ระบบ Windows 2000 มีฟังก์ชันบริการ FTP เนื่องจากใช้งานง่ายและผสานรวมเข้ากับระบบ Windows อย่างใกล้ชิด จึงได้รับความนิยมจากผู้ใช้ส่วนใหญ่ แต่เซิร์ฟเวอร์ FTP ที่ตั้งค่าโดยใช้ IIS5.0 นั้นปลอดภัยจริง ๆ หรือไม่ การตั้งค่าเริ่มต้นมีความเสี่ยงด้านความปลอดภัยมากมายและอาจตกเป็นเป้าหมายของแฮกเกอร์ได้อย่างง่ายดาย วิธีทำให้เซิร์ฟเวอร์ FTP ปลอดภัยยิ่งขึ้นสามารถทำได้โดยการปรับเปลี่ยนเล็กน้อย
1. ยกเลิกฟังก์ชันการเข้าถึงแบบไม่ระบุชื่อ
ตามค่าเริ่มต้น เซิร์ฟเวอร์ FTP ของระบบ Windows 2000 อนุญาตให้เข้าถึงโดยไม่ระบุชื่อ แม้ว่าการเข้าถึงโดยไม่ระบุชื่อจะให้ความสะดวกแก่ผู้ใช้ในการอัพโหลดและดาวน์โหลดไฟล์ แต่ก็ก่อให้เกิดความเสี่ยงด้านความปลอดภัยเช่นกัน ผู้ใช้ไม่จำเป็นต้องสมัครบัญชีกฎหมายเพื่อเข้าถึงเซิร์ฟเวอร์ FTP และสามารถอัปโหลดและดาวน์โหลดไฟล์ได้ โดยเฉพาะเซิร์ฟเวอร์ FTP บางแห่งที่จัดเก็บข้อมูลสำคัญ การรั่วไหลจะเกิดขึ้นได้ง่าย ดังนั้นจึงขอแนะนำให้ผู้ใช้ยกเลิก ฟังก์ชั่นการเข้าถึงแบบไม่ระบุชื่อ
ในระบบ Windows 2000 คลิก "Start→Programs→Administrative Tools→Internet Service Manager" เพื่อเปิดหน้าต่างคอนโซลการจัดการขึ้นมา จากนั้นขยายตัวเลือกคอมพิวเตอร์เฉพาะที่ทางด้านซ้ายของหน้าต่าง แล้วคุณจะเห็นเซิร์ฟเวอร์ FTP ที่มาพร้อมกับ IIS5.0 ผู้เขียนด้านล่างนี้ใช้ไซต์ FTP เริ่มต้นเป็นตัวอย่างเพื่อแนะนำวิธียกเลิกฟังก์ชันการเข้าถึงแบบไม่ระบุชื่อ
คลิกขวาที่รายการ "ไซต์ FTP เริ่มต้น" เลือก "คุณสมบัติ" ในเมนูคลิกขวา จากนั้นกล่องโต้ตอบคุณสมบัติไซต์ FTP เริ่มต้นจะปรากฏขึ้น สลับไปที่แท็บ "บัญชีความปลอดภัย" ยกเลิกการเลือก "อนุญาตการเชื่อมต่อที่ไม่ระบุชื่อ" และ ในที่สุดคลิกปุ่ม "ตกลง" เพื่อให้ผู้ใช้ไม่สามารถใช้บัญชีที่ไม่ระบุชื่อเพื่อเข้าถึงเซิร์ฟเวอร์ FTP และต้องมีบัญชีที่ถูกกฎหมาย
2. เปิดใช้งานการบันทึก
บันทึกของ Windows จะบันทึกข้อมูลทั้งหมดเกี่ยวกับการทำงานของระบบ แต่ผู้ดูแลระบบจำนวนมากไม่ได้ให้ความสนใจกับฟังก์ชันการบันทึกมากพอ เพื่อประหยัดทรัพยากรของเซิร์ฟเวอร์ พวกเขาจึงปิดใช้งานฟังก์ชันการบันทึกของเซิร์ฟเวอร์ FTP ซึ่งจำเป็นอย่างยิ่ง บันทึกเซิร์ฟเวอร์ FTP จะบันทึกข้อมูลการเข้าถึงของผู้ใช้ทั้งหมด เช่น เวลาในการเข้าถึง ที่อยู่ IP ของลูกค้า บัญชีเข้าสู่ระบบที่ใช้ ฯลฯ ข้อมูลนี้มีความสำคัญอย่างยิ่งต่อการทำงานที่เสถียรของเซิร์ฟเวอร์ FTP เมื่อเกิดปัญหากับเซิร์ฟเวอร์ คุณสามารถดูบันทึก FTP ค้นหาข้อผิดพลาดและกำจัดได้ทันเวลา ดังนั้นอย่าลืมเปิดใช้งานการบันทึก FTP
ในกล่องโต้ตอบคุณสมบัติไซต์ FTP เริ่มต้น ให้สลับไปที่แท็บ "ไซต์ FTP" และตรวจสอบให้แน่ใจว่าได้เลือกตัวเลือก "เปิดใช้งานการบันทึก" เพื่อให้คุณสามารถดูบันทึกบันทึก FTP ใน "ตัวแสดงเหตุการณ์" ได้
3. ตั้งค่าสิทธิ์การเข้าถึงของผู้ใช้อย่างถูกต้อง
บัญชีผู้ใช้ FTP แต่ละบัญชีมีสิทธิ์การเข้าถึงบางอย่าง แต่การตั้งค่าสิทธิ์ผู้ใช้ที่ไม่สมเหตุสมผลก็อาจนำไปสู่ความเสี่ยงด้านความปลอดภัยบนเซิร์ฟเวอร์ FTP ได้เช่นกัน ตัวอย่างเช่น โฟลเดอร์ CCE ในเซิร์ฟเวอร์อนุญาตให้เฉพาะบัญชี CCEUSER มีสิทธิ์ในการอ่าน เขียน แก้ไข และแสดงรายการ และผู้ใช้รายอื่นไม่ได้รับอนุญาตให้เข้าถึงได้ อย่างไรก็ตาม การตั้งค่าเริ่มต้นของระบบยังคงอนุญาตให้ผู้ใช้รายอื่นสามารถอ่านได้ และแสดงรายการสิทธิ์ในโฟลเดอร์ CCE ดังนั้นจึงต้องรีเซ็ตสิทธิ์การเข้าถึงของผู้ใช้สำหรับโฟลเดอร์นี้
คลิกขวาที่โฟลเดอร์ CCE เลือก "Properties" ในเมนูป๊อปอัป จากนั้นสลับไปที่แท็บ "ความปลอดภัย" ขั้นแรกให้ลบบัญชีผู้ใช้ของทุกคน จากนั้นคลิกปุ่ม "เพิ่ม" เพิ่มบัญชี CCEUSER ลงในรายชื่อ จากนั้นคลิก " เลือกตัวเลือก Modify, Read and Run, List Folder Directory, Read and Write ในกล่องรายการ "Permissions" และสุดท้ายคลิกปุ่ม "OK" ด้วยวิธีนี้ เฉพาะผู้ใช้ CCEUSER เท่านั้นที่สามารถเข้าถึงโฟลเดอร์ CCE ได้
4. เปิดใช้งานโควต้าดิสก์
ทรัพยากรพื้นที่ดิสก์ของเซิร์ฟเวอร์ FTP เป็นสิ่งที่มีค่า การอนุญาตให้ผู้ใช้ใช้งานได้โดยไม่มีข้อจำกัดจะทำให้เกิดความสิ้นเปลืองอย่างมากอย่างหลีกเลี่ยงไม่ได้ ดังนั้นจึงจำเป็นต้องจำกัดพื้นที่ดิสก์ที่ผู้ใช้ FTP แต่ละคนใช้ ด้านล่างนี้ ผู้เขียนนำผู้ใช้ CCEUSER เป็นตัวอย่าง และจำกัดพื้นที่ดิสก์ไว้เพียง 100M เท่านั้น
ในหน้าต่าง Explorer คลิกขวาที่ตัวอักษรฮาร์ดไดรฟ์ซึ่งมีโฟลเดอร์ CCE อยู่ เลือก "คุณสมบัติ" ในเมนูป๊อปอัป จากนั้นสลับไปที่แท็บ "โควต้า" เลือกช่องทำเครื่องหมาย "เปิดใช้งานการจัดการโควต้า" และเปิดใช้งาน "โควต้า" สำหรับตัวเลือกการตั้งค่าโควต้าทั้งหมดในแท็บ "เพื่อป้องกันไม่ให้ผู้ใช้ FTP บางรายใช้พื้นที่ดิสก์เซิร์ฟเวอร์มากเกินไป ตรวจสอบให้แน่ใจว่าได้เลือกช่องทำเครื่องหมาย "ปฏิเสธพื้นที่ดิสก์ให้กับผู้ใช้ที่เกินขีดจำกัดโควต้า"
จากนั้นเลือกตัวเลือกเดียว "จำกัดพื้นที่ดิสก์ไว้ที่" ในกล่อง "เลือกขีดจำกัดโควต้าเริ่มต้นสำหรับผู้ใช้ใหม่ในไดรฟ์ข้อมูลนี้" จากนั้นป้อน 100 ในคอลัมน์ต่อไปนี้ เลือกหน่วยความจุของดิสก์เป็น "MB" จากนั้นตั้งค่า การตั้งค่าระดับการเตือน ป้อน "96" ในคอลัมน์ "ตั้งค่าระดับการเตือนเป็น" และเลือกหน่วยความจุเป็น "MB" เพื่อให้การตั้งค่าโควต้าเริ่มต้นเสร็จสมบูรณ์ นอกจากนี้ ให้เลือกกล่องกาเครื่องหมาย "บันทึกเหตุการณ์เมื่อผู้ใช้เกินขีดจำกัดโควต้า" และ "บันทึกเหตุการณ์เมื่อผู้ใช้เกินระดับคำเตือน" เพื่อบันทึกเหตุการณ์การแจ้งเตือนโควต้าลงในบันทึกของ Windows
คลิกปุ่ม "รายการโควต้า" ที่ด้านล่างของแท็บโควต้าเพื่อเปิดกล่องโต้ตอบรายการโควต้าดิสก์ จากนั้นคลิก "โควต้า → รายการโควต้าใหม่" เพื่อเปิดกล่องโต้ตอบการเลือกผู้ใช้ หลังจากเลือกผู้ใช้ CCEUSER แล้ว ให้คลิกปุ่ม " ตกลง" จากนั้นคลิก "เพิ่ม" ในกล่องโต้ตอบ "รายการโควต้าใหม่" ให้ตั้งค่าพารามิเตอร์โควต้าสำหรับผู้ใช้ CCEUSER เลือกตัวเลือกเดียว "จำกัดพื้นที่ดิสก์ไว้ที่" ป้อน "100" ในคอลัมน์ถัดไป จากนั้น ป้อน "96" ในคอลัมน์ "ตั้งค่าระดับคำเตือนเป็น" หน่วยความจุของดิสก์คือ "MB" และสุดท้ายคลิกปุ่ม "ตกลง" เพื่อเสร็จสิ้นการตั้งค่าโควต้าดิสก์ เพื่อให้ผู้ใช้ CCEUSER สามารถใช้พื้นที่ดิสก์ได้เพียง 100MB เท่านั้น และจะมีคำเตือนหากเกิน 96MB
ห้าข้อจำกัดการเข้าถึง TCP/IP
เพื่อให้มั่นใจในความปลอดภัยของเซิร์ฟเวอร์ FTP คุณสามารถปฏิเสธการเข้าถึงที่อยู่ IP บางแห่งได้ ในกล่องโต้ตอบคุณสมบัติไซต์ FTP เริ่มต้น ให้สลับไปที่แท็บ "ความปลอดภัยของไดเรกทอรี" เลือกตัวเลือกเดียว "อนุญาตการเข้าถึง" จากนั้นคลิกปุ่ม "เพิ่ม" ในกล่อง "ยกเว้นตามที่แสดงด้านล่าง" เพื่อเปิดหน้าต่าง "ปฏิเสธ" กล่องโต้ตอบการเข้าถึงต่อไปนี้" ที่นี่คุณสามารถปฏิเสธการเข้าถึงที่อยู่ IP เดียวหรือกลุ่มของที่อยู่ IP ได้ โดยใช้ที่อยู่ IP เดียวเป็นตัวอย่าง เลือกตัวเลือก "เครื่องเดียว" จากนั้นป้อนที่อยู่ IP ของเครื่อง ในคอลัมน์ "ที่อยู่ IP" และสุดท้ายคลิกปุ่ม "ตกลง" ที่อยู่ IP ที่เพิ่มในรายการไม่สามารถเข้าถึงเซิร์ฟเวอร์ FTP
หกการตั้งค่าที่เหมาะสมของนโยบายกลุ่ม
คุณสามารถเพิ่มความปลอดภัยของเซิร์ฟเวอร์ FTP ได้ด้วยการปรับเปลี่ยนรายการนโยบายกลุ่ม ในระบบ Windows 2000 ไปที่ "แผงควบคุม → เครื่องมือการดูแลระบบ" และเรียกใช้เครื่องมือนโยบายความปลอดภัยในเครื่อง
1. ตรวจสอบเหตุการณ์การเข้าสู่ระบบบัญชี
ในหน้าต่างการตั้งค่าความปลอดภัยท้องถิ่น ให้ขยาย "การตั้งค่าความปลอดภัย → นโยบายในเครื่อง → นโยบายการตรวจสอบ" จากนั้นค้นหารายการ "เหตุการณ์การเข้าสู่ระบบบัญชีตรวจสอบ" ในกล่องทางด้านขวา ดับเบิลคลิกเพื่อเปิดรายการ และเลือก "ความสำเร็จ" ใน กล่องโต้ตอบการตั้งค่า " และ "ล้มเหลว" และสุดท้ายคลิกปุ่ม "ตกลง" หลังจากที่นโยบายนี้มีผลบังคับใช้ การเข้าสู่ระบบทุกครั้งของผู้ใช้ FTP จะถูกบันทึกไว้ในบันทึก
2. เพิ่มความซับซ้อนของรหัสผ่านบัญชี
รหัสผ่านของบัญชี FTP บางบัญชีตั้งไว้ง่ายเกินไป ซึ่งอาจถูก "อาชญากร" ถอดรหัสได้ เพื่อปรับปรุงความปลอดภัยของเซิร์ฟเวอร์ FTP ผู้ใช้จะต้องถูกบังคับให้ตั้งรหัสผ่านบัญชีที่ซับซ้อน
ในหน้าต่างการตั้งค่าความปลอดภัยท้องถิ่น ให้ขยาย "การตั้งค่าความปลอดภัย → นโยบายบัญชี → นโยบายรหัสผ่าน" ค้นหารายการ "รหัสผ่านต้องเป็นไปตามข้อกำหนดที่ซับซ้อน" ในกรอบด้านขวา ดับเบิลคลิกเพื่อเปิด เลือกตัวเลือกเดียว "เปิดใช้งาน" และ ในที่สุดก็คลิกปุ่ม "ตกลง"
จากนั้น เปิดรายการ "ความยาวรหัสผ่านขั้นต่ำ" และตั้งค่าขีดจำกัดอักขระขั้นต่ำสำหรับรหัสผ่านบัญชี FTP ด้วยวิธีนี้ ความปลอดภัยของรหัสผ่านจึงได้รับการปรับปรุงอย่างมาก
3. ข้อจำกัดในการเข้าสู่ระบบบัญชี
ผู้ใช้ที่ผิดกฎหมายบางรายใช้เครื่องมือแฮ็กเพื่อเข้าสู่ระบบเซิร์ฟเวอร์ FTP ซ้ำ ๆ เพื่อเดารหัสผ่านบัญชี สิ่งนี้เป็นอันตรายมาก ดังนั้นจึงขอแนะนำให้คุณจำกัดจำนวนการเข้าสู่ระบบบัญชี
ขยาย "การตั้งค่าความปลอดภัย → นโยบายบัญชี → นโยบายการล็อคบัญชี" ตามลำดับ ค้นหารายการ "เกณฑ์การล็อคบัญชี" ในกรอบด้านขวา ดับเบิลคลิกเพื่อเปิด และตั้งค่าจำนวนการเข้าสู่ระบบบัญชีสูงสุด หากเกินค่านี้ บัญชีจะถูกล็อคโดยอัตโนมัติ จากนั้นเปิดรายการ "เวลาล็อคบัญชี" และตั้งเวลาสำหรับบัญชี FTP ที่จะล็อค เมื่อบัญชีถูกล็อคแล้ว จะไม่สามารถนำมาใช้ซ้ำได้จนกว่าจะเกินเวลานี้
หลังจากตั้งค่าขั้นตอนข้างต้นแล้ว เซิร์ฟเวอร์ FTP ของผู้ใช้จะมีความปลอดภัยมากขึ้น และไม่ต้องกังวลว่าจะถูกบุกรุกอย่างผิดกฎหมาย