NTFS v3. 0 inclui várias novas funcionalidades sobre os seus antecessores: suporte de ficheiros esparsos, quotas de Uso do disco, pontos de reparação, rastreamento de ligações distribuídas e encriptação a nível de ficheiros chamada de Encrypting File System (EFS).

ScalabilityEdit

NTFS is optimized for 4 KB clusters, but supports a maximum cluster size of 2 MB. (Implementações anteriores suportam até 64 KB) o tamanho máximo de volume NTFS que a especificação pode suportar é 264 − 1 clusters, mas nem todas as implementações alcançam este máximo teórico, como discutido abaixo.,

O tamanho máximo de volume NTFS implementado no Windows XP Professional é 232-1 clusters, em parte devido às limitações da tabela de partições. Por exemplo, usando 64 KiB clusters, o tamanho máximo do volume do Windows XP NTFS é 256 TB menos 64 KiB. Usando o tamanho padrão do cluster de 4 KB, o tamanho máximo do volume NTFS é de 16 TB menos 4 KB. Ambos são muito superiores ao limite de 128 GB no Windows XP SP1., Uma vez que as tabelas de partição em discos de arranque mestre (MBR) suportam apenas tamanhos de partição até 2 TB, vários volumes de partição GUID (GPT ou “dinâmico”) devem ser combinados para criar um único volume NTFS maior que 2 TB. Inicialização de um volume GPT para um ambiente Windows de uma forma suportada pela Microsoft requer um sistema com Unified Extensible Firmware Interface (UEFI) e suporte de 64 bits.

O limite teórico máximo NTFS no tamanho de arquivos individuais é de 16 EB (16 × 10246 ou 264 bytes) menos 1 KB, que totaliza 18,446,744,073,709,550,592 bytes., Com Windows 10 versão 1709 e Windows Server 2019, o tamanho máximo de arquivo implementado é de 8 PB menos 2 MB ou 9,007,199,252,643,840 bytes.

JournalingEdit

NTFS é um sistema de arquivos de journaling e usa o log NTFS ($LogFile) para registrar mudanças de metadados no volume., É um recurso que a GORDURA não fornecer e crítica para NTFS para garantir que suas complexas estruturas de dados internas e permanecerão consistentes em caso de falha de sistema ou dados de movimentações realizadas pela API de desfragmentação, e permitir fácil reversão de alterações não confirmadas para estas estruturas de dados críticos quando o volume está montado. Notavelmente estruturas afetadas são o bitmap de alocação de volume, modificações nos registros MFT, tais como movimentos de alguns atributos de comprimento variável armazenados em registros MFT e listas de atributos, e índices para diretórios e descritores de segurança.,

A ($LogFile) formato evoluiu através de várias versões:

Versão do Windows $Arquivodelog versão do formato
Windows NT 4.0 1.1
Windows 2000
Windows XP
Windows Vista
Windows 7
Windows 8
Windows 8.,1 2.0
Windows 10

A incompatibilidade de $LogFile versões implementadas pelo Windows 8.1 e Windows 10 impede que o Windows 8 (e versões anteriores do Windows) de processamento correctamente $LogFile, no caso de o volume NTFS é deixado no estado sujo por um desligamento abrupto ou de hibernação para o disco no logoff do estado (uma.k.uma.: Híbrido de Inicialização ou Inicialização Rápida, que é habilitado por padrão no Windows 10). Esta incapacidade de processar o v2.,0 do $ LogFile em volumes Sujos por estas versões anteriores do Windows resulta em invocação do utilitário de reparo de disco CHKDSK quando o Windows 10 com esses sistemas mais antigos. Existe uma configuração de registro do Windows para evitar a atualização automática do $LogFile para a versão mais recente.

A revista USN (Update Sequence Number Journal) é uma funcionalidade de gerenciamento de sistema que registra (em $Extend\$UsnJrnl) mudanças em arquivos, fluxos e diretórios no volume, bem como seus vários atributos e configurações de segurança., A revista é disponibilizada para aplicações para acompanhar as alterações no volume. Este diário pode ser ativado ou desativado em volumes Não-sistema.

linksEdit

a funcionalidade de ligação dura permite que diferentes nomes de Ficheiros se refiram directamente ao mesmo conteúdo de ficheiro. As ligações duras são semelhantes às junções de directório, mas referem-se a ficheiros em vez disso. Links rígidos podem ligar apenas para arquivos no mesmo volume, porque cada volume tem seu próprio MFT. Links rígidos têm seus próprios metadados de arquivo, então uma mudança no tamanho do arquivo ou atributos sob um link rígido não pode atualizar os outros até que eles sejam abertos., Ligações duras foram originalmente incluídas para suportar o subsistema POSIX no Windows NT.

O Windows usa ligações duras para suportar nomes de ficheiros curtos (8.3) em NTFS. O suporte do sistema operacional é necessário porque existem aplicações legadas que só podem funcionar com 8.3 nomes de arquivos. Neste caso, um registro adicional de nome de arquivo e entrada de diretório é adicionado, mas tanto o nome de arquivo 8.3 e longo são ligados e atualizados juntos, ao contrário de um link rígido regular.

O sistema de arquivos NTFS tem um limite de 1024 links rígidos em um arquivo.,

alternate data streams (ADS)Edit

Main article: Fork (file system)

NTFS Streams were introduced in Windows NT 3.1, to enable Services for Macintosh (SFM) to store resource forks. Embora as versões atuais do Windows Server já não incluem SFM, produtos do Apple Filing Protocol (AFP) de terceiros (como o Grouplogic’s ExtremeZ-IP) ainda usam esta característica do sistema de arquivos. Anúncios muito pequenos (chamado ” Zone.,Identifier”) são adicionados pelo Internet Explorer e recentemente por outros navegadores para marcar arquivos baixados de sites externos como possivelmente inseguros de executar; a shell local iria, então, exigir a confirmação do Usuário antes de abri-los. Quando o Utilizador indica que já não quer esta janela de confirmação, estes anúncios são apagados.

fluxos alternativos não estão listados no Windows Explorer, e seu tamanho não está incluído no tamanho do arquivo. Quando o arquivo é copiado ou movido para outro sistema de arquivos sem suporte a anúncios, o Usuário é avisado que fluxos de dados alternativos não podem ser preservados., Nenhum desses avisos é normalmente fornecido se o arquivo é anexado a um e-mail, ou carregado para um site. Assim, o uso de fluxos alternativos para dados críticos pode causar problemas. A Microsoft fornece uma ferramenta chamada Streams para ver streams em um volume selecionado. Começando com o Windows PowerShell 3.0, é possível gerenciar anúncios nativamente com seis cmdlets: Add-Content, Clear-Content, Get-Content, Get-Item, Remove-Item, Set-Content.

Malware tem usado fluxos de dados alternativos para esconder o código. Como resultado, os scanners de malware e outras ferramentas especiais agora verificam fluxos de dados alternativos.,

File compressionEdit

NTFS can compress files using LZNT1 algorithm (a variant of LZ77) Files are compressed in 16 cluster chunks. Com 4 KiB clusters, os arquivos são comprimidos em 64 KiB chunks. Os algoritmos de compressão em NTFS são projetados para suportar tamanhos de clusters de até 4 KB. Quando o tamanho do conjunto é maior que 4 KB em um volume NTFS, compressão NTFS não está disponível. Se a compressão reduz 64 KiB de dados para 60 KiB ou menos, NTFS trata as páginas desnecessárias de 4 KiB como conjuntos de arquivos esparsos vazios-eles não são escritos., Isto permite um razoável tempo de acesso aleatório, uma vez que o sistema operacional apenas tem de seguir a cadeia de fragmentos. nota: a secção seguinte refere-se a ensaios, pesquisas e recomendações feitos e destinados a dispositivos de armazenamento com um tempo de acesso elevado, como um HDD mecânico, onde as cabeças internas utilizadas para a leitura de dados, precisam ser movidas fisicamente e posicionadas correctamente, e depois esperar que os dados nos discos rotativos passem por baixo deles. Veja mais abaixo para obter informações atualizadas sobre SSD e dispositivos similares com baixo tempo de acesso.,

no entanto, grandes arquivos compressíveis tornam-se altamente fragmentados uma vez que cada bloco menor que 64 KB torna-se um fragmento. De acordo com a pesquisa da equipe de desenvolvimento NTFS da Microsoft, 50-60 GB é um tamanho máximo razoável para um arquivo comprimido em um volume NTFS com um tamanho de 4 KB (padrão) cluster (bloco). Este tamanho máximo razoável diminui acentuadamente para os volumes com tamanhos de aglomerado mais pequenos. Sistemas de usuário único com espaço limitado em disco rígido podem se beneficiar da compressão NTFS para arquivos pequenos, de 4 KB a 64 KB ou mais, dependendo da compressibilidade., Arquivos menores que aproximadamente 900 bytes são armazenados dentro da entrada de diretório do MFT.

memória Flash, tais como unidades SSD não têm os atrasos do movimento da cabeça de unidades de disco rígido, então a fragmentação tem apenas uma penalidade menor. Os usuários de processadores multi-core rápidos vão encontrar melhorias na velocidade de aplicação através da compressão de suas aplicações e dados, bem como uma redução no espaço utilizado. Note que SSDs com controladores Sandforce já comprimem dados. No entanto, uma vez que se transferem menos dados, verifica-se uma redução no Sistema Operacional/Operacional.,

compressão funciona melhor com arquivos que têm conteúdo repetitivo, são raramente escritos, são geralmente acessados sequencialmente, e não são eles mesmos comprimidos. Os ficheiros de registo são um exemplo ideal.

If system files that are needed at boot time (such as drivers, NTLDR, winload.exe, ou BOOTMGR) são comprimidos, o sistema pode falhar em arrancar corretamente, porque os filtros de descompressão ainda não estão carregados. Edições posteriores do Windows não permitem que arquivos importantes do sistema sejam comprimidos.,

arquivos podem ser comprimidos ou descomprimidos individualmente (através da mudança dos atributos avançados) para uma unidade, diretório, ou árvore de diretório, tornando-se um padrão para os arquivos dentro.

embora o acesso de leitura escrita a ficheiros comprimidos seja transparente, a Microsoft recomenda evitar a compressão em servidores ou partilhas de rede com perfis de roaming, porque coloca uma carga considerável no processador.

CompactOS algorithmsEdit

Desde o Windows 10, a Microsoft introduziu algoritmos adicionais, nomeadamente XPRESS4K/8K/16K e LZX., Ambos os algoritmos são baseados em LZ77 com codificação de entropia Huffman,que LZNT1 não tinha. Estes algoritmos foram retirados do formato de imagem do Windows. Eles são usados principalmente para novos CompactOS recurso, que comprime toda a partição do sistema usando um desses algoritmos. Eles também podem ser ativados manualmente por arquivo com o /exe flag of the compact command. Quando usado em arquivos, o algoritmo CompactOS evita a fragmentação escrevendo dados comprimidos em blocos contiguosamente alocados.,

ficheiro esparso

um ficheiro esparso: os bytes vazios não precisam de ser salvos, pelo que podem ser representados por metadados.

ficheiros esparsos são ficheiros intercalados com segmentos vazios para os quais não é usado nenhum espaço de armazenamento real. Para as aplicações, o ficheiro parece um ficheiro normal com regiões vazias vistas como regiões preenchidas com zeros. Um arquivo esparso não inclui necessariamente zeros esparsos áreas; o atributo “arquivo esparso” apenas significa que o arquivo é permitido tê-los.,

aplicações de banco de dados, por exemplo, podem usar arquivos esparsos. Tal como acontece com os ficheiros comprimidos, os tamanhos reais dos ficheiros esparsos não são tidos em conta na determinação dos limites de quota.

Volume Shadow CopyEdit

The Volume Shadow Copy Service (VSS) keeps historical versions of files and folders on NTFS volumes by copying old, newly overwritten data to shadow copy via copy-on-write technique. O usuário pode mais tarde solicitar uma versão anterior a ser recuperado. Isso também permite programas de backup de dados para arquivar arquivos atualmente em uso pelo sistema de arquivos., Em sistemas fortemente carregados, a Microsoft recomenda a criação de um volume de cópia sombra em um disco separado.

O Windows Vista também introduziu cópias de sombra persistentes para uso com a restauração do sistema e recursos de versões anteriores. Cópias de sombra persistentes, no entanto, são apagadas quando um sistema operacional mais antigo monta esse volume NTFS. Isso acontece porque o sistema operacional mais antigo não entende o formato mais recente de cópias sombra persistentes.,

TransactionsEdit

As of Windows Vista, applications can use Transactional NTFS (TxF) to group multiple changes to files together into a single transaction. A transação garante que todas as mudanças acontecem, ou nenhuma delas acontece, e que nenhuma aplicação fora da transação verá as alterações até que elas sejam comprometidas.ele usa técnicas similares às utilizadas para cópias sombra de Volume., copy-on-write) para garantir que os dados sobrescritos podem ser revertidas com segurança, e um CLFS de log para marcar as transações que ainda não foram cometidos, ou aqueles que foram confirmadas, mas ainda não é plenamente aplicada (em caso de falha do sistema durante um commit por um dos participantes).

NTFS transacional não restringe transações apenas ao volume local NTFS, mas também inclui outros dados transacionais ou operações em outros locais, tais como dados armazenados em volumes separados, o registro local, ou bases de dados SQL, ou os atuais estados de serviços de sistema ou serviços remotos., Estas operações são coordenadas ao nível da rede com todos os participantes a utilizar um serviço específico, o DTC, para garantir que todos os participantes vão receber mesmo cometer estado, e para o transporte de alterações que tenham sido validados por qualquer participante (para que os outros possam invalidar seus caches locais para dados antigos ou reversão contínua de alterações não confirmadas). NTFS transacional permite, por exemplo, a criação de sistemas de arquivos distribuídos consistentes em toda a rede, incluindo com seus caches locais ao vivo ou offline.,

Microsoft agora aconselha contra o uso de TxF:” a Microsoft recomenda fortemente que os desenvolvedores utilizem meios alternativos “uma vez que”TxF pode não estar disponível em futuras versões do Microsoft Windows”.

SecurityEdit

em NTFS, a cada ficheiro ou pasta é atribuído um descritor de segurança que define o seu proprietário e contém duas listas de controlo de acesso (ACLs). A primeira ACL, chamada discricionária lista de controle de acesso (DACL), define exatamente que tipo de interações (por exemplo, leitura, escrita, execução ou exclusão) são permitidas ou proibidas por que usuário ou grupos de usuários., Por exemplo, arquivos no C:\Program os ficheiros podem ser lidos e executados por todos os utilizadores, mas apenas modificados por um utilizador com privilégios administrativos. O Windows Vista adiciona informação obrigatória de controlo de acesso ao DACLs. DACLs são o foco principal do controle de contas de usuário no Windows Vista e mais tarde.

a segunda ACL, chamada de system access control list (SACL), define quais interações com o arquivo ou pasta devem ser auditadas e se elas devem ser registradas quando a atividade é bem sucedida, falhou ou ambas., Por exemplo, a auditoria pode ser ativada em arquivos sensíveis de uma empresa, para que seus gerentes possam saber quando alguém tenta apagá-los ou fazer uma cópia deles, e se ele ou ela tem sucesso.

EncryptionEdit

Main article: Encrypting File System

Encrypting File System (EFS) provides strong and user-transparent encryption of any file or folder on an NTFS volume. EFS trabalha em conjunto com o serviço EFS, CryptoAPI da Microsoft e a EFS File System Run-Time Library (FSRTL)., A EFS trabalha criptografando um arquivo com uma chave simétrica em massa (também conhecida como a chave de criptografia de arquivos, ou FEK), que é usada porque leva uma quantidade relativamente pequena de tempo para criptografar e descriptografar grandes quantidades de dados do que se uma cifra de chave assimétrica é usada. A chave simétrica usada para criptografar o arquivo é, de seguida, encriptada com a chave pública que está associado com o usuário que criptografou o arquivo, e este dados criptografados são armazenados em um fluxo de dados alternativo do arquivo criptografado., Para descriptografar o arquivo, o sistema de arquivos usa a chave privada do Usuário para descriptografar a chave simétrica que é armazenada no fluxo de dados. Ele então usa a chave simétrica para descriptografar o arquivo. Como isso é feito ao nível do sistema de arquivos, é transparente para o usuário. Além disso, no caso de um usuário perder o acesso à sua chave, o suporte para chaves de descriptografia adicionais foi construído no sistema EFS, de modo que um agente de recuperação ainda pode acessar os arquivos, se necessário., NTFS-provided encryption and NTFS-provided compression are mutual exclusive; however, NTFS can be used for one and a third-party tool for the other.

O suporte da EFS não está disponível nas versões Basic, Home e MediaCenter do Windows, e deve ser ativado após a instalação de versões profissionais, finais e Server do Windows ou usando ferramentas de implantação empresarial dentro de domínios Windows.

quotas

quotas de disco foram introduzidas no NTFS v3., Eles permitem que o administrador de um computador que executa uma versão do Windows que suporta NTFS para definir um limiar de espaço em disco que os usuários podem usar. Ele também permite que os administradores mantenham o controle de quanto espaço em disco cada usuário está usando. Um administrador pode especificar um certo nível de espaço em disco que um usuário pode usar antes de receber um aviso, e, em seguida, negar o acesso ao usuário uma vez que atinjam o seu limite superior de espaço. As quotas de disco não têm em conta a compressão transparente de ficheiros do NTFS, caso esta opção esteja activa., Aplicações que consultam a quantidade de espaço livre também verão a quantidade de espaço livre deixada para o usuário que tem uma quota aplicada a eles.

Reparse pointsEdit

Main article: NTFS reparse point

Introduced in NTFS v3, NTFS reparse points are used by associating a reparse tag in the user space attribute of a file or directory. A Microsoft inclui várias marcas predefinidas, incluindo ligações simbólicas, pontos de junção de directórios e pontos de montagem de volume., Quando o Gerenciador de objetos analisa um nome de Sistema de arquivos procurar e encontra um atributo reparse, ele irá reparar a pesquisa de nome, passando os dados de reparação controlados pelo Usuário para cada controlador de Sistema de arquivos que é carregado no Windows. Cada driver de filtro examina os dados de reparação para ver se ele está associado a esse ponto de reparação, e se esse driver de filtro determina uma correspondência, então ele intercepta o pedido do sistema de arquivos e executa sua funcionalidade especial.

ResizingEdit

começando com o Windows Vista Microsoft adicionou a capacidade incorporada para encolher ou expandir uma partição., No entanto, esta capacidade não realocam fragmentos de arquivos de página ou arquivos que foram marcados como incovíveis, então encolher um volume muitas vezes vai exigir realocação ou desativar qualquer arquivo de página, o índice de busca do Windows, e qualquer cópia sombra usada pela restauração do sistema. Várias ferramentas de terceiros são capazes de redimensionar partições NTFS.