1、让 Windows FTP 服务器更安全Windows 2000 系统的 IIS5.0 提供 了 FTP 服务功能,由于它的简单易用,与 Windows 系统本身结合紧密,深受广大用户的喜爱。但使用 IIS5.0 架设的 FTP 服务器真的安全吗?它的默认设置其实存在很多安全隐患,很容易成为黑客们的攻击目标。如何让 FTP 服务器更加安全,只要我们稍加改造,就能做到。一 取消匿名访问功能默认情况下,Windows 2000 系统的 FTP 服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患。用户不需要申请合法的账号,就能访问你的 FTP 服务器,甚至还可以
2、上传、下载文件,特别对于一些存储重要资料的FTP 服务器,很容易出现泄密的情况,因此建议用户取消匿名访问功能。在 Windows 2000 系统中,点击“开始程序管理工具Internet 服务管理器” ,弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到 IIS5.0 自带的 FTP 服务器,下面笔者以默认 FTP 站点为例,介绍如何取消匿名访问功能。右键点击“默认 FTP 站点 ”项,在右键菜单中选择“属性”,接着弹出默认 FTP 站点属性对话框,切换到“安全账号” 标签页,取消“ 允许匿名连接” 前的勾选(如图 1),最后点击“确定”按钮,这样用户就不能使用匿名账号访问 FTP
3、 服务器了,必须拥有合法账号。二 启用日志记录Windows 日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了 FTP 服务器日志记录功能,这是万万要不得的。 FTP 服务器日志记录着所有用户的访问信息,如访问时间、客户机 IP 地址、使用的登录账号等,这些信息对于 FTP 服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看FTP 日志,找到故障所在,及时排除。因此一定要启用 FTP 日志记录。在默认 FTP 站点属性对话框中,切换到“FTP 站点”标签页,一定要确保 “启用日志记录”选项被选中,这样就可以在“事件查看器”中查看 FTP
4、 日志记录了。三 正确设置用户访问权限每个 FTP 用户账号都具有一定的访问权限,但对用户权限的不合理设置,也能导致FTP 服务器出现安全隐患。如服务器中的 CCE 文件夹,只允许 CCEUSER 账号对它有读、写、修改、列表的权限,禁止其他用户访问,但系统默认设置,还是允许其他用户对 CCE文件夹有读和列表的权限,因此必须重新设置该文件夹的用户访问权限。右键点击 CCE 文件夹,在弹出菜单中选择 “属性”,然后切换到“安全”标签页,首先删除 Everyone 用户账号,接着点击“添加” 按钮,将 CCEUSER 账号添加到名称列表框中,然后在“权限”列表框中选中修改、读取及运行、列出文件夹目
5、录、读取和写入选项,最后点击“确定”按钮。这样一来,CCE 文件夹只有 CCEUSER 用户才能访问。四 启用磁盘配额FTP 服务器磁盘空间资源是宝贵的,无限制的让用户使用,势必造成巨大的浪费,因此要对每位 FTP 用户使用的磁盘空间进行限制。下面笔者以 CCEUSER 用户为例,将其限制为只能使用 100M 磁盘空间。在资源管理器窗口中,右键点击 CCE 文件夹所在的硬盘盘符,在弹出的菜单中选择“属性”,接着切换到“ 配额”标签页(如图 2),选中“启用配额管理”复选框,激活“配额”标签页中的所有配额设置选项,为了不让某些 FTP 用户占用过多的服务器磁盘空间,一定要选中“拒绝将磁盘空间给超
6、过配额限制的用户” 复选框。然后在“为该卷上的新用户选择默认配额限制”框中选择“将磁盘空间限制为”单选项,接着在后面的栏中输入 100,磁盘容量单位选择为“MB”,然后进行警告等级设置,在“将警告等级设置为”栏中输入“96”, 容量单位也选择为“MB”,这样就完成了默认配额设置。此外,还要选中“用户超出配额限制时记录事件”和“ 用户超过警告等级时记录事件 ”复选框,以便将配额告警事件记录到 Windows 日志中。点击配额标签页下方的“配额项”按钮,打开磁盘配额项目对话框,接着点击“配额新建配额项”,弹出选择用户对话框,选中 CCEUSER 用户后,点击 “确定”按钮,接着在“添加新配额项”对
7、话框中为 CCEUSER 用户设置配额参数,选择 “将磁盘空间限制为” 单选项,在后面的栏中输入“100”,接着在“将警告等级设置为”栏中输入“96” ,它们的磁盘容量单位为“MB”,最后点击“ 确定” 按钮,完成磁盘配额设置,这样 CCEUSER 用户就只能使用 100 MB 磁盘空间,超过 96MB 就会发出警告。五 TCP/IP 访问限制为了保证 FTP 服务器的安全,我们还可以拒绝某些 IP 地址的访问。在默认 FTP 站点属性对话框中,切换到“目录安全性”标签页,选中“ 授权访问 ”单选项(如图 3),然后在“以下所列除外” 框中点击“ 添加 ”按钮,弹出“拒绝以下访问”对话框,这里
8、我们可以拒绝单个 IP 地址或一组 IP 地址访问,以单个 IP 地址为例,选中“单机”选项,然后在“IP 地址” 栏中输入该机器的 IP 地址,最后点击“确定”按钮。这样添加到列表中的 IP 地址都不能访问FTP 服务器了。六 合理设置组策略通过对组策略项目的修改,也可以增强 FTP 服务器的安全性。在 Windows 2000 系统中,进入到“控制面板管理工具”,运行本地安全策略工具。1. 审核账户登录事件在本地安全设置窗口中,依次展开“安全设置本地策略审核策略”,然后在右侧的框体中找到“审核账户登录事件”项目(如图 4),双击打开该项目,在设置对话框中选中“成功”和“失败 ”这两项,最后
9、点击“确定”按钮。该策略生效后, FTP 用户的每次登录都会被记录到日志中。2. 增强账号密码的复杂性一些 FTP 账号的密码设置的过于简单,就有可能被“不法之徒”所破解。为了提高 FTP服务器的安全性,必须强制用户设置复杂的账号密码。在本地安全设置窗口中,依次展开“安全设置账户策略密码策略”,在右侧框体中找到“密码必须符合复杂性要求”项,双击打开后,选中“ 已启用 ”单选项,最后点击“ 确定”按钮。然后,打开“密码长度最小值”项,为 FTP 账号密码设置最短字符限制。这样以来,密码的安全性就大大增强了。3. 账号登录限制有些非法用户使用黑客工具,反复登录 FTP 服务器,来猜测账号密码。这是非常危险的,因此建议大家对账号登录次数进行限制。依次展开“安全设置账户策略账户锁定策略”,在右侧框体中找到“账户锁定阈值”项,双击打开后,设置账号登录的最大次数,如果超过此数值,账号会被自动锁定。接着打开“账户锁定时间” 项,设置 FTP 账号被锁定的时间,账号一旦被锁定,超过这个时间值,才能重新使用。通过以上几步设置后,我们的 FTP 服务器就会更加安全,再也不用怕被非法入侵了。
