Windows 2000 システムは、シンプルで使いやすく、Windows システム自体と密接に統合されているため、大多数のユーザーに深く愛されています。しかし、IIS5.0 を使用してセットアップされた FTP サーバーは本当に安全なのでしょうか?そのデフォルト設定には実際に多くのセキュリティ リスクがあり、簡単にハッカーの標的になる可能性があります。 FTP サーバーの安全性を高める方法は、少し変更するだけで実現できます。
1. 匿名アクセス機能を解除する
Windows 2000 システムの FTP サーバーでは、デフォルトで匿名アクセスが許可されていますが、匿名アクセスはユーザーにとってファイルのアップロードとダウンロードに便利ですが、セキュリティ上の大きなリスクも伴います。 FTP サーバーへのアクセスには正規のアカウントを申請する必要はなく、ファイルのアップロードやダウンロードも可能です。特に重要な情報が保存されている一部の FTP サーバーは漏洩が発生しやすいため、ユーザーは解除することをお勧めします。匿名アクセス機能。
Windows 2000 システムでは、「スタート」→「プログラム」→「管理ツール」→「インターネット サービス マネージャー」をクリックして、管理コンソール ウィンドウをポップアップ表示します。次に、ウィンドウの左側にあるローカル コンピューターのオプションを展開すると、IIS5.0 に付属の FTP サーバーが表示されます。以下では、デフォルトの FTP サイトを例に、匿名アクセス機能を解除する方法を紹介します。
「既定の FTP サイト」項目を右クリックし、右クリック メニューで「プロパティ」を選択すると、「既定の FTP サイトのプロパティ」ダイアログ ボックスが表示されます。「セキュリティ アカウント」タブに切り替えて、「匿名接続を許可する」のチェックを外します。最後に「OK」ボタンをクリックすると、ユーザーは匿名アカウントを使用して FTP サーバーにアクセスできなくなり、正規のアカウントが必要になります。
2. ロギングを有効にする
Windows ログにはシステム動作に関するすべての情報が記録されますが、多くの管理者はサーバー リソースを節約するために、絶対に必要な FTP サーバーのログ機能を無効にしています。 FTP サーバーのログには、アクセス時間、クライアント IP アドレス、使用したログイン アカウントなど、すべてのユーザーのアクセス情報が記録されます。この情報は、サーバーに問題が発生した場合に、FTP サーバーを安定して動作させるために非常に重要です。 、FTP ログを表示し、障害を見つけて、時間内にそれを取り除くことができます。したがって、必ず FTP ログを有効にしてください。
デフォルトの FTP サイトのプロパティ ダイアログ ボックスで、[FTP サイト] タブに切り替え、[ログを有効にする] オプションが選択されていることを確認します。これにより、[イベント ビューア] で FTP ログ レコードを表示できるようになります。
3. ユーザーのアクセス権限を正しく設定する
各 FTP ユーザー アカウントには特定のアクセス権限がありますが、ユーザー権限を不当に設定すると、FTP サーバーのセキュリティ リスクが発生する可能性があります。たとえば、サーバーの CCE フォルダーでは、CCEUSER アカウントにのみ読み取り、書き込み、変更、および一覧表示のアクセス許可が与えられ、他のユーザーはアクセスできません。ただし、システムのデフォルト設定では、他のユーザーに読み取りが許可されています。したがって、このフォルダーに対するユーザーのアクセス許可をリセットする必要があります。
CCE フォルダーを右クリックし、ポップアップ メニューで [プロパティ] を選択し、[セキュリティ] タブに切り替えます。まず、Everyone ユーザー アカウントを削除してから、[追加] ボタンをクリックし、CCEUSER アカウントを名前リストに追加します。ボックスにチェックを入れ、[アクセス許可] リスト ボックスで [変更]、[読み取りと実行]、[フォルダー ディレクトリの一覧表示]、[読み取りと書き込み] オプションを選択し、最後に [OK] ボタンをクリックします。このようにすると、CCE フォルダには CCEUSER ユーザーのみがアクセスできるようになります。
4. ディスク クォータを有効にする
FTP サーバーのディスク容量リソースは貴重なので、ユーザーが無制限に使用できるようにすると、必然的に大量の無駄が発生します。そのため、各 FTP ユーザーが使用するディスク容量を制限する必要があります。以下では、作成者は CCEUSER ユーザーを例として取り上げ、それを 100M のディスク領域のみに制限します。
エクスプローラー ウィンドウで、CCE フォルダーが配置されているハード ドライブ文字を右クリックし、ポップアップ メニューで [プロパティ] を選択し、次に [クォータ] タブに切り替えて、[クォータ管理を有効にする] チェックボックスを選択して有効にします。 「クォータ」タブのすべてのクォータ設定オプションでは、一部の FTP ユーザーがサーバーのディスク領域を過剰に占有するのを防ぐために、必ず「クォータ制限を超えるユーザーに対してディスク領域を拒否する」チェック ボックスをオンにしてください。
次に、[このボリューム上の新規ユーザーに対するデフォルトのクォータ制限を選択します] ボックスで [ディスク容量を次の値に制限する] オプションを 1 つ選択し、次の列に 100 と入力し、ディスク容量単位を「MB」として選択し、警告レベルの設定で、「警告レベルを設定する」欄に「96」と入力し、容量単位を「MB」に選択すると、デフォルトのクォータ設定が完了します。さらに、[ユーザーがクォータ制限を超えたときにイベントをログに記録する] および [ユーザーが警告レベルを超えたときにイベントをログに記録する] チェック ボックスをオンにして、クォータ アラーム イベントを Windows ログに記録します。
クォータタブの下部にある「クォータ項目」ボタンをクリックしてディスククォータ項目ダイアログボックスを開き、「クォータ→新規クォータ項目」をクリックしてユーザー選択ダイアログボックスを表示します。CCEUSERユーザーを選択した後、「」をクリックします。 [OK] ボタンをクリックし、[追加] をクリックします。 [新しいクォータ項目] ダイアログ ボックスで、CCEUSER ユーザーのクォータ パラメータを設定し、[ディスク領域を次の値に制限する] オプションを 1 つ選択し、次の列に「100」と入力します。 「警告レベルを設定」列に「96」と入力し、ディスク容量の単位を「MB」にし、最後に「OK」ボタンをクリックしてディスク クォータの設定を完了します。これにより、CCEUSER ユーザーは 100MB のディスク容量のみを使用できるようになります。 , 96MBを超えると警告が発行されます。
5 つの TCP/IP アクセス制限
FTP サーバーのセキュリティを確保するために、特定の IP アドレスへのアクセスを拒否することもできます。デフォルトの FTP サイトのプロパティ ダイアログ ボックスで、[ディレクトリ セキュリティ] タブに切り替え、[アクセスを許可する] オプションを 1 つ選択し、[以下にリストされているものを除く] ボックスの [追加] ボタンをクリックして、[拒否] ダイアログ ボックスをポップアップ表示します。 [次のアクセス] ダイアログ ボックスで、単一の IP アドレスまたは IP アドレスのグループへのアクセスを拒否できます。単一の IP アドレスを例として、[単一マシン] オプションを選択し、マシンの IP アドレスを入力します。 「IPアドレス」欄に入力し、最後に「OK」ボタンをクリックします。リストに追加された IP アドレスは FTP サーバーにアクセスできません。
グループポリシーの6つの適切な設定
グループ ポリシー項目を変更すると、FTP サーバーのセキュリティを強化することもできます。 Windows 2000 システムでは、「コントロール パネル → 管理ツール」に移動し、ローカル セキュリティ ポリシー ツールを実行します。
1. アカウントのログイン イベントを監査する
ローカル セキュリティ設定ウィンドウで、[セキュリティ設定] → [ローカル ポリシー] → [監査ポリシー] を展開し、右側のボックスで [アカウント ログイン イベントの監査] 項目を見つけ、ダブルクリックして項目を開き、項目で [成功] を選択します。設定ダイアログボックスに「」と「失敗」が表示され、最後に「OK」ボタンをクリックします。このポリシーが有効になると、FTP ユーザーのすべてのログインがログに記録されます。
2. アカウントのパスワードを複雑にする
一部の FTP アカウントのパスワードは設定が単純すぎるため、「犯罪者」によって解読される可能性があります。 FTP サーバーのセキュリティを向上させるには、ユーザーに複雑なアカウント パスワードの設定を強制する必要があります。
ローカル セキュリティ設定ウィンドウで、[セキュリティ設定] → [アカウント ポリシー] → [パスワード ポリシー] を展開し、右フレームで [パスワードは複雑さの要件を満たす必要があります] 項目を見つけてダブルクリックして開き、[有効] 単一オプションを選択します。最後に「OK」ボタンをクリックします。
次に、「パスワードの最小長」項目を開き、FTP アカウントのパスワードの最小文字数制限を設定します。このようにして、パスワードのセキュリティが大幅に強化されます。
3. アカウントのログイン制限
一部の違法ユーザーは、ハッキング ツールを使用して FTP サーバーに繰り返しログインし、アカウントのパスワードを推測します。これは非常に危険ですので、アカウントのログイン数を制限することをお勧めします。
「セキュリティ設定 → アカウント ポリシー → アカウント ロック ポリシー」を順に展開し、右フレームにある「アカウント ロックのしきい値」項目を見つけてダブルクリックして開き、この値を超えた場合のアカウント ログインの最大数を設定します。アカウントは自動的にロックされます。次に、「アカウントのロック時間」項目を開き、FTP アカウントをロックする時間を設定します。アカウントがロックされると、この時間を超えるまで再利用できなくなります。
上記の手順を設定すると、ユーザーの FTP サーバーの安全性が高まり、不正侵入される心配がなくなります。