为了方便在网上传输信息,不少个人用户纷纷借助Windows 2000服务器系统内置的FTP服务功能,架设了FTP服务器;尽管Windows系统内置的FTP服务功能使用起来简单、方便,但在缺省状态下由该功能建立起来的FTP服务器,在安全防御方面还很薄弱。为了让FTP服务器远离安全攻击,大家可以从细项设置出发,来对FTP服务器的安全性能进行“保驾护航”。
1、从磁盘设置出发,限制空间大小
为了防止普通用户恶意占用服务器空间,导致紧张的FTP服务器空间资源被白白浪费,我们应该想办法对每一位普通用户的FTP空间进行限制。例如,要想将“aaa”用户的FTP空间限制为50M的话,就可以按照如下方法来设置:
首先打开系统的资源管理器窗口,从中找到FTP服务器空间所对应的本地文件夹,然后右击该文件夹所对应的磁盘分区图标,从弹出的右键菜单中单击“属性”命令,再单击属性窗口中的“配额”选项卡,进入到如图1所示的选项设置页面;
图1
其次将该页面中的“启用配额管理”复选项选中,这样与“配额”相关的设置项全部被自动激活;此时,为了禁止普通用户随意占用服务器空间,大家必须将这里的“拒绝将磁盘空间给超过配额限制的用户”选项选中,同时将“将磁盘空间限制为”选中,并在其后激活的文本框中输入需要限制的空间大小,例如在这里笔者应该输入的是“50”,同时不要忘记将磁盘容量单位设置为“MB”;
接下来大家还需要进行一下警告设置,提醒普通用户不能随意上传文件了;大家可以在“将警告等级设置为”文本框中填入数字“48”,并将容量单位设置为“MB”,如此一来普通用户占用的FTP空间一旦达到48M时,服务器就会自动提醒该用户FTP空间所剩无几了。
下面再单击图1界面中的“配额项”按钮,打开配额项目设置界面,单击该界面中的“配额”菜单项,从弹出的下拉菜单中选中“新建配额项”命令,进入到帐号设置对话框;将该对话框中的“aaa”用户选中,再单击一下“确定”按钮,在其后出现的界面中将“将磁盘空间限制为”设置为“50”,并“将警告等级设置为”设置为“48”,再将磁盘容量单位选择为“MB”;完成上面的设置后,再点击一下“确定”按钮,这样大家就完成了对“aaa”用户的FTP访问空间的限制。
小提示:为方便管理人员日后管理查看之用,大家在设置过程中,应尽可能地将“用户超过警告等级时记录事件”和“用户超出配额限制时记录事件”设置项启用,这样一来服务器就会自动把发生超额使用服务器空间的情况记录到系统日志中,管理人员根据这样的记录就能查出究竟是哪些用户想“图谋不轨”了。
2、从日志设置出发,记录安全攻击
FTP服务器受到非法攻击的可能性随时存在,要是我们能够让服务器系统自动监视、记录非法攻击的行踪的话,就能有助于我们查找、分析FTP服务器存在的各种安全隐患,同时及时有效地采取相关措施来保护服务器的安全。要想实现上述的目的,我们可以将FTP服务器的日志记录功能启用起来,因为该功能自动将所有用户访问服务器的信息都记录在案,比方说用户使用什么帐号登录服务器的,什么时间访问服务器的,用户使用的哪台客户机登录服务器的等,根据这些信息网络管理人员能很轻易地找到非法攻击的蛛丝马迹。要启用服务器的日志功能,可以按照以下步骤来实现:
依次单击“开始”/“程序”/“管理工具”/“Internet信息服务管理”命令,在弹出的Internet信息服务管理窗口的左侧区域,用鼠标右键单击指定的FTP站点,从弹出的右键菜单中单击“属性”命令,进入到FTP服务器属性设置框中;
在该设置框中单击“FTP站点”标签,进入到如图2所示的标签页面,将“启用日志记录”项目选中,如此一来FTP服务器的日志记录功能就被启用了,以后一旦有非法攻击存在的话,大家就能通过“事件查看器”来分析FTP日志记录中的内容,来寻找与攻击有关的蛛丝马迹了。
图2
小提示:通过对系统组策略的设置,大家也可以对FTP服务器的登录情况进行自动记录,并将记录情况保存到系统日志文件中。在用组策略进行设置时,可以按照如下步骤进行操作:首先依次单击“开始”/“运行”命令,打开系统的运行对话框,在其中输入字符串命令“gpedit.msc”,单击“确定”按钮后打开组策略编辑界面;接着用鼠标逐一单击“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“审核策略”项目,在对应“审核策略”项目右边的区域中双击“审核登录事件”选项,打开如图3所示的设置界面。选中该界面中的“成功”两项,并单击“确定”按钮,最后刷新一下系统组策略,这样一来任何FTP用户登录进FTP服务器的操作都会被自动记录到系统日志文件中。
图3
3、从密码设置出发,加强访问安全
为了提高FTP服务器的安全防范能力,不少网络管理人员都为用户的FTP帐号设置了密码。但无奈许多密码都过于简单,非法攻击者几乎不费什么力气就能轻易将其破解掉;为了保护FTP服务器的安全性,我们可以通过修改系统组策略的方法,来强行指定用户必须使用复杂的帐号密码,这样就能避免帐号密码被轻易破解掉,下面就是具体的实现步骤:
依次单击“开始”/“程序”/“管理工具”/“本地安全策略”命令,打开本地安全设置窗口;在该窗口的左侧区域,用鼠标依次双击“帐户策略”/“密码策略”选项,在对应“密码策略”选项的右侧区域中选中“密码必须符合复杂性要求”项目;
接着用鼠标左键双击选中的项目,在弹出的如图4所示的设置界面中,将“已启用”选项选中,再点击一下“确定”按钮。下面再返回到“密码策略”选项的右侧区域处,双击“密码长度最小值”选项,在其后出现的设置窗口中输入帐号密码的最少字符位数,再点击一下“确定”按钮,最后刷新一下系统组策略,这样的话FTP服务器中的各个帐号就相对安全了。
图4
4、从权限设置出发,避免非法攻击
如果为普通的FTP用户开设了太高的访问权限,那么一旦该用户在FTP服务器中进行不合适的操作时,可能会导致FTP服务器存在重大的安全隐患,甚至能导致服务器发生崩溃现象。因此为了保护FTP服务器的运行安全,我们一定要将普通帐号的访问权限设置好,让某个用户只能对特定的文件夹拥有修改、读写、列表权利,而不允许其他人随意访问该文件夹;但令人遗憾的是,在缺省状态下Windows 2000系统允许其他人对每个文件夹拥有读的权利,有鉴于此我们需要从权限设置出发,防止非法用户进行恶意破坏,下面就是为用户帐号设置权限的具体操作步骤:
首先打开系统的资源管理器窗口,找到指定用户在FTP服务器中创建的特定文件夹,并用鼠标右键单击之,并执行快捷菜单中的“属性”命令,打开文件夹属性设置界面;
单击该界面中的“安全”标签,进入到如图5所示的标签页面;由于在默认状态下,Everyone帐号的权限为“读取”、“列出文件夹目录”等,因此我们首先要将Everyone帐号选中并删除掉,这样其他用户对特定文件夹的“读取”和“列出文件夹目录”权限就会自动删除了;
图5
下面再单击一下“添加”按钮,将指定用户的帐号名称添加到“组或用户名称”列表中,然后将该帐号对特定文件夹的访问权限设置好,例如大家可以先选中目标帐号,然后在“权限”处选中“完全控制”选项,最后单击一下“确定”按钮,就能确保该帐号的用户对目标文件夹拥有完全控制权限了,但其他人对该目标文件夹是没有任何访问权限的。
5、从帐号设置出发,禁止匿名访问
在缺省状态下,Windows 2000内置的FTP服务器是允许任何用户随意访问的,这么一来非法用户可能就会通过匿名功能往服务器中上传一些具有破坏性或攻击性的东东,那么整个FTP服务器会因此而变得不安全的。为了让FTP服务器能够安全、稳定地运行,我们有必要将它的匿名功能暂时屏蔽掉。要禁用FTP服务器的匿名访问功能时,可以按照下面的步骤来实现:
依次单击“开始”/“程序”/“管理工具”/“Internet信息服务管理”命令,在弹出的Internet信息服务管理窗口的左侧区域,用鼠标右键单击指定的FTP站点,从弹出的右键菜单中单击“属性”命令,进入到FTP服务器属性设置框中;
在该设置框中,单击“安全帐号”选项卡,进入到如图6所示的选项设置页面;在该页面中将“允许匿名连接”的选中状态取消,当系统提示你是否“确实要继续”时,再点击一下“是”按钮,最后依次单击“确定”、“应用”按钮,这样的话普通用户就不能随意访问到FTP服务器中的内容了。
图6
6、从登录设置出发,拒绝非法入侵
为了阻止一些别有用心的用户通过专业的黑客工具,来猜测登录FTP服务器的密码,以便尝试攻击服务器,我们可以通过修改系统组策略的方法来限制帐号登录服务器的次数;例如一旦将限制次数设置为3的话,以后黑客尝试登录服务器的次数达到3次的话,服务器就会自动将该登录帐号锁定,以阻止该危险帐号入侵服务器。在对帐号的登录次数进行限制时,可以按下面的步骤来进行:
依次单击“开始”/“程序”/“管理工具”/“本地安全策略”命令,打开本地安全设置窗口;在该窗口的左侧区域,用鼠标依次双击“帐户策略”/“帐户锁定策略”选项,在对应“帐户锁定策略”选项的右侧区域中选中“帐户锁定阈值”项目;
用鼠标左键双击选中的项目,在弹出的如图7所示的设置界面中,我们可以设置合适的帐号登录次数,例如在这里如果输入“3”的话,那么以后用户登录服务器的次数超过这个数值,那么该用户使用的帐号就会被服务器自动锁定。当然,为了防止合法用户自我锁定,大家还可以在“帐户锁定策略”选项的右侧区域处双击“帐户锁定时间”,在其后的设置窗口中输入该帐号被系统锁定的时间,这样合法用户的帐号一旦发生锁定,过一段时间之后就能重新有效。
图7
7、从TCP/IP设置出发,阻止非法访问
如果大家通过系统日志或者其他手段分析查找到,总有一些非法攻击来自特定的工作站时,那么我们就可以通过FTP服务器的站点过滤功能,将那些对FTP服务器具有潜在威胁的站点过滤掉,以阻止它们对服务器的继续攻击。下面就是该方法的具体实施步骤:
依次单击“开始”/“程序”/“管理工具”/“Internet信息服务管理”命令,在弹出的Internet信息服务管理窗口的左侧区域,用鼠标右键单击指定的FTP站点,从弹出的右键菜单中单击“属性”命令,进入到FTP服务器属性设置框中;
单击该设置框中的“目录安全性”选项卡,进入到如图8所示的选项设置界面;将该界面中的“授权访问”选中,同时单击“添加”按钮,在随后出现的“拒绝以下访问”窗口中输入需要过滤的工作站的IP地址,最后单击一下“确定”按钮,就能实现阻止某个工作站继续访问FTP服务器的目的了。
图8