NTFS-Dateisystem optimal nutzen

Fast jeder Windows-User verwendet das von Microsoft entwickelte Dateisystem NTFS, seine Funktionen kennt dagegen kaum jemand. Dabei gibt es viele nützliche Features wie Dateiverschlüsselung und Junction Points, aber auch potenzielle Sicherheitslücken wie Alternate Data Streams, die es sich zu kennen lohnt.

Ein Dateisystem verwaltet sämtliche Informationen auf einem Datenträger. Je effektiver das geschieht, desto schneller lassen sich gesuchte Dateien abrufen. Ohne passende Organisation müsste das Betriebssystem die Festplatte jedes Mal sequenziell durchsuchen, wenn eine bestimmte Datei angefordert wird. Statt sekundenschneller Zugriffszeiten würden Anwender dann Minuten oder gar Stunden auf eine Datei warten.

Die Festplatten vieler aktueller Windows-PCs sind mit dem New Technology File System (NTFS) formatiert, das die Dateiverwaltung besonders effizient erledigt. Hersteller Microsoft macht aus den NTFS-Funktionen zwar kein Geheimnis, dokumentiert sie andererseits aber auch nicht. Daher wissen selbst versierte Windows-Anwender nur in den seltensten Fällen, was sich hinter NTFS verbirgt.

Im ersten Teil des Artikels erfahren Sie, wie NTFS auf Festplatte gespeicherte Daten per Journaling und Master File Table verwaltet und was es mit den Alternate Data Streams auf sich hat. Der zweite Teil zeigt Ihnen, was hinter praktischen Funktionen wie Sparse Files, Hardlinks, Junction Points und Symlinks steckt und wie Sie wichtige Daten über das NTFS-Tool EFS verschlüsseln.

Datenschutz per Journaling

Stellen Sie sich folgendes Szenario vor: Der PC hängt sich im Betrieb plötzlich auf und nur ein Neustart kann das Problem beheben. Ein Dateisystem wie FAT muss nun die komplette Festplatte auf Fehler überprüfen. Bei Windows 95 und dessen Standard-Dateisystem FAT32 kann das bei großen Festplatten mitunter Stunden dauern und bringt nicht selten erfolglose Reparaturversuche mit sich.

Eine mit NTFS formatierte Partition ist dagegen vor solchen Rekonstruktionsorgien gefeit. Anstehende Dateiänderungen führt NTFS nicht unmittelbar aus, sondern legt sie zunächst im so genannten Journal ab, einem dafür reservierten Speicherbereich auf der Festplatte. Damit lässt sich das Dateisystem nach Abstürzen oder Stromausfällen schnell wiederherstellen.

Neben NTFS gibt es noch weitere aktuelle Journaling-Filesysteme, darunter das von Mac OS verwendete HFS wie die Linux-Pendants ext3, ext4 und ReiserFS.

Die Master File Table

NTFS speichert die Eigenschaften jeder auf Festplatte gespeicherten Datei in einer zentralen Tabelle, der so genannten Master File Table (MFT). Ihr großer Vorteil: Durch eine Dateiverwaltung über Attribute lassen sich Dateien besonders schnell abrufen. NTFS speichert unter anderem Eigenschaften wie die Dateigröße und den Dateityp sowie Datumsangaben und Benutzerfreigaben.

Sogar den Inhalt einer Datei behandelt NTFS wie ein Attribut. Bis zu 1500 Byte umfassende Dateien landen direkt in der MFT, größere Dateien legt das Dateisystem in einem separaten Datenstrom ab. Die Größe der NTFS-Dateizuordnungstabelle legt Windows bei der Installation automatisch fest.

Per Default reserviert das Betriebssystem dafür 12,5 Prozent des verfügbaren Speicherplatzes einer Systempartition. Doch selbst dieser stattliche Anteil kann unter Umständen nicht ausreichen, um alle Files effektiv zu verwalten. Bei einer sehr großen Anzahl von Dateien greift die Master File Table auch auf den noch freien Festplattenspeicher zu.

Wenn sich eine Festplatte dagegen zusehends füllt, macht Windows auch Platz im reservierten Bereich frei. In beiden Fällen kann die MFT dabei durch häufiges Löschen und Eintragen neuer Attribute fragmentieren. Hier hilft es, die Größe der Master File Table manuell anzupassen.

Unter Windows 2000 und XP legt man dazu im Registry-Ordner HKEY_LOCAL_MACHINE/ SYSTEM/CurrentControlSet/Control/FileSystem einen neuen Dword-Eintrag namens NtfsMftZoneReservation an. Während ein Wert von 1 dem Standardwert von 12,5 Prozent entspricht, verdoppelt 2 dessen Größe.

Mit Werten von 3 (37,5 Prozent) und 4 (50 Prozent) kann die MFT mehrere Millionen Dateien verwalten. Das ist in den allermeisten Fällen aber weder empfehlenswert noch erforderlich. Bei ungültigem oder fehlendem Eintrag für NtfsMftZoneReservation verwendet NTFS den Standardwert 1. Unter Windows Vista ist der Registry-Eintrag bereits vorhanden und auf 0 gesetzt.

15 Jahre NTFS

Im Jahr 1993 brachte Microsoft sein neues Betriebssystem Windows NT 3.1 auf den Markt und setzte statt wie bisher auf FAT erstmals das NT-File-System ein. Seitdem wurde NTFS stetig weiterentwickelt und ist bis heute in fünf Versionen erschienen. Schon Anwender von Windows NT 3.1 kamen in den Genuss einiger Vorteile gegenüber dem altgedienten FAT-Dateisystem.

Beispielsweise wurde die anachronistische "8+3"-Regel für die maximalen Dateinamen- und Extensionslängen aufgehoben. Während FAT-Datenträger nur lateinische Buchstaben für Dateinamen zulassen, erlaubt NTFS bis zu 256 Zeichen und verwendet dazu den Unicode-Zeichensatz. Das unterstützte war auch der 1997 mit Windows 95b erschienene FAT-Nachfolger FAT32, kann aber ebenso wie FAT nicht mit NTFS konkurrieren.

Letzteres versorgt Anwender mit zahlreichen Sicherheitsfeatures wie der eingangs erwähnten Journaling-Funktion. Mit NTFS lassen sich zudem Datei- und Ordnerberechtigungen festlegen und Festplattenbereiche verschlüsseln.

Problematischer Datenaustausch

Von den zahlreichen NTFS-Vorteilen profitieren indes fast ausschließlich Windows-Anwender. MS-DOS-User können sich immerhin noch mit Programmen wie der NTFS Reader DOS Boot Disk (www.ntfs.com) behelfen, um Daten von NTFS-Partitionen zu lesen.

MacOS erkennt zwar problemlos FAT- und FAT32-Festplatten, kann mit NTFS-Laufwerken jedoch nichts anfangen. Etwas besser sieht es wiederum bei Linux-Distributionen wie Ubuntu Linux oder SuSE Linux aus. Diese können Daten einer NTFS-Partition immerhin lesen. Der Schreibzugriff blieb Linux-Usern jedoch lange Zeit verschlossen und wurde erst vor Kurzem nachgerüstet.

Eine Garantie, dass alles unfallfrei funktioniert, gibt es allerdings nicht, weil die NTFS-Funktionen über Reverse-Engineering-Methoden erforscht und anschließend nachgebaut wurden. Das Linux-NTFS-Projekt (www.linux-ntfs.org) hat das Microsoft-Filesystem mittlerweile umfassend dokumentiert.

Apropos undokumentiert: Gerade die ausgeklügelte, aber wenig bekannte Organisationsstruktur des NTFS-Dateisystems bringt nicht nur Vorteile. Besonders gefährlich wird es dann, wenn sich Malware auf dem Rechner einnistet und versucht, das Dateisystem zu manipulieren. Dabei nutzen die Schädlinge in den meisten Fällen die so genannten Alternate Data Streams aus.

Alternative Datenströme

Alternative Datenströme sind an sich ein praktisches NTFS-Hilfsmittel. Windows speichert mit dieser Funktion bestimmte Zusatzinformationen direkt in den entsprechenden Dateien. Das umfasst unter anderem Dateieigenschaften wie Bewertungen und Kommentare oder Zugriffsberechtigungen sowie Copyright-Informationen.

Jede Datei kann beliebig viele alternative Datenströme enthalten. Für den Anwender sind diese normalerweise unsichtbar und tauchen auch nicht im Dateimanager auf. Unabhängig von der Größe des Schädlings erscheint die befallene Datei nach wie vor gleich groß. Mit dieser Methode lassen sich daher theoretisch hunderte Megabyte Daten in einer wenigen Byte umfassenden Datei verstecken.

Wer die Probe aufs Exempel machen will, erstellt kurzerhand einen eigenen alternativen Datenstrom. Die Kommandozeile

type virus.exe > c:\text.doc:virus.exe

versteckt das Programm virus.exe im Word-Dokument text.doc. Weder der Windows-Explorer noch der Directory-Befehl dir finden anschließend die potenziell schädliche Datei. Über den Befehl

start c:\text.doc:virus.exe

lässt sich das versteckte Programm aber dennoch ausführen. Mit kostenlosen Tools wie ADS Spy (www.merijn.org) oder LADS (www.heysoft.de) lassen sich solche blinden Passagiere jedoch zuverlässig auf den NTFS-Partitionen von Windows NT, 2000 oder XP aufspüren und entfernen. Unter Windows Vista funktioniert das sogar direkt über die Kommandozeile. Der Befehl dir zeigt mit angehängter Option /R die alternativen Datenströme ausgewählter Dateien an.