Windows 2000系統的IIS5.0提供 了FTP服務功能，由于它的簡單易用，與Windows系統本身結合緊密，深受廣大用戶的喜愛。但使用IIS5.0架設的FTP服務器真的安全嗎？它的默認設置其實存在很多安全隱患，很容易成為黑客們的攻擊目標。如何讓FTP服務器更加安全，只要我們稍加改造，就能做到。

一 取消匿名訪問功能

默認情況下，Windows 2000系統的FTP服務器是允許匿名訪問的，雖然匿名訪問為用戶上傳、下載文件提供方便，但卻存在極大的安全隱患。用戶不需要申請合法的賬號，就能訪問你的FTP服務器，甚至還可以上傳、下載文件，特別對于一些存儲重要資料的FTP服務器，很容易出現泄密的情況，因此建議用戶取消匿名訪問功能。

在Windows 2000系統中，點擊“開始→程序→管理工具→Internet服務管理器”，彈出管理控制臺窗口。然后展開窗口左側的本地計算機選項，就能看到IIS5.0自帶的FTP服務器，下面筆者以默認FTP站點為例，介紹如何取消匿名訪問功能。

右鍵點擊“默認FTP站點”項，在右鍵菜單中選擇“屬性”，接著彈出默認FTP站點屬性對話框，切換到“安全賬號”標簽頁，取消“允許匿名連接”前的勾選（如圖1），最后點擊“確定”按鈕，這樣用戶就不能使用匿名賬號訪問FTP服務器了，必須擁有合法賬號。

圖1 禁止匿名訪問二 啟用日志記錄Windows日志記錄著系統運行的一切信息，但很多管理員對日志記錄功能不夠重視，為了節省服務器資源，禁用了FTP服務器日志記錄功能，這是萬萬要不得的。FTP服務器日志記錄著所有用戶的訪問信息，如訪問時間、客戶機IP地址、使用的登錄賬號等，這些信息對于FTP服務器的穩定運行具有很重要的意義，一旦服務器出現問題，就可以查看FTP日志，找到故障所在，及時排除。因此一定要啟用FTP日志記錄。在默認FTP站點屬性對話框中，切換到“FTP站點”標簽頁，一定要確?！皢⒂萌罩居涗洝边x項被選中，這樣就可以在“事件查看器”中查看FTP日志記錄了。三 正確設置用戶訪問權限每個FTP用戶賬號都具有一定的訪問權限，但對用戶權限的不合理設置，也能導致FTP服務器出現安全隱患。如服務器中的CCE文件夾，只允許CCEUSER賬號對它有讀、寫、修改、列表的權限，禁止其他用戶訪問，但系統默認設置，還是允許其他用戶對CCE文件夾有讀和列表的權限，因此必須重新設置該文件夾的用戶訪問權限。右鍵點擊CCE文件夾，在彈出菜單中選擇“屬性”，然后切換到“安全”標簽頁，首先刪除Everyone用戶賬號，接著點擊“添加”按鈕，將CCEUSER賬號添加到名稱列表框中，然后在“權限”列表框中選中修改、讀取及運行、列出文件夾目錄、讀取和寫入選項，最后點擊“確定”按鈕。這樣一來，CCE文件夾只有CCEUSER用戶才能訪問。

四 啟用磁盤配額

FTP服務器磁盤空間資源是寶貴的，無限制的讓用戶使用，勢必造成巨大的浪費，因此要對每位FTP用戶使用的磁盤空間進行限制。下面筆者以CCEUSER用戶為例，將其限制為只能使用100M磁盤空間。

在資源管理器窗口中，右鍵點擊CCE文件夾所在的硬盤盤符，在彈出的菜單中選擇“屬性”，接著切換到“配額”標簽頁（如圖2），選中“啟用配額管理”復選框，激活“配額”標簽頁中的所有配額設置選項，為了不讓某些FTP用戶占用過多的服務器磁盤空間，一定要選中“拒絕將磁盤空間給超過配額限制的用戶” 復選框。

圖2 限制FTP存儲空間然后在“為該卷上的新用戶選擇默認配額限制”框中選擇“將磁盤空間限制為”單選項，接著在后面的欄中輸入100，磁盤容量單位選擇為“MB”，然后進行警告等級設置，在“將警告等級設置為”欄中輸入“96”， 容量單位也選擇為“MB”，這樣就完成了默認配額設置。此外，還要選中“用戶超出配額限制時記錄事件”和“用戶超過警告等級時記錄事件”復選框，以便將配額告警事件記錄到Windows日志中。點擊配額標簽頁下方的“配額項”按鈕，打開磁盤配額項目對話框，接著點擊“配額→新建配額項”，彈出選擇用戶對話框，選中CCEUSER用戶后，點擊“確定”按鈕，接著在“添加新配額項”對話框中為CCEUSER用戶設置配額參數，選擇“將磁盤空間限制為” 單選項，在后面的欄中輸入“100”，接著在“將警告等級設置為”欄中輸入“96”，它們的磁盤容量單位為“MB”，最后點擊“確定”按鈕，完成磁盤配額設置，這樣CCEUSER用戶就只能使用100 MB磁盤空間，超過96MB就會發出警告。五 TCP/IP訪問限制為了保證FTP服務器的安全，我們還可以拒絕某些IP地址的訪問。在默認FTP站點屬性對話框中，切換到“目錄安全性”標簽頁，選中“授權訪問”單選項（如圖3），然后在“以下所列除外”框中點擊“添加”按鈕，彈出“拒絕以下訪問”對話框，這里我們可以拒絕單個IP地址或一組IP地址訪問，以單個IP地址為例，選中“單機”選項，然后在“IP地址”欄中輸入該機器的IP地址，最后點擊“確定”按鈕。這樣添加到列表中的IP地址都不能訪問FTP服務器了。

圖3 阻止該IP訪問FTP六 合理設置組策略通過對組策略項目的修改，也可以增強FTP服務器的安全性。在Windows 2000系統中，進入到“控制面板→管理工具”，運行本地安全策略工具。1. 審核賬戶登錄事件在本地安全設置窗口中，依次展開“安全設置→本地策略→審核策略”，然后在右側的框體中找到“審核賬戶登錄事件”項目（如圖4），雙擊打開該項目，在設置對話框中選中“成功”和“失敗”這兩項，最后點擊“確定”按鈕。該策略生效后，FTP用戶的每次登錄都會被記錄到日志中。

圖4 記錄用戶登錄信息2. 增強賬號密碼的復雜性一些FTP賬號的密碼設置的過于簡單，就有可能被“不法之徒”所破解。為了提高FTP服務器的安全性，必須強制用戶設置復雜的賬號密碼。在本地安全設置窗口中，依次展開“安全設置→賬戶策略→密碼策略”，在右側框體中找到“密碼必須符合復雜性要求”項，雙擊打開后，選中“已啟用”單選項，最后點擊“確定”按鈕。然后，打開“密碼長度最小值”項，為FTP賬號密碼設置最短字符限制。這樣以來，密碼的安全性就大大增強了。3. 賬號登錄限制有些非法用戶使用黑客工具，反復登錄FTP服務器，來猜測賬號密碼。這是非常危險的，因此建議大家對賬號登錄次數進行限制。依次展開“安全設置→賬戶策略→賬戶鎖定策略”，在右側框體中找到“賬戶鎖定閾值”項，雙擊打開后，設置賬號登錄的最大次數，如果超過此數值，賬號會被自動鎖定。接著打開“賬戶鎖定時間”項，設置FTP賬號被鎖定的時間，賬號一旦被鎖定，超過這個時間值，才能重新使用。通過以上幾步設置后，我們的FTP服務器就會更加安全，再也不用怕被非法入侵了。