Windows 2000系统的Iis5.0提供了FTP服务功能。由于其简单易用,与Windows系统本身紧密结合,深受用户喜爱。但是用IIS5.0设置的FTP服务器真的安全吗?它的默认设置其实有很多安全隐患,很容易被黑客盯上。如何让FTP服务器更安全,只要我们稍加修改,就可以做到。
取消匿名访问功能
默认情况下,Windows 2000系统的FTP服务器允许匿名访问。匿名访问虽然为用户上传和下载文件提供了便利,但存在很大的安全隐患。用户不需要申请合法账号就可以访问你的FTP服务器,甚至可以上传下载文件。特别是一些存储重要信息的FTP服务器,很容易泄露,建议用户取消匿名访问功能。
在Windows 2000系统中,单击“开始程序管理工具Internet服务管理器”弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项,可以看到IIS5.0自带的FTP服务器,这里作者以默认FTP站点为例介绍如何取消匿名访问功能。
右击'默认FTP站点'项,在右键菜单中选择'属性'然后弹出默认FTP站点属性对话框,切换到'安全帐户'选项卡,取消选中'允许匿名连接'前的复选框,最后点击'确定'按钮,这样用户就不能使用匿名帐户访问FTP服务器,必须拥有合法帐户。
2.启用日志记录
Windows日志记录了系统运行的所有信息,但许多管理员对日志功能不够重视。为了节省服务器资源,他们禁用了FTP服务器的日志功能,这是绝对不能接受的。FTP服务器日志记录了所有用户的访问信息,如访问时间、客户端IP地址、登录账号等。这对FTP服务器的稳定运行具有重要意义。一旦服务器出现问题,可以查看FTP日志,找到故障,及时排除。因此,必须启用FTP日志记录。
在默认的FTP站点属性对话框中,切换到“FTP站点”选项卡,并确保选择了“启用日志记录”选项,以便您可以在“事件查看器”中查看FTP日志记录。
第三,正确设置用户访问权限。
每个FTP用户账号都有一定的访问权限,但是用户权限设置的不合理也会导致FTP服务器的安全隐患。比如服务器中的CCE文件夹,只允许CCEUSER账号对其进行读写、修改、列表等操作,禁止其他用户访问。但是,系统默认设置仍然允许其他用户读取和列出CCE文件夹,因此必须重置该文件夹的用户访问权限。
右键单击CCE文件夹,在弹出菜单中选择“属性”,然后切换到“安全”选项卡。首先删除Everyone用户账号,然后点击‘添加’将CCEUSER账号添加到名称列表框中,然后在‘权限’列表框中选择修改、读取和运行、列出文件夹目录、读取和写入等选项,最后点击‘确定’。这样,CCE文件夹只能由CCEUSER用户访问。
4.启用磁盘配额
FTP服务器磁盘空间资源是宝贵的,用户无限制的使用必然会造成巨大的浪费,所以需要限制每个FTP用户使用的磁盘空间。笔者以CCEUSER为例,将其限制在100M磁盘空间。
在资源管理器窗口中,右键单击CCE文件夹所在的硬盘盘符,在弹出菜单中选择“属性”,然后切换到“配额”选项卡(如图2所示),选择“启用配额管理”复选框,并激活“配额”选项卡中的所有配额设置选项。为了防止某些FTP用户占用过多的服务器磁盘空间,您必须选中“拒绝给超过配额限制的用户磁盘空间”复选框。
然后,在“选择该卷上新用户的默认配额限制”框中,选择单选选项“将磁盘空间限制为”,然后在后栏中输入100,磁盘容量单位被选为“MB”,然后设置警告级别,并在“将警告级别设置为”栏中输入“96”,容量单位也被选为“MB”,从而完成默认配额设置。此外,选中“用户超过配额限制时记录事件”和“用户超过警告级别时记录事件”复选框,以在Windows日志中记录配额警报事件。
单击配额选项卡底部的“配额项目”按钮,打开磁盘配额项目对话框,然后单击“配额新建配额项目”,打开选择用户对话框。选择CCEUSER后,点击“确定”,然后在“添加新的配额项目”对话框中为CCEUSER设置配额参数,选择“磁盘空间限制为”,在后栏输入“100”。然后,在“将警告级别设置为”列中输入“96”,它们的磁盘容量单位是“MB”。最后点击‘确定’按钮完成磁盘配额设置,这样CCEUSER用户只能使用100 MB的磁盘空间,超过96MB会发出警告。
TCP/IP访问限制
为了保证FTP服务器的安全,我们还可以拒绝某些IP地址的访问。在默认的FTP站点属性对话框中,切换到“目录安全”选项卡,选择“授权访问”选项(如图3所示),然后单击“除下列内容外”框中的“添加”按钮,以弹出“拒绝下列访问”对话框,我们可以在其中拒绝对单个IP地址或一组IP地址的访问。以单个IP地址为例,选择‘单机’选项,然后这样一来,所有添加到列表中的IP地址都无法访问FTP服务器。
6.合理设置组策略。
通过修改组策略项目,还可以增强FTP服务器的安全性。在Windows 2000系统中,转到“控制面板管理工具”并运行本地安全策略工具。
1.审核帐户登录事件。
在本地安全设置窗口中,依次展开“安全设置本地策略审计策略”,然后在右边的框中找到“审计帐户登录事件”项(如图4所示)。双击打开该项,在设置对话框中选择‘成功’和‘失败’,最后点击‘确定’。该策略生效后,FTP用户的每次登录都会被记录在日志中。
2.增强账号密码的复杂度。
有些FTP账号密码设置太简单,可能会被‘不法分子’破解。为了提高FTP服务器的安全性,必须强制用户设置复杂的帐户密码。
在本地安全设置窗口中,依次展开“安全设置帐户策略密码策略”,在右边的框中找到“密码必须满足复杂性要求”项。双击打开后,选择“启用”单选选项,最后单击“确定”按钮。
然后,打开“最小密码长度”项,设置FTP帐户密码的最小字符限制。此后,密码的安全性大大增强。
3.帐户登录限制
一些非法用户利用黑客工具,反复登录FTP服务器,猜测自己的账号密码。这是非常危险的,所以建议你限制账号登录次数。
依次展开“安全设置帐户策略帐户锁定策略”,在右边框中找到“帐户锁定阈值”项。双击打开后,设置账户登录的最大次数。如果超过该值,帐户将被自动锁定。然后打开“帐户锁定时间”项,设置FTP帐户锁定的时间。一旦帐户被锁定,它只能在此时间值后重新使用。
以上步骤设置好后,我们的FTP服务器会更加安全,再也不用害怕非法入侵了。