exe

إزالة العنصر - المسار C:\FirefoxSetup.exe - الدفق *- إزالة جميع التدفقات البديلة المرتبطة بالملف C:\FirefoxSetup.exe

إزالة العنصر - المسار C:\FirefoxSetup.exe - منطقة الدفق- حذف الدفق البديل منطقة الدفق.المعرفالمرتبطة بالملف C:\FirefoxSetup.exe.

يتم استخدام معلومات منطقة الأمان على نطاق واسع في سياسات المجموعة، وعلى وجه الخصوص، بواسطة Windows Attachment Manager، الذي ينفذ وظائف الحماية ضد البرامج الضارة التي قد تكون موجودة في مرفقات البريد الإلكتروني أو الملفات التي تم تنزيلها من الإنترنت. يحتوي موقع Microsoft على مقالة تفصيلية حول كيفية تكوين مدير المرفقات وحل المشكلات المرتبطة به:
وصف تشغيل مدير المرفقات المضمن في نظام مايكروسوفت ويندوز.

في الختام، سأضيف أن التدفقات البديلة هي خاصية لنظام الملفات NTFS، وعلى سبيل المثال، غير مدعومة في FAT32. وفقا لذلك، عند نسخ الملفات من NTFS إلى أي نظام ملفات آخر، يتم تجاهل التدفقات البديلة.

تمت إضافة دعم تدفق البيانات البديل (AltDS) إلى NTFS للتوافق مع نظام ملفات Macintosh HFS، والذي يستخدم تدفق الموارد لتخزين الرموز ومعلومات الملفات الأخرى. استخدام AltDS مخفي عن المستخدم ولا يمكن الوصول إليه بالوسائل العادية. يعمل المستكشف والتطبيقات الأخرى مع الدفق القياسي ولا يمكنه قراءة البيانات من الدفق البديل. باستخدام AltDS، يمكنك بسهولة إخفاء البيانات التي لا يمكن اكتشافها عن طريق عمليات فحص النظام القياسية. ستقدم هذه المقالة معلومات أساسية حول عمل AltDS وتعريفه.

إنشاء AltDS

يعد إنشاء AltDS أمرًا سهلاً للغاية. للقيام بذلك، سوف نستخدم سطر الأوامر. أولاً، لنقم بإنشاء ملف أساسي سنرفق به تدفقاتنا.

C:\>echo مجرد ملف نصي للخطة>sample.txt

C:\>اكتب Sample.txt
مجرد ملف نصي للخطة

بعد ذلك، سنستخدم النقطتين كمعامل للإشارة إلى أننا سنستخدم AltDS:

C:\\>صدى لا يمكنك رؤيتي>sample.txt:secret.txt

يمكنك استخدام الأوامر التالية لعرض المحتوى:

ج:\المزيد< sample.txt:secret.txt

أو

C:\notepad Sample.txt:secret.txt

إذا كان كل شيء يعمل بشكل جيد، فسترى النص: لا يمكنك رؤيتي، ولكن عند فتحه من Explorer، لن يكون هذا النص مرئيًا. يمكنك أيضًا إرفاق AltDS ليس فقط بملف، ولكن أيضًا بمجلد هذا، قم بإنشاء مجلد وإرفاق نوع من النص:

C:\>أشياء MD
C:\>أشياء القرص المضغوط
C:\stuff>echo إخفاء الأشياء في الاشياء>:hide.txt
ج:\الأشياء>دير
وحدة التخزين في محرك الأقراص C ليس لها تسمية.
الرقم التسلسلي للمجلد هو 40CC-B506Directory of C:\stuff
28/09/2004 الساعة 10:19 صباحًا .
28/09/2004 الساعة 10:19 صباحًا…
0 ملف (ملفات) 0 بايت 2 دير (ملفات) 12,253,208,576 بايت مجانًا
C:\stuff>المفكرة:hide.txt

أنت الآن تعرف كيفية عرض وتحرير ملف AltDS المرفق باستخدام برنامج "المفكرة"، بالإضافة إلى كيفية إرفاقه بالملفات والمجلدات.

إخفاء وتشغيل التطبيقات

يعد إخفاء التطبيقات باستخدام AltDS أمرًا سهلاً مثل إخفاء ملفات الاختبار. أولاً، لنقم بإنشاء الملف الأساسي مرة أخرى:

بعد ذلك، لنضع تطبيقنا في دفق، على سبيل المثال، استخدمت notepad.exe:

C:\WINDOWS> اكتب notepad.exe> ​​test.txt:note.exe

الآن دعونا نتأكد من أن ملفنا يحتوي على نفس النص:

C:\WINDOWS> اكتب test.txt
امتحان

والآن الجزء الممتع، هيا نطلق تطبيقنا المخفي:

C:\WINDOWS>ابدأ .\test.txt:note.exe
ج:\ويندوز>

وبما أن هذه المقالة ليست ترجمة كاملة للمقال المأخوذ، فقد تم تنسيقها كموضوع بسيط. يمكن العثور على تقنيات إضافية على الرابط المقدم.

محدث:

أدوات مساعدة للعمل مع AltDS (القائمة مأخوذة من المقالة المرتبطة أعلاه):

LADS - قائمة تدفقات البيانات البديلة بقلم فرانك هاين
www.heysoft.de/Frames/f_sw_la_en.htm

Streams.exe من SysInternals.

في هذا الموضوع، سألقي نظرة على أربعة أنواع من البيانات الوصفية التي يمكن إرفاقها بملف أو دليل باستخدام نظام الملفات NTFS. سأصف الأغراض التي يمكن استخدام هذا النوع أو ذاك من البيانات التعريفية فيها، وسأقدم مثالاً على استخدامه في بعض تقنيات Microsoft أو برامج الطرف الثالث.

سنتحدث عن نقاط إعادة التوزيع ومعرفات الكائنات وأنواع البيانات الأخرى التي قد يحتوي عليها الملف بالإضافة إلى محتواه الرئيسي.

معرف الكائنهذا هو 64 بايت يمكن إرفاقه بملف أو دليل. من بينها، تسمح لك أول 16 بايت بتعريف الملف بشكل فريد داخل وحدة التخزين والوصول إليه ليس عن طريق الاسم، ولكن عن طريق المعرف. يمكن أن تحتوي البايتات الـ 48 المتبقية على بيانات عشوائية.

توجد معرفات الكائنات في NTFS منذ نظام التشغيل Windows 2000. وفي النظام نفسه، يتم استخدامها لتتبع موقع الملف الذي يشير إليه الاختصار (.lnk). لنفترض أن الملف المشار إليه بالاختصار قد تم نقله داخل المجلد. عند تشغيل الاختصار، فإنه سيظل مفتوحًا. ستحاول خدمة Windows خاصة، إذا لم يتم العثور على الملف، فتح الملف ليس باسمه، ولكن بواسطة معرف تم إنشاؤه وحفظه مسبقًا. إذا لم يتم حذف الملف ولم يترك وحدة التخزين، فسيتم فتحه، وسيشير الاختصار مرة أخرى إلى الملف.

تم استخدام معرفات الكائنات في تقنية iSwift الخاصة بالإصدار 7 من برنامج Kaspersky Anti-Virus. وهذه هي الطريقة التي يتم بها وصف هذه التكنولوجيا: تم تطوير هذه التقنية لنظام الملفات NTFS. في هذا النظام، يتم تعيين معرف NTFS لكل كائن. تتم مقارنة هذا المعرف بالقيم الموجودة في قاعدة بيانات iSwift الخاصة. إذا كانت قيم قاعدة البيانات ذات معرف NTFS غير متطابقة، فسيتم فحص الكائن أو إعادة فحصه إذا تم تعديله.

ومع ذلك، تسببت وفرة المعرفات التي تم إنشاؤها في حدوث مشكلات أثناء فحص القرص باستخدام أداة الفحص القياسية chkdsk، حيث استغرق الأمر وقتًا طويلاً. في الإصدارات اللاحقة من Kaspersky Anti-Virus، تم التخلي عن استخدام معرف كائن NTFS.

نقطة إعادة التوزيع

في نظام الملفات NTFS، قد يحتوي الملف أو الدليل على نقطة إعادة التوزيع، والتي يتم ترجمتها إلى اللغة الروسية كـ "نقطة إعادة المعالجة". تتم إضافة بيانات خاصة إلى الملف أو الدليل، ويتوقف الملف عن أن يكون ملفًا عاديًا ولا يمكن معالجته إلا بواسطة برنامج تشغيل خاص لتصفية نظام الملفات.

يحتوي Windows على أنواع نقاط إعادة التوزيع التي يمكن معالجتها بواسطة النظام نفسه. على سبيل المثال، تقوم نقاط إعادة التوزيع في Windows بتنفيذ الارتباطات الرمزية (الارتباطات الرمزية) ونقاط الوصلات (نقاط الوصلات)، بالإضافة إلى نقاط التحميل لوحدات التخزين في الدليل.
المخزن المؤقت لإعادة التوزيع المرفق بالملف هو مخزن مؤقت بحجم أقصى يبلغ 16 كيلو بايت. ويتميز بوجود علامة تخبر النظام بالنوع الذي تنتمي إليه نقطة إعادة التوزيع. عند استخدام مخزن مؤقت لإعادة التوزيع من النوع الخاص بك، لا تزال بحاجة إلى تعيين المعرف الفريد العمومي (GUID) في حقل خاص، وقد لا يكون موجودًا في المخازن المؤقتة لإعادة التوزيع في Microsoft.

ما هي أنواع نقاط إعادة المعالجة الموجودة؟ سأقوم بإدراج التقنيات التي تستخدم نقاط إعادة التوزيع، وهي تخزين المثيلات الفردية (SIS) ووحدات تخزين المجموعة المشتركة في Windows Storage Server 2008 R2، وإدارة التخزين الهرمي، ونظام الملفات الموزعة (DFS)، وموسع محرك Windows Home Server لم يتم ذكر تقنيات الطرف الثالث التي تستخدم نقاط إعادة المعالجة هنا، على الرغم من وجودها أيضًا.

السمات الموسعة

سمات الملف الموسعة. كان الأمر يتعلق بهم. تجدر الإشارة هنا إلى أن هذه التقنية لا تُستخدم عمليًا في نظام Windows. من بين البرامج التي أعرفها، يستخدم Cygwin فقط السمات الموسعة لتخزين أذونات POSIX. يمكن أن يحتوي ملف واحد على NTFS إما على سمات موسعة أو مخزن مؤقت لنقطة إعادة التوزيع. التثبيت المتزامن لكليهما أمر مستحيل. الحد الأقصى لحجم كافة السمات الموسعة في ملف واحد هو 64 كيلو بايت.

تدفقات البيانات البديلة

تدفقات الملفات الإضافية.ربما الجميع يعرف بالفعل عنهم. سأدرج الميزات الرئيسية لهذا النوع من البيانات الوصفية: التسمية (أي يمكن أن يحتوي الملف على عدة تدفقات، ولكل منها اسم خاص به)، والوصول المباشر من نظام الملفات (يمكن فتحها باستخدام التنسيق "اسم الملف، النقطتان، اسم الدفق")، الحجم غير المحدود، القدرة على تشغيل عملية مباشرة من سلسلة رسائل (والقدرة على تنفيذها من خلالها).

تستخدم في تقنية iStream لبرنامج Kaspersky Anti-Virus. يتم استخدامها في نظام التشغيل Windows نفسه، على سبيل المثال، عند تنزيل ملف من الإنترنت، يتم إرفاق دفق Zone.Identifier به، والذي يحتوي على معلومات حول مكان تلقي الملف. بعد تشغيل الملف القابل للتنفيذ، قد يرى المستخدم رسالة "غير قادر على التحقق من الناشر. هل تريد حقا تشغيل هذا البرنامج؟.

وهذا يمنح المستخدم حماية إضافية ضد التشغيل الطائش للبرامج الواردة من الإنترنت. يعد هذا مجرد استخدام واحد للتدفقات، ويمكنها تخزين مجموعة واسعة من البيانات. قام برنامج Kaspersky Anti-Virus المذكور بتخزين المجموع الاختباري لكل ملف هناك، ولكن لاحقًا تم التخلي عن هذه التقنية أيضًا لسبب ما.

أي شيء آخر؟

هل هناك المزيد معرف الأمان، بالإضافة إلى سمات الملفات القياسية التي لا يمكن الوصول إليها مباشرة، على الرغم من أنها يتم تنفيذها أيضًا كتدفقات للملفات. وهم والسمات الموسعة وإعادة التوزيع ومعرف الكائن - كل هذه تدفقات ملفات من وجهة نظر النظام. لا فائدة من تغيير المعرف الأمني ​​مباشرة كما هو موضح في الصورة التالية::$SECURITY_DESCRIPTOR; ليتولى النظام تغييره. لا يوفر النظام نفسه الوصول المباشر إلى أنواع أخرى من التدفقات. هذا كل شيء.

من الممكن عرض محتويات معرف الكائن ونقاط إعادة التوزيع وكذلك العمل مع السمات الموسعة وتدفقات الملفات البديلة باستخدام البرنامج

تأتي أنظمة تشغيل Windows مزودة بميزتين غير معروفتين لإخفاء البيانات: تدفقات بيانات NTFS (المعروفة أيضًا باسم تدفقات البيانات البديلة) وتعداد موارد التعداد المستند إلى الوصول (ABE). توفر تدفقات البيانات البديلة القدرة على إضافة معلومات مخفية إلى ملف، مثل معلومات الملف. ربما لن تحتاج إلى استخدام تدفقات البيانات المخفية، ولكن يمكن للمهاجمين استخدام هذه التكنولوجيا ضدك، لذا يجب أن تكون على دراية بها وكيف يمكن أن تعمل.

أما بالنسبة لطريقة ABE، فيمكن إضافتها إلى ترسانتك. تسمح لك هذه الطريقة بجعل مجلدات وملفات الموارد المشتركة غير مرئية للمستخدمين الذين ليس لديهم إذن للوصول إليها.

إليك ما تحتاج لمعرفته حول هذه الصناديق.

الأنهار تغذي بحر البيانات

تعد تدفقات البيانات البديلة إحدى ميزات نظام الملفات NTFS. لقد تم تضمينها مرة واحدة في نظام التشغيل Windows NT 3.1 للسماح لمستخدمي NT وMacintosh بمشاركة الملفات.

يتكون ملف NTFS من تدفقات البيانات. هذا هو دفق بيانات $DATA القياسي، وربما تدفق بيانات بديل واحد أو أكثر. يمكن لأي مستخدم لديه الأذونات اللازمة للملف رؤية دفق بيانات $DATA الموجود، ويمكنه فتحه، وقراءة البيانات وكتابتها في الدفق.

دفق البيانات البديل هو معلومات أو ملفات إضافية يمكن للمستخدم أو التطبيق إرفاقها بملف NTFS. فقط المستخدم الذي قام بإنشائه يعرف بوجود دفق بيانات بديل. لا يعرف المستخدمون عادةً ما إذا كان دفق البيانات البديل مرفقًا بملف أم لا؛ النقطة المهمة هي أنه لا محتوى هذا الدفق ولا اسمه مرئيان. بالإضافة إلى ذلك، لا توجد طريقة لرؤية التغيير في حجم الملف.

هناك طرق عديدة لاستخدام تدفقات البيانات البديلة. في نظام التشغيل Windows، يتم استخدام هذه التدفقات لتخزين البيانات التلخيصية للمستندات التي تم إنشاؤها بواسطة التطبيقات غير المضمنة في Microsoft Office، مثل ملفات النص العادي (.txt). يمكنك إدخال معلومات تلخيصية، مثل العنوان والموضوع ومعلومات المؤلف، في علامة التبويب "الملخص" في مربع الحوار "خصائص" الخاص بالملف. يتم تخزين هذه البيانات التلخيصية في دفق بيانات بديل، SummaryInformation.

تستخدم تطبيقات Windows مثل نظام تشفير الملفات (EFS) وWindows Explorer تدفقات بيانات بديلة لإلحاق البيانات الخاصة بالملفات بالملفات المخزنة على محركات الأقراص بتنسيق NTFS. يقوم EFS بإلحاق معلومات التشفير وفك التشفير بالملفات المشفرة باستخدام تدفقات البيانات البديلة، مما يسمح بالتشفير وفك التشفير اللامركزي بواسطة EFS.

في Windows XP Service Pack 2 (SP2)، يستخدم Microsoft Internet Explorer (IE) دفق البيانات البديل Security.Zone لتوفير تصنيف منطقة الأمان للملفات المخزنة على وحدة تخزين NTFS. ونتيجة لذلك، يتمتع IE بالقدرة على منع هجمات تصعيد المستخدم التي يمكن أن تحدث في المواقف التي يقوم فيها المستخدم بتنزيل تعليمات برمجية ضارة من منطقة غير آمنة على الإنترنت ويقوم بتخزين التعليمات البرمجية على محرك الأقراص الثابتة المحلي. يقوم IE بتصنيف المحتوى المخزن محليًا إلى منطقة أمان الجهاز المحلي، والتي توفر حقوقًا أكثر من منطقة أمان الإنترنت. يتحقق XP SP2 دائمًا من تدفق بيانات Security.Zone قبل السماح للتعليمات البرمجية المحملة باتخاذ أي إجراء على النظام المحلي.

قناة لإدخال التعليمات البرمجية الضارة

ما يجعل تدفقات البيانات البديلة جديرة بالملاحظة وخطيرة هو أن أسمائها ومحتوياتها لا يتم عرضها في Windows Explorer. ولذلك، فإن منظمي أنواع مختلفة من الهجمات يعتبرون مثل هذه التدفقات وسيلة ملائمة لإخفاء البيانات أو التعليمات البرمجية الضارة التي دخلت النظام. مثال على استخدام هذه المواضيع هو الفيروس المتنقل VBS.Potok@mm. استخدم المتسللون دفق بيانات بديلاً لإرفاق برامج نصية متعددة لـ Visual Basic (VB) بملف ODBC .ini موجود.

عند تنشيطها، تقوم الدودة بإنشاء حساب يتمتع بحقوق إدارية وترسل نفسها إلى العناوين التي تكتشفها في دفتر عناوين Microsoft Outlook.

الخطر الآخر هو أن مساحة القرص المخصصة لتدفقات البيانات البديلة لا تنعكس في حجم (ملف) Windows Explorer وبيانات مساحة القرص غير المخصصة. يمكن للمتسلل استخدام تدفقات بيانات بديلة لملء مساحة قرص خادم الملفات، مما يترك المسؤول في حيرة من أمره محاولًا الوصول إلى الجزء السفلي من المشكلة. بالإضافة إلى ذلك، تجدر الإشارة إلى أن الأداة المساعدة لسطر الأوامر Dir لا تأخذ في الاعتبار تدفقات البيانات البديلة عند حساب حجم البيانات (الملفات والمجلدات). توجد حاليًا أداة واحدة فقط من Microsoft يمكنها أن تأخذ في الاعتبار تدفقات البيانات البديلة عند حساب الأحجام: الأداة المساعدة Chkdsk.

إضافة موضوع جديد

يمكن لأي شخص لديه حق الوصول للكتابة إلى ملف NTFS استخدام أوامر نظام التشغيل العادية لإلحاق دفق بيانات بديل بالملف. على سبيل المثال، يقوم الأمر التالي بإنشاء دفق بيانات بديل mystream، وإلحاق mystream بملف يسمى file.txt، وتخزين العبارة "سري للغاية" في mystream.

صدى سري للغاية> file.txt: mystream

يمكنك عرض محتويات mystream باستخدام الأمر

كما هو مذكور أعلاه، يمكن إضافة الملفات القابلة للتنفيذ إلى تدفقات البيانات البديلة. وبالتالي، من الممكن إضافة نسخة مخفية من حاسبة Windows (calc.exe) إلى الملف file.txt. للقيام بذلك، تحتاج فقط إلى إدخال الأمر

اكتب calc.exe > file.txt: calc.exe

لتشغيل الآلة الحاسبة المخفية، أدخل الأمر

بدء ملف .txt: calc.exe

يمكنك التحقق بنفسك من عدم عرض تدفقات البيانات البديلة ومحتوياتها في أدوات Microsoft. افتح مستكشف Windows واعرض خصائص file.txt. حجم الملف الفعلي هو 112 كيلو بايت (وهذا هو مقدار المساحة التي يشغلها ملف calc.exe المضمن) - ولكن البرنامج سيظهر حجم الملف على أنه 0 كيلو بايت: لا توجد معلومات حول الملف المضمن في دفق بيانات $DATA، وWindows ليس لدى Explorer القدرة على قراءة المعلومات من دفق بيانات بديل.

ومن الواضح أن هناك العديد من التهديدات المرتبطة بتدفقات البيانات البديلة، خاصة في الشبكات التي لا تحظى فيها أعمال إصدار أذونات الوصول إلى موارد NTFS بالاهتمام الواجب ولم يتم إنشاء رقابة صارمة على الوصول إلى خوادم Windows. توجد آلية أمان بسيطة يمكنها منع المتسللين من محاولة الاستفادة من تدفقات البيانات البديلة - نظام التحكم في الوصول NTFS. إذا لم يكن لدى المهاجمين إذن لكتابة البيانات إلى ملف، فلن يتمكنوا من إنشاء تدفقات بيانات بديلة وإلحاقها بالملف.

اكتشاف التغييرات

إذا شعرت أن المتسللين قد تجاوزوا أذوناتك، فاستخدم إحدى أدوات اكتشاف محتوى دفق البيانات البديلة التي تم تطويرها حتى الآن. يمكن لبرامج فحص تكامل النظام، مثل Tripwire Enterprise وTripwire for Servers، اكتشاف كافة التغييرات التي تم إجراؤها على نظام ملفات NTFS والتي حدثت على نظام Windows، بما في ذلك الإضافات أو التغييرات في محتويات دفق البيانات.

يعد برنامج Sysinternal's Streams أداة مساعدة مجانية لسطر الأوامر تحدد أسماء تدفقات البيانات البديلة المرفقة بالملفات. يوضح الشكل 1 كيفية استخدام الأداة المساعدة Streams لعرض اسم دفق بيانات calc.exe الذي أضفناه مسبقًا إلى ملف file.txt. يمكن تنزيل هذه الأداة المساعدة من http://www.sysinternals.com/utilities/streams.html.

هناك طريقة أخرى سهلة لاكتشاف دفق بيانات بديل وهي استخدام Windows Explorer لنسخ الملف المشبوه إلى محرك أقراص به نظام ملفات آخر غير NTFS (على سبيل المثال، محرك أقراص FAT). أنظمة الملفات الأخرى غير مجهزة للتعامل مع تدفقات البيانات البديلة. لذا، إذا حاولت نسخ ملف NTFS مع تدفقات بيانات بديلة مرفقة لوضعه على نظام ملفات مختلف، فسيصدر NTFS تحذيرًا مشابهًا للتحذير الموضح في الشكل 2. لكن انتبه إلى أنه إذا قمت بنسخ هذا الملف في موجه الأوامر نافذة باستخدام أمر النسخ، سيقوم Windows بنسخها إلى نظام ملفات غير NTFS وحذف دفق البيانات دون سابق إنذار.

إخفاء الموارد المشتركة باستخدام ABE

ABE عبارة عن ميزة طبقة مشاركة ملفات اختيارية قامت Microsoft بتطبيقها لأول مرة في Windows Server 2003 SP1. يمكن استخدامه في أي دليل مشترك لنظام Windows، بغض النظر عن نظام الملفات الذي يتم تخزين البيانات المشتركة عليه. يسمح ABE للمسؤولين بإخفاء المجلدات والملفات المخزنة على الموارد المشتركة من المستخدمين الذين ليس لديهم الأذونات المناسبة للوصول إليها على مستوى NTFS. بمعنى آخر، نحن نتحدث عن توفير الأمان على مستوى المجلد.

في الحالات التي لا يتم فيها استخدام ABE، سيرى المستخدمون المتصلون بدليل مشترك جميع الملفات والمجلدات الموجودة في المشاركة، بما في ذلك تلك التي ليس لديهم أذونات القراءة لقراءتها وتلك التي تم حظرهم من الوصول إليها. عندما يحاول مستخدم فتح ملف أو مجلد لا يُسمح له بالوصول إليه، يعرض النظام رسالة خطأ توضح أنه تم رفض الوصول. يمكن أن تكون رسائل الخطأ هذه مربكة للمستخدمين، لذا فإن تمكين ABE يمكن أن يساعد في تقليل عبء عمل الدعم.

ومع ذلك، فإن استخدام ABE له أيضًا عيوبه. قبل إعادة قائمة الكائنات الموجودة في مجلد إلى عميل متصل بمشاركة، يجب على الخادم التحقق من كافة قوائم ACL الموجودة على تلك الكائنات حتى يتمكن من تحديد البيانات التي سيتم إرجاعها. ونتيجة لذلك، قد تواجه انخفاضًا كبيرًا في أداء النظام، خاصة عند الوصول إلى الموارد المشتركة التي تحتوي على العديد من الكائنات.

من المستحسن استخدام أدوات ABE، على سبيل المثال، لتكوين الموارد العامة في الدلائل الرئيسية للمستخدم. بدلاً من إنشاء مشاركة مخفية للدليل الرئيسي لكل مستخدم، يمكنك إنشاء مشاركة واحدة تحتوي على الدلائل الرئيسية لجميع المستخدمين ضمن مجلد الدليل الرئيسي الجذر. سيتصل المستخدمون بهذا الدليل الجذر، ويمكنك استخدام أذونات ABE وكذلك NTFS للتحكم في رؤية الدلائل الرئيسية لجميع المستخدمين.

تفعيل وظيفة ABE

تستخدم هذه الوظيفة علامة مستوى الموارد العامة الجديدة SHI1005_FLAGS_ENFORCE_NAMESPACE_ ACCESS؛ وفي وقت كتابة هذه السطور، كان يتم تطبيقه فقط في Windows 2003 SP1 والإصدار 2 (R2). تعني هذه العلامة أنك تقوم بتطبيق وظيفة ABE على أحد المجلدات.

يمكنك استخدام ملحقات خصائص مجلد Windows Explorer أو أداة سطر الأوامر abecmd.exe لتعيين العلامة. تقوم Microsoft بتوزيع ملحق ABE Explorer وabecmd.exe في حزمة تثبيت ABE، وهي وحدة نمطية إضافية للنظام الأساسي Windows Server 2003 المزود بحزمة الخدمة SP1. يمكن تنزيل حزمة التثبيت من Microsoft على http://www.microsoft.com/downloads/details.aspx?FamilyId=04A563D 9-78D9-4342-A485-B030AC442084. نظرًا لأن ABE هو امتداد من جانب الخادم، فيمكن استخدامه بغض النظر عن إصدار Windows المثبت على العميل.

بعد تثبيت أدوات ABE على الخادم، يمكنك تعيين هذه العلامة لمجلد معين. انقر بزر الماوس الأيمن فوق المجلد، وحدد خصائص، وانتقل إلى علامة التبويب التعداد المستند إلى الوصول، وقم بتعيين علامة تمكين التعداد المستند إلى الوصول في هذا المجلد المشترك، كما يوضح الشكل 3. لتطبيق وظيفة ABE على جميع الموارد المشتركة على النظام، قم بتعيين إعداد "تطبيق علامة على هذا المجلد" على كافة المجلدات المشتركة الموجودة على هذا الكمبيوتر.

الطريقة الثانية هي استخدام أداة سطر الأوامر abecmd.exe. لتطبيق وظيفة ABE على المورد العام Shareddocs، أدخل الأمر التالي:

abecmd / تمكين المستندات المشتركة

يمكنك استخدام الخيار /all لتمكين ABE على كافة الموارد المتاحة، أو استخدام الخيار /disable لتعطيل ABE.

صلاحية التحكم صلاحية الدخول

ABE هي أداة بسيطة تسمح لك بقصر أذونات المستخدم على تلك الملفات التي يحتاجونها للقيام بعملهم فقط. يمكن للمستخدمين العثور بسهولة على الملفات التي يحتاجون إليها لأنهم لا يضطرون إلى الخوض في المجلدات غير ذات الصلة، ولا يتعين عليهم إزعاج فريق الدعم بأسئلة حول سبب عدم فتح الملفات التي ليس لديهم إذن بفتحها.

للحماية من قراصنة تدفق البيانات البديلة، يجب على المسؤولين مراقبة إعدادات التحكم في الوصول العامة الخاصة بهم واستخدام إحدى الأدوات المساعدة التي وصفتها لتحديد تدفقات البيانات البديلة المخفية بالإضافة إلى التغييرات في نظام NTFS.

جان دي كليرك([email protected]) - موظف في مكتب الأمن لشركة Hewlett-Packard. مسؤول عن إدارة الهوية والأمن لمنتجات Microsoft. مؤلف البنية التحتية الأمنية لنظام التشغيل Windows Server 2003 (الصحافة الرقمية).