Windows 2000系统的IIS5.0提供了FTP服务功能。由于其简单易用,与Windows系统本身紧密结合,深受用户喜爱。
但是用IIS5.0设置的FTP服务器真的安全吗?它的默认设置其实有很多安全隐患,很容易成为黑客攻击的目标。如何让FTP服务器更安全,我们只要稍微改造一下就可以做到。
取消匿名访问功能
默认情况下,Windows 2000系统的FTP服务器允许匿名访问。匿名访问虽然为用户上传和下载文件提供了便利,但存在很大的安全隐患。用户无需申请合法帐户即可访问您的FTP服务器。
甚至可以上传下载文件,尤其是一些存储重要资料的FTP服务器,很容易泄密,建议用户取消匿名访问功能。
在Windows 2000系统中,单击开始程序管理工具Internet服务管理器,打开管理控制台窗口。然后展开窗口左侧的本地计算机选项,您将看到IIS5.0附带的FTP服务器。
下面笔者以默认FTP站点为例,介绍如何取消匿名访问功能。
右击“默认FTP站点”项,从右键菜单中选择“属性”,然后弹出默认FTP站点属性对话框,切换到“安全帐户”选项卡,取消选中“允许匿名连接”前的框,最后点击“确定”。
这样用户就不能使用匿名账号访问FTP服务器,必须要有合法账号。
2.启用日志记录
Windows日志记录了系统运行的所有信息,但许多管理员对日志记录功能不够重视。为了节省服务器资源,FTP服务器日志记录功能被禁用,这是绝对不能接受的。FTP服务器日志记录了所有用户的访问信息。
例如访问时间、客户端IP地址、使用的登录帐户等。这对FTP服务器的稳定运行具有重要意义。一旦服务器出现问题,可以查看FTP日志,找出故障,及时排除。所以一定要启用FTP日志记录。
在默认的FTP站点属性对话框中,切换到“FTP站点”选项卡,并确保选择了“启用日志记录”选项,以便您可以在事件查看器中查看FTP日志记录。
第三,正确设置用户访问权限
每个FTP用户账号都有一定的访问权限,但是不合理的用户权限设置也会导致FTP服务器的安全隐患。如服务器中的CCE文件夹,只允许CCEUSER账号对其进行读写、修改、列表等操作,禁止其他用户访问。
但是,默认情况下,允许其他用户读取和列出CCE文件夹,因此必须重置该文件夹的用户访问权限。
右键单击CCE文件夹,在弹出菜单中选择“属性”,然后切换到“安全”选项卡。首先,删除Everyone用户帐户,然后单击“添加”按钮将CCEUSER帐户添加到名称列表框中。
然后在权限列表框中选择修改、读取和运行、列出文件夹目录、读取和写入选项,最后点击确定。这样,CCE文件夹只能由CCEUSER用户访问。
4.启用磁盘配额
FTP服务器的磁盘空间资源是宝贵的,用户无限制的使用必然会造成巨大的浪费,所以需要对每个FTP用户使用的磁盘空间进行限制。下面作者以CCEUSER用户为例,限制他们只能使用100M的磁盘空间。
在资源管理器窗口中,右键单击CCE文件夹所在的硬盘盘符,在弹出菜单中选择属性,然后切换到配额选项卡(如图2所示),选中启用配额管理复选框,激活配额选项卡中的所有配额设置选项。
为了防止某些FTP用户占用服务器上过多的磁盘空间,请确保选中“拒绝超过配额限制的用户使用磁盘空间”复选框。
然后在“为此卷上的新用户选择默认配额限制”框中选择“将磁盘空间限制为”选项,然后在下一列中输入100,并将磁盘容量单位选择为“MB”,然后设置警告级别,并在“将警告级别设置为”列中输入“96”。
容量单位也选择为“MB”,从而完成默认配额设置。此外,选中“当用户超过配额限制时记录事件”和“当用户超过警告级别时记录事件”复选框,以便在Windows日志中记录配额警报事件。
点击配额选项卡底部的“配额项目”按钮,打开磁盘配额项目对话框,然后点击“配额新建配额项目”,弹出用户选择对话框。选择CCEUSER后,点击“确定”。
然后在添加新的配额项对话框中为CCEUSER用户设置配额参数,选择“将磁盘空间限制为”单选,在下一列中输入“100”,然后在“将警告级别设置为”列中输入“96”,他们的磁盘容量单位为“MB”。
最后点击“确定”完成磁盘配额设置,这样CCEUSER用户只能使用100 MB的磁盘空间,超过96MB会发出警告。
5 TCP/IP访问限制
为了保证FTP服务器的安全,我们还可以拒绝一些IP地址的访问。在默认的FTP站点属性对话框中,切换到目录安全选项卡,选择“授权访问”选项(如图3所示),然后在“除下列内容外”框中单击“添加”按钮。
弹出以下拒绝访问对话框,我们可以在其中拒绝对单个IP地址或一组IP地址的访问。以单个IP地址为例,选择“单机”选项,然后在“IP地址”一栏输入本机的IP地址,最后点击“确定”按钮。
以这种方式添加到列表中的IP地址无法访问FTP服务器。
第六,建立合理的集团政策
FTP服务器的安全性也可以通过修改组策略项来增强。在Windows 2000系统中,转到“控制面板管理工具”并运行本地安全策略工具。
1.查看帐户登录事件
在本地安全设置窗口,依次展开安全设置本地策略审计策略,然后在右边的框中找到“审计账户登录事件”项(如图4),双击打开,在设置对话框中选择成功和失败。
最后,单击确定按钮。该策略生效后,FTP用户的每次登录都会被记录在日志中。
2.增强帐户密码的复杂性
一些FTP账号的密码设置过于简单,可能会被“不法分子”破解。为了提高FTP服务器的安全性,必须强制用户设置复杂的帐户密码。
在本地安全设置窗口,依次展开安全设置账户策略密码策略,在右边框中找到“密码必须满足复杂度要求”项,双击打开,选择启用选项,最后点击确定。
然后,打开“最小密码长度”项,设置FTP账号密码的最短字符限制。这样,密码的安全性大大增强。
3.帐户登录限制
一些非法用户利用黑客工具反复登录FTP服务器猜测账号密码。这是非常危险的,所以建议你限制账号登录次数。
依次展开“安全设置账户策略账户锁定策略”,在右边框中找到“账户锁定阈值”项。双击打开它,并设置帐户登录的最大数量。如果超过该值,帐户将被自动锁定。然后打开“账户锁定时间”项,
设置FTP帐户被锁定的时间。一旦帐户被锁定,它只能在此时间值后重新使用。
经过以上步骤,我们的FTP服务器会更加安全,不用害怕被非法入侵。
