O sistema Windows 2000 fornece a função de serviço FTP. Por ser simples e fácil de usar e intimamente integrado ao próprio sistema Windows, é profundamente apreciado pela maioria dos usuários. Mas o servidor FTP configurado usando IIS5.0 é realmente seguro? Suas configurações padrão apresentam muitos riscos de segurança e podem facilmente se tornar alvo de hackers. Como tornar o servidor FTP mais seguro pode ser feito com algumas modificações.
1. Cancele a função de acesso anônimo
Por padrão, o servidor FTP do sistema Windows 2000 permite acesso anônimo. Embora o acesso anônimo forneça conveniência para os usuários fazerem upload e download de arquivos, ele também apresenta grandes riscos de segurança. Os usuários não precisam solicitar uma conta legal para acessar o servidor FTP, podendo até fazer upload e download de arquivos. Principalmente para alguns servidores FTP que armazenam informações importantes, é fácil ocorrer vazamentos, por isso é recomendável que os usuários cancelem o. função de acesso anônimo.
No sistema Windows 2000, clique em "Iniciar→Programas→Ferramentas Administrativas→Gerenciador de Serviços de Internet" para abrir a janela do console de gerenciamento. Em seguida, expanda a opção computador local no lado esquerdo da janela e você verá o servidor FTP que vem com o IIS5.0. O autor abaixo usa o site FTP padrão como exemplo para apresentar como cancelar a função de acesso anônimo.
Clique com o botão direito do mouse no item "Site FTP padrão", selecione "Propriedades" no menu do botão direito e a caixa de diálogo Propriedades do site FTP padrão será exibida, mude para a guia "Conta de segurança", desmarque "Permitir conexões anônimas" e por fim, clique no botão "OK", para que os usuários não possam usar contas anônimas para acessar o servidor FTP e devam ter contas legais.
2. Habilite o registro
Os logs do Windows registram todas as informações sobre a operação do sistema, mas muitos administradores não prestam atenção suficiente à função de log. Para economizar recursos do servidor, eles desativam a função de log do servidor FTP, que é absolutamente necessária. O log do servidor FTP registra as informações de acesso de todos os usuários, como tempo de acesso, endereço IP do cliente, conta de login usada, etc. Essas informações são de grande importância para a operação estável do servidor FTP quando houver um problema com o servidor. , você pode visualizar o log do FTP, encontrar a falha e eliminá-la a tempo. Portanto, certifique-se de ativar o log de FTP.
Na caixa de diálogo de propriedades padrão do site FTP, mude para a guia "Site FTP" e certifique-se de que a opção "Ativar registro" esteja selecionada para que você possa visualizar os registros de log FTP no "Visualizador de Eventos".
3. Defina corretamente as permissões de acesso do usuário
Cada conta de usuário FTP possui determinados direitos de acesso, mas configurações inadequadas de direitos de usuário também podem levar a riscos de segurança no servidor FTP. Por exemplo, a pasta CCE no servidor permite apenas que a conta CCEUSER tenha permissões de leitura, gravação, modificação e lista, e outros usuários são proibidos de acessá-la. No entanto, as configurações padrão do sistema ainda permitem que outros usuários leiam. e listar permissões na pasta CCE Portanto, as permissões de acesso do usuário para esta pasta devem ser redefinidas.
Clique com o botão direito na pasta CCE, selecione "Propriedades" no menu pop-up e, em seguida, mude para a guia "Segurança", primeiro exclua a conta de usuário Todos, clique no botão "Adicionar" e adicione a conta CCEUSER à lista de nomes caixa e, em seguida, clique em " Selecione as opções Modificar, Ler e Executar, Listar diretório de pastas, Ler e Gravar na caixa de listagem "Permissões" e, por fim, clique no botão "OK". Desta forma, a pasta CCE só poderá ser acessada pelo usuário CCEUSER.
4. Habilite cotas de disco
Os recursos de espaço em disco do servidor FTP são preciosos. Permitir que os usuários os utilizem sem restrições causará inevitavelmente um grande desperdício. Abaixo, o autor toma o usuário CCEUSER como exemplo e o limita a apenas 100M de espaço em disco.
Na janela do Explorer, clique com o botão direito na letra do disco rígido onde a pasta CCE está localizada, selecione "Propriedades" no menu pop-up, mude para a guia "Cota", marque a caixa de seleção "Ativar gerenciamento de cota" e ative "Cotas" Para todas as opções de configuração de cota na guia ", para evitar que alguns usuários de FTP ocupem muito espaço em disco do servidor, certifique-se de marcar a caixa de seleção "Rejeitar espaço em disco para usuários que excedem os limites de cota".
Em seguida, selecione a opção única "Limitar espaço em disco a" na caixa "Selecionar um limite de cota padrão para novos usuários neste volume", digite 100 na coluna seguinte, selecione a unidade de capacidade do disco como "MB" e defina o configurações de nível de aviso, insira "96" na coluna "Definir nível de aviso para" e selecione a unidade de capacidade como "MB", completando assim as configurações de cota padrão. Além disso, marque as caixas de seleção "Registrar eventos quando o usuário exceder o limite de cota" e "Registrar eventos quando o usuário exceder o nível de aviso" para registrar eventos de alarme de cota no log do Windows.
Clique no botão "Item de cota" na parte inferior da guia de cota para abrir a caixa de diálogo do item de cota de disco e clique em "Cota → Novo item de cota" para abrir a caixa de diálogo de seleção do usuário. Após selecionar o usuário CCEUSER, clique no botão ". OK" e clique em "Adicionar" Na caixa de diálogo "Novo item de cota", defina os parâmetros de cota para o usuário CCEUSER, selecione a opção única "Limitar espaço em disco a", digite "100" na coluna subsequente e, em seguida, digite "96" na coluna "Definir nível de aviso para", sua unidade de capacidade de disco é "MB" e, por fim, clique no botão "OK" para concluir a configuração da cota de disco, para que os usuários do CCEUSER possam usar apenas 100 MB de espaço em disco. , e um aviso será emitido se exceder 96 MB.
Cinco restrições de acesso TCP/IP
Para garantir a segurança do servidor FTP, você também pode negar o acesso a determinados endereços IP. Na caixa de diálogo de propriedades padrão do site FTP, mude para a guia "Segurança de diretório", selecione a opção única "Autorizar acesso" e clique no botão "Adicionar" na caixa "Exceto conforme listado abaixo" para abrir o "Negar a seguinte caixa de diálogo "acesso", aqui você pode negar o acesso a um único endereço IP ou a um grupo de endereços IP. Tomando um único endereço IP como exemplo, selecione a opção "Máquina Única" e insira o endereço IP da máquina na coluna "Endereço IP" e, por fim, clique no botão "OK". Os endereços IP adicionados à lista não podem acessar o servidor FTP.
Seis configurações razoáveis de política de grupo
Ao modificar os itens da política de grupo, você também pode aumentar a segurança do servidor FTP. No sistema Windows 2000, vá em “Painel de Controle → Ferramentas Administrativas” e execute a ferramenta de política de segurança local.
1. Auditoria de eventos de login da conta
Na janela de configurações de segurança local, expanda "Configurações de segurança → Política local → Política de auditoria", encontre o item "Eventos de login da conta de auditoria" na caixa à direita, clique duas vezes para abrir o item e selecione "Sucesso" em a caixa de diálogo de configurações " e "Falha" e, por fim, clique no botão "OK". Após esta política entrar em vigor, cada login de um usuário FTP será registrado no log.
2. Aumente a complexidade das senhas das contas
As senhas de algumas contas FTP são definidas de forma muito simples, o que pode ser quebrado por "criminosos". Para melhorar a segurança do servidor FTP, os usuários devem ser forçados a definir senhas de contas complexas.
Na janela de configurações de segurança local, expanda "Configurações de segurança → Política de conta → Política de senha", encontre o item "A senha deve atender aos requisitos de complexidade" no quadro direito, clique duas vezes para abri-lo, selecione a opção única "Ativado" e finalmente clique no botão "OK".
Em seguida, abra o item “Comprimento mínimo da senha” e defina o limite mínimo de caracteres para a senha da conta FTP. Desta forma, a segurança da senha é bastante reforçada.
3. Restrições de login da conta
Alguns usuários ilegais usam ferramentas de hacking para fazer login repetidamente no servidor FTP e adivinhar as senhas das contas. Isso é muito perigoso, por isso é recomendável limitar o número de logins na conta.
Expanda "Configurações de segurança → Política de conta → Política de bloqueio de conta" na ordem, encontre o item "Limite de bloqueio de conta" no quadro direito, clique duas vezes para abri-lo e defina o número máximo de logins de conta. a conta será bloqueada automaticamente. Em seguida, abra o item “Tempo de bloqueio da conta” e defina o tempo para a conta FTP ser bloqueada. Uma vez bloqueada, a conta não poderá ser reutilizada até que esse tempo seja excedido.
Após configurar as etapas acima, o servidor FTP do usuário estará mais seguro e não há necessidade de se preocupar em ser invadido ilegalmente.