Das Windows 2000-System bietet die FTP-Dienstfunktion, da es einfach und benutzerfreundlich ist und eng mit dem Windows-System selbst integriert ist, was es bei den meisten Benutzern sehr beliebt macht. Aber ist der mit IIS5.0 eingerichtete FTP-Server wirklich sicher? Seine Standardeinstellungen bergen tatsächlich viele Sicherheitsrisiken und können leicht zum Ziel von Hackern werden. Mit einer kleinen Änderung lässt sich der FTP-Server sicherer machen.
1. Deaktivieren Sie die anonyme Zugriffsfunktion
Standardmäßig ermöglicht der FTP-Server des Windows 2000-Systems den anonymen Zugriff. Obwohl der anonyme Zugriff den Benutzern das Hoch- und Herunterladen von Dateien erleichtert, birgt er auch große Sicherheitsrisiken. Benutzer müssen kein legales Konto beantragen, um auf den FTP-Server zuzugreifen, und können sogar Dateien hoch- und herunterladen. Insbesondere bei einigen FTP-Servern, auf denen wichtige Informationen gespeichert sind, kann es leicht zu Lecks kommen. Daher wird empfohlen, dass Benutzer das Konto kündigen Anonyme Zugriffsfunktion.
Klicken Sie im Windows 2000-System auf „Start→Programme→Verwaltung→Internetdienst-Manager“, um das Fenster der Verwaltungskonsole zu öffnen. Erweitern Sie dann die Option „Lokaler Computer“ auf der linken Seite des Fensters, und Sie sehen den FTP-Server, der mit IIS5.0 geliefert wird. Der Autor unten verwendet die Standard-FTP-Site als Beispiel, um vorzustellen, wie die anonyme Zugriffsfunktion abgebrochen wird.
Klicken Sie mit der rechten Maustaste auf das Element „Standard-FTP-Site“, wählen Sie „Eigenschaften“ im Kontextmenü, dann erscheint das Dialogfeld „Standard-FTP-Site-Eigenschaften“, wechseln Sie zur Registerkarte „Sicherheitskonto“, deaktivieren Sie „Anonyme Verbindungen zulassen“ und Klicken Sie abschließend auf die Schaltfläche „OK“, sodass Benutzer keine anonymen Konten für den Zugriff auf den FTP-Server verwenden können und über legale Konten verfügen müssen.
2. Aktivieren Sie die Protokollierung
Windows-Protokolle zeichnen alle Informationen über den Systembetrieb auf, doch viele Administratoren schenken der Protokollierungsfunktion nicht genügend Aufmerksamkeit. Um Serverressourcen zu schonen, deaktivieren sie die unbedingt notwendige Protokollierungsfunktion des FTP-Servers. Das FTP-Serverprotokoll zeichnet die Zugriffsinformationen aller Benutzer auf, wie z. B. Zugriffszeit, Client-IP-Adresse, verwendetes Anmeldekonto usw. Diese Informationen sind für den stabilen Betrieb des FTP-Servers von großer Bedeutung, sobald ein Problem mit dem Server auftritt , können Sie das FTP-Protokoll einsehen, den Fehler finden und ihn rechtzeitig beheben. Stellen Sie daher sicher, dass die FTP-Protokollierung aktiviert ist.
Wechseln Sie im Standarddialogfeld der FTP-Site-Eigenschaften zur Registerkarte „FTP-Site“ und stellen Sie sicher, dass die Option „Protokollierung aktivieren“ ausgewählt ist, damit Sie die FTP-Protokolldatensätze in der „Ereignisanzeige“ anzeigen können.
3. Legen Sie die Benutzerzugriffsberechtigungen richtig fest
Jedes FTP-Benutzerkonto verfügt über bestimmte Zugriffsrechte, aber auch unzumutbare Einstellungen der Benutzerrechte können zu Sicherheitsrisiken auf dem FTP-Server führen. Beispielsweise erlaubt der CCE-Ordner auf dem Server dem CCEUSER-Konto nur Lese-, Schreib-, Änderungs- und Listenberechtigungen, und anderen Benutzern ist der Zugriff darauf untersagt. Die Standardeinstellungen des Systems erlauben jedoch weiterhin Lesezugriff und Listenberechtigungen für den CCE-Ordner müssen daher die Benutzerzugriffsberechtigungen für diesen Ordner zurückgesetzt werden.
Klicken Sie mit der rechten Maustaste auf den CCE-Ordner, wählen Sie im Popup-Menü „Eigenschaften“, wechseln Sie dann zur Registerkarte „Sicherheit“, löschen Sie zuerst das Benutzerkonto „Jeder“, klicken Sie dann auf die Schaltfläche „Hinzufügen“ und fügen Sie das CCEUSER-Konto zur Namensliste hinzu Klicken Sie dann auf „Ändern“, „Lesen und ausführen“, „Ordnerverzeichnis auflisten“, „Lesen“ und „Schreiben“ im Listenfeld „Berechtigungen“ und klicken Sie abschließend auf die Schaltfläche „OK“. Auf diese Weise kann nur der CCEUSER-Benutzer auf den CCE-Ordner zugreifen.
4. Aktivieren Sie Festplattenkontingente
Die uneingeschränkte Nutzung der Speicherplatzressourcen des FTP-Servers führt unweigerlich zu einer enormen Verschwendung. Daher ist es notwendig, den von jedem FTP-Benutzer verwendeten Speicherplatz zu begrenzen. Im Folgenden nimmt der Autor den CCEUSER-Benutzer als Beispiel und beschränkt ihn auf nur 100 MB Speicherplatz.
Klicken Sie im Explorer-Fenster mit der rechten Maustaste auf den Festplattenbuchstaben, auf dem sich der CCE-Ordner befindet, wählen Sie im Popup-Menü „Eigenschaften“, wechseln Sie dann zur Registerkarte „Kontingent“, aktivieren Sie das Kontrollkästchen „Kontingentverwaltung aktivieren“ und aktivieren Sie es „Kontingente“ Um zu verhindern, dass einige FTP-Benutzer zu viel Speicherplatz auf dem Server belegen, aktivieren Sie für alle Optionen zur Kontingenteinstellung auf der Registerkarte „das Kontrollkästchen „Benutzern, die die Kontingentgrenzen überschreiten, Speicherplatz verweigern“.
Wählen Sie dann im Feld „Wählen Sie ein Standardkontingentlimit für neue Benutzer auf diesem Volume aus“ die Einzeloption „Festplattenspeicher begrenzen auf“, geben Sie dann 100 in die folgende Spalte ein, wählen Sie die Festplattenkapazitätseinheit als „MB“ aus und legen Sie dann fest Geben Sie in den Warnstufeneinstellungen „96“ in die Spalte „Warnstufe festlegen auf“ ein und wählen Sie als Kapazitätseinheit „MB“ aus, um die Standardkontingenteinstellungen abzuschließen. Aktivieren Sie außerdem die Kontrollkästchen „Ereignisse protokollieren, wenn der Benutzer das Kontingentlimit überschreitet“ und „Ereignisse protokollieren, wenn der Benutzer das Warnniveau überschreitet“, um Kontingentalarmereignisse im Windows-Protokoll aufzuzeichnen.
Klicken Sie unten auf der Registerkarte „Kontingent“ auf die Schaltfläche „Kontingentelement“, um das Dialogfeld „Festplattenkontingentelement“ zu öffnen, und klicken Sie dann auf „Kontingent → Neues Kontingentelement“, um das Benutzerauswahldialogfeld aufzurufen. Klicken Sie nach Auswahl des CCEUSER-Benutzers auf „. Klicken Sie auf die Schaltfläche „OK“ und dann auf „Hinzufügen“. Legen Sie im Dialogfeld „Neues Kontingentelement“ die Kontingentparameter für den CCEUSER-Benutzer fest, wählen Sie die Einzeloption „Festplattenspeicher begrenzen auf“, geben Sie „100“ in die folgende Spalte ein und geben Sie dann „100“ ein Geben Sie „96“ in die Spalte „Warnstufe festlegen auf“ ein, ihre Festplattenkapazitätseinheit ist „MB“ und klicken Sie abschließend auf die Schaltfläche „OK“, um die Festplattenkontingenteinstellung abzuschließen, sodass CCEUSER-Benutzer nur 100 MB Festplattenspeicher nutzen können , und es wird eine Warnung ausgegeben, wenn die Größe 96 MB überschreitet.
Fünf TCP/IP-Zugriffsbeschränkungen
Um die Sicherheit des FTP-Servers zu gewährleisten, können Sie auch den Zugriff auf bestimmte IP-Adressen verweigern. Wechseln Sie im Standarddialogfeld der FTP-Site-Eigenschaften zur Registerkarte „Verzeichnissicherheit“, wählen Sie die Einzeloption „Zugriff autorisieren“ und klicken Sie dann auf die Schaltfläche „Hinzufügen“ im Feld „Außer wie unten aufgeführt“, um das Fenster „Verweigern“ aufzurufen Im Dialogfeld „Folgender Zugriff“ können Sie den Zugriff auf eine einzelne IP-Adresse oder eine Gruppe von IP-Adressen verweigern. Nehmen Sie als Beispiel eine einzelne IP-Adresse, wählen Sie die Option „Einzelne Maschine“ und geben Sie dann die IP-Adresse der Maschine ein in der Spalte „IP-Adresse“ ein und klicken Sie abschließend auf die Schaltfläche „OK“. Die zur Liste hinzugefügten IP-Adressen können nicht auf den FTP-Server zugreifen.
Sechs sinnvolle Einstellungen der Gruppenrichtlinie
Durch Ändern von Gruppenrichtlinienelementen können Sie auch die Sicherheit des FTP-Servers erhöhen. Gehen Sie im Windows 2000-System zu „Systemsteuerung → Verwaltung“ und führen Sie das lokale Sicherheitsrichtlinien-Tool aus.
1. Überwachen Sie die Anmeldeereignisse Ihres Kontos
Erweitern Sie im Fenster mit den lokalen Sicherheitseinstellungen „Sicherheitseinstellungen → Lokale Richtlinie → Überwachungsrichtlinie“, suchen Sie dann im Feld rechts nach dem Element „Kontoanmeldeereignisse überwachen“, doppelklicken Sie, um das Element zu öffnen, und wählen Sie „Erfolgreich“ aus Öffnen Sie das Einstellungsdialogfeld „ und „Fehlgeschlagen“ und klicken Sie abschließend auf die Schaltfläche „OK“. Nach Inkrafttreten dieser Richtlinie wird jede Anmeldung eines FTP-Benutzers im Protokoll aufgezeichnet.
2. Erhöhen Sie die Komplexität von Kontokennwörtern
Die Passwörter einiger FTP-Konten sind zu einfach eingestellt, was von „Kriminellen“ geknackt werden kann. Um die Sicherheit des FTP-Servers zu verbessern, müssen Benutzer gezwungen werden, komplexe Kontokennwörter festzulegen.
Erweitern Sie im Fenster mit den lokalen Sicherheitseinstellungen „Sicherheitseinstellungen → Kontorichtlinie → Passwortrichtlinie“, suchen Sie im rechten Rahmen nach dem Element „Passwort muss Komplexitätsanforderungen erfüllen“, doppelklicken Sie, um es zu öffnen, wählen Sie die Einzeloption „Aktiviert“ und Klicken Sie abschließend auf die Schaltfläche „OK“.
Öffnen Sie dann den Punkt „Mindestlänge des Passworts“ und legen Sie die Mindestzeichenbeschränkung für das Passwort des FTP-Kontos fest. Auf diese Weise wird die Sicherheit des Passworts erheblich erhöht.
3. Einschränkungen bei der Kontoanmeldung
Einige illegale Benutzer nutzen Hacking-Tools, um sich wiederholt beim FTP-Server anzumelden, um Kontokennwörter zu erraten. Dies ist sehr gefährlich, daher wird empfohlen, die Anzahl der Kontoanmeldungen zu begrenzen.
Erweitern Sie „Sicherheitseinstellungen → Kontorichtlinie → Kontosperrrichtlinie“, suchen Sie im rechten Rahmen nach dem Element „Kontosperrschwelle“, doppelklicken Sie, um es zu öffnen, und legen Sie die maximale Anzahl von Kontoanmeldungen fest. Wenn dieser Wert überschritten wird, Das Konto wird automatisch gesperrt. Öffnen Sie dann den Punkt „Kontosperrzeit“ und stellen Sie die Zeit ein, zu der das FTP-Konto gesperrt werden soll. Sobald das Konto gesperrt ist, kann es erst nach Ablauf dieser Zeit wiederverwendet werden.
Nach der Einrichtung der oben genannten Schritte ist der FTP-Server des Benutzers sicherer und Sie müssen sich keine Sorgen über einen illegalen Angriff machen.