NTFS v3.0 incluye varias características nuevas sobre sus predecesores: soporte de archivos dispersos, cuotas de uso de disco, puntos de análisis, seguimiento de enlaces distribuidos y cifrado a nivel de archivo llamado Sistema de archivos de cifrado (EFS).
ScalabilityEdit
NTFS está optimizado para clústeres de 4 KB, pero admite un tamaño máximo de clústeres de 2 MB. (Las implementaciones anteriores admiten hasta 64 KB) el tamaño máximo de volumen NTFS que la especificación puede soportar es de 264 − 1 clústeres, pero no todas las implementaciones alcanzan este máximo teórico, como se explica a continuación.,
el tamaño máximo de volumen NTFS implementado en Windows XP Professional es de 232 − 1 clústeres, en parte debido a las limitaciones de la tabla de particiones. Por ejemplo, con clústeres de 64 KB, el tamaño máximo del volumen NTFS de Windows XP es de 256 TB menos 64 KB. Con el tamaño predeterminado del clúster de 4 KB, el tamaño máximo del volumen NTFS es de 16 TB menos 4 KB. Ambos son mucho más altos que el límite de 128 GB en Windows XP SP1., Debido a que las tablas de particiones en discos master boot record (MBR) solo admiten tamaños de partición de hasta 2 TB, se deben combinar varios volúmenes de tabla de particiones GUID (GPT o «dinámico») para crear un único volumen NTFS mayor de 2 TB. El arranque desde un volumen GPT a un entorno Windows de una manera compatible con Microsoft requiere un sistema con interfaz de Firmware Extensible unificada (UEFI) y soporte de 64 bits.
el límite teórico máximo de NTFS sobre el tamaño de archivos individuales es 16 EB (16 × 10246 o 264 bytes) menos 1 KB, que suma 18,446,744,073,709,550,592 bytes., Con Windows 10 versión 1709 y Windows Server 2019, el tamaño máximo de archivo implementado es de 8 PB menos 2 MB o 9,007,199,252,643,840 bytes.
JournalingEdit
NTFS es un sistema de archivos de diario y utiliza el registro NTFS (NT LogFile) para registrar los cambios de metadatos en el volumen., Es una característica que FAT no proporciona y crítica para NTFS garantizar que sus complejas estructuras de datos internas permanezcan consistentes en caso de fallas del sistema o movimientos de datos realizados por la API de desfragmentación, y permitir una fácil reversión de los cambios no comprometidos en estas estructuras de datos críticas cuando se vuelve a montar el volumen. Las estructuras notablemente afectadas son el mapa de bits de asignación de volumen, las modificaciones a los registros MFT, como los movimientos de algunos atributos de longitud variable almacenados en registros MFT y listas de atributos, e índices para directorios y descriptores de seguridad.,
El ($LogFile) formato ha evolucionado a través de varias versiones:
| para la Versión de Windows | $LogFile formato de la versión |
|---|---|
| Windows NT 4.0 | 1.1 |
| Windows 2000 | |
| Windows XP | |
| Windows Vista | |
| Windows 7 | |
| Windows 8 | |
| Windows 8.,1 | 2.0 |
| Windows 10 |
la incompatibilidad de las versiones implemented LogFile implementadas por Windows 8.1 y Windows 10 impide que Windows 8 (y versiones anteriores de Windows) procese correctamente el archivo log log en caso de que el volumen NTFS se deje en el estado sucio por un apagado abrupto o hibernando en el disco en el estado de cierre de sesión (también conocido como: arranque híbrido o arranque rápido, que está habilitado por defecto en Windows 10). Esta incapacidad para procesar el v2.,0 del log LogFile en volúmenes sucios por estas versiones anteriores de Windows resulta en la invocación de la utilidad de reparación de discos CHKDSK cuando se inicia Windows 10 dual con estos sistemas más antiguos. Existe una configuración del Registro de Windows para evitar la actualización automática de $LogFile a la versión más reciente.
El diario USN (Update Sequence Number Journal) es una función de administración del sistema que registra (en Extend Extend\US UsnJrnl) cambios en archivos, flujos y directorios en el volumen, así como sus diversos atributos y configuraciones de seguridad., El diario se pone a disposición de las aplicaciones para realizar un seguimiento de los cambios en el volumen. Este diario se puede habilitar o deshabilitar en volúmenes que no son del sistema.
Hard linksEdit
la función hard link permite que diferentes nombres de archivo se refieran directamente al mismo contenido del archivo. Los enlaces duros son similares a las uniones de directorios, pero se refieren a archivos en su lugar. Los enlaces duros pueden enlazar solo a archivos en el mismo volumen, porque cada volumen tiene su propio MFT. Los enlaces duros tienen sus propios metadatos de archivo, por lo que un cambio en el tamaño del archivo o los atributos bajo un enlace duro puede no actualizar los otros hasta que se abran., Los enlaces duros se incluyeron originalmente para soportar el subsistema POSIX en Windows NT.
Windows utiliza enlaces duros para admitir nombres de archivo cortos (8.3) en NTFS. Se necesita soporte para el sistema operativo porque hay aplicaciones heredadas que solo pueden funcionar con nombres de archivo 8.3. En este caso, se agrega un registro de nombre de archivo adicional y una entrada de directorio, pero tanto la 8.3 como el nombre de archivo largo están vinculados y actualizados juntos, a diferencia de un enlace duro regular.
el sistema de archivos NTFS tiene un límite de 1024 enlaces duros en un archivo.,
alternate data streams (ADS)Edit
Las secuencias NTFS se introdujeron en Windows NT 3.1, Para habilitar servicios para Macintosh (SFM) para almacenar bifurcaciones de recursos. Aunque las versiones actuales de Windows Server ya no incluyen SFM, los productos de terceros Apple Filing Protocol (AFP) (como ExtremeZ-IP de GroupLogic) todavía utilizan esta característica del sistema de archivos. Anuncios muy pequeños (llamado » zona.,Identifier») son agregados por Internet Explorer y recientemente por otros navegadores para marcar los archivos descargados de sitios externos como posiblemente inseguros para ejecutarse; el shell local requeriría la confirmación del Usuario antes de abrirlos. Cuando el Usuario indica que ya no desea este cuadro de diálogo de confirmación, este anuncio se elimina.
Las secuencias alternativas no aparecen en el Explorador de Windows y su tamaño no se incluye en el tamaño del archivo. Cuando el archivo se copia o se mueve a otro sistema de archivos sin soporte de ADS, se advierte al usuario que no se pueden conservar flujos de datos alternativos., Por lo general, no se proporciona tal advertencia si el archivo se adjunta a un correo electrónico o se carga en un sitio web. Por lo tanto, el uso de flujos alternativos para datos críticos puede causar problemas. Microsoft proporciona una herramienta llamada flujos para ver flujos en un volumen seleccionado. A partir de Windows PowerShell 3.0, es posible administrar anuncios de forma nativa con seis cmdlets: Add-Content, Clear-Content, Get-Content, Get-Item, Remove-Item, Set-Content.
el Malware ha utilizado flujos de datos alternativos para ocultar el código. Como resultado, los escáneres de malware y otras herramientas especiales ahora buscan flujos de datos alternativos.,
compresión de Archivoeditar
NTFS puede comprimir archivos utilizando el algoritmo LZNT1 (una variante de LZ77) los archivos se comprimen en 16 trozos de clúster. Con clústeres de 4 KB, los archivos se comprimen en trozos de 64 KB. Los Algoritmos de compresión en NTFS están diseñados para soportar tamaños de clúster de hasta 4 KB. Cuando el tamaño del clúster es superior a 4 KB en un volumen NTFS, la compresión NTFS no está disponible. Si la compresión reduce 64 KB de datos a 60 KB o menos, NTFS trata las páginas innecesarias de 4 KB como clústeres de archivos vacíos-no se escriben., Esto permite tiempos de acceso aleatorio razonables, ya que el sistema operativo simplemente tiene que seguir la cadena de fragmentos.
Nota: La siguiente sección se refiere a las pruebas, investigaciones y recomendaciones realizadas y destinadas a dispositivos de almacenamiento con un alto tiempo de acceso, como un disco duro mecánico, donde los cabezales internos utilizados para leer datos, deben Moverse físicamente y colocarse correctamente, y luego esperar a que los datos en los discos giratorios pasen por debajo de ellos. Consulte más abajo para obtener información actualizada sobre SSD y dispositivos similares con poco tiempo de acceso.,
sin embargo, los archivos compresibles grandes se fragmentan mucho ya que cada fragmento menor de 64 KB se convierte en un fragmento. Según la investigación del equipo de desarrollo NTFS de Microsoft, 50-60 GB es un tamaño máximo razonable para un archivo comprimido en un volumen NTFS con un tamaño de clúster (bloque) de 4 KB (predeterminado). Este tamaño máximo razonable disminuye bruscamente para volúmenes con tamaños de racimo más pequeños. Los sistemas de un solo usuario con espacio limitado en el disco duro pueden beneficiarse de la compresión NTFS para archivos pequeños, de 4 KB a 64 KB o más, dependiendo de la compresibilidad., Los archivos más pequeños de aproximadamente 900 bytes se almacenan dentro de la entrada de directorio del MFT.
la memoria Flash, como las unidades SSD, no tiene los retrasos de movimiento de la cabeza de las unidades de disco duro, por lo que la fragmentación solo tiene una penalización menor. Los usuarios de procesadores multi-core rápidos encontrarán mejoras en la velocidad de aplicación mediante la compresión de sus aplicaciones y datos, así como una reducción en el espacio utilizado. Tenga en cuenta que los SSD con controladores Sandforce ya comprimen datos. Sin embargo, dado que se transfieren menos datos, hay una reducción en las E/S.,
la compresión funciona mejor con archivos que tienen contenido repetitivo, rara vez se escriben, generalmente se accede de forma secuencial y no se comprimen. Los archivos de registro son un ejemplo ideal.
Si se necesitan Archivos de sistema en el momento del arranque (como controladores, NTLDR, winload.exe, o BOOTMGR) están comprimidos, el sistema puede fallar al arrancar correctamente, porque los filtros de descompresión aún no están cargados. Las ediciones posteriores de Windows no permiten comprimir archivos importantes del sistema.,
Los archivos pueden comprimirse o descomprimirse individualmente (cambiando los atributos avanzados) para una unidad, directorio o árbol de directorios, convirtiéndose en un valor predeterminado para los archivos dentro.
aunque el acceso de lectura y escritura a los archivos comprimidos es transparente, Microsoft recomienda evitar la compresión en servidores o recursos compartidos de red que contengan perfiles itinerantes, ya que supone una carga considerable para el procesador.
CompactOS algorithmseditar
desde Windows 10, Microsoft ha introducido algoritmos adicionales, a saber, XPRESS4K / 8K / 16K y LZX., Ambos algoritmos se basan en LZ77 con codificación de entropía Huffman, que lznt1 carecía. Estos algoritmos fueron tomados del formato de imagen de Windows. Se utilizan principalmente para la nueva función CompactOS, que comprime toda la partición del sistema utilizando uno de estos algoritmos. También se pueden activar manualmente por archivo con la bandera /exe del comando compact. Cuando se usa en archivos, el algoritmo CompactOS evita la fragmentación al escribir datos comprimidos en trozos contiguamente asignados.,
Sparse filesEdit
un archivo sparse: los bytes vacíos no necesitan ser guardados, por lo que pueden ser representados por metadatos.
los archivos dispersos son Archivos intercalados con segmentos vacíos para los que no se utiliza espacio de almacenamiento real. Para las aplicaciones, el archivo se ve como un archivo ordinario con regiones vacías vistas como regiones llenas de ceros. Un archivo disperso no necesariamente incluye áreas de ceros dispersos; el atributo «archivo disperso» solo significa que el archivo tiene permitido tenerlos.,
Las aplicaciones de base de datos, por ejemplo, pueden usar archivos dispersos. Al igual que con los archivos comprimidos, los tamaños reales de los archivos dispersos no se tienen en cuenta al determinar los límites de cuota.
Volume Shadow CopyEdit
El Volume Shadow Copy Service (VSS) mantiene versiones históricas de archivos y carpetas en volúmenes NTFS copiando datos antiguos y recientemente sobrescritos a shadow copy mediante la técnica de copia en escritura. El usuario puede solicitar más tarde una versión anterior para ser recuperado. Esto también permite a los programas de copia de seguridad de datos archivar archivos actualmente en uso por el sistema de archivos., En sistemas muy cargados, Microsoft recomienda configurar un volumen de shadow copy en un disco separado.
Windows Vista también introdujo shadow copies persistentes para su uso con las funciones de restauración del sistema y versiones anteriores. Sin embargo, las instantáneas persistentes se eliminan cuando un sistema operativo anterior monta ese volumen NTFS. Esto sucede porque el sistema operativo más antiguo no entiende el formato más reciente de las instantáneas persistentes.,
TransactionsEdit
a partir de Windows Vista, las aplicaciones pueden usar NTFS transaccionales (TxF) para agrupar varios cambios en los archivos en una sola transacción. La transacción garantizará que todos los cambios ocurran, o ninguno de ellos, y que ninguna aplicación fuera de la transacción verá los cambios hasta que se confirmen.
utiliza técnicas similares a las utilizadas para instantáneas de Volumen (es decir,, copy-on-write) para garantizar que los datos sobrescritos puedan revertirse de forma segura, y un registro CLFS para marcar las transacciones que aún no se han confirmado, o aquellas que se han confirmado pero aún no se han aplicado completamente (en caso de bloqueo del sistema durante una confirmación por uno de los participantes).
transactional NTFS no restringe las transacciones solo al volumen NTFS local, sino que también incluye otros datos u operaciones transaccionales en otras ubicaciones, como los datos almacenados en volúmenes separados, el registro local o las bases de datos SQL, o los estados actuales de servicios del sistema o servicios remotos., Estas transacciones se coordinan en toda la red con todos los participantes que utilizan un servicio específico, el DTC, para garantizar que todos los participantes reciban el mismo estado de confirmación, y para transportar los cambios que han sido validados por cualquier participante (para que los demás puedan invalidar sus cachés locales para datos antiguos o revertir sus cambios no confirmados en curso). Transactional NTFS permite, por ejemplo, la creación de sistemas de archivos distribuidos consistentes en toda la red, incluso con sus cachés locales en vivo o sin conexión.,
Microsoft ahora desaconseja el uso de TxF: «Microsoft recomienda encarecidamente a los desarrolladores utilizar medios alternativos «ya que» TxF puede no estar disponible en futuras versiones de Microsoft Windows».
SecurityEdit
en NTFS, a cada archivo o carpeta se le asigna un descriptor de seguridad que define a su propietario y contiene dos listas de control de acceso (ACL). La primera ACL, llamada lista de control de acceso discrecional (DACL), define exactamente qué tipo de interacciones (por ejemplo, lectura, escritura, ejecución o eliminación) están permitidas o prohibidas por qué usuario o grupos de usuarios., Por ejemplo, archivos en el C:\Program la carpeta Files puede ser leída y ejecutada por todos los usuarios, pero solo puede ser modificada por un usuario con privilegios administrativos. Windows Vista agrega información obligatoria de control de acceso a DACLs. Las DACL son el foco principal del Control de cuentas de usuario en Windows Vista y versiones posteriores.
la segunda ACL, llamada system access Control list (SACL), define qué interacciones con el archivo o carpeta deben ser auditadas y si deben ser registradas cuando la actividad es exitosa, fallida o ambas., Por ejemplo, la auditoría se puede habilitar en archivos confidenciales de una empresa, para que sus gerentes sepan cuándo alguien intenta eliminarlos o hacer una copia de ellos, y si tiene éxito.
EncryptionEdit
Encrypting File System (EFS) proporciona un cifrado sólido y transparente para el usuario de cualquier archivo o carpeta en un volumen NTFS. EFS funciona en conjunto con el servicio EFS, CryptoAPI de Microsoft y la biblioteca de tiempo de ejecución del sistema de archivos EFS (FSRTL)., EFS funciona cifrando un archivo con una clave simétrica masiva (también conocida como la clave de cifrado de archivos, o FEK), que se utiliza porque se necesita una cantidad relativamente pequeña de tiempo para cifrar y descifrar grandes cantidades de datos que si se utiliza un cifrado de clave asimétrica. La clave simétrica que se utiliza para cifrar el archivo se cifra con una Clave Pública que está asociada con el usuario que cifró el archivo, y estos datos cifrados se almacenan en un flujo de datos alternativo del archivo cifrado., Para descifrar el archivo, el sistema de archivos utiliza la Clave Privada del usuario para descifrar la clave simétrica que se almacena en el flujo de datos. A continuación, utiliza la clave simétrica para descifrar el archivo. Debido a que esto se hace a nivel del sistema de archivos, es transparente para el usuario. Además, en caso de que un usuario pierda el acceso a su clave, se ha incorporado soporte para claves de descifrado adicionales en el sistema EFS, de modo que un agente de recuperación aún pueda acceder a los archivos si es necesario., El cifrado proporcionado por NTFS y la compresión proporcionada por NTFS son mutuamente excluyentes; sin embargo, NTFS se puede usar para uno y una herramienta de terceros para el otro.
la compatibilidad con EFS no está disponible en las versiones Basic, Home y MediaCenter de Windows, y debe activarse después de la instalación de las versiones Professional, Ultimate y Server de Windows o mediante el uso de herramientas de implementación empresarial dentro de los dominios de Windows.
Quotaseditar
las cuotas de disco se introdujeron en NTFS v3., Permiten al administrador de un equipo que ejecuta una versión de Windows compatible con NTFS establecer un umbral de espacio en disco que los usuarios pueden utilizar. También permite a los administradores realizar un seguimiento de cuánto espacio en disco está utilizando cada usuario. Un administrador puede especificar un cierto nivel de espacio en disco que un usuario puede usar antes de recibir una advertencia y, a continuación, denegar el acceso al usuario una vez que alcance su límite superior de espacio. Las cuotas de disco no tienen en cuenta la compresión transparente de archivos de NTFS, en caso de que esté habilitada., Las aplicaciones que consultan la cantidad de espacio libre también verán la cantidad de espacio libre dejado al usuario que tiene una cuota aplicada a ellas.
Reparse pointsEdit
introducido en NTFS v3, los puntos de reparse NTFS se utilizan asociando una etiqueta de reparse en el atributo espacio de usuario de un archivo o directorio. Microsoft incluye varias etiquetas predeterminadas que incluyen enlaces simbólicos, puntos de unión de directorios y puntos de montaje de volumen., Cuando el Administrador de objetos analiza una búsqueda de nombre del sistema de archivos y encuentra un atributo de análisis, analizará la búsqueda de nombre, pasando los datos de análisis controlados por el Usuario a cada controlador de filtro del sistema de archivos que se cargue en Windows. Cada controlador de filtro examina los datos del análisis para ver si están asociados con ese punto de análisis, y si ese controlador de filtro determina una coincidencia, intercepta la solicitud del sistema de archivos y realiza su funcionalidad especial.
Redimensionareditar
a partir de Windows Vista Microsoft agregó la capacidad incorporada de reducir o expandir una partición., Sin embargo, esta capacidad no reubica fragmentos de archivo de Página o archivos que se han marcado como inamovibles, por lo que reducir un volumen a menudo requerirá reubicar o deshabilitar CUALQUIER archivo de Página, el índice de búsqueda de Windows y cualquier copia sombra utilizada por System Restore. Varias herramientas de terceros son capaces de cambiar el tamaño de las particiones NTFS.