El sistema Windows 2000 proporciona la función de servicio FTP debido a que es simple y fácil de usar y está estrechamente integrado con el propio sistema Windows, por lo que es muy apreciado por la mayoría de los usuarios. Pero, ¿es realmente seguro el servidor FTP configurado con IIS5.0? Su configuración predeterminada en realidad presenta muchos riesgos de seguridad y puede convertirse fácilmente en el objetivo de los piratas informáticos. Se puede hacer que el servidor FTP sea más seguro con una pequeña modificación.
1. Cancelar la función de acceso anónimo
De forma predeterminada, el servidor FTP del sistema Windows 2000 permite el acceso anónimo. Aunque el acceso anónimo proporciona comodidad a los usuarios para cargar y descargar archivos, también plantea grandes riesgos de seguridad. Los usuarios no necesitan solicitar una cuenta legal para acceder al servidor FTP e incluso pueden cargar y descargar archivos. Especialmente para algunos servidores FTP que almacenan información importante, es fácil que se produzcan fugas, por lo que se recomienda que los usuarios cancelen la cuenta. Función de acceso anónimo.
En el sistema Windows 2000, haga clic en "Inicio→Programas→Herramientas administrativas→Administrador de servicios de Internet" para que aparezca la ventana de la consola de administración. Luego expanda la opción de computadora local en el lado izquierdo de la ventana y verá el servidor FTP que viene con IIS5.0. El siguiente autor utiliza el sitio FTP predeterminado como ejemplo para presentar cómo cancelar la función de acceso anónimo.
Haga clic con el botón derecho en el elemento "Sitio FTP predeterminado", seleccione "Propiedades" en el menú contextual, luego aparecerá el cuadro de diálogo Propiedades del sitio FTP predeterminado, cambie a la pestaña "Cuenta de seguridad", desmarque "Permitir conexiones anónimas" y finalmente haga clic en el botón "Aceptar", para que los usuarios no puedan utilizar cuentas anónimas para acceder al servidor FTP y deben tener cuentas legales.
2. Habilite el registro
Los registros de Windows registran toda la información sobre el funcionamiento del sistema, pero muchos administradores no prestan suficiente atención a la función de registro. Para ahorrar recursos del servidor, desactivan la función de registro del servidor FTP, que es absolutamente necesaria. El registro del servidor FTP registra la información de acceso de todos los usuarios, como la hora de acceso, la dirección IP del cliente, la cuenta de inicio de sesión utilizada, etc. Esta información es de gran importancia para el funcionamiento estable del servidor FTP una vez que hay un problema con el servidor. , puede ver el registro FTP, encontrar la falla y eliminarla a tiempo. Así que asegúrese de habilitar el registro FTP.
En el cuadro de diálogo de propiedades del sitio FTP predeterminado, cambie a la pestaña "Sitio FTP" y asegúrese de que la opción "Habilitar registro" esté seleccionada para poder ver los registros de FTP en el "Visor de eventos".
3. Establecer correctamente los permisos de acceso de los usuarios
Cada cuenta de usuario FTP tiene ciertos derechos de acceso, pero una configuración no razonable de los derechos de usuario también puede generar riesgos de seguridad en el servidor FTP. Por ejemplo, la carpeta CCE en el servidor solo permite que la cuenta CCEUSER tenga permisos de lectura, escritura, modificación y lista, y otros usuarios tienen prohibido acceder a ella. Sin embargo, la configuración predeterminada del sistema aún permite que otros usuarios lean. y enumerar los permisos en la carpeta CCE. Por lo tanto, se deben restablecer los permisos de acceso de usuario para esta carpeta.
Haga clic derecho en la carpeta CCE, seleccione "Propiedades" en el menú emergente, luego cambie a la pestaña "Seguridad", primero elimine la cuenta de usuario de Todos, luego haga clic en el botón "Agregar", agregue la cuenta CCEUSER a la lista de nombres y luego haga clic en "Seleccione las opciones Modificar, Leer y ejecutar, Listar directorio de carpetas, Leer y escribir en el cuadro de lista "Permisos" y, finalmente, haga clic en el botón "Aceptar". De esta forma, solo el usuario CCEUSER puede acceder a la carpeta CCE.
4. Habilite las cuotas de disco
Los recursos de espacio en disco del servidor FTP son valiosos. Permitir que los usuarios los utilicen sin restricciones provocará inevitablemente un gran desperdicio. Por lo tanto, es necesario limitar el espacio en disco utilizado por cada usuario de FTP. A continuación, el autor toma al usuario CCEUSER como ejemplo y lo limita a solo 100 M de espacio en disco.
En la ventana del Explorador, haga clic derecho en la letra del disco duro donde se encuentra la carpeta CCE, seleccione "Propiedades" en el menú emergente, luego cambie a la pestaña "Cuota", seleccione la casilla de verificación "Habilitar administración de cuotas" y active "Cuotas" Para todas las opciones de configuración de cuotas en la pestaña ", para evitar que algunos usuarios de FTP ocupen demasiado espacio en el disco del servidor, asegúrese de seleccionar la casilla de verificación "Rechazar espacio en disco a los usuarios que excedan los límites de cuota".
Luego seleccione la opción única "Limitar espacio en disco a" en el cuadro "Seleccionar un límite de cuota predeterminado para nuevos usuarios en este volumen", luego ingrese 100 en la siguiente columna, seleccione la unidad de capacidad del disco como "MB" y luego configure el Configuración del nivel de advertencia, ingrese "96" en la columna "Establecer nivel de advertencia en" y seleccione la unidad de capacidad como "MB", completando así la configuración de cuota predeterminada. Además, seleccione las casillas de verificación "Registrar eventos cuando el usuario excede el límite de cuota" y "Registrar eventos cuando el usuario excede el nivel de advertencia" para registrar eventos de alarma de cuota en el registro de Windows.
Haga clic en el botón "Elemento de cuota" en la parte inferior de la pestaña de cuota para abrir el cuadro de diálogo del elemento de cuota de disco, luego haga clic en "Cuota → Nuevo elemento de cuota" para abrir el cuadro de diálogo de selección de usuario. Después de seleccionar el usuario CCEUSER, haga clic en ". "Aceptar" y luego haga clic en "Agregar". En el cuadro de diálogo "Nuevo elemento de cuota", establezca los parámetros de cuota para el usuario CCEUSER, seleccione la opción única "Limitar espacio en disco a", ingrese "100" en la columna siguiente y luego ingrese "96" en la columna "Establecer nivel de advertencia en", su unidad de capacidad de disco es "MB" y finalmente haga clic en el botón "Aceptar" para completar la configuración de la cuota de disco, de modo que los usuarios de CCEUSER solo puedan usar 100 MB de espacio en disco. , y se emitirá una advertencia si supera los 96 MB.
Cinco restricciones de acceso TCP/IP
Para garantizar la seguridad del servidor FTP, también puede denegar el acceso a determinadas direcciones IP. En el cuadro de diálogo de propiedades del sitio FTP predeterminado, cambie a la pestaña "Seguridad de directorio", seleccione la opción única "Autorizar acceso" y luego haga clic en el botón "Agregar" en el cuadro "Excepto como se indica a continuación" para que aparezca el mensaje "Denegar". en el siguiente cuadro de diálogo "acceso", aquí puede denegar el acceso a una sola dirección IP o a un grupo de direcciones IP. Tomando una sola dirección IP como ejemplo, seleccione la opción "Máquina única" y luego ingrese la dirección IP de la máquina. en la columna "Dirección IP" y finalmente haga clic en el botón "Aceptar". Las direcciones IP agregadas a la lista no pueden acceder al servidor FTP.
Seis configuraciones razonables de política de grupo
Al modificar los elementos de la política de grupo, también puede mejorar la seguridad del servidor FTP. En el sistema Windows 2000, vaya a "Panel de control → Herramientas administrativas" y ejecute la herramienta de política de seguridad local.
1. Auditar los eventos de inicio de sesión de la cuenta
En la ventana de configuración de seguridad local, expanda "Configuración de seguridad → Política local → Política de auditoría", luego busque el elemento "Auditar eventos de inicio de sesión de cuenta" en el cuadro de la derecha, haga doble clic para abrir el elemento y seleccione "Éxito" en el cuadro de diálogo de configuración " y "Error", y finalmente haga clic en el botón "Aceptar". Una vez que esta política entre en vigor, cada inicio de sesión de un usuario FTP se registrará en el registro.
2. Aumentar la complejidad de las contraseñas de las cuentas.
Las contraseñas de algunas cuentas FTP están configuradas de forma demasiado sencilla, lo que puede ser descifrada por "delincuentes". Para mejorar la seguridad del servidor FTP, se debe obligar a los usuarios a establecer contraseñas de cuenta complejas.
En la ventana de configuración de seguridad local, expanda "Configuración de seguridad → Política de cuenta → Política de contraseña", busque el elemento "La contraseña debe cumplir con los requisitos de complejidad" en el marco derecho, haga doble clic para abrirlo, seleccione la opción única "Activada" y finalmente haga clic en el botón "Aceptar".
Luego, abra el elemento "Longitud mínima de contraseña" y establezca el límite mínimo de caracteres para la contraseña de la cuenta FTP. De esta forma, se mejora enormemente la seguridad de la contraseña.
3. Restricciones de inicio de sesión de la cuenta
Algunos usuarios ilegales utilizan herramientas de piratería para iniciar sesión repetidamente en el servidor FTP y adivinar las contraseñas de las cuentas. Esto es muy peligroso, por lo que se recomienda limitar el número de inicios de sesión de la cuenta.
Expanda "Configuración de seguridad → Política de cuenta → Política de bloqueo de cuenta" en orden, busque el elemento "Umbral de bloqueo de cuenta" en el marco derecho, haga doble clic para abrirlo y establezca el número máximo de inicios de sesión de cuenta. Si se excede este valor, la cuenta se bloqueará automáticamente. Luego abra el elemento "Tiempo de bloqueo de cuenta" y configure el tiempo para que se bloquee la cuenta FTP. Una vez que la cuenta está bloqueada, no se puede reutilizar hasta que se exceda este tiempo.
Después de configurar los pasos anteriores, el servidor FTP del usuario será más seguro y no habrá necesidad de preocuparse por una invasión ilegal.