Windows2000系統提供了FTP服務功能,由於簡單易用,與Windows系統本身結合緊密,深受廣大用戶的喜愛。但使用IIS5.0 架設的FTP伺服器真的安全嗎?它的預設設定其實有許多安全隱患,很容易成為駭客們的攻擊目標。如何讓FTP伺服器更安全,只要稍加改造,就能做到。
一取消匿名存取功能
預設情況下,Windows2000系統的FTP伺服器是允許匿名存取的,雖然匿名存取為使用者上傳、下載檔案提供方便,但卻存在極大的安全隱患。使用者不需要申請合法的帳號,就能存取FTP伺服器,甚至還可以上傳、下載文件,特別對於一些儲存重要資料的FTP伺服器,很容易出現洩密的情況,因此建議使用者取消匿名存取功能。
在Windows2000系統中,點選“開始→程式→管理工具→Internet服務管理員”,彈出管理控制台視窗。然後展開視窗左側的本機電腦選項,就能看到IIS5.0自帶的FTP伺服器,以下筆者以預設FTP站台為例,介紹如何取消匿名存取功能。
右鍵點選“預設FTP網站”項,在右鍵選單中選擇“屬性”,接著彈出預設FTP網站屬性對話框,切換到“安全帳號”標籤頁,取消“允許匿名連線”前的勾選,最後點選“確定」按鈕,這樣使用者就不能使用匿名帳號存取FTP伺服器了,必須擁有合法帳號。
二啟用日誌記錄
Windows日誌記錄系統運作的一切訊息,但許多管理員對日誌記錄功能不夠重視,為了節省伺服器資源,停用了FTP伺服器日誌記錄功能,這是萬萬要不得的。 FTP伺服器日誌記錄所有使用者的存取訊息,如存取時間、客戶機IP位址、使用的登入帳號等,這些資訊對於FTP伺服器的穩定運作具有很重要的意義,一旦伺服器出現問題,就可以查看FTP日誌,找到故障所在,及時排除。因此一定要啟用FTP日誌記錄。
在預設FTP站台屬性對話方塊中,切換到「FTP站台」標籤頁,請務必確保「啟用日誌記錄」選項被選中,這樣就可以在「事件檢視器」中查看FTP日誌記錄了。
三正確設定使用者存取權限
每個FTP用戶帳號都有一定的存取權限,但對使用者權限的不合理設置,也能導致FTP伺服器出現安全隱患。如伺服器中的CCE資料夾,只允許CCEUSER帳號對它有讀、寫、修改、列表的權限,禁止其他使用者訪問,但係統預設設置,還是允許其他使用者對CCE資料夾有讀取和列表的權限,因此必須重新設定該資料夾的使用者存取權限。
右鍵點擊CCE資料夾,在彈出式選單中選擇“屬性”,然後切換到“安全性”標籤頁,先刪除Everyone使用者帳號,接著點選“新增”按鈕,將CCEUSER帳號新增到名稱列錶框中,然後在“權限」列錶框中選取修改、讀取及執行、列出資料夾目錄、讀取和寫入選項,最後點選「確定」按鈕。這樣一來,CCE資料夾只有CCEUSER使用者才能存取。
四啟用磁碟配額
FTP伺服器磁碟空間資源是寶貴的,無限的讓使用者使用,勢必造成巨大的浪費,因此要對每位FTP使用者使用的磁碟空間進行限制。下列筆者以CCEUSER使用者為例,將其限制為只能使用100M磁碟空間。
在資源管理器視窗中,右鍵點擊CCE資料夾所在的硬碟盤符,在彈出的選單中選擇“屬性”,接著切換到“配額”標籤頁,選取“啟用配額管理”複選框,啟動“配額」標籤頁中的所有配額設定選項,為了不讓某些FTP使用者佔用過多的伺服器磁碟空間,請務必選取「拒絕將磁碟空間給超過配額限制的使用者」複選框。
然後在“為該磁碟區上的新使用者選擇預設配額限制”方塊中選擇“將磁碟空間限制為”單選項,接著在後面的欄位中輸入100,磁碟容量單位選擇為“MB”,然後進行警告等級設定,在“將警告等級設為”欄中輸入“96”,容量單位也選擇為“MB”,這樣就完成了預設配額設定。此外,也要勾選「使用者超出配額限制時記錄事件」和「使用者超過警告等級時記錄事件」複選框,以便將配額告警事件記錄到Windows日誌中。
點擊配額標籤頁下方的“配額項目”按鈕,打開磁碟配額項目對話框,接著點擊“配額→新建配額項”,彈出選擇用戶對話框,選中CCEUSER用戶後,點擊“確定”按鈕,接著在“添加新配額項”對話方塊中為CCEUSER用戶設定配額參數,選擇“將磁碟空間限制為”單選項,在後面的欄位中輸入“100”,接著在“將警告等級設為”欄中輸入“96” ,它們的磁碟容量單位為“MB”,最後點擊“確定”按鈕,完成磁碟配額設置,這樣CCEUSER 用戶就只能使用100MB磁碟空間,超過96MB就會發出警告。
五TCP/IP存取限制
為了確保FTP伺服器的安全,也可以拒絕某些IP位址的存取。在預設FTP站台屬性對話方塊中,切換至「目錄安全性」標籤頁,勾選「授權存取」單選項,然後在「下列所列除外」方塊中點選「新增」按鈕,跳出「拒絕下列存取」對話框,這裡可以拒絕單一IP位址或一組IP位址訪問,以單一IP位址為例,選取「單機」選項,然後在「IP位址」欄中輸入該機器的IP位址,最後點選「確定」按鈕。這樣新增到清單中的IP位址都不能存取FTP伺服器了。
六合理設定組策略
透過對群組原則項目的修改,也可以增強FTP伺服器的安全性。在Windows2000系統中,進入到“控制台→管理工具”,運行本機安全性原則工具。
1. 審核帳戶登入事件
在本機安全性設定視窗中,依序展開“安全設定→本機原則→審核原則”,然後在右側的方塊中找到“稽核帳號登入事件”項目,雙擊開啟該項目,在設定對話方塊中選取“成功」和「失敗」這兩項,最後點選「確定」按鈕。策略生效後,FTP使用者的每次登入都會被記錄到日誌中。
2. 增強帳號密碼的複雜性
有些FTP帳號的密碼設定的過於簡單,就有可能被「不法之徒」破解。為了提高FTP伺服器的安全性,必須強制使用者設定複雜的帳號密碼。
在本機安全性設定視窗中,依序展開“安全設定→帳戶原則→密碼原則”,在右側方塊中找到“密碼必須符合複雜性要求”項,雙擊開啟後,選取“啟用”單選項,最後點選“確定”按鈕。
然後,開啟「密碼長度最小值」項,為FTP帳號密碼設定最短字元限制。這樣以來,密碼的安全性就大大增強了。
3. 帳號登入限制
有些非法使用者使用駭客工具,重複登入FTP伺服器,來猜測帳號密碼。這是非常危險的,因此建議大家對帳號登入次數進行限制。
依序展開“安全設定→帳戶策略→帳戶鎖定策略”,在右側框體中找到“帳戶鎖定閾值”項,雙擊開啟後,設定帳號登入的最大次數,如果超過此數值,帳號會被自動鎖定。接著開啟「帳戶鎖定時間」項,設定FTP帳號被鎖定的時間,帳號一旦被鎖定,超過這個時間值,才能重新使用。
經過以上幾步設定後,用戶的FTP伺服器就會更安全,再也不用怕被非法入侵了。