يوفر نظام Windows 2000 وظيفة خدمة FTP نظرًا لأنها بسيطة وسهلة الاستخدام ومتكاملة بشكل وثيق مع نظام Windows نفسه، فهي محبوبة بشدة من قبل غالبية المستخدمين. ولكن هل إعداد خادم FTP باستخدام IIS5.0 آمن حقًا؟ تحتوي إعداداته الافتراضية على العديد من المخاطر الأمنية ويمكن أن يصبح بسهولة هدفًا للمتسللين. كيفية جعل خادم FTP أكثر أمانًا يمكن القيام به مع القليل من التعديل.
1. قم بإلغاء وظيفة الوصول المجهول
بشكل افتراضي، يسمح خادم FTP لنظام Windows 2000 بالوصول المجهول. على الرغم من أن الوصول المجهول يوفر الراحة للمستخدمين لتحميل الملفات وتنزيلها، إلا أنه يشكل أيضًا مخاطر أمنية كبيرة. لا يحتاج المستخدمون إلى التقدم بطلب للحصول على حساب قانوني للوصول إلى خادم FTP، ويمكنهم أيضًا تحميل وتنزيل الملفات، خاصة بالنسبة لبعض خوادم FTP التي تخزن معلومات مهمة، فمن السهل حدوث التسريبات، لذلك يوصى المستخدمون بإلغاء الأمر. وظيفة الوصول المجهول.
في نظام Windows 2000، انقر فوق "ابدأ ← البرامج ← الأدوات الإدارية ← مدير خدمة الإنترنت" لتظهر نافذة وحدة التحكم الإدارية. ثم قم بتوسيع خيار الكمبيوتر المحلي على الجانب الأيسر من النافذة، وسترى خادم FTP الذي يأتي مع IIS5.0. يستخدم المؤلف أدناه موقع FTP الافتراضي كمثال لتقديم كيفية إلغاء وظيفة الوصول المجهول.
انقر بزر الماوس الأيمن فوق العنصر "موقع FTP الافتراضي"، وحدد "خصائص" في قائمة النقر بزر الماوس الأيمن، ثم ينبثق مربع الحوار "خصائص موقع FTP الافتراضي"، وانتقل إلى علامة التبويب "حساب الأمان"، وقم بإلغاء تحديد "السماح بالاتصالات المجهولة"، ثم أخيرًا، انقر فوق الزر "موافق"، حتى لا يتمكن المستخدمون من استخدام حسابات مجهولة للوصول إلى خادم FTP ويجب أن يكون لديهم حسابات قانونية.
2. تمكين التسجيل
تسجل سجلات Windows جميع المعلومات المتعلقة بتشغيل النظام، لكن العديد من المسؤولين لا يعيرون اهتمامًا كافيًا لوظيفة التسجيل، ومن أجل توفير موارد الخادم، يقومون بتعطيل وظيفة تسجيل خادم FTP، وهو أمر ضروري للغاية. يسجل سجل خادم FTP معلومات الوصول لجميع المستخدمين، مثل وقت الوصول وعنوان IP للعميل وحساب تسجيل الدخول المستخدم وما إلى ذلك. وهذه المعلومات ذات أهمية كبيرة للتشغيل المستقر لخادم FTP بمجرد حدوث مشكلة في الخادم يمكنك عرض سجل FTP والعثور على الخطأ وإزالته في الوقت المناسب. لذا تأكد من تمكين تسجيل FTP.
في مربع حوار خصائص موقع FTP الافتراضي، قم بالتبديل إلى علامة التبويب "موقع FTP" وتأكد من تحديد خيار "تمكين التسجيل" حتى تتمكن من عرض سجلات سجل FTP في "عارض الأحداث".
3. قم بتعيين أذونات وصول المستخدم بشكل صحيح
يتمتع كل حساب مستخدم FTP بحقوق وصول معينة، لكن الإعدادات غير المعقولة لحقوق المستخدم يمكن أن تؤدي أيضًا إلى مخاطر أمنية على خادم FTP. على سبيل المثال، يسمح مجلد CCE الموجود في الخادم لحساب CCEUSER فقط بالحصول على أذونات القراءة والكتابة والتعديل والإدراج عليه، ويُمنع المستخدمون الآخرون من الوصول إليه، ومع ذلك، لا تزال الإعدادات الافتراضية للنظام تسمح للمستخدمين الآخرين بالقراءة وأذونات القائمة في المجلد CCE لذلك يجب إعادة تعيين أذونات وصول المستخدم لهذا المجلد.
انقر بزر الماوس الأيمن على مجلد CCE، وحدد "خصائص" في القائمة المنبثقة، ثم انتقل إلى علامة التبويب "الأمان"، واحذف حساب مستخدم الجميع أولاً، ثم انقر فوق الزر "إضافة"، وأضف حساب CCEUSER إلى قائمة الأسماء في المربع، ثم انقر فوق "حدد خيارات التعديل والقراءة والتشغيل وقائمة دليل المجلدات وخيارات القراءة والكتابة في مربع القائمة "الأذونات"، ثم انقر أخيرًا فوق الزر "موافق". بهذه الطريقة، لا يمكن الوصول إلى المجلد CCE إلا بواسطة مستخدم CCEUSER.
4. تمكين حصص القرص
تعتبر موارد مساحة قرص خادم FTP ثمينة، فالسماح للمستخدمين باستخدامها دون قيود سيؤدي حتمًا إلى إهدار كبير. لذلك، من الضروري تحديد مساحة القرص التي يستخدمها كل مستخدم FTP. أدناه، يأخذ المؤلف مستخدم CCEUSER كمثال ويحدده بمساحة قرص تبلغ 100 ميجا فقط.
في نافذة Explorer، انقر بزر الماوس الأيمن فوق حرف محرك الأقراص الثابتة حيث يوجد مجلد CCE، وحدد "خصائص" في القائمة المنبثقة، ثم قم بالتبديل إلى علامة التبويب "الحصة النسبية"، وحدد مربع الاختيار "تمكين إدارة الحصص"، وقم بتنشيط "الحصص النسبية" بالنسبة لجميع خيارات إعداد الحصص النسبية في علامة التبويب "، لمنع بعض مستخدمي FTP من شغل مساحة كبيرة جدًا على قرص الخادم، تأكد من تحديد خانة الاختيار "رفض مساحة القرص للمستخدمين الذين يتجاوزون حدود الحصص النسبية".
ثم حدد الخيار الفردي "تحديد مساحة القرص ل" في مربع "تحديد حد الحصة الافتراضية للمستخدمين الجدد على وحدة التخزين هذه"، ثم أدخل 100 في العمود التالي، وحدد وحدة سعة القرص كـ "ميجابايت"، ثم قم بتعيين إعدادات مستوى التحذير، أدخل "96" في عمود "ضبط مستوى التحذير على"، وحدد وحدة السعة كـ "MB"، وبذلك تكتمل إعدادات الحصة النسبية الافتراضية. بالإضافة إلى ذلك، حدد خانتي الاختيار "تسجيل الأحداث عندما يتجاوز المستخدم حد الحصة النسبية" و"تسجيل الأحداث عندما يتجاوز المستخدم مستوى التحذير" لتسجيل أحداث إنذار الحصة النسبية في سجل Windows.
انقر فوق الزر "عنصر الحصة النسبية" الموجود أسفل علامة تبويب الحصة النسبية لفتح مربع حوار عنصر الحصة النسبية للقرص، ثم انقر فوق "الحصة النسبية → عنصر الحصة النسبية الجديد" لإظهار مربع حوار تحديد المستخدم. بعد تحديد مستخدم CCEUSER، انقر فوق "". "موافق"، ثم انقر فوق "إضافة" في مربع الحوار "عنصر الحصة النسبية الجديد"، قم بتعيين معلمات الحصة النسبية لمستخدم CCEUSER، وحدد الخيار الفردي "تحديد مساحة القرص ل"، وأدخل "100" في العمود التالي، ثم أدخل "96" في العمود "ضبط مستوى التحذير على"، ووحدة سعة القرص الخاصة بهم هي "MB"، وأخيرًا انقر فوق الزر "موافق" لإكمال إعداد حصة القرص، بحيث يمكن لمستخدمي CCEUSER استخدام 100 ميجابايت فقط من مساحة القرص. وسيتم إصدار تحذير إذا تجاوز حجمه 96 ميجابايت.
خمسة قيود على الوصول إلى TCP/IP
من أجل ضمان أمان خادم FTP، يمكنك أيضًا رفض الوصول إلى عناوين IP معينة. في مربع حوار خصائص موقع FTP الافتراضي، قم بالتبديل إلى علامة التبويب "أمان الدليل"، وحدد الخيار الفردي "تخويل الوصول"، ثم انقر فوق الزر "إضافة" في المربع "باستثناء ما هو مذكور أدناه" ليظهر مربع "رفض" في مربع الحوار "الوصول التالي"، يمكنك هنا رفض الوصول إلى عنوان IP واحد أو مجموعة من عناوين IP. بأخذ عنوان IP واحد كمثال، حدد خيار "جهاز واحد"، ثم أدخل عنوان IP الخاص بالجهاز في عمود "عنوان IP"، ثم انقر أخيرًا على الزر "موافق". لا يمكن لعناوين IP المضافة إلى القائمة الوصول إلى خادم FTP.
ستة إعدادات معقولة لنهج المجموعة
ومن خلال تعديل عناصر سياسة المجموعة، يمكنك أيضًا تحسين أمان خادم FTP. في نظام التشغيل Windows 2000، انتقل إلى "لوحة التحكم ← أدوات إدارية" وقم بتشغيل أداة سياسة الأمان المحلية.
1. تدقيق أحداث تسجيل الدخول إلى الحساب
في نافذة إعدادات الأمان المحلية، قم بتوسيع "إعدادات الأمان ← السياسة المحلية ← سياسة التدقيق"، ثم ابحث عن عنصر "تدقيق أحداث تسجيل الدخول إلى الحساب" في المربع الموجود على اليمين، وانقر نقرًا مزدوجًا لفتح العنصر، ثم حدد "النجاح" في في مربع حوار الإعدادات "و"فشل"، ثم انقر في النهاية على الزر "موافق". بعد تفعيل هذه السياسة، سيتم تسجيل كل تسجيل دخول لمستخدم FTP في السجل.
2. زيادة تعقيد كلمات مرور الحساب
يتم تعيين كلمات المرور الخاصة ببعض حسابات FTP بشكل بسيط جدًا، مما قد يؤدي إلى اختراقها بواسطة "المجرمين". من أجل تحسين أمان خادم FTP، يجب إجبار المستخدمين على تعيين كلمات مرور معقدة للحساب.
في نافذة إعدادات الأمان المحلية، قم بتوسيع "إعدادات الأمان ← سياسة الحساب ← سياسة كلمة المرور"، وابحث عن العنصر "يجب أن تفي كلمة المرور بمتطلبات التعقيد" في الإطار الأيمن، وانقر نقرًا مزدوجًا لفتحه، وحدد الخيار المفرد "ممكّن"، ثم وأخيرا انقر على زر "موافق".
ثم افتح عنصر "الحد الأدنى لطول كلمة المرور" وقم بتعيين الحد الأدنى لعدد الأحرف لكلمة مرور حساب FTP. بهذه الطريقة، يتم تعزيز أمان كلمة المرور بشكل كبير.
3. قيود تسجيل الدخول إلى الحساب
يستخدم بعض المستخدمين غير القانونيين أدوات القرصنة لتسجيل الدخول بشكل متكرر إلى خادم FTP لتخمين كلمات مرور الحساب. وهذا أمر خطير للغاية، لذا يوصى بتحديد عدد مرات تسجيل الدخول إلى الحساب.
قم بتوسيع "إعدادات الأمان ← سياسة الحساب ← سياسة قفل الحساب" بالترتيب، وابحث عن عنصر "عتبة قفل الحساب" في الإطار الأيمن، وانقر نقرًا مزدوجًا لفتحه، وقم بتعيين الحد الأقصى لعدد عمليات تسجيل الدخول إلى الحساب، إذا تم تجاوز هذه القيمة، سيتم قفل الحساب تلقائيا. ثم افتح عنصر "وقت قفل الحساب" وقم بتعيين الوقت الذي سيتم فيه قفل حساب FTP، وبمجرد قفل الحساب، لا يمكن إعادة استخدامه حتى يتم تجاوز هذا الوقت.
بعد إعداد الخطوات المذكورة أعلاه، سيكون خادم FTP الخاص بالمستخدم أكثر أمانًا، ولا داعي للقلق بشأن التعرض للغزو بشكل غير قانوني.