Windows 2000系統(tǒng)的IIS5.0提供 了FTP服務(wù)功能，由于它的簡單易用，與Windows系統(tǒng)本身結(jié)合緊密，深受廣大用戶的喜愛。但使用IIS5.0架設(shè)的FTP服務(wù)器真的安全嗎？它的默認(rèn)設(shè)置其實(shí)存在很多安全隱患，很容易成為安全們的攻擊目標(biāo)。如何讓FTP服務(wù)器更加安全，只要我們稍加改造，就能做到。 一 取消匿名訪問功能 默認(rèn)情況下，Windows 2000系統(tǒng)的FTP服務(wù)器是允許匿名訪問的，雖然匿名訪問為用戶上傳、下載文件提供方便，但卻存在極大的安全隱患。用戶不需要申請(qǐng)合法的賬號(hào)，就能訪問你的FTP服務(wù)器，甚至還可以上傳、下載文件，特別對(duì)于一些存儲(chǔ)重要資料的FTP服務(wù)器，很容易出現(xiàn)泄密的情況，因此建議用戶取消匿名訪問功能。 在Windows 2000系統(tǒng)中，點(diǎn)擊“開始→程序→管理工具→Internet服務(wù)管理器，彈出管理控制臺(tái)窗口。然后展開窗口左側(cè)的本地計(jì)算機(jī)選項(xiàng)，就能看到IIS5.0自帶的FTP服務(wù)器，下面筆者以默認(rèn)FTP站點(diǎn)為例，介紹如何取消匿名訪問功能。 右鍵點(diǎn)擊“默認(rèn)FTP站點(diǎn)項(xiàng)，在右鍵菜單中選擇“屬性，接著彈出默認(rèn)FTP站點(diǎn)屬性對(duì)話框，切換到“安全賬號(hào)標(biāo)簽頁，取消“允許匿名連接前的勾選（如圖1），最后點(diǎn)擊“確定按鈕，這樣用戶就不能使用匿名賬號(hào)訪問FTP服務(wù)器了，必須擁有合法賬號(hào)。圖1" 禁止匿名訪問 二 啟用日志記錄 Windows日志記錄著系統(tǒng)運(yùn)行的一切信息，但很多管理員對(duì)日志記錄功能不夠重視，為了節(jié)省服務(wù)器資源，禁用了FTP服務(wù)器日志記錄功能，這是萬萬要不得的。FTP服務(wù)器日志記錄著所有用戶的訪問信息，如訪問時(shí)間、客戶機(jī)IP地址、使用的登錄賬號(hào)等，這些信息對(duì)于FTP服務(wù)器的穩(wěn)定運(yùn)行具有很重要的意義，一旦服務(wù)器出現(xiàn)問題，就可以查看FTP日志，找到故障所在，及時(shí)排除。因此一定要啟用FTP日志記錄。 在默認(rèn)FTP站點(diǎn)屬性對(duì)話框中，切換到“FTP站點(diǎn)標(biāo)簽頁，一定要確保“啟用日志記錄選項(xiàng)被選中，這樣就可以在“事件查看器中查看FTP日志記錄了。 三 正確設(shè)置用戶訪問權(quán)限 每個(gè)FTP用戶賬號(hào)都具有一定的訪問權(quán)限，但對(duì)用戶權(quán)限的不合理設(shè)置，也能導(dǎo)致FTP服務(wù)器出現(xiàn)安全隱患。如服務(wù)器中的CCE文件夾，只允許CCEUSER賬號(hào)對(duì)它有讀、寫、修改、列表的權(quán)限，禁止其他用戶訪問，但系統(tǒng)默認(rèn)設(shè)置，還是允許其他用戶對(duì)CCE文件夾有讀和列表的權(quán)限，因此必須重新設(shè)置該文件夾的用戶訪問權(quán)限。 右鍵點(diǎn)擊CCE文件夾，在彈出菜單中選擇“屬性，然后切換到“安全標(biāo)簽頁，首先刪除Everyone用戶賬號(hào)，接著點(diǎn)擊“添加按鈕，將CCEUSER賬號(hào)添加到名稱列表框中，然后在“權(quán)限列表框中選中修改、讀取及運(yùn)行、列出文件夾目錄、讀取和寫入選項(xiàng)，最后點(diǎn)擊“確定按鈕。這樣一來，CCE文件夾只有CCEUSER用戶才能訪問。 四 啟用磁盤配額 FTP服務(wù)器磁盤空間資源是寶貴的，無限制的讓用戶使用，勢必造成巨大的浪費(fèi)，因此要對(duì)每位FTP用戶使用的磁盤空間進(jìn)行限制。下面筆者以CCEUSER用戶為例，將其限制為只能使用100M磁盤空間。 在資源管理器窗口中，右鍵點(diǎn)擊CCE文件夾所在的硬盤盤符，在彈出的菜單中選擇“屬性，接著切換到“配額標(biāo)簽頁（如圖2），選中“啟用配額管理復(fù)選框，激活“配額標(biāo)簽頁中的所有配額設(shè)置選項(xiàng)，為了不讓某些FTP用戶占用過多的服務(wù)器磁盤空間，一定要選中“拒絕將磁盤空間給超過配額限制的用戶 復(fù)選框。 圖2" 限制FTP存儲(chǔ)空間 然后在“為該卷上的新用戶選擇默認(rèn)配額限制框中選擇“將磁盤空間限制為單選項(xiàng)，接著在后面的欄中輸入100，磁盤容量單位選擇為“MB，然后進(jìn)行警告等級(jí)設(shè)置，在“將警告等級(jí)設(shè)置為欄中輸入“96， 容量單位也選擇為“MB，這樣就完成了默認(rèn)配額設(shè)置。此外，還要選中“用戶超出配額限制時(shí)記錄事件和“用戶超過警告等級(jí)時(shí)記錄事件復(fù)選框，以便將配額告警事件記錄到Windows日志中。 點(diǎn)擊配額標(biāo)簽頁下方的“配額項(xiàng)按鈕，打開磁盤配額項(xiàng)目對(duì)話框，接著點(diǎn)擊“配額→新建配額項(xiàng)，彈出選擇用戶對(duì)話框，選中CCEUSER用戶后，點(diǎn)擊“確定按鈕，接著在“添加新配額項(xiàng)對(duì)話框中為CCEUSER用戶設(shè)置配額參數(shù)，選擇“將磁盤空間限制為 單選項(xiàng)，在后面的欄中輸入“100，接著在“將警告等級(jí)設(shè)置為欄中輸入“96，它們的磁盤容量單位為“MB，最后點(diǎn)擊“確定按鈕，完成磁盤配額設(shè)置，這樣CCEUSER用戶就只能使用100 MB磁盤空間，超過96MB就會(huì)發(fā)出警告。 五 TCP/IP訪問限制 為了保證FTP服務(wù)器的安全，我們還可以拒絕某些IP地址的訪問。在默認(rèn)FTP站點(diǎn)屬性對(duì)話框中，切換到“目錄安全性標(biāo)簽頁，選中“授權(quán)訪問單選項(xiàng)（如圖3），然后在“以下所列除外框中點(diǎn)擊“添加按鈕，彈出“拒絕以下訪問對(duì)話框，這里我們可以拒絕單個(gè)IP地址或一組IP地址訪問，以單個(gè)IP地址為例，選中“單機(jī)選項(xiàng)，然后在“IP地址欄中輸入該機(jī)器的IP地址，最后點(diǎn)擊“確定按鈕。這樣添加到列表中的IP地址都不能訪問FTP服務(wù)器了。 圖3" 阻止該IP訪問FTP 六 合理設(shè)置組策略 通過對(duì)組策略項(xiàng)目的修改，也可以增強(qiáng)FTP服務(wù)器的安全性。在Windows 2000系統(tǒng)中，進(jìn)入到“控制面板→管理工具，運(yùn)行本地安全策略工具。 1. 審核賬戶登錄事件 在本地安全設(shè)置窗口中，依次展開“安全設(shè)置→本地策略→審核策略，然后在右側(cè)的框體中找到“審核賬戶登錄事件項(xiàng)目（如圖4），雙擊打開該項(xiàng)目，在設(shè)置對(duì)話框中選中“成功和“失敗這兩項(xiàng)，最后點(diǎn)擊“確定按鈕。該策略生效后，F(xiàn)TP用戶的每次登錄都會(huì)被記錄到日志中。 圖4" 記錄用戶登錄信息 2. 增強(qiáng)賬號(hào)密碼的復(fù)雜性 一些FTP賬號(hào)的密碼設(shè)置的過于簡單，就有可能被“不法之徒所破解。為了提高FTP服務(wù)器的安全性，必須強(qiáng)制用戶設(shè)置復(fù)雜的賬號(hào)密碼。 在本地安全設(shè)置窗口中，依次展開“安全設(shè)置→賬戶策略→密碼策略，在右側(cè)框體中找到“密碼必須符合復(fù)雜性要求項(xiàng)，雙擊打開后，選中“已啟用單選項(xiàng)，最后點(diǎn)擊“確定按鈕。 然后，打開“密碼長度最小值項(xiàng)，為FTP賬號(hào)密碼設(shè)置最短字符限制。這樣以來，密碼的安全性就大大增強(qiáng)了。 3. 賬號(hào)登錄限制 有些非法用戶使用安全工具，反復(fù)登錄FTP服務(wù)器，來猜測賬號(hào)密碼。這是非常危險(xiǎn)的，因此建議大家對(duì)賬號(hào)登錄次數(shù)進(jìn)行限制。 依次展開“安全設(shè)置→賬戶策略→賬戶鎖定策略，在右側(cè)框體中找到“賬戶鎖定閾值項(xiàng)，雙擊打開后，設(shè)置賬號(hào)登錄的最大次數(shù)，如果超過此數(shù)值，賬號(hào)會(huì)被自動(dòng)鎖定。接著打開“賬戶鎖定時(shí)間項(xiàng)，設(shè)置FTP賬號(hào)被鎖定的時(shí)間，賬號(hào)一旦被鎖定，超過這個(gè)時(shí)間值，才能重新使用。 通過以上幾步設(shè)置后，我們的FTP服務(wù)器就會(huì)更加安全，再也不用怕被非法入侵了。