网络经理培训营-使WindowsFTP服务器更安全
匿名访问函数
默认情况下,Windows 2000系统的FTP允许匿名访问。虽然匿名访问方便用户上传或下载文件,但它有很大的潜在安全风险,用户不需要申请合法帐户,他们可以访问FTP,甚至上传或下载文件。特别是对于一些存储重要数据的FTP,很容易泄露。因此,建议用户取消匿名访问。
在Windows 2000系统中,点击开始,程序,管理工具,Internet服务管理器,并弹出管理控制台窗口,然后在窗口左侧的本地计算机的选项,你可以看到IIS5.0 FTP。下面,作者以缺省FTP站点为例,介绍如何取消匿名访问功能。
右键单击默认FTP站点,在菜单中选择属性,然后弹出默认FTP站点对话框中,切换到安全选项卡,选中允许匿名连接前检查(图1),然后单击确定按钮,这样用户就可以不使用匿名帐号访问FTP,你必须有合法的帐户。
图1禁止匿名访问
两启用日志记录
Windows日志记录的所有信息系统,但很多管理者不重视日志功能,为了节省资源,FTP日志是残疾人,这是绝对不能容忍的。所有用户的FTP日志记录访问信息,如访问时间、客户端IP地址、使用的登录账号,这信息对FTP的稳定运行具有十分重要的意义,如果有问题,你可以查看FTP日志,发现故障,及时排除。因此,您必须启用FTP日志被启用。
在默认FTP站点属性对话框中,切换到FTP站点选项卡,确保选择了日志记录选项,以便您可以在事件查看器中看到FTP日志。
三正确设置用户访问权限
每一个FTP用户帐户具有一定的访问权限,而用户权限设置不合理也会导致一个FTP的安全风险。在CCE文件夹,只有cceuser账户的读写,修改,对它的权限列表,没有其他用户访问,但系统默认设置,或让其他用户已阅读并在CCE文件夹列表,所以必须设置访问权限的文件夹。
右键单击CCE文件夹,并在弹出菜单中选择属性,然后切换到安全选项卡,首先删除所有的用户帐户,然后点击添加按钮,添加cceuser帐户名称的列表框,然后在列表框中,选择读取和修改目录文件夹目录,权限运行,读写选项,最后单击确定按钮。因此,CCE文件夹只能由cceuser用户访问。
四启用磁盘配额
FTP磁盘空间资源是有价值的。无限的用户使用,势必造成巨大的浪费,所以我们需要限制每个FTP用户使用的磁盘空间。以下是这cceuser用户为例,仅限于只有100M磁盘空间的使用。
在资源管理器窗口中,右键单击CCE文件夹在硬盘驱动器,在弹出菜单中选择属性,然后切换到配额选项卡(图2),选择该复选框以启用配额管理,配额配额选项卡激活所有的设置让一些FTP用户已占用的磁盘空间必须选择拒绝将磁盘空间给超过配额限制的用户复选框。
图2限制FTP存储空间
然后选择默认配额限制框选择为该卷上的新用户的磁盘空间限制单选项,然后在酒吧后面输入100,单位是MB的磁盘容量,并设置警戒线,警戒级别设置为输入96杆,容量单位为MB和完成默认配额设置。此外,用户应记录事件复选框,当用户超过配额限制和记录事件当用户超过警戒水位,使配额报警事件可以记录在Windows日志。
在下面的标签按钮的定额点击,打开磁盘配额项目对话框中,单击配额新配额项,选择用户,弹出对话框,选择cceuser用户,点击OK按钮,然后添加一个新的配额项对话框cceuser用户设置指标参数的选择将被限制在选择一个磁盘空间。酒吧后面输入100,然后警告级别设置为输入96杆,磁盘容量的单位是MB,然后单击确定按钮完成磁盘配额设置,使cceuser用户只能使用100 MB磁盘空间,超过96mb警告。
五个TCP/IP访问限制
为了保证FTP的安全,我们也可以拒绝访问指定的IP地址,默认FTP站点属性对话框,切换到目录安全性选项卡,选择单一的访问权限选项(图3),然后在下面的除了点击添加按钮框,弹出对话框访问以下,在这里我们可以拒绝单个IP地址或一组IP地址获取一个IP地址的一个例子,选择一个选项,然后输入本机的IP地址在IP地址栏,然后单击确定按钮,添加到列表中的IP地址不能访问FTP。
图3阻止IP访问FTP
六合理设置集团战略
通过修改组策略项目,还可以增强FTP的安全性。在Windows 2000系统中,它进入控制面板、管理工具,并运行本地安全策略工具。
1。审核帐户登录事件
在本地安全设置窗口,局部设置策略扩大,安全审计策略,然后找到在架体右侧审核账户登录事件(图4),双击打开该项目,在设置对话框中选择成功和失败的两个,然后单击确定按钮。在政策生效,FTP用户每次登录将被记录在日志中。
图4记录用户登录信息
2。增强帐户密码的复杂性
有些FTP帐号密码太简单,可能会被犯罪分子破解,为了提高FTP的安全性,有必要强制用户设置复杂的帐号密码。
在本地安全设置窗口中,安全设置、帐户策略和密码策略依次展开。在右框中找到的密码必须满足复杂度的要求。双击并打开后,选择启用的单选项,然后单击确认按钮。
然后打开密码长度的最小值,设置FTP帐号密码的最短字符限制,从此密码的安全性得到了极大的提高。
三.账户登录限制
一些非法用户使用黑客工具,反复登录FTP,猜测密码,这是非常危险的,因此建议您限制登录次数。
依次,扩展安全设置、帐户策略、帐户锁定策略,在右框中找到帐户锁定阈值,双击并打开,然后设置帐户登录的最大数量。如果这个数字超过,帐户将被自动锁定。然后打开帐户锁定时间项,设置FTP帐户被锁定时间,一旦帐户被锁定,超过时间值,可以重复使用。
在设置上述步骤后,我们的FTP将更加安全,我们将永远不会害怕被非法入侵。