Система Windows 2000 обеспечивает функцию службы FTP. Поскольку она проста и удобна в использовании и тесно интегрирована с самой системой Windows, она очень нравится большинству пользователей. Но действительно ли FTP-сервер, настроенный с использованием IIS5.0, безопасен, его настройки по умолчанию таят в себе множество угроз безопасности и могут легко стать целью хакеров? Как сделать FTP-сервер более безопасным можно с небольшой модификацией.
1. Отмените функцию анонимного доступа.
По умолчанию FTP-сервер системы Windows 2000 разрешает анонимный доступ. Хотя анонимный доступ обеспечивает пользователям удобство загрузки и скачивания файлов, он также создает большие риски для безопасности. Пользователям не нужно подавать заявку на получение легальной учетной записи для доступа к FTP-серверу, и они могут даже загружать и скачивать файлы. Особенно для некоторых FTP-серверов, на которых хранится важная информация, легко произойти утечка, поэтому пользователям рекомендуется отменить регистрацию. функция анонимного доступа.
В системе Windows 2000 нажмите «Пуск → Программы → Администрирование → Диспетчер служб Интернета», чтобы открыть окно консоли управления. Затем разверните параметр локального компьютера в левой части окна, и вы увидите FTP-сервер, который поставляется с IIS5.0. Автор ниже использует FTP-сайт по умолчанию в качестве примера, чтобы показать, как отменить функцию анонимного доступа.
Щелкните правой кнопкой мыши элемент «FTP-сайт по умолчанию», в контекстном меню выберите «Свойства», затем появится диалоговое окно «Свойства FTP-сайта по умолчанию», переключитесь на вкладку «Учетная запись безопасности», снимите флажок «Разрешить анонимные подключения» и наконец, нажмите кнопку «ОК», чтобы пользователи не могли использовать анонимные учетные записи для доступа к FTP-серверу и должны иметь легальные учетные записи.
2. Включить ведение журнала
В журналы Windows записывается вся информация о работе системы, но многие администраторы не уделяют должного внимания функции журналирования. В целях экономии ресурсов сервера отключают функцию журналирования FTP-сервера, которая абсолютно необходима. В журнале FTP-сервера записывается информация о доступе всех пользователей, такая как время доступа, IP-адрес клиента, используемая учетная запись и т. д. Эта информация имеет большое значение для стабильной работы FTP-сервера в случае возникновения проблемы с сервером. , вы сможете просмотреть журнал FTP, найти неисправность и вовремя устранить ее. Поэтому обязательно включите ведение журнала FTP.
В диалоговом окне свойств FTP-сайта по умолчанию перейдите на вкладку «FTP-сайт» и убедитесь, что выбран параметр «Включить ведение журнала», чтобы вы могли просматривать записи журнала FTP в «Просмотре событий».
3. Правильно установите права доступа пользователей.
Каждая учетная запись пользователя FTP имеет определенные права доступа, но необоснованные настройки прав пользователя также могут привести к угрозам безопасности на FTP-сервере. Например, папка CCE на сервере позволяет только учетной записи CCEUSER иметь разрешения на чтение, запись, изменение и составление списка, а другим пользователям запрещен доступ к ней. Однако настройки системы по умолчанию по-прежнему позволяют другим пользователям читать. и список разрешений для папки CCE. Поэтому права доступа пользователя к этой папке необходимо сбросить.
Щелкните правой кнопкой мыши папку CCE, во всплывающем меню выберите «Свойства», затем переключитесь на вкладку «Безопасность», сначала удалите учетную запись пользователя «Все», затем нажмите кнопку «Добавить», добавьте учетную запись CCEUSER в список имен. В поле «Разрешения» выберите «Изменить», «Чтение и запуск», «Список каталогов папок», «Чтение и запись» и, наконец, нажмите кнопку «ОК». Таким образом, доступ к папке CCE может получить только пользователь CCEUSER.
4. Включите дисковые квоты
Ресурсы дискового пространства FTP-сервера очень ценны. Разрешение пользователям использовать их без ограничений неизбежно приведет к огромным потерям. Поэтому необходимо ограничивать дисковое пространство, используемое каждым пользователем FTP. Ниже автор берет в качестве примера пользователя CCEUSER и ограничивает его дисковым пространством всего 100 МБ.
В окне Проводника щелкните правой кнопкой мыши букву жесткого диска, на котором находится папка CCE, во всплывающем меню выберите «Свойства», затем переключитесь на вкладку «Квота», установите флажок «Включить управление квотами» и активируйте «Квоты» Для всех параметров настройки квот на вкладке «чтобы некоторые пользователи FTP не занимали слишком много места на диске сервера, обязательно установите флажок «Запретить дисковое пространство пользователям, которые превышают пределы квоты».
Затем выберите одиночный параметр «Ограничить дисковое пространство до» в поле «Выбрать ограничение квоты по умолчанию для новых пользователей на этом томе», затем введите 100 в следующем столбце, выберите единицу емкости диска «МБ», а затем установите Настройки уровня предупреждения, введите «96» в столбце «Установить уровень предупреждения» и выберите единицу емкости «МБ», тем самым завершив настройки квоты по умолчанию. Кроме того, установите флажки «Записывать события, когда пользователь превышает предел квоты» и «Записывать события, когда пользователь превышает уровень предупреждения», чтобы записывать события сигналов тревоги о квоте в журнал Windows.
Нажмите кнопку «Элемент квоты» в нижней части вкладки квоты, чтобы открыть диалоговое окно элемента квоты диска, затем нажмите «Квота → Новый элемент квоты», чтобы открыть диалоговое окно выбора пользователя. После выбора пользователя CCEUSER нажмите «. «ОК», а затем нажмите «Добавить». В диалоговом окне «Новый элемент квоты» установите параметры квоты для пользователя CCEUSER, выберите одиночный параметр «Ограничить дисковое пространство до», введите «100» в следующем столбце, а затем введите «96» в столбце «Установить уровень предупреждения», единица емкости диска — «МБ», и, наконец, нажмите кнопку «ОК», чтобы завершить настройку дисковой квоты, чтобы пользователи CCEUSER могли использовать только 100 МБ дискового пространства. , и будет выдано предупреждение, если он превысит 96 МБ.
Пять ограничений доступа TCP/IP
Чтобы обеспечить безопасность FTP-сервера, вы также можете запретить доступ к определенным IP-адресам. В диалоговом окне свойств FTP-сайта по умолчанию перейдите на вкладку «Безопасность каталога», выберите одиночный параметр «Разрешить доступ», а затем нажмите кнопку «Добавить» в поле «Кроме перечисленных ниже», чтобы открыть всплывающее окно «Запретить доступ». В диалоговом окне «Следующий доступ» здесь вы можете запретить доступ к одному IP-адресу или группе IP-адресов. Взяв в качестве примера один IP-адрес, выберите опцию «Один компьютер», затем введите IP-адрес компьютера. в столбце «IP-адрес» и, наконец, нажмите кнопку «ОК». IP-адреса, добавленные в список, не могут получить доступ к FTP-серверу.
Шесть разумных настроек групповой политики
Изменяя элементы групповой политики, вы также можете повысить безопасность FTP-сервера. В системе Windows 2000 перейдите в «Панель управления → Администрирование» и запустите инструмент локальной политики безопасности.
1. Аудит событий входа в учетную запись
В окне локальных настроек безопасности разверните «Настройки безопасности → Локальная политика → Политика аудита», затем в поле справа найдите элемент «Аудит событий входа в учетную запись», дважды щелкните его, чтобы открыть элемент, и выберите «Успех» в диалоговое окно настроек» и «Ошибка» и, наконец, нажмите кнопку «ОК». После того, как эта политика вступит в силу, каждый вход пользователя FTP будет записываться в журнал.
2. Увеличьте сложность паролей учетных записей.
Пароли некоторых FTP-аккаунтов установлены слишком просто, поэтому их могут взломать «преступники». Чтобы повысить безопасность FTP-сервера, пользователи должны быть вынуждены устанавливать сложные пароли учетных записей.
В окне локальных настроек безопасности разверните «Настройки безопасности → Политика учетных записей → Политика паролей», найдите в правом фрейме пункт «Пароль должен соответствовать требованиям сложности», дважды щелкните его, чтобы открыть, выберите одиночный вариант «Включено» и наконец, нажмите кнопку «ОК».
Затем откройте пункт «Минимальная длина пароля» и установите минимальный лимит символов для пароля учетной записи FTP. Таким образом, безопасность пароля значительно повышается.
3. Ограничения входа в учетную запись
Некоторые нелегальные пользователи используют хакерские инструменты для многократного входа на FTP-сервер и подбора паролей учетных записей. Это очень опасно, поэтому рекомендуется ограничить количество входов в учетную запись.
Разверните «Настройки безопасности → Политика учетной записи → Политика блокировки учетной записи», чтобы найти элемент «Порог блокировки учетной записи» в правом фрейме, дважды щелкните его, чтобы открыть, и установите максимальное количество входов в учетную запись. Если это значение превышено, учетная запись будет автоматически заблокирована. Затем откройте пункт «Время блокировки учетной записи» и установите время блокировки учетной записи FTP. После блокировки учетной записи ее нельзя будет использовать повторно, пока это время не будет превышено.
После выполнения вышеуказанных действий FTP-сервер пользователя станет более безопасным, и ему не придется беспокоиться о незаконном вторжении.