Windows2000システムはFTPサービス機能を提供しますシンプルで使いやすいのでWindowsシステム自体と密接に統合されており、ユーザーの間で非常に人気があります。しかし、IIS 5.0で設定されたFTPサーバーは本当に安全ですか?そのデフォルト設定は実際には多くのセキュリティ上のリスクがあり、ハッカーの標的になるのは簡単です。 FTPサーバーをより安全にする方法は、少し変更することで実現できます。
は、
、、匿名アクセスを許可するようにデフォルトで
匿名アクセス、Windows2000のシステムのFTPサーバ
簡単にファイルをアップロードおよびダウンロードするユーザーのためものの匿名アクセスをキャンセル機能しかし、大きなセキュリティ上のリスクがあります。正当なアカウントを申請する必要がなく、FTPサーバーにアクセスしたり、ファイルをアップロードおよびダウンロードしたりすることもでき、特に重要なデータを格納している一部のFTPサーバーでは漏洩しやすいため、匿名アクセス機能をキャンセルすることをお勧めします。
Windows2000システムで、[スタート]→[プログラム]→[管理ツール]→[インターネットサービスマネージャ]の順にクリックして、管理コンソールウィンドウを開きます。次に、ウィンドウの左側にあるローカルコンピュータのオプションを展開すると、IIS5.0に付属のFTPサーバーが表示されます匿名アクセス機能をキャンセルする方法を説明するために、例として既定のFTPサイトを使用します。
[既定のFTPサイト]項目を右クリックしてコンテキストメニューから[プロパティ]を選択し、[既定のFTPサイトのプロパティ]ダイアログボックスを表示して[セキュリティアカウント]タブに切り替え、[匿名接続を許可]をキャンセルします。ユーザーが匿名アカウントを使用してFTPサーバーにアクセスできないように、最後に[OK]ボタンをクリックしてチェックし、有効なアカウントを持っている必要があります。
は、 2は、システムが稼働しているが、多くの管理者は十分な注意を払っていないのログ、サーバリソースを節約するために、無効なすべての情報でログインし
のWindows
ロギングを有効にできますFTPサーバーのロギング、これは絶対に必要です。 FTPサーバーのログには、アクセス時間、クライアントのIPアドレス、使用したログインアカウントなど、すべてのユーザーのアクセス情報が記録されますこの情報は、FTPサーバーを安定して運用するために非常に重要です。障害を見つけて、時間内にそれを取り除きます。そのため、FTPロギングを必ず有効にしてください。
デフォルトのFTPサイトのプロパティダイアログで、[FTPサイト]タブに切り替え、[ログを有効にする]オプションが選択されていることを確認して、イベントビューアでFTPログを表示できるようにします。そうです。
3つのユーザーのアクセス権限は、各FTPユーザアカウントが特定のアクセス権を持っている
正しく設定されているが、ユーザーのアクセス許可を設定するのは無理、また、FTPサーバにつながることができますセキュリティ上のリスクがあります。たとえば、サーバーのCCEフォルダでは、CCEUSERアカウントには読み取り、書き込み、変更、および一覧表示のアクセス許可しか与えられておらず、他のユーザーはアクセスできませんが、デフォルトでは他のユーザーはCCEフォルダの読み取りおよび一覧表示アクセス許可を持ちます。そのため、このフォルダのユーザーアクセス権を再設定する必要があります。
CCEフォルダを右クリックして、ポップアップメニューの[プロパティ]を選択し、[セキュリティ]タブに切り替えます。最初にEveryoneユーザアカウントを削除してから、[追加]ボタンをクリックしてCCEUSERアカウントを名前リストに追加します。ボックスで、[アクセス許可]リストボックスの[変更]、[読み取りと実行]、[フォルダディレクトリの一覧表示]、[読み取りと書き込みのオプション]を選択し、最後に[OK]ボタンをクリックします。このようにして、CCEフォルダはCCEUSERユーザだけがアクセスできます。
FTPサーバーのディスク容量は、ユーザー無制限の使用を許可する、貴重な資源である
4対応のディスククォータは、各FTP用のため、巨大な廃棄物を引き起こすことがバインドされており、ユーザーが使用するディスク容量が制限されています。次の例では、例としてCCEUSERユーザーを使用し、それを100Mディスクスペースに制限します。エクスプローラウィンドウで
、CCEフォルダ、ポップアップメニューは、「プロパティ」を選択し、ドライブ文字を右クリックして「クォータ」タブに切り替え、「クォータ管理を有効にする」を選択し、複雑な一部のFTPユーザーがサーバーのディスク容量を使い過ぎないようにするには、[クォータ制限を超えるユーザーにディスク容量を拒否する]チェックボックスをオンにします。
次に、[このボリュームの新規ユーザーのデフォルトクォータ制限を選択]ボックスで[ディスク容量の制限]オプションを選択し、次の列に100と入力して、ディスク容量の単位を[MB]として選択します。次に、警告レベルを設定し、[Set warning level to]フィールドに「96」と入力し、容量単位として[MB]を選択して、デフォルトのクォータ設定を完了します。さらに、「ユーザーがクォータ制限を超えたときにイベントをログに記録する」および「ユーザーが警告レベルを超えたときにイベントをログに記録する」チェックボックスをオンにして、クォータアラームイベントをWindowsログに記録します。
クォータタブページの一番下にある[クォータアイテム]ボタンをクリックして[ディスククォータアイテム]ダイアログボックスを開き、[クォータ→新規クォータアイテム]をクリックして[ユーザーの選択]ダイアログボックスを表示します。ボタンをクリックし、[新しいクォータアイテムの追加]ダイアログボックスでCCEUSERユーザのクォータパラメータを設定し、[ディスク容量を制限する]オプションを選択し、次の列に「100」と入力して、警告レベルを「」に設定します。欄に「96」と入力し、ディスク容量の単位は「MB」、最後に「OK」ボタンをクリックしてディスククォータの設定を完了します。CCEUSERユーザは100MBのディスクスペースしか使用できず、96MBを超えると警告が表示されます。 5つのTCP /IPアクセス制限
FTPサーバーのセキュリティを確保するために、特定のIPアドレスへのアクセスを拒否することもできます。 [既定のFTPサイトのプロパティ]ダイアログボックスで、[ディレクトリセキュリティ]タブに切り替え、[アクセスの許可]オプションを選択して、下の[除外リスト]ボックスの[追加]ボタンをクリックして[次のアクセスを拒否]ダイアログを表示します。ボックス、ここであなたは単一のIPアドレスまたはIPアドレスアクセスのセットを拒否し、例として単一のIPアドレスを取り、「単一のマシン」オプションを選択し、そして「IPアドレス」フィールドにマシンのIPアドレスを入力しそして最後に「OK」ボタンをクリックします。この方法でリストに追加されたIPアドレスは、FTPサーバーにアクセスできません。
グループポリシーのプロジェクトを変更することで、グループポリシー
の6つの合理的なセットが、それはまた、FTPサーバーのセキュリティを強化することができます。 Windows 2000システムで、コントロールパネル→管理ツールと進み、ローカルセキュリティポリシーツールを実行します。 1.アカウントのログインイベントの監査ローカルセキュリティ設定ウィンドウで、[セキュリティの設定]→[ローカルポリシー]→[監査ポリシー]の順に展開し、右側のボックスで監査アカウントを探します。イベント「プロジェクト」にログインし、ダブルクリックしてプロジェクトを開き、設定ダイアログで「成功」と「失敗」を選択して、最後に「OK」ボタンをクリックします。ポリシーが有効になると、FTPユーザーの各ログインはログに記録されます。
2.強化あまりに単純なパスワードの複雑
FTPアカウントのアカウントのパスワードのいくつかは、亀裂を「犯罪者」である可能性が高いがあります。 FTPサーバのセキュリティを向上させるために、ユーザは複雑なアカウントパスワードを設定することを強いられなければなりません。
ローカルセキュリティ設定ウィンドウで、セキュリティ設定→アカウントポリシー→パスワードポリシーの順に展開し、右側のフレームで「パスワードは複雑さの要件を満たす必要があります」をダブルクリックして開き、「すでに」を選択します。シングルオプションを有効にして、最後に[OK]ボタンをクリックします。
次に、[パスワードの長さ]項目を開き、FTPアカウントのパスワードの最小文字数を設定します。これにより、パスワードのセキュリティが大幅に向上します。 3.アカウントのログイン制限いくつかの違法なユーザーは、アカウントのパスワードを推測するためにFTPサーバーに繰り返しログインするためにハッキングツールを使用します。これは非常に危険なので、アカウントのログイン数を制限することをお勧めします。
[セキュリティの設定]→[アカウントポリシー]→[アカウントロックアウトポリシー]の順に選択し、右側のフレームで[アカウントロックアウトのしきい値]をダブルクリックして、アカウントの最大ログイン数を設定します。アカウントは自動的にロックされます。その後、「アカウントロック時間」項目を開いて、FTPアカウントをロックする時間を設定しますアカウントがロックされると、この時間を超えた場合は再利用することができます。
は、上記の手順を設定することで、ユーザーのFTPサーバーをより安全になります後は、もはや違法な侵略を恐れる必要はありません。