Le système Windows 2000 fournit la fonction de service FTP. Parce qu'il est simple et facile à utiliser et étroitement intégré au système Windows lui-même, il est profondément apprécié par la majorité des utilisateurs. Mais le serveur FTP configuré avec IIS5.0 est-il vraiment sûr ? Ses paramètres par défaut présentent en réalité de nombreux risques de sécurité et peuvent facilement devenir la cible de pirates. Comment rendre le serveur FTP plus sécurisé peut être réalisé avec une petite modification.
1. Annulez la fonction d'accès anonyme
Par défaut, le serveur FTP du système Windows 2000 autorise l'accès anonyme. Bien que l'accès anonyme permette aux utilisateurs de télécharger et de télécharger des fichiers, il présente également de grands risques en matière de sécurité. Les utilisateurs n'ont pas besoin de demander un compte légal pour accéder au serveur FTP et peuvent même télécharger et télécharger des fichiers. En particulier pour certains serveurs FTP qui stockent des informations importantes, il est facile que des fuites se produisent, il est donc recommandé aux utilisateurs d'annuler le compte. fonction d'accès anonyme.
Dans le système Windows 2000, cliquez sur "Démarrer → Programmes → Outils d'administration → Gestionnaire de services Internet" pour faire apparaître la fenêtre de la console de gestion. Développez ensuite l'option de l'ordinateur local sur le côté gauche de la fenêtre et vous verrez le serveur FTP fourni avec IIS5.0. L'auteur ci-dessous utilise le site FTP par défaut comme exemple pour présenter comment annuler la fonction d'accès anonyme.
Cliquez avec le bouton droit sur l'élément "Site FTP par défaut", sélectionnez "Propriétés" dans le menu contextuel, puis la boîte de dialogue Propriétés du site FTP par défaut apparaît, passez à l'onglet "Compte de sécurité", décochez "Autoriser les connexions anonymes" et enfin cliquez sur le bouton " OK", afin que les utilisateurs ne puissent pas utiliser de comptes anonymes pour accéder au serveur FTP et doivent avoir des comptes légaux.
2. Activer la journalisation
Les journaux Windows enregistrent toutes les informations sur le fonctionnement du système, mais de nombreux administrateurs ne prêtent pas suffisamment d'attention à la fonction de journalisation. Afin d'économiser les ressources du serveur, ils désactivent la fonction de journalisation du serveur FTP, qui est absolument nécessaire. Le journal du serveur FTP enregistre les informations d'accès de tous les utilisateurs, telles que l'heure d'accès, l'adresse IP du client, le compte de connexion utilisé, etc. Ces informations sont d'une grande importance pour le fonctionnement stable du serveur FTP en cas de problème avec le serveur. , vous pouvez consulter le journal FTP, trouver le défaut et l'éliminer à temps. Assurez-vous donc d'activer la journalisation FTP.
Dans la boîte de dialogue des propriétés du site FTP par défaut, passez à l'onglet « Site FTP » et assurez-vous que l'option « Activer la journalisation » est sélectionnée afin que vous puissiez afficher les enregistrements du journal FTP dans « l'Observateur d'événements ».
3. Définir correctement les autorisations d'accès des utilisateurs
Chaque compte utilisateur FTP dispose de certains droits d'accès, mais des paramètres déraisonnables pour les droits d'utilisateur peuvent également entraîner des risques de sécurité sur le serveur FTP. Par exemple, le dossier CCE sur le serveur permet uniquement au compte CCEUSER d'avoir des autorisations de lecture, d'écriture, de modification et de liste, et il est interdit aux autres utilisateurs d'y accéder. Cependant, les paramètres par défaut du système autorisent toujours les autres utilisateurs à lire. et répertorier les autorisations sur le dossier CCE. Par conséquent, les autorisations d'accès utilisateur pour ce dossier doivent être réinitialisées.
Faites un clic droit sur le dossier CCE, sélectionnez "Propriétés" dans le menu contextuel, puis passez à l'onglet "Sécurité", supprimez d'abord le compte utilisateur Tout le monde, puis cliquez sur le bouton "Ajouter", ajoutez le compte CCEUSER à la liste des noms. " Sélectionnez les options Modifier, Lire et Exécuter, Répertorier les dossiers, Lire et Écrire dans la zone de liste "Autorisations", puis cliquez sur le bouton "OK". De cette manière, le dossier CCE n'est accessible qu'à l'utilisateur CCEUSER.
4. Activer les quotas de disque
Les ressources d'espace disque du serveur FTP sont précieuses. Permettre aux utilisateurs de les utiliser sans restrictions entraînera inévitablement un énorme gaspillage. Il est donc nécessaire de limiter l'espace disque utilisé par chaque utilisateur FTP. Ci-dessous, l'auteur prend l'utilisateur CCEUSER comme exemple et le limite à seulement 100 Mo d'espace disque.
Dans la fenêtre de l'Explorateur, faites un clic droit sur la lettre du disque dur où se trouve le dossier CCE, sélectionnez « Propriétés » dans le menu contextuel, puis passez à l'onglet « Quota », cochez la case « Activer la gestion des quotas » et activez "Quotas" Pour toutes les options de paramétrage des quotas dans l'onglet ", afin d'éviter que certains utilisateurs FTP n'occupent trop d'espace disque du serveur, assurez-vous de cocher la case " Rejeter l'espace disque aux utilisateurs qui dépassent les limites de quota ".
Sélectionnez ensuite l'option unique "Limiter l'espace disque à" dans la case "Sélectionner une limite de quota par défaut pour les nouveaux utilisateurs sur ce volume", puis entrez 100 dans la colonne suivante, sélectionnez l'unité de capacité disque comme "Mo", puis définissez le Paramètres du niveau d'avertissement, entrez « 96 » dans la colonne « Définir le niveau d'avertissement sur » et sélectionnez l'unité de capacité comme « Mo », complétant ainsi les paramètres de quota par défaut. De plus, cochez les cases « Consigner les événements lorsque l'utilisateur dépasse la limite de quota » et « Consigner les événements lorsque l'utilisateur dépasse le niveau d'avertissement » pour enregistrer les événements d'alarme de quota dans le journal Windows.
Cliquez sur le bouton "Élément de quota" en bas de l'onglet de quota pour ouvrir la boîte de dialogue des éléments de quota de disque, puis cliquez sur "Quota → Nouvel élément de quota" pour afficher la boîte de dialogue de sélection de l'utilisateur. Après avoir sélectionné l'utilisateur CCEUSER, cliquez sur le bouton ". OK", puis cliquez sur "Ajouter". Dans la boîte de dialogue "Nouvel élément de quota", définissez les paramètres de quota pour l'utilisateur CCEUSER, sélectionnez l'option unique "Limiter l'espace disque à", entrez "100" dans la colonne suivante, puis entrez "96" dans la colonne "Définir le niveau d'avertissement sur", leur unité de capacité de disque est "Mo", et enfin cliquez sur le bouton "OK" pour terminer le réglage du quota de disque, afin que les utilisateurs CCEUSER ne puissent utiliser que 100 Mo d'espace disque. , et un avertissement sera émis s'il dépasse 96 Mo.
Cinq restrictions d'accès TCP/IP
Afin d'assurer la sécurité du serveur FTP, vous pouvez également refuser l'accès à certaines adresses IP. Dans la boîte de dialogue des propriétés du site FTP par défaut, passez à l'onglet « Sécurité du répertoire », sélectionnez l'option unique « Autoriser l'accès », puis cliquez sur le bouton « Ajouter » dans la boîte « Sauf dans la liste ci-dessous » pour faire apparaître le message « Refuser ». la boîte de dialogue "Accès suivant", vous pouvez ici refuser l'accès à une seule adresse IP ou à un groupe d'adresses IP. En prenant une seule adresse IP comme exemple, sélectionnez l'option "Machine unique", puis saisissez l'adresse IP de la machine dans la colonne "Adresse IP", et enfin cliquez sur le bouton "OK". Les adresses IP ajoutées à la liste ne peuvent pas accéder au serveur FTP.
Six paramètres raisonnables de stratégie de groupe
En modifiant les éléments de stratégie de groupe, vous pouvez également améliorer la sécurité du serveur FTP. Dans le système Windows 2000, accédez à « Panneau de configuration → Outils d'administration » et exécutez l'outil de stratégie de sécurité locale.
1. Auditer les événements de connexion au compte
Dans la fenêtre des paramètres de sécurité locaux, développez « Paramètres de sécurité → Politique locale → Politique d'audit », puis recherchez l'élément « Événements de connexion au compte d'audit » dans la case de droite, double-cliquez pour ouvrir l'élément et sélectionnez « Succès » dans la boîte de dialogue des paramètres " et " Échec ", et enfin cliquez sur le bouton " OK ". Une fois cette politique entrée en vigueur, chaque connexion d'un utilisateur FTP sera enregistrée dans le journal.
2. Augmenter la complexité des mots de passe des comptes
Les mots de passe de certains comptes FTP sont définis trop simplement et peuvent être piratés par des « criminels ». Afin d'améliorer la sécurité du serveur FTP, les utilisateurs doivent être obligés de définir des mots de passe de compte complexes.
Dans la fenêtre des paramètres de sécurité locaux, développez « Paramètres de sécurité → Politique de compte → Politique de mot de passe », recherchez l'élément « Le mot de passe doit répondre aux exigences de complexité » dans le cadre de droite, double-cliquez pour l'ouvrir, sélectionnez l'option unique « Activé » et Cliquez enfin sur le bouton "OK".
Ensuite, ouvrez l'élément « Longueur minimale du mot de passe » et définissez la limite minimale de caractères pour le mot de passe du compte FTP. De cette manière, la sécurité du mot de passe est grandement renforcée.
3. Restrictions de connexion au compte
Certains utilisateurs illégaux utilisent des outils de piratage pour se connecter à plusieurs reprises au serveur FTP afin de deviner les mots de passe des comptes. Ceci est très dangereux, il est donc recommandé de limiter le nombre de connexions au compte.
Développez "Paramètres de sécurité → Politique de compte → Politique de verrouillage de compte" dans l'ordre, recherchez l'élément "Seuil de verrouillage de compte" dans le cadre de droite, double-cliquez pour l'ouvrir et définissez le nombre maximum de connexions au compte si cette valeur est dépassée. le compte sera automatiquement verrouillé. Ouvrez ensuite l'élément « Durée de verrouillage du compte » et définissez l'heure de verrouillage du compte FTP. Une fois le compte verrouillé, il ne peut pas être réutilisé tant que cette durée n'est pas dépassée.
Après avoir configuré les étapes ci-dessus, le serveur FTP de l'utilisateur sera plus sécurisé et vous n'aurez plus à craindre d'être envahi illégalement.