中国移动FTP服务器安全配置手册24851.docx

《中国移动FTP服务器安全配置手册24851.docx》由会员分享，可在线阅读，更多相关《中国移动FTP服务器安全配置手册24851.docx（36页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、密 级：文档编号号：项目代号号：中国移动动企业FFTP服服务器安全配置置手册Verssionn 1.0中国移动动通信有有限公司司二零零四四年十一一月拟 制制:审 核核:批 准准:会 签签:标准化:版本控制制版本号日期参与人员员更新说明明分发控制制编号读者文档权限限与文档的的主要关关系1创建、修修改、读读取负责编制制、修改改、审核核2批准负责本文文档的批批准程序序3标准化审审核作为本项项目的标标准化负负责人，负负责对本本文档进进行标准准化审核核4读取5读取目 录1 FTTP安全全问题551.1 FTPP概述51.2 FTPP的包过过滤（PPackket Fillterringg）方式式51.3

2、匿名FTTP服务务61.4 FTPP代理服服务器661.5 FTPP的安全全问题771.5.1 FFTP安安全缺陷陷71.5.2 FFTP易易受的攻攻击72 IIIS 55.0 FTPP服务器器的安全全配置882.1 Winndowws 220000及IISS 5.0的安安全配置置82.1.1 WWinddowss 20000安安全配置置82.1.2 IIIS的的安全配配置1222.2 IISS 5.0 FFTP服服务器的的安全配配置1552.2.1 取取消匿名名访问功功能1662.2.2 启启用日志志记录1162.2.3 正正确设置置用户访访问权限限172.2.4 启启用磁盘盘配额1172.

3、2.5 TTCP/IP访访问限制制192.2.6 合合理设置置组策略略193 IIIS 66.0 FTPP安全配配置2113.1 概述2113.2 系统服服务2113.3 安全设设置2223.3.1 仅仅安装必必要的 IISS 组件件223.3.2 仅仅启用必必要的 Webb 服务务扩展2223.3.3 在在专用磁磁盘卷中中放置内内容2333.3.4 设设置 NNTFSS 权限限243.3.5 设设置 IIIS Webb 站点点权限2253.3.6 配配置 IIIS 日志2663.3.7 保保护众所所周知帐帐户的安安全2773.3.8 保保护服务务帐户的的安全2283.3.9 用用 IPPSe

4、cc 过滤滤器阻断断端口2283.4 IIIS 66.0 安全加加强最佳佳实践3303.4.1 通通用最佳佳安全实实践3003.4.2 IIIS最最佳安全全实践3304 WWu-FFTP的的安全配配置3114.1 禁止匿匿名登录录324.2 新增用用户3334.3 让用户户只能访访问自身身的hoome目目录3334.4. 不能能存取 sheell3344.5 确定wuu-fttpd是是否存在在SITTE EEXECC安全漏漏洞3445 安全全检查列列表3551 FTTP安全全问题1.1 FTPP概述FTTP（FFilee Trranssferr Prrotoocoll）即文文件传输输协议，用用

5、来从一一台机器器传送文文件到另另一台机机器上。可以使用FTP来传送任何类型的文件，包括二进制文件、图形文件、ASCII文本文件、PostScript打印文件、音频及视频文件等。有两种类型的FTP访问，即有名和匿名FTP。有名FTP要求用户在服务器上有帐号，当他登录时他可以拥有他应该拥有的一切资源。匿名FTP是为了那些在服务器上没有帐号的人提供的，主要是用来使用户访问一些公用资源。1.2 FTPP的包过过滤（PPackket Fillterringg）方式式包过滤即即是只基基于TCCP/IIP包的的检测。FFTP使使用两个个独立的的TCPP连接：一个在在服务器器和客户户程序之之间传递递命令和和结

6、果（通通常称为为命令通通道）；另一个个用来传传送真实实的文件件和目录录列表（通通常称为为数据通通道）。在在服务器器上，命命令通道道使用众众所周知知的端口口号211，数据据通道为为端口号号20。客客户程序序则在命命令和数数据通道道上分别别使用大大于10023的的端口（根根据TCCP/IIP协议议，端口口对应于于INTTERNNET应应用层，不不同的应应用层客客户程序序有其缺缺省的端端口号，如如FTPP为200、211，HTTTP为为80）。在开始一一个FTTP的连连接时，客客户程序序首先为为自己分分配两个个大于110233的TCCP端口口，它使使用第一一个端口口作为命命令通道道端口与与服务器器连

7、接，然然后发出出PORRT命令令（通常常是POORT C，CC，C，CC，F，FF，其中中C，CC，C，CC为客户户端IPP地址，FF，F为为第二个个端口号号），告告诉服务务器它的的第二个个作为数数据通道道的端口口号，这这样服务务器就能能打开数数据通道道了。大多数FFTP服服务器（特特别是那那些用在在INTTERNNET上上的主要要匿名FFTP站站点）和和许多FFTP客客户程序序都支持持一种客客户程序序打开命命令通道道和数据据通道来来连接到到FTPP服务器器的修改改方式，这这种方式式被称之之为反反向方式式或PASSV方式式。在使用反反向方式式时，一一个FTTP客户户程序需需要分配配两个TTCP

8、端端口供其其使用。第第一步同同正常方方式，但但客户程程序通过过PASSV命令令代替原原来POORT命命令来告告诉服务务器客户户程序的的第二个个TCPP端口。这这样就能能使服务务器为本本身的数数据通道道分配第第二个TTCP端端口，并并通知客客户程序序所分配配的那个个端口号号。这时时，客户户程序就就从它的的数据通通道的端端口连接接到服务务器刚才才通知它它的那个个端口上上。通过FTTP包过过滤方式式的分析析可以知知道，一一个TCCP连接接可以从从防火墙墙外部实实现，即即一个外外部FTTP服务务器会接接通一个个到内部部的客户户程序的的数据通通道的连连接，来来响应从从内部的的客户程程序发出出的命令令通道

9、连连接。正正是这种种方式，一一方面可可以允许许客户程程序通过过FTPP代理服服务器连连接其他他FTPP服务器器，另一一方面也也给网络络带来了了不安全全性。1.3 匿名FFTP服服务匿名服务务（AnnonyymouusSeerviice）的登录名用anonymous,而口令通常可用用户的Email代替。正是这种服务方式方便了用户，但也不可避免地带来了问题，如客户登录后，往往能够获得一个可写目录（通常是/incoming），这样客户就可以通过PUT上载一个甚至是多个TXT文件，来达到其攻击该FTP服务器或其他FTP服务器的目的，虽然许多FTP服务器都限制匿名用户的权限，如执行权，而许多FTP服务器

10、同HTTP服务器同装在一台机器上，那么匿名用户完全可以利用该可写目录运行命令调用HTTP服务器执行。1.4 FTPP代理服服务器通过FTTP代理理服务器器连接到到匿名服服务器，而而不是直直接同其其连接，主主要基于于两种原原由：其其一，无无法直接接连接，如如防火墙墙的存在在；其二二，出于于不被匿匿名服务务器知晓晓其IPP地址，或或者基于于ATTTACKK，或者者基于匿匿名服务务器限制制客户登登录（通通过限制制IP地地址范围围）。所以对于于防火墙墙内的客客户来说说，它必必须首先先运行FFTP命命令并通通过作为为主机的的防火墙墙连接，连连接完成成后，必必须说明明用户名名和连接接的地点点，在认认证该地

11、地点确实实允许之之后，代代理就与与远程系系统上的的FTPP服务器器建立连连接，用用用户提提供的用用户名开开始登录录。然后后远程服服务器提提示用户户输入口口令，如如果口令令正确则则连接被被允许。对对于非防防火墙内内用户，它它可以通通过任意意代理服服务器来来连接其其目的服服务器，并并达到隐隐藏其地地址的目目的。因因对于目目标服务务器而言言，其知知道的仅仅仅是代代理服务务器的地地址。1.5 FTPP的安全全问题1.5.1 FFTP安安全缺陷陷1.5.1.11 用户户欺骗FTP使使用标准准的用户户名口口令的认认证方法法。这就就使服务务器不能能可靠地地确定一一个用户户是否他他所声称称的那个个人。 1.5

12、.1.2 明文传传输默认情况况下，口口令以明明文方式式传输。这这就使攻攻击者通通过电子子窃听获获得口令令。FTTP会话话没有加加密因此此没有隐隐蔽性。 1.5.2 FFTP易易受的攻攻击1.5.2.11 FTTP的跳跳（bbounnce）攻击FTP跳攻攻击的目目标是配配置为拒拒绝来自自指定IIP地址址（或IIP地址址掩码）连连接的主主机。通通常一个个入侵者者的IPP地址正正好在限限制区域域，因此此他不能能访问FFTP服服务器的的目录。为为了克服服这种限限制，入入侵者使使用另一一台机器器来访问问目标机机器。 为了实现现这种方方法，入入侵者向向中介FFTP目目录写一一个文件件，该文文件包含含有连接

13、接到目标标机器并并获得一一些文件件的命令令。当该该中介连连接目标标主机时时，使用用它自己己的地址址（而不不是入侵侵者的地地址）。因因此，目目标主机机信任该该连接请请求并返返回要求求的文件件。 1.5.2.22 文件件许可权权限错误误权限错误误就是攻攻击者发发现目标标主机上上错误的的文件和和目录权权限获得得特权甚甚至根用用户访问问权来达达到入侵侵的目的的。 1.5.2.33 SIITE EXEEC漏洞洞SITEE EXXEC漏漏洞就是是在早期期的wuu-fttpd版版本允许许远程用用户通过过向211端口发发起teelneet会话话获得sshelll。为为了检查查有没有有该漏洞洞，启动动一个与与2

14、1端端口的ttelnnet对对话并发发出命令令SITTE EEXECC。如果果获得sshelll，就就存在该该漏洞。 2 IIIS 55.0 FTPP服务器器的安全全配置2.1 Winndowws 220000及IIIS 55.0的的安全配配置2.1.1 WWinddowss 20000安安全配置置2.1.1.11 基本本要求l 确保所有有磁盘分分区为NNTFSS分区 l 操作系统统、Weeb主目目录、日日志分别别安装在在不同的的分区l 不要安装装不需要要的协议议，比如如IPXX/SPPX, NettBIOOSl 不要安装装其它任任何操作作系统l 安装Seerviice Pacck 44l 安

15、装最新新的hootfiix具体可参参考微软软网站： htttp:/wwww.miccrossoftt.coom/WWinddowss20000/ddownnloaads2.1.1.22 Wiindoows 服务设设置l 关闭所有有不需要要的服务务* Allertter (diisabble) * CllipBBookk Seerveer (dissablle)* Coompuuterr Brrowsser (diisabble)* DHHCP Cliientt (ddisaablee)* Diirecctorry RRepllicaatorr (ddisaablee)* FTTP ppubll

16、ishhingg seerviice (diisabble)* Liicennse Loggginng SServvicee (ddisaablee)* Meesseengeer (dissablle)* Neetloogonn (ddisaablee)* Neetwoork DDEE (ddisaablee)* Neetwoork DDEE DSSDM (diisabble)* Neetwoork Monnitoor (dissablle)* Pllug andd Pllay (diisabble aftter alll haardwwaree coonfiigurratiion)* Ree

17、motte AAcceess Serrverr (ddisaablee)* Reemotte PProcceduure Calll (RPCC) llocaaterr (ddisaablee)* Sccheddulee (ddisaablee)* Seerveer (dissablle)* Siimplle SServvicees (dissablle)* Sppooller (diisabble)* TCCP/IIP NNetbbioss Heelpeer (dissablle)* Teelepphonne SServvicee (ddisaablee)l 在必要时时禁止如如下服务务* SN

18、NMP serrvicce (opttionnal)* SNNMP traap (opttionnal)* UPPS (opttionnall 设置如下下服务为为自动启启动* Evventtlogg ( reqquirred )* NTT LMM Seecurrityy Prroviiderr (rrequuireed)* RPPC sservvicee (rrequuireed)* WWWW (reqquirred)* Woorksstattionn (lleavve sservvicee onn: wwilll bee diisabbledd laaterr inn thhe ddocuu

19、mennt)* MSSDTCC (rrequuireed)* Prroteecteed SStorragee (rrequuireed)2.1.1.33 删除除 OSS/2 和 PPOSIIX 子子系统: l 删除如下下目录的的任何键键：HKEYY_LOOCALL_MAACHIINESOFFTWAARE MiicroosofftOOS/22 Suubsyysteem ffor NTl 删除如下下的键：HKEYY_LOOCALL_MAACHIINESYSSTEMMCuurreentCConttrollSettCoontrrolSesssioonMaanaggerEnvviroonmeentOs2

20、2LibbPatthl 删除如下下的键：HKEYY_LOOCALL_MAACHIINESYSSTEMMCuurreentCConttrollSettCoontrrolSesssioonMaanaggerSubbSysstemmsOOptiionaalHKEYY_LOOCALL_MAACHIINESYSSTEMMCuurreentCConttrollSettCoontrrolSesssioonMaanaggerSubbSysstemmsPPosiixHKEYY_LOOCALL_MAACHIINESYSSTEMMCuurreentCConttrollSettCoontrrolSesssioonMa

21、anaggerSubbSysstemmsOOS2l 删除如下下目录：c:wwinnntssysttem332oos22.1.1.44 帐号号和密码码策略l 保证禁止止gueest帐帐号l 将admminiistrratoor改名名为比较较难猜的的帐号l 密码唯一一性：记记录上次次的 66 个密密码l 最短密码码期限：2l 密码最长长期限：42l 最短密码码长度：8l 密码复杂杂化(ppasssfillt.ddll)：启用用l 用户必须须登录方方能更改改密码：启用l 帐号失败败登录锁锁定的门门限：66l 锁定后重重新启用用的时间间间隔：7200分钟2.1.1.55 保护护文件和和目录将C:win

22、nnt, C:wiinnttcoonfiig, C:winnntsysstemm32, C:wiinnttsyysteem等目目录的访访问权限限做限制制，限制制eveeryoone的的写权限限，限制制useers组组的读写写权限2.1.1.66 注册册表一些些条目的的修改l 去除loogonn对话框框中的sshuttdowwn按钮钮将HKEEY_LLOCAAL_MMACHHINEESOOFTWWAREEMiicroosofftWWinddowssNTCurrrennt VVerssionnWiinloogonn 中SShuttdowwnWiithooutLLogoon值设设为0l 去除loog

23、onn信息的的casshinng功能能将HKEEY_LLOCAAL_MMACHHINEESOOFTWWAREEMiicroosofftWWinddowss NTTCuurreent VerrsioonWWinllogoon中中CaccheddLoggonssCouunt值值设为00l 隐藏上次次登陆的的用户名名将HKEEY_LLOCAAL_MMACHHINEESOOFTWWAREEMiicroosofftWWinddowss NTTCuurreent VerrsioonWWinllogoon中中DonntDiispllayLLasttUseerNaame值值设为11l 限制LSSA匿名名访问将

24、HKEEY_LLOCAAL_MMACHHINEESYYSTEEMCCurrrenttConntroolSeetCConttrollLSSA中RResttriccAnoonymmouss值设为为1l 去除所有有网络共共享将HKEEY_LLOCAAL_MMACHHINEESYYSTEEMCCurrrenttConntroolSeetSServviceesLLanMManSServverParrameeterrs中AAutooShaareSServver值值设为002.1.1.77 启用用TCPP/IPP过滤只允许TTCP端端口800和4443（如如果使用用SSLL），不允许许UDPP端口，只允许许

25、IP Prootoccol 6 (TCPP)。2.1.1.88移动部部分重要要文件并并加访问问控制创建一个个只有系系统管理理员能够够访问的的目录，将将sysstemm32目目录下的的一些重重要文件件移动到到此目录录：xcoppy.eexe, wsscriipt.exee, ccscrriptt.exxe, nett.exxe, ftpp.exxe, tellnett.exxe,aarp.exee, edliin.eexe,pinng.eexe,rouute.exee,att.exxe,ffingger.exee,poosixx.exxe,rrsh.exee,attsvcc.exxe, qbas

26、sic.exee,ruunonnce.exee,syyskeey.eexe,caccls.exee, iipcoonfiig.eexe, rccp.eexe, secffixuup.eexe, nbbtsttat.exee, rrdissk.eexe, deebugg.exxe, reggedtt32.exee, rregeeditt.exxe, editt.coom, nettstaat.eexe, trraceert.exee, nnsloookuup.eexe, reexecc.exxe, cmdd.exxe2.1.1.99 安装装防病毒毒软件2.1.1.110 使使用Hiiseccwe

27、bb.innf安全全模板来来配置该模板配配置基本本的 WWinddowss 20000 系统安安全策略略。 l 将该模板板复制到到 %wwinddir%seecurrityyteempllatees 目目录。 l 打开“安安全模板板”工具，查查看这些些设置。 l 打开“安安全配置置和分析析”工具，然然后装载载该模板板。 l 右键单击击“安全配配置和分分析”工具，然然后从上上下文菜菜单中选选择“立即分分析计算算机”。 l 等候操作作完成。 l 查看结果果，如有有必要就就更新该该模板。 l 右键单击击“安全配配置和分分析”工具，然然后从上上下文菜菜单中选选择“立即配配置计算算机”。2.1.2 II

28、IS的的安全配配置2.1.2.11 关闭闭并删除除默认站站点： l 默认FTTP站点点 l 默认Weeb站点点l 管理Weeb站点点2.1.2.22 建立立自己的的站点与系统不不在一个个分区，如如D:wwwwrooot3。建立 EE:LLogffilees目录录，以后后建立站站点时的的日志文文件均位位于此目目录，确确保此目目录上的的访问控控制权限限是： Admminiistrratoors（完完全控制制）Syysteem（完完全控制制）。2.1.2.33 删除除IISS的部分分目录l IISHHelpp C:wiinnttheelpiisshellp l IISAAdmiin CC:ssyst

29、tem332iinettsrvviiisaddminn l MSADDC CC:PProggramm FiilessCoommoon FFileesSSysttemmsaadc l 删除C:innetppub 2.1.2.44 删除除不必要要的IIIS映射射和扩展展IIS 被预先先配置为为支持常常用的文文件名扩扩展如 .assp 和和 .sshtmm 文件件。IIIS 接接收到这这些类型型 的文文件请求求时，该该调用由由 DLLL 处处理。如如果您不不使用其其中的某某些扩展展或功能能，则应应删除该该映射，步步骤如下下： l 打开 IInteerneet 服服务管理理器： l 选择计算算机名，点

30、点鼠标右右键，选选择属性性： l 然后选择择编辑 l 然后选择择主目录录， 点点击配置置 l 选择扩展展名 .hhtw, .htrr,.idcc,.idaa,.idqq和和.priinteer，点击击删除 l 如果不使使用seerveer ssidee inncluude，则则删除.sshtmm .stmm 和 .sshtmml 2.1.2.55 禁用用父路径径 :“父路径径”选项允允许您在在对诸如如 MaapPaath 函数调调用中使使用“.”。在默默认情况况下，该该选项处处于启用用状态，应应该禁用用它。 禁用该选选项的步步骤如下下： l 右键单击击该 WWeb 站点的的根，然然后从上上下文

31、菜菜单中选选择“属性”。 l 单击“主主目录”选项卡卡。 l 单击“配配置”。 l 单击“应应用程序序选项”选项卡卡。 l 取消选择择“启用父父路径”复选框框。 2.1.2.66 在虚虚拟目录录上设置置访问控控制权限限 主页使用用的文件件按照文文件类型型应使用用不同的的访问控控制列表表： l CGI (.eexe, .ddll, .ccmd, .ppl) l Everryonne (X) l Admiinisstraatorrs（完完全控制制） l Systtem（完完全控制制） l 脚本文件件 (.aspp) l Everryonne (X) l Admiinisstraatorrs（完完全

32、控制制） l Systtem（完完全控制制） l inclludee 文件件 (.incc, .shttm, .shhtmll) l Everryonne (X) l Admiinisstraatorrs（完完全控制制） l Systtem（完完全控制制） l 静态内容容 (.txtt, .giff, .jpgg, .htmml) l Everryonne (R) l Admiinisstraatorrs（完完全控制制） l Systtem（完完全控制制） 在创建WWeb站站点时，没没有必要要在每个个文件上上设置访访问控制制权限，应应该为每每个文件件类型创创建一个个新目录录，然后后在每个个目录

33、上上设置访访问控制制权限、允允许访问问控制权权限传给给各个文文件。 例如，目目录结构构可为以以下形式式： l D:wwwwrroottmyyserrverrsttatiic (.httml) l D:wwwwrroottmyyserrverrinncluude (.iinc) l D:wwwwrroottmyyserrverr sscriipt (.aasp) l D:wwwwrroottmyyserrverr eexeccutaablee (.dlll) l D:wwwwrroottmyyserrverr iimagges (.ggif, .jjpegg) 2.1.2.77 启用用日志记记录

34、 确定服务务器是否否被攻击击时，日日志记录录是极其其重要的的。应使使用 WW3C 扩展日日志记录录格式，步步骤如下下： l 打开 IInteerneet 服服务管理理器： l 右键单击击站点，然然后从上上下文菜菜单中选选择“属性”。 l 单击“WWeb 站点”选项卡卡。 l 选中“启启用日志志记录”复选框框。 l 从“活动动日志格格式”下拉列列表中选选择“W3CC 扩展展日志文文件格式式”。 l 单击“属属性”。 l 单击“扩扩展属性性”选项卡卡，然后后设置以以下属性性： n 客户 IIP 地地址 n 用户名 n 方法 n URI 资源 n HTTPP 状态态 n Win332 状状态 n 用

35、户代理理 n 服务器 IP 地址 n 服务器端端口2.2 IISS 5.0 FFTP服服务器的的安全配配置使用IIIS5.0架设设的FTTP服务务器的默默认设置置其实存存在很多多安全隐隐患，很很容易成成为黑客客们的攻攻击目标标。为了了加强IIIS FTP服服务器的的安全性，需要做做一些设设置。2.2.1 取取消匿名名访问功功能默认情况况下，WWinddowss 20000系系统的FFTP服服务器是是允许匿匿名访问问的，虽虽然匿名名访问为为用户上上传、下下载文件件提供方方便，但但却存在在极大的的安全隐隐患。用用户不需需要申请请合法的的账号，就就能访问问FTPP服务器器，甚至至还可以以上传、下下载

36、文件件，特别别对于一一些存储储重要资资料的FFTP服服务器，很很容易出出现泄密密的情况况，因此此应该取消消匿名访访问功能能。取消匿名名访问功功能的方方法是：右键点点击“默认FFTP站站点”项，在在右键菜菜单中选选择“属性”，接着着弹出默默认FTTP站点点属性对对话框，切切换到“安全账账号”标签页页，取消消“允许匿匿名连接接”前的勾勾选（如如图2-1），最最后点击击“确定”按钮，这这样用户户就不能能使用匿匿名账号号访问FFTP服服务器了了，必须须拥有合合法账号号。图22-1 禁止匿匿名访问问2.2.2 启启用日志志记录FTP服服务器日日志记录录着所有有用户的的访问信信息，如如访问时时间、客客户机

37、IIP地址址、使用用的登录录账号等等，这些些信息对对于FTTP服务务器的稳稳定运行行具有很很重要的的意义，一一旦服务务器出现现问题，就就可以查查看FTTP日志志，找到到故障所所在，及及时排除除。因此此一定要要启用FFTP日日志记录录。启用日志志记录的的方法是是：在FFTP站站点属性性对话框框中，切切换到“FTPP站点”标签页页，确保保“启用日日志记录录”选项被被选中。2.2.3 正正确设置置用户访访问权限限每个FTTP用户户账号都都具有一一定的访访问权限限，但对对用户权权限的不不合理设设置，也也能导致致FTPP服务器器出现安安全隐患患。如服服务器中中的DOOC文件件夹，只只允许DDOCUUSE

38、RR账号对对它有读读、写、修修改、列列表的权权限，禁禁止其他他用户访访问，但但系统默默认设置置，还是是允许其其他用户户对DOOC文件件夹有读读和列表表的权限限，因此此必须重重新设置置该文件件夹的用用户访问问权限。设置方法法是：右右键点击击DOCC文件夹夹，在弹弹出菜单单中选择择“属性”，然后后切换到到“安全”标签页页，首先先删除EEverryonne用户户账号，接接着点击击“添加”按钮，将将DOCCUSEER账号号添加到到名称列列表框中中，然后后在“权限”列表框框中选中中修改、读读取及运运行、列列出文件件夹目录录、读取取和写入入选项，最最后点击击“确定”按钮。2.2.4 启启用磁盘盘配额FTP

39、服服务器磁磁盘空间间资源是是宝贵的的，因此此要对每每位FTTP用户户使用的的磁盘空空间进行行限制。下下面以DDOCUUSERR用户为为例，将将其限制制为只能能使用1100MM磁盘空空间。在资源管管理器窗窗口中，右右键点击击DOCC文件夹夹所在的的硬盘盘盘符，在在弹出的的菜单中中选择“属性”，接着着切换到到“配额”标签页页（如图图2-2），选选中“启用配配额管理理”复选框框，激活活“配额”标签页页中的所所有配额额设置选选项，为为了不让让某些FFTP用用户占用用过多的的服务器器磁盘空空间，一一定要选选中“拒绝将将磁盘空空间给超超过配额额限制的的用户”复选框框。图22-2 限限制FTTP存储储空间然

40、后在“为该卷卷上的新新用户选选择默认认配额限限制”框中选选择“将磁盘盘空间限限制为”单选项项，接着着在后面面的栏中中输入1100，磁磁盘容量量单位选选择为“MB”，然后后进行警警告等级级设置，在在“将警告告等级设设置为”栏中输输入“96”， 容容量单位位也选择择为“MB”，这样样就完成成了默认认配额设设置。此此外，还还要选中中“用户超超出配额额限制时时记录事事件”和“用户超超过警告告等级时时记录事事件”复选框框，以便便将配额额告警事事件记录录到Wiindoows日日志中。点击配额额标签页页下方的的“配额项项”按钮，打打开磁盘盘配额项项目对话话框，接接着点击击“配额新建配配额项”，弹出出选择用用

41、户对话话框，选选中DOOCUSSER用用户后，点点击“确定”按钮，接接着在“添加新新配额项项”对话框框中为DDOCUUSERR用户设设置配额额参数，选选择“将磁盘盘空间限限制为” 单选选项，在在后面的的栏中输输入“1000”，接着着在“将警告告等级设设置为”栏中输输入“96”，它们们的磁盘盘容量单单位为“MB”，最后后点击“确定”按钮，完完成磁盘盘配额设设置，这这样DOOCUSSER用用户就只只能使用用1000 MBB磁盘空空间，超超过966MB就就会发出出警告。2.2.5 TTCP/IP访访问限制制为了保证证FTPP服务器器的安全全，可以以拒绝某某些IPP地址的的访问。在在默认FFTP站站点

42、属性性对话框框中，切切换到“目录安安全性”标签页页，选中中“授权访访问”单选项项（如图图2-3），然然后在“以下所所列除外外”框中点点击“添加”按钮，弹弹出“拒绝以以下访问问”对话框框，这里里可以拒拒绝单个个IP地地址或一一组IPP地址访访问，以以单个IIP地址址为例，选选中“单机”选项，然然后在“IP地址址”栏中输输入该机机器的IIP地址址，最后后点击“确定”按钮。这这样添加加到列表表中的IIP地址址都不能能访问FFTP服服务器了了。图22-3 阻止该该IP访访问FTTP2.2.6 合合理设置置组策略略通过对组组策略项项目的修修改，也也可以增增强FTTP服务务器的安安全性。在在Winndow

43、ws 220000系统中中，进入入到“控制面面板管理工工具”，运行行本地安安全策略略工具。2.2.6.11 审核核账户登登录事件件在本地安安全设置置窗口中中，依次次展开“安全设设置本地策策略审核策策略”，然后后在右侧侧的框体体中找到到“审核账账户登录录事件”项目（如如图2-4），双双击打开开该项目目，在设设置对话话框中选选中“成功”和“失败”这两项项，最后后点击“确定”按钮。该该策略生生效后，FFTP用用户的每每次登录录都会被被记录到到日志中中。图22-4 记录用用户登录录信息2.2.6.22 增强强账号密密码的复复杂性一些FTTP账号号的密码码设置的的过于简简单，很很容易被被破解。为为了提高

44、高FTPP服务器器的安全全性，必必须强制制用户设设置复杂杂的账号号密码。在本地安安全设置置窗口中中，依次次展开“安全设设置账户策策略密码策策略”，在右右侧框体体中找到到“密码必必须符合合复杂性性要求”项，双双击打开开后，选选中“已启用用”单选项项，最后后点击“确定”按钮。然后，打打开“密码长长度最小小值”项，为为FTPP账号密密码设置置最短字字符限制制。2.2.6.33 账号号登录限限制对FTPP服务器器的一种种攻击方方式是使使用黑客客工具，反反复登录录FTPP服务器器，来猜猜测账号号密码。因因此应该该对账号号登录次次数进行行限制。依次展开开“安全设设置账户策策略账户锁锁定策略略”，在右右侧框

45、体体中找到到“账户锁锁定阈值值”项，双双击打开开后，设设置账号号登录的的最大次次数，如如果超过过此数值值，账号号会被自自动锁定定。接着着打开“账户锁锁定时间间”项，设设置FTTP账号号被锁定定的时间间，账号号一旦被被锁定，超超过这个个时间值值，才能能重新使使用。3 IIIS 66.0 FTPP安全配配置3.1 概述Winddowss Seerveer 220033 IIIS 服服务器的的安全设设置模板板来自“WWinddowss Seerveer 220033 Seecurrityy Guuidee”，其其网址为为：httpp:/go.miccrossoftt.coom/ffwliink/?LiinkIId=1148446（英英文）。为了在抵抵制恶意意用户和和攻击者者的过程程中占据据主动，默默认情况况下，IIIS 不安装装在 WWinddowss Seerveer 220033 系列列产品上上。IIIS 最最初以高高度安全全的“锁锁定”模模式中安安装。例例如，默默认情况况下，IIIS 最初仅仅提供静静态内容容。诸如如 Acctivve SServver Pagges (ASSP)、AASP.NETT、服务务器端包包括 (SSII)、WWeb Disstriibutted Autthorringg annd VVers