全面提高FTP服務(wù)器的安全性能
2024-09-09 20:58:51
供稿:網(wǎng)友
Windows2000系統(tǒng)提供了FTP服務(wù)功能����,由于簡(jiǎn)單易用����,與Windows系統(tǒng)本身結(jié)合緊密����,深受廣大用戶(hù)的喜愛(ài)。但使用IIS5.0 架設(shè)的FTP服務(wù)器真的安全嗎?它的默認(rèn)設(shè)置其實(shí)存在很多安全隱患,很容易成為黑客們的攻擊目標(biāo)��。如何讓FTP服務(wù)器更加安全���,只要稍加改造�����,就能做到����。
一 取消匿名訪問(wèn)功能
默認(rèn)情況下����,Windows2000系統(tǒng)的FTP服務(wù)器是允許匿名訪問(wèn)的���,雖然匿名訪問(wèn)為用戶(hù)上傳����、下載文件提供方便,但卻存在極大的安全隱患。用戶(hù)不需要申請(qǐng)合法的賬號(hào)�,就能訪問(wèn)FTP服務(wù)器�,甚至還可以上傳�、下載文件,特別對(duì)于一些存儲(chǔ)重要資料的FTP服務(wù)器,很容易出現(xiàn)泄密的情況�,因此建議用戶(hù)取消匿名訪問(wèn)功能�。
在Windows2000系統(tǒng)中����,點(diǎn)擊“開(kāi)始→程序→管理工具→Internet服務(wù)管理器”,彈出管理控制臺(tái)窗口��。然后展開(kāi)窗口左側(cè)的本地計(jì)算機(jī)選項(xiàng)�����,就能看到IIS5.0自帶的FTP服務(wù)器�,下面筆者以默認(rèn)FTP站點(diǎn)為例���,介紹如何取消匿名訪問(wèn)功能��。
右鍵點(diǎn)擊“默認(rèn)FTP站點(diǎn)”項(xiàng),在右鍵菜單中選擇“屬性”���,接著彈出默認(rèn)FTP站點(diǎn)屬性對(duì)話(huà)框,切換到“安全賬號(hào)”標(biāo)簽頁(yè)�����,取消“允許匿名連接”前的勾選���,最后點(diǎn)擊“確定”按鈕��,這樣用戶(hù)就不能使用匿名賬號(hào)訪問(wèn)FTP服務(wù)器了��,必須擁有合法賬號(hào)。
二 啟用日志記錄
Windows日志記錄著系統(tǒng)運(yùn)行的一切信息��,但很多管理員對(duì)日志記錄功能不夠重視��,為了節(jié)省服務(wù)器資源���,禁用了FTP服務(wù)器日志記錄功能����,這是萬(wàn)萬(wàn)要不得的����。FTP服務(wù)器日志記錄著所有用戶(hù)的訪問(wèn)信息,如訪問(wèn)時(shí)間���、客戶(hù)機(jī)IP地址、使用的登錄賬號(hào)等���,這些信息對(duì)于FTP服務(wù)器的穩(wěn)定運(yùn)行具有很重要的意義,一旦服務(wù)器出現(xiàn)問(wèn)題��,就可以查看FTP日志����,找到故障所在����,及時(shí)排除。因此一定要啟用FTP日志記錄。
在默認(rèn)FTP站點(diǎn)屬性對(duì)話(huà)框中���,切換到“FTP站點(diǎn)”標(biāo)簽頁(yè)��,一定要確保“啟用日志記錄”選項(xiàng)被選中,這樣就可以在“事件查看器”中查看FTP日志記錄了��。
三 正確設(shè)置用戶(hù)訪問(wèn)權(quán)限
每個(gè)FTP用戶(hù)賬號(hào)都具有一定的訪問(wèn)權(quán)限����,但對(duì)用戶(hù)權(quán)限的不合理設(shè)置,也能導(dǎo)致FTP服務(wù)器出現(xiàn)安全隱患�����。如服務(wù)器中的CCE文件夾�����,只允許 CCEUSER賬號(hào)對(duì)它有讀���、寫(xiě)�、修改���、列表的權(quán)限����,禁止其他用戶(hù)訪問(wèn),但系統(tǒng)默認(rèn)設(shè)置��,還是允許其他用戶(hù)對(duì)CCE文件夾有讀和列表的權(quán)限�,因此必須重新設(shè)置該文件夾的用戶(hù)訪問(wèn)權(quán)限�����。
右鍵點(diǎn)擊CCE文件夾���,在彈出菜單中選擇“屬性”���,然后切換到“安全”標(biāo)簽頁(yè)�,首先刪除Everyone用戶(hù)賬號(hào)�,接著點(diǎn)擊“添加”按鈕,將 CCEUSER賬號(hào)添加到名稱(chēng)列表框中��,然后在“權(quán)限”列表框中選中修改�����、讀取及運(yùn)行��、列出文件夾目錄、讀取和寫(xiě)入選項(xiàng),最后點(diǎn)擊“確定”按鈕�。這樣一來(lái)���,CCE文件夾只有CCEUSER用戶(hù)才能訪問(wèn)���。
四 啟用磁盤(pán)配額
FTP服務(wù)器磁盤(pán)空間資源是寶貴的���,無(wú)限制的讓用戶(hù)使用�,勢(shì)必造成巨大的浪費(fèi)�,因此要對(duì)每位FTP用戶(hù)使用的磁盤(pán)空間進(jìn)行限制。下面筆者以CCEUSER用戶(hù)為例,將其限制為只能使用100M磁盤(pán)空間。
在資源管理器窗口中���,右鍵點(diǎn)擊CCE文件夾所在的硬盤(pán)盤(pán)符�,在彈出的菜單中選擇“屬性”,接著切換到“配額”標(biāo)簽頁(yè)�����,選中“啟用配額管理”復(fù)選框�,激活“配額”標(biāo)簽頁(yè)中的所有配額設(shè)置選項(xiàng),為了不讓某些FTP用戶(hù)占用過(guò)多的服務(wù)器磁盤(pán)空間���,一定要選中“拒絕將磁盤(pán)空間給超過(guò)配額限制的用戶(hù)”復(fù)選框。
然后在“為該卷上的新用戶(hù)選擇默認(rèn)配額限制”框中選擇“將磁盤(pán)空間限制為”單選項(xiàng),接著在后面的欄中輸入100,磁盤(pán)容量單位選擇為“MB”���,然后進(jìn)行警告等級(jí)設(shè)置,在“將警告等級(jí)設(shè)置為”欄中輸入“96”��,容量單位也選擇為“MB”,這樣就完成了默認(rèn)配額設(shè)置。此外���,還要選中“用戶(hù)超出配額限制時(shí)記錄事件”和“用戶(hù)超過(guò)警告等級(jí)時(shí)記錄事件”復(fù)選框,以便將配額告警事件記錄到Windows日志中。
點(diǎn)擊配額標(biāo)簽頁(yè)下方的“配額項(xiàng)”按鈕����,打開(kāi)磁盤(pán)配額項(xiàng)目對(duì)話(huà)框���,接著點(diǎn)擊“配額→新建配額項(xiàng)”����,彈出選擇用戶(hù)對(duì)話(huà)框�,選中CCEUSER用戶(hù)后,點(diǎn)擊“確定”按鈕,接著在“添加新配額項(xiàng)”對(duì)話(huà)框中為CCEUSER用戶(hù)設(shè)置配額參數(shù),選擇“將磁盤(pán)空間限制為”單選項(xiàng)����,在后面的欄中輸入 “100”�����,接著在“將警告等級(jí)設(shè)置為”欄中輸入“96”�,它們的磁盤(pán)容量單位為“MB”,最后點(diǎn)擊“確定”按鈕�,完成磁盤(pán)配額設(shè)置����,這樣CCEUSER 用戶(hù)就只能使用100MB磁盤(pán)空間�����,超過(guò)96MB就會(huì)發(fā)出警告����。
五 TCP/IP訪問(wèn)限制
為了保證FTP服務(wù)器的安全��,還可以拒絕某些IP地址的訪問(wèn)����。在默認(rèn)FTP站點(diǎn)屬性對(duì)話(huà)框中���,切換到“目錄安全性”標(biāo)簽頁(yè)���,選中“授權(quán)訪問(wèn)”單選項(xiàng)��,然后在“以下所列除外”框中點(diǎn)擊“添加”按鈕�,彈出“拒絕以下訪問(wèn)”對(duì)話(huà)框����,這里可以拒絕單個(gè)IP地址或一組IP地址訪問(wèn),以單個(gè)IP地址為例����,選中“單機(jī)”選項(xiàng)����,然后在“IP地址”欄中輸入該機(jī)器的IP地址���,最后點(diǎn)擊“確定”按鈕����。這樣添加到列表中的IP地址都不能訪問(wèn)FTP服務(wù)器了�。
六 合理設(shè)置組策略
通過(guò)對(duì)組策略項(xiàng)目的修改,也可以增強(qiáng)FTP服務(wù)器的安全性���。在Windows2000系統(tǒng)中,進(jìn)入到“控制面板→管理工具”�,運(yùn)行本地安全策略工具�。
1. 審核賬戶(hù)登錄事件
在本地安全設(shè)置窗口中�����,依次展開(kāi)“安全設(shè)置→本地策略→審核策略”�,然后在右側(cè)的框體中找到“審核賬戶(hù)登錄事件”項(xiàng)目,雙擊打開(kāi)該項(xiàng)目���,在設(shè)置對(duì)話(huà)框中選中“成功”和“失敗”這兩項(xiàng),最后點(diǎn)擊“確定”按鈕�����。該策略生效后���,F(xiàn)TP用戶(hù)的每次登錄都會(huì)被記錄到日志中���。
2. 增強(qiáng)賬號(hào)密碼的復(fù)雜性
一些FTP賬號(hào)的密碼設(shè)置的過(guò)于簡(jiǎn)單�����,就有可能被“不法之徒”所破解。為了提高FTP服務(wù)器的安全性����,必須強(qiáng)制用戶(hù)設(shè)置復(fù)雜的賬號(hào)密碼����。
在本地安全設(shè)置窗口中�,依次展開(kāi)“安全設(shè)置→賬戶(hù)策略→密碼策略”,在右側(cè)框體中找到“密碼必須符合復(fù)雜性要求”項(xiàng),雙擊打開(kāi)后����,選中“已啟用”單選項(xiàng)���,最后點(diǎn)擊“確定”按鈕���。
然后�����,打開(kāi)“密碼長(zhǎng)度最小值”項(xiàng),為FTP賬號(hào)密碼設(shè)置最短字符限制。這樣以來(lái),密碼的安全性就大大增強(qiáng)了�。
3. 賬號(hào)登錄限制
有些非法用戶(hù)使用黑客工具�,反復(fù)登錄FTP服務(wù)器�,來(lái)猜測(cè)賬號(hào)密碼。這是非常危險(xiǎn)的,因此建議大家對(duì)賬號(hào)登錄次數(shù)進(jìn)行限制。
依次展開(kāi)“安全設(shè)置→賬戶(hù)策略→賬戶(hù)鎖定策略”���,在右側(cè)框體中找到“賬戶(hù)鎖定閾值”項(xiàng),雙擊打開(kāi)后,設(shè)置賬號(hào)登錄的最大次數(shù)��,如果超過(guò)此數(shù)值����,賬號(hào)會(huì)被自動(dòng)鎖定。接著打開(kāi)“賬戶(hù)鎖定時(shí)間”項(xiàng),設(shè)置FTP賬號(hào)被鎖定的時(shí)間�,賬號(hào)一旦被鎖定�����,超過(guò)這個(gè)時(shí)間值����,才能重新使用。
通過(guò)以上幾步設(shè)置后�,用戶(hù)的FTP服務(wù)器就會(huì)更加安全��,再也不用怕被非法入侵了。
