わずかに改造されたWindows FTPサーバーはより安全です

Windows 2000システムはFTPサービス機能を提供します、それは使いやすく、そしてWindowsシステム自体は密接に結合され、そしてユーザーの間で非常に人気があります。しかし、IIS 5.0でセットアップされたFTPサーバーは本当に安全ですか？そのデフォルト設定は実際には多くのセキュリティ上のリスクがあり、ハッカーの標的になるのは簡単です。 FTPサーバーをより安全にする方法は、少し変更することで実現できます。

Windows 2000システムはFTPサービス機能を提供します使いやすいのでWindowsシステム自体と密接に統合されており、ユーザーの間で非常に人気があります。しかし、IIS 5.0でセットアップされたFTPサーバーは本当に安全ですか？そのデフォルト設定は実際には多くのセキュリティ上のリスクがあり、ハッカーの標的になるのは簡単です。 FTPサーバーをより安全にする方法は、少し変更することで実現できます。

1回キャンセル匿名アクセス機能

デフォルトでは、Windows 2000システムのFTPサーバーでは匿名アクセスが許可されています。セキュリティ上のリスク正当なアカウントを申請する必要がなく、FTPサーバーにアクセスしたり、ファイルをアップロードおよびダウンロードしたりすることもでき、特に重要なデータを格納している一部のFTPサーバーでは漏洩しやすいため、匿名アクセス機能をキャンセルすることをお勧めします。

Windows 2000システムで、[スタート] - [プログラム] - [管理ツール] - [インターネットサービスマネージャ]の順にクリックし、ポップアップ管理コンソールウィンドウを表示します。次に、ウィンドウの左側にあるローカルコンピュータのオプションを展開すると、IIS5.0に付属のFTPサーバーが表示されます匿名アクセス機能をキャンセルする方法を説明するために、例として既定のFTPサイトを使用します。
[既定のFTPサイト]項目を右クリックして、右クリックメニューの[']を選択し、既定のFTPサイトのプロパティダイアログボックスを表示して[セキュリティアカウント]タブに切り替え、[匿名を許可]をキャンセルします。前に接続を確認し（図1を参照）、最後に[OK]ボタンをクリックします。そうすれば、ユーザーはFTPサーバーにアクセスするために匿名アカウントを使用できないので、正規のアカウントを持っている必要があります。
図1匿名アクセスを無効にしてログを有効にする

Windowsのログはシステムの実行に関するすべての情報を記録しますが、多くの管理者はログ機能に十分な注意を払いません。機能、これは絶対に不可能です。 FTPサーバーのログには、アクセス時間、クライアントのIPアドレス、使用したログインアカウントなど、すべてのユーザーのアクセス情報が記録されますこの情報は、FTPサーバーを安定して運用するために非常に重要です。障害を見つけて、時間内にそれを取り除きます。そのため、FTPロギングを必ず有効にしてください。

[既定のFTPサイトのプロパティ]ダイアログボックスで[FTPサイト]タブページに切り替え、[イベントビューア]に表示されるように[ログを有効にする]オプションが選択されていることを確認します。; FTPログレコードを表示します。

3ユーザーのアクセス権を正しく設定する

各FTPユーザーアカウントには一定のアクセス権がありますが、ユーザーの権限を不当に設定すると、FTPサーバーにセキュリティ上のリスクが生じる可能性があります。たとえば、サーバーのCCEフォルダでは、CCEUSERアカウントに読み取り、書き込み、変更、および一覧表示のアクセス許可のみを許可し、他のユーザーによるアクセスを禁止していますが、デフォルトでは他のユーザーによるCCEフォルダの読み取りおよび一覧のアクセス許可が許可されます。そのため、このフォルダのユーザーアクセス権を再設定する必要があります。

CCEフォルダを右クリックして、ポップアップメニューから[プロパティ]を選択し、[セキュリティ]タブページに切り替えます。まず、Everyoneユーザーアカウントを削除してから、[追加]ボタンをクリックします。 CCEUSERアカウントを[名前]リストボックスに追加し、[アクセス許可]リストボックスで[変更]、[読み取りと実行]、[フォルダディレクトリの一覧表示]、[読み取りと書き込みのオプション]を選択し、最後に[OK]ボタンをクリックします。このようにして、CCEフォルダはCCEUSERユーザだけがアクセスできます。

5つのディスク使用制限を有効にする

FTPサーバーのディスク容量リソースは貴重で無制限であり、ユーザーにとって非常に無駄が多いため、各FTPユーザーが使用するディスク容量を使用する必要があります。制限事項次の例では、例としてCCEUSERユーザーを使用し、それを100Mディスクスペースに制限します。

エクスプローラウィンドウで、CCEフォルダがあるハードドライブの文字を右クリックし、ポップアップメニューの[プロパティ]をクリックして、[クォータ]タブページに切り替えます（図2）。 [クォータ]タブのすべてのクォータ設定オプションを有効にするには、[クォータ管理を有効にする]チェックボックスをオンにします。クォータ制限を超えるユーザーにディスク容量を残します。

図2 FTPストレージ容量を制限してから、ボリューム上の新規ユーザーのデフォルトの割り当て制限を選択します。'ボックスで[ディスク容量を制限する]オプションを選択し、次の列に100と入力して、ディスク容量の単位を[MB]として選択し、警告レベルを[']に設定します。列に「96」と入力すると、容量単位も「MB」として選択され、デフォルトのクォータ設定が完了します。さらに、ユーザーがクォータ制限を超えたときに "Events"イベントをチェックし、 "Events"チェックボックスをチェックしてクォータアラームイベントをWindowsログに記録します。

[クォータ]タブの下部にある[クォータ]ボタンをクリックして[ディスククォータ]ダイアログボックスを開き、[クォータ]、[新しいクォータ]の順にクリックし、[ユーザーの選択]ダイアログボックスを開き、[CCEUSERユーザー]をクリックします。 - [決定]ボタンをクリックして、[新しい割り当てアイテムの追加]ダイアログボックスでCCEUSERユーザーの割り当てパラメータを設定し、[ディスク容量を制限する]を選択します。次の列に「100」と入力します。次に、[警告レベルの設定]列に「96」と入力します。ディスク容量の単位は「MB」です。最後に[OK]ボタンをクリックして、ディスククォータの設定を完了します。 100MBのディスクスペースで、96MBを超えると警告が出されます。

5つのTCP /IPアクセス制限

FTPサーバのセキュリティを確保するために、あなたはまた、特定のIPアドレスへのアクセスを拒否することができます。 [既定のFTPサイトのプロパティ]ダイアログボックスで、[ディレクトリセキュリティ]タブに切り替え、[アクセスの許可]オプションを選択し（図3を参照）、[下に表示されたものを除く]の[']をクリックします。; [追加]ボタン、ポップアップ[次のアクセスを拒否]ダイアログボックスで、単一のIPアドレスまたは一連のIPアドレスアクセスを拒否することができます。例として単一のIPアドレスを選択し、[単一のコンピュータ]オプションを選択します。 [アドレス]列にコンピュータのIPアドレスを入力して、[OK]ボタンをクリックします。この方法でリストに追加されたIPアドレスは、FTPサーバーにアクセスできません。

FTPサーバーのセキュリティを強化することも可能です。 Windows 2000システムで、[コントロールパネル]、[管理ツール]の順にクリックし、ローカルセキュリティポリシーツールを実行します。

1.アカウントのログインイベントを確認します。

ローカルセキュリティ設定ウィンドウで、[セキュリティ設定] - [ローカルポリシー] - [監査戦略]の順に展開し、右側のフレームに移動します。 「Audit Account Login Event」プロジェクト（図4）を見つけ、ダブルクリックしてプロジェクトを開き、「設定」ダイアログボックスで「成功」と「失敗」を選択して、最後に「OK」ボタンをクリックします。 。ポリシーが有効になると、FTPユーザーの各ログインはログに記録されます。

図4ユーザーログイン情報の記録2.アカウントパスワードの複雑さの強化

一部のFTPアカウントのパスワード設定単純すぎて、それは "無法"にひびが入っているかもしれません。 FTPサーバのセキュリティを向上させるために、ユーザは複雑なアカウントパスワードを設定することを強いられなければなりません。

ローカルセキュリティ設定ウィンドウで、右側のボックスにある[セキュリティ設定] - [アカウントポリシー] - [パスワードポリシー]の順に展開します。パスワードは複雑さの要件を満たしている必要があります。'開いたら、[有効]シングルオプションをオンにして、最後に[OK]ボタンをクリックします。

次に、[Password Length Minimum]項目を開いて、FTPアカウントのパスワードの最小文字数を設定します。これにより、パスワードのセキュリティが大幅に向上します。

3.アカウントのログイン制限

不正なユーザーの中には、ハッキングツールを使ってFTPサーバーに繰り返しログインし、アカウントのパスワードを推測する人がいます。これは非常に危険なので、アカウントのログイン数を制限することをお勧めします。

[セキュリティの設定] - [アカウントポリシー] - [アカウントロックアウトポリシー]を展開し、右側のフレームで[アカウントロックアウトのしきい値]項目を見つけてダブルクリックし、アカウントログインの最大数を開きます。この値を超えると、アカウントは自動的にロックされます。その後、「アカウントロック時間」項目を開いてFTPアカウントがロックされる時間を設定しますアカウントがロックされると、この時間を超えた場合は再利用することができます。

上記の手順を設定した後、ユーザーのFTPサーバーはより安全になり、違法に侵入される必要がなくなります。