时间:2019-07-25 20:01:37 作者:johnnyl 浏览量:15
FTP服务怎么在Windows server 2003 中安全配置?
在使用webscan检测网站的时候,会发现存在ftp匿名访问的问题,该漏洞可以不需要密码就能够访问我们的ftp,这将直接导致黑客可以编辑修改我们的文件,以及上传恶意代码,来进行进一步的危害。
<!--[if !supportLists]-->一、<!--[endif]-->不允许匿名访问在开始菜单->所有程序->管理工具中,选择 Internet 信息服务(IIS)管理器(图1),打开 Internet 信息服务(IIS)管理器,界面如图2
Windows server 2003图2
Windows server 2003图3
接下来展开找到我们已经建立好的ftp站点,右键“ftp站点”(我这里是默认ftp站点),选择 “属性”,切换到“安全账户”,这里会看到“允许匿名连接”是选中状态,我们把“允许匿名连接” 的复选框去掉,会弹出如图4的对话框,我们选择是。点击应用之后这样就不会存在匿名访问问题了。
Windows server 2003图4
Windows server 2003图5
二、多用户隔离下面设置用户隔离的ftp,并对其ftp进行权限设置。我们先创建一个ftp账户。这么做的目的是降低我们的ftp用户的权限来保障安全。防止被破解后进行越权访问。具体操作如下:右键单击 “我的电脑”,选择“管理”,展开“本地用户和组”,选择“用户”。可以打开用户帐户管理。右键单击“账户”,选择“新用户”,我们创建一个新的ftp账户,这里注意,不要设置弱口令,最好设置包含大小写字母+特殊符号+数字,并且不低于10位数最好。我们这里以ftp2为例进行示范。
Windows server 2003图6
Windows server 2003图7
创建好用户后,我们右键单击ftp2用户,选择“属性”,切换到“隶属于”选项,我们这里把Users删除,点击添加,在弹出来的对话框中选择“高级”,在点击右边的立即查找,在出现的用户组中选择IIS_WPG组,点击确定。
Windows server 2003图8
接下来创建ftp文件夹,在ftp的根目录下,创建一个跟我们账户一样的文件夹。接着,我们右键单击我们的ftp站点,选择新建->创建虚拟目录。在弹出来的对话框中选择下一步,这里我们需要输入ftp的别名(这里是ftp2),这里跟我们的创建的用户名需要一致(注意:别名和创建的文件夹和账户名需要一致。),点击下一步,这里选择我们新建立的文件夹的路径。这样我们就可以访问ftp了。
Windows server 2003图10
Windows server 2003图11
三、用户目录安全性设置以上我们降低了ftp用户的权限,这里在来对用户对ftp的文件夹的操作权限进行设置。以ftp2账户对应的ftp2文件夹为例,以系统管理员身份登录,选中文件夹并右键选择“安全”选项卡,默认情况下这里有非常多的已经继承于上级文件夹的权限,我们需要做的是删掉这些默认的权限,但是在删除的时候会出现系统提示:因为“SYSTEM”从其父系继承权限,您无法删除此对象。要删除“SYSTEM“必须阻止对象继承权限。关闭继承权限的选项,然后重试删除“SYSTEM”因为权限是继承上级文件夹的,所以不能直接删除
Windows server 2003图12
单击“高级”按钮,进入此文件夹的“高级安全设置”,删除默认用户后,我们添加ftp2用户。权限根据自己的实际情况进行分配。
Windows server 2003图13
Windows server 2003图14