Windows 2003 系统环境下自带的ftp服务安全配置

小草根

本文是对windows 2003 系统中自带的iis6.0的ftp的安全配置。安装过程和建立站点的过程这里不在重复。

在使用webscan检测网站的时候，会发现存在ftp匿名访问的问题，该漏洞可以不需要密码就能够访问我们的ftp，这将直接导致黑客可以编辑修改我们的文件，以及上传恶意代码，来进行进一步的危害。

一、不允许匿名访问
在开始菜单->所有程序->管理工具中，选择 Internet 信息服务(IIS)管理器（图1），打开 Internet 信息服务(IIS)管理器，界面如图2.



接下来展开找到我们已经建立好的ftp站点，右键“ftp站点”（我这里是默认ftp站点），选择 “属性”，切换到“安全账户”，这里会看到“允许匿名连接”是选中状态，我们把“允许匿名连接” 的复选框去掉，会弹出如图4的对话框，我们选择是。点击应用之后这样就不会存在匿名访问问题了。

二、多用户隔离
下面设置用户隔离的ftp，并对其ftp进行权限设置。我们先创建一个ftp账户。这么做的目的是降低我们的ftp用户的权限来保障安全。防止被开源后进行越权访问。具体操作如下：
右键单击 “我的电脑”，选择“管理”，展开“本地用户和组”，选择“用户”。可以打开用户帐户管理。右键单击“账户”，选择“新用户”，我们创建一个新的ftp账户，这里注意，不要设置弱口令，最好设置包含大小写字母+特殊符号+数字，并且不低于10位数最好。我们这里以ftp2为例进行示范。



创建好用户后，我们右键单击ftp2用户，选择“属性”，切换到“隶属于”选项，我们这里把Users删除，点击添加，在弹出来的对话框中选择“高级”，在点击右边的立即查找，在出现的用户组中选择IIS_WPG组，点击确定。


接下来创建ftp文件夹,在ftp的根目录下，创建一个跟我们账户一样的文件夹。接着，我们右键单击我们的ftp站点，选择新建->创建虚拟目录。在弹出来的对话框中选择下一步，这里我们需要输入ftp的别名（这里是ftp2），这里跟我们的创建的用户名需要一致（注意：别名和创建的文件夹和账户名需要一致。），点击下一步，这里选择我们新建立的文件夹的路径。这样我们就可以访问ftp了。



三、用户目录安全性设置
以上我们降低了ftp用户的权限，这里在来对用户对ftp的文件夹的操作权限进行设置。以ftp2账户对应的ftp2文件夹为例，以系统管理员身份登录，选中文件夹并右键选择“安全”选项卡，默认情况下这里有非常多的已经继承于上级文件夹的权限，
我们需要做的是删掉这些默认的权限，但是在删除的时候会出现系统提示：
因为“SYSTEM”从其父系继承权限，您无法删除此对象。要删除“SYSTEM
“必须阻止对象继承权限。关闭继承权限的选项，然后重试删除“SYSTEM”
因为权限是继承上级文件夹的，所以不能直接删除，需要单击“高级”按钮，进入此文件夹的“高级安全设置”
删除默认用户后，我们添加ftp2用户。权限根据自己的实际情况进行分配。

四、ip限制策略
通过ip限制策略，我们限制用户登录ftp的ip地址。依次指向IIs管理器的FTP站点，右击并选择 “ftp属性”，打开“目录安全性”，在界面中选择“拒绝访问”，然后单击“添加”按钮定义允许访问的单一计算机、多台计算机，设置好的界面“目录安全性”是通过FTP用户的登录IP进行判断的一种机制.

下图中的“拒绝访问”代表默认拒绝所有IP的FTP使用请求，除非请求登录FTP的计算机IP地址包含在“下面列出的除外”列表框中。通过这个设置，管理员可以控制唯一的，或者是极少的绝对信任IP可以使用。

五、其他
通过以上的设置，ftp的设置就比较安全了，同时我们还可以对其进行使用ftp密码策略，设置密码过期时间，账户锁定设置等。这部分大家可以到网络上搜索。
对于FTP站点的建立，与本文同理

来自建站学习研究资源开放平台【www.cgzz8.cn】