Win 2000がFTPサーバーをより安全にする方法

匿名アクセス機能を取り消す

デフォルトでは、Windows 2000システムのFTPサーバーは匿名アクセスを許可しますが、匿名アクセスではユーザーがファイルをアップロードおよびダウンロードできます。ただし、セキュリティ上の大きなリスクがあります。ユーザーは有効なアカウントを申請する必要はなく、自分のFTPサーバーにアクセスしたり、ファイルをアップロードしたりダウンロードしたりすることさえできます、特に重要なデータを格納するFTPサーバーでは漏洩しやすいため、匿名アクセス機能をキャンセルすることをお勧めします。

Windows 2000の場合は、[スタート]→[プログラム]→[管理ツール]→[インターネットサービスマネージャ]の順にクリックして、管理コンソールウィンドウを開きます。次に、ウィンドウの左側にあるローカルコンピュータオプションを展開すると、IIS5.0に付属のFTPサーバーが表示されます匿名アクセス機能をキャンセルする方法を説明するために、例として既定のFTPサイトを使用します。

[既定のFTPサイト]項目を右クリックしてコンテキストメニューから[プロパティ]を選択し、[既定のFTPサイトのプロパティ]ダイアログボックスを表示して[セキュリティアカウント]タブに切り替え、[匿名接続を許可]をキャンセルします。 （図1）をチェックし、最後に「OK」ボタンをクリックしてください。そうすれば、ユーザーはFTPサーバーにアクセスするために匿名アカウントを使用することはできません、あなたは正当なアカウントを持っている必要があります。

システムが稼働しているが、多くの管理者は十分な注意を払っていないのログすべての情報のロギング2
ログを有効にする

Windowsは、サーバーのリソースを節約するために、FTPサーバのログを無効にします、これは絶対に不可能です。 FTPサーバーのログには、アクセス時間、クライアントのIPアドレス、使用したログインアカウントなど、すべてのユーザーのアクセス情報が記録されますこの情報は、FTPサーバーを安定して運用するために非常に重要です。障害を見つけて、時間内にそれを取り除きます。そのため、必ずFTPロギングを有効にしてください。

[既定のFTPサイトのプロパティ]ダイアログで、[FTPサイト]タブに切り替えて、イベントログにFTPのログを表示できるように、[ログの有効化]オプションが選択されていることを確認します。そうです。

3ユーザーのアクセス権を正しく設定する

各FTPユーザーアカウントには特定のアクセス権がありますが、不当なユーザー権限の設定によってもFTPサーバーのセキュリティにリスクが生じる可能性があります。たとえば、サーバーのCCEフォルダでは、CCEUSERアカウントに読み取り、書き込み、変更、および一覧表示のアクセス許可のみを許可し、他のユーザーによるアクセスを禁止していますが、デフォルトでは他のユーザーによるCCEフォルダの読み取りおよび一覧のアクセス許可が許可されます。そのため、このフォルダに対するユーザーアクセス権を再設定する必要があります。

CCEフォルダを右クリックし、ポップアップメニューから[プロパティ]を選択して[セキュリティ]タブに切り替え、まずEveryoneユーザーアカウントを削除してから[追加]ボタンをクリックしてCCEUSERアカウントを名前リストに追加します。ボックスで、[アクセス権]リストボックスの[変更]、[読み取りと実行]、[フォルダディレクトリの一覧表示]、[読み取りと書き込みのオプション]を選択し、最後に[OK]ボタンをクリックします。このようにして、CCEフォルダはCCEUSERユーザだけがアクセスできます。
4つのenable disk quota

FTPサーバーのディスク容量リソースは貴重で無制限にユーザーに使用されるため、膨大な無駄が生じるため、各FTPユーザーが使用するディスク容量を制限してください。次の例では、例としてCCEUSERユーザーを使用し、それを100Mディスクスペースに制限します。

エクスプローラウィンドウで、CCEフォルダがあるハードドライブのドライブ文字を右クリックし、ポップアップメニューから[プロパティ]を選択して、[クォータ]タブ（図2）に移動し、[]を選択します。 [クォータの管理]チェックボックスをオンにして、[クォータ]タブのすべてのクォータ設定オプションを有効にします一部のFTPユーザーがサーバーのディスク容量を使い過ぎないようにするには、[クォータ制限を超えるユーザーに対してディスク容量を拒否する]を選択します。チェックボックス

その後、「デフォルトのクォータ制限の選択にボリュームの新しいユーザー」の選択ボックス100、「MB」のディスク容量の制限「1つのオプションとして選択したディスク容量ユニットは、その後、バーの後ろに入力します。次に、警告レベルを設定し、[Set warning level to]フィールドに「96」と入力し、容量単位として[MB]を選択して、デフォルトのクォータ設定を完了します。さらに、「ユーザーがクォータ制限を超えたときにイベントをログに記録する」および「ユーザーが警告レベルを超えたときにイベントをログに記録する」チェックボックスをオンにして、クォータアラームイベントをWindowsログに記録します。

クォータタブの一番下にある[クォータアイテム]ボタンをクリックして[ディスククォータアイテム]ダイアログボックスを開き、[クォータ→新規クォータアイテム]をクリックして[ユーザーの選択]ダイアログボックスを表示します。ボタンをクリックし、[新しいクォータアイテムの追加]ダイアログボックスでCCEUSERユーザーのクォータパラメータを設定し、[ディスク容量を制限する]オプションを選択して、次の列に「100」と入力し、[警告レベル]を欄に「96」と入力し、ディスク容量の単位は「MB」、最後に「OK」ボタンをクリックしてディスククォータの設定を完了します。CCEUSERユーザは100MBのディスクスペースしか使用できず、96MB以上の警告が表示されます。
5つのTCP /IPアクセス制限

FTPサーバーのセキュリティを確保するために、特定のIPアドレスへのアクセスを拒否することもできます。 [既定のFTPサイトのプロパティ]ダイアログボックスで、[ディレクトリセキュリティ]タブに切り替えて[アクセスの許可]を選択し（図3）、[以下に表示されたもの以外]ボックスの[追加]ボタンをクリックします。次のアクセスダイアログボックスを拒否します。ここで、単一のIPアドレスまたは一連のIPアドレスアクセスを拒否し、単一のIPアドレスを例に取り、[single machine]オプションを選択してから[IP address]フィールドにコンピュータのIPアドレスを入力します。 「OK」ボタンをクリックしてください。この方法でリストに追加されたIPアドレスはFTPサーバーにアクセスできません。グループポリシーの

6つの合理的なセット

グループポリシーの項目への変更を通じて、また、FTPサーバーのセキュリティを強化することができます。 Windows 2000では、コントロールパネル→管理ツールと進み、ローカルセキュリティポリシーツールを実行します。

1.監査アカウントログインイベント

[ローカルセキュリティ設定]ウィンドウで、[セキュリティの設定]→[ローカルポリシー]→[監査ポリシー]の順に展開し、右側のボックスで監査アカウントを探します。イベント「project（図4）」にログインし、ダブルクリックしてプロジェクトを開き、設定ダイアログで「成功」と「失敗」を選択して、最後に「OK」ボタンをクリックします。ポリシーが有効になると、FTPユーザーの各ログインはログに記録されます。一部のFTPアカウントに

2.強化されたアカウントのパスワードの複雑

あまりにも単純なパスワード、亀裂を「犯罪者」があるかもしれません。 FTPサーバーのセキュリティを向上させるために、ユーザーは複雑なアカウントパスワードを設定することを強いられる必要があります。

[ローカルセキュリティ設定]ウィンドウで、[セキュリティ設定]→[アカウントポリシー]→[パスワードポリシー]の順に展開し、右側のフレームでパスワードが複雑さの要件を満たしている必要があります。シングルオプションを有効にして、最後に[OK]ボタンをクリックします。

次に、[最小パスワード長]項目を開き、FTPアカウントのパスワードの最小文字数を設定します。これにより、パスワードのセキュリティが大幅に向上します。

3.アカウントのログイン制限

不正なユーザーの中には、アカウントのパスワードを推測するためにハッキングツールを使用してFTPサーバーに繰り返しログインする人がいます。これは非常に危険なので、アカウントのログイン数を制限することをお勧めします。

[セキュリティの設定]→[アカウントポリシー]→[アカウントロックアウトポリシー]の順に展開し、右側のフレームにある[アカウントロックアウトのしきい値]項目をクリックしてダブルクリックし、アカウントの最大ログイン数を設定します。アカウントは自動的にロックされます。次に、「アカウントロック時間」項目を開いて、FTPアカウントをロックする時間を設定しますアカウントがロックされると、この時間を超えた場合は再利用することができます。

上記のステップを設定した後、私たちのFTPサーバーはより安全になり、もはや違法に侵入される必要はなくなります。zh-CN"],null,[1],zh-TW"]]]