Windows 2000系统提供FTP服务功能。由于其简单易用,与Windows系统本身紧密结合,深受用户喜爱。
但是用iis5.0设置的FTP服务器真的安全吗?它的默认设置其实有很多安全隐患,很容易成为黑客攻击的目标。如何让FTP服务器更安全,稍微修改一下就可以实现。
取消匿名访问功能
默认情况下,Windows 2000系统的FTP服务器允许匿名访问。匿名访问虽然为用户上传和下载文件提供了便利,但存在很大的安全隐患。用户无需申请合法帐户即可访问FTP服务器。
甚至可以上传下载文件,尤其是一些存储重要资料的FTP服务器,很容易泄密,建议用户取消匿名访问功能。
在Windows 2000系统中,单击ldquo启动rarr程序rarr管理工具rarr互联网服务经理rdquo,弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项。
可以看到IIS5.0自带的FTP服务器,作者以默认FTP站点为例介绍如何取消匿名访问功能。
右键单击ldquo默认FTP站点rdquo项,在右键菜单中选择ldquo属性rdquo,然后弹出默认的FTP站点属性对话框,切换到ldquo安全账号rdquo标签页,
取消ldquo允许匿名连接到rdquo前面的勾选(如图1),最后点击ldquo确定rdquo按钮,这样用户就不能使用匿名账号访问FTP服务器,必须拥有合法账号。
图1禁止匿名访问
2.启用日志记录
Windows日志记录了系统运行的所有信息,但许多管理员对日志记录功能不够重视。为了节省服务器资源,FTP服务器日志记录功能被禁用,这是绝对不能接受的。FTP服务器日志记录了所有用户的访问信息。
例如访问时间、客户端IP地址、使用的登录帐户等。这对FTP服务器的稳定运行具有重要意义。一旦服务器出现问题,可以查看FTP日志,找出故障,及时排除。所以一定要启用FTP日志记录。
在默认的FTP站点属性对话框中,切换到ldquoFTP站点rdquo选项卡,一定要确保ldquo启用日志记录rdquo选择该选项,
这样就可以用ldquo事件查看器rdquo检查中的FTP日志记录。
第三,正确设置用户访问权限
每个FTP用户账号都有一定的访问权限,但是不合理的用户权限设置也会导致FTP服务器存在安全隐患。如服务器中的CCE文件夹,只允许CCEUSER账号对其进行读写、修改、列表等操作,禁止其他用户访问。
但是,默认情况下,允许其他用户读取和列出CCE文件夹,因此必须重置该文件夹的用户访问权限。
右键点击CCE文件夹,在弹出菜单中选择ldquo;属性rdquo;然后切换到ldquo;安全rdquo;标签页,首先删除Everyone用户账号,接着点击ldquo;添加rdquo;按钮,
将CCEUSER账号添加到名称列表框中,然后在ldquo;权限rdquo;列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项,最后点击ldquo;确定rdquo;按钮。这样一来,
CCE文件夹只有CCEUSER用户才能访问。
四启用磁盘配额
FTP服务器磁盘空间资源是宝贵的,无限制的让用户使用,势必造成巨大的浪费,因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以CCEUSER用户为例,将其限制为只能使用100M磁盘空间。
在资源管理器窗口中,右键点击CCE文件夹所在的硬盘盘符,在弹出的菜单中选择ldquo;属性rdquo;接着切换到ldquo;配额rdquo;标签页(如图2),
选中ldquo;启用配额管理rdquo;复选框,激活ldquo;配额rdquo;标签页中的所有配额设置选项,为了不让某些FTP用户占用过多的服务器磁盘空间,
一定要选中ldquo;拒绝将磁盘空间给超过配额限制的用户rdquo; 复选框。
图2 限制FTP存储空间
然后在ldquo;为该卷上的新用户选择默认配额限制rdquo;框中选择ldquo;将磁盘空间限制为rdquo;单选项,接着在后面的栏中输入100,磁盘容量单位选择为ldquo;MBrdquo;
然后进行警告等级设置,在ldquo;将警告等级设置为rdquo;栏中输入ldquo;96rdquo; 容量单位也选择为ldquo;MBrdquo;这样就完成了默认配额设置。此外,
还要选中ldquo;用户超出配额限制时记录事件rdquo;和ldquo;用户超过警告等级时记录事件rdquo;复选框,以便将配额告警事件记录到Windows日志中。
点击配额标签页下方的ldquo;配额项rdquo;按钮,打开磁盘配额项目对话框,接着点击ldquo;配额rarr;新建配额项rdquo;弹出选择用户对话框,选中CCEUSER用户后,
点击ldquo;确定rdquo;按钮,接着在ldquo;添加新配额项rdquo;对话框中为CCEUSER用户设置配额参数,选择ldquo;将磁盘空间限制为rdquo; 单选项,
在后面的栏中输入ldquo;100rdquo;接着在ldquo;将警告等级设置为rdquo;栏中输入ldquo;96rdquo;它们的磁盘容量单位为ldquo;MBrdquo;
最后点击ldquo;确定rdquo;按钮,完成磁盘配额设置,这样CCEUSER用户就只能使用100 MB磁盘空间,超过96MB就会发出警告。
五TCP/IP访问限制
为了保证FTP服务器的安全,还可以拒绝某些IP地址的访问。在默认FTP站点属性对话框中,切换到ldquo;目录安全性rdquo;标签页,选中ldquo;授权访问rdquo;单选项(如图3),
然后在ldquo;以下所列除外rdquo;框中点击ldquo;添加rdquo;按钮,弹出ldquo;拒绝以下访问rdquo;对话框,这里可以拒绝单个IP地址或一组IP地址访问,以单个IP地址为例,
选中ldquo;单机rdquo;选项,然后在ldquo;IP地址rdquo;栏中输入该机器的IP地址,最后点击ldquo;确定rdquo;按钮。这样添加到列表中的IP地址都不能访问FTP服务器了。
图3 阻止该IP访问FTP
六合理设置组策略
通过对组策略项目的修改,也可以增强FTP服务器的安全性。在Windows 2000系统中,进入到ldquo;控制面板rarr;管理工具rdquo;运行本地安全策略工具。
1. 审核账户登录事件
在本地安全设置窗口中,依次展开ldquo;安全设置rarr;本地策略rarr;审核策略rdquo;然后在右侧的框体中找到ldquo;审核账户登录事件rdquo;项目(如图4),双击打开该项目,
在设置对话框中选中ldquo;成功rdquo;和ldquo;失败rdquo;这两项,最后点击ldquo;确定rdquo;按钮。该策略生效后,FTP用户的每次登录都会被记录到日志中。
图4 记录用户登录信息
2. 增强账号密码的复杂性
一些FTP账号的密码设置的过于简单,就有可能被ldquo;不法之徒rdquo;所修改。为了提高FTP服务器的安全性,必须强制用户设置复杂的账号密码。
在本地安全设置窗口中,依次展开ldquo;安全设置rarr;账户策略rarr;密码策略rdquo;在右侧框体中找到ldquo;密码必须符合复杂性要求rdquo;项,双击打开后,
选中ldquo;已启用rdquo;单选项,最后点击ldquo;确定rdquo;按钮。
然后,打开ldquo;密码长度最小值rdquo;项,为FTP账号密码设置最短字符限制。这样以来,密码的安全性就大大增强了。
3. 账号登录限制
有些非法用户使用黑客工具,反复登录FTP服务器,来猜测账号密码。这是非常危险的,因此建议大家对账号登录次数进行限制。
依次展开ldquo;安全设置rarr;账户策略rarr;账户锁定策略rdquo;在右侧框体中找到ldquo;账户锁定阈值rdquo;项,双击打开后,设置账号登录的最大次数,如果超过此数值,
账号会被自动锁定。接着打开ldquo;账户锁定时间rdquo;项,设置FTP账号被锁定的时间,账号一旦被锁定,超过这个时间值,才能重新使用。
通过以上几步设置后,用户的FTP服务器就会更加安全,再也不用怕被非法入侵了。