《中国有线电视》2006(08 C H I N A D I G I T AL C ABL E TV#有线广角#中图分类号:TP393.093文献标识码:E文章编号:1007-7022(200608-0807-03 合理配置II S,提高 FTP服务器的安全性 t郝广鑫1,王可君2 (1.濮阳市华龙国税局,河南濮阳457000;2.河南有线电视集团公司濮阳分公司,河南濮阳457000 摘要:FTP服务器是在互联网上提供存储空间的计算机,它们依照FTP协议提供服务。W i n do w s系统中的IIS提供了FTP的功能,阐述如何对II S进行合理的配置,以提高FTP服务器的安全性。
关键词:II S;FTP服务器;安全性
Rational A llocation of II S to I mprove FTP Servers Security t HAO Guang-x i n1,WANG Ke-j u n2 (1.Puyang H ua l o ng State Adm i n istration of Taxati o n,H enan Puyang457000,Chi n a; 2.H enan Cable Corpo ration Puyang Branch,H enan Puyang457000,Ch i n a Abst ract:FTP servers i s the co m puter prov i d i n g storage space i n Interne.t They pr ov i d e serv ices i n accor dance w it h the fil e transfer pr o toco.l IIS inW i n do
w s syste m pr ov i d es FTP serv ices,the article exp lai n ed ho w a rea-sonable IIS configuration to g reatl y enhance the security of the FTP servers.K ey w ords:IIS;FTP servers;security 一个厂家直销点,在锅面喷上/罗田广电0字样,将卫星接收机贴上/专卖0标记,在销售安装价格上按厂家定价适当加入管理费,这样既解决了管理与收费的矛盾,同时又方便了对非法销售和非法安装使用的管理。在实行/专卖0管理的同时,我们把全县划分为两大区域,即有线电视覆盖区域和非覆盖区域,在覆盖区域内严格禁止安装使用卫星天线,在非覆盖区域内,凡农户有使用卫星天线愿望的,必须由当地乡镇广播电视站把好初审关,并由农户写出书面申请,同时自愿签订用户责任保证书,由广播电视部门组织安装,并锁定卫星天线方位,接收境内电视节目。
6切实解决山区农民看电视难的问题
县广播电视局大力加强广播电视/村村通0和/户户通0工程建设,近几年来先后完成271个行政村的/村村通0工作,发展6000多个用户,同时投资800多万元建设乡村广播电视光纤网,连通了12个乡镇和256个行政村,发展农村有线电视用户近2万户,而在边远山区采用无线数字电视覆盖的方式,为群众提供高质量多套数字电视节目,这些措施从根本上消除了非法卫星电视接收设施滋生和蔓延的土壤。
上述管理措施取得明显效果,一是基本禁止了私自销售、安装卫星接收设施现象;二是群众依法使用卫星电视地面接收设施的意识增强,绝大部分用户都办理了相关证件;三是规范了使用程序;四是为有线电视进村入户拓展了市场,为农村广播电视事业的发展提供了有力保障。
[收稿日期:2006-02-06] 作者简介:郝广鑫(1979-,男,助理工程师,主要从事计算机网络安全管理及系统开发工作;
王可君(1977-,女,助理工程师,主要从事点播频道编辑制作及有线电视网络维护工作。
807 W indo w s Ser ver2003系统的II S(I nter net I nfor m ation Server提供了FTP服务功能,由于它与W i n do w s系统本身结合紧密,且简单易用,因此深受广大用户的喜爱。但是它的默认设置存在很多安全隐患,很容易成为黑客们的攻击目标,从而造成信息泄漏甚至系统崩溃。因此,须对II S进行合理配置,以提高其安全性。
1取消匿名访问功能
默认情况下,W i n do w s Server2003系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患,用户不需要申请合法的账号就能访问FTP服务器,甚至还可以上传、下载文件,特别是对于一些存储重要资料的FTP 服务器,很容易出现泄密的情况,因此建议用户取消匿名访问功能。
在W i n do w s Server2003系统中,点击/开始→程序→管理工具→I nternet服务管理器0,弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到II S自带的FTP服务器,右键点击/默认FTP站点0项,在菜单中选择/属性0,弹出默认FTP站点属性对话框,切换到/安全账号0标签页,取消/允许匿名连接0前的勾选,最后点击/确定0按钮,这样用户就不能使用匿名账号访问FTP服务器了,必须拥有合法账号。
2启用日志记录
W i n dows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了FTP服务器日志记录功能,这是万万要不得的。FTP服务器日志记录着所有用户的访问信息,如访问时间、客户机I P地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出
现问题,就可以查看FTP日志,找到故障所在,及时排除。因此一定要启用FTP日志记录。
在默认FTP站点属性对话框中,切换到/FTP站点0标签页,选中/启用日志记录0选项,这样就可以在/事件查看器0中查看FTP日志记录了。
3正确设置用户访问权限
每个FTP用户账号都具有一定的访问权限,但对用户权限设置不合理,也能导致FTP服务器出现安全隐患。如服务器中的TOOL文件夹,只允许TOOLUS-ER账号对它有读、写、修改、列表的权限,禁止其他用户访问,但系统默认设置中,还是允许其他用户对TOOL文件夹有读和列表的权限,因此必须重新设置该文件夹的用户访问权限。
右键点击TOOL文件夹,在弹出菜单中选择/属性0,切换到/安全0标签页,删除Everyone用户账号,再点击/添加0按钮,将TOOLUSER账号添加到名称列表框中,然后在/权限0列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项,最后点击/确定0按钮。这样,TOOL文件夹只有TOOLUSER用户才能访问。
4为FTP站点配置虚拟文件夹
用一个虚拟文件夹来充当站点目录结构的一部分,它能够对用户实施有效的屏蔽,即当用户浏览这个站点或者从FTP命令行提交DI R命令时,它并不出现。用户可用这两种方式之一来连接到这个虚拟文件夹:在浏览器或FTP命令行中明确指定这个文件夹,或者使用一个同这个虚拟文件夹的别名相匹配的用户账号来连接。
打开II S控制台,在希望创建该文件夹的FTP站点上单击鼠标右键,然后选择新建->虚拟目录命令,根据向导提示输入文件夹别名、路径名和读写属性即可。5启用磁盘配额
FTP服务器的磁盘空间资源是宝贵的,无限制地让用户使用,势必造成巨大的浪费,因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以TOOL USER 用户为例,将其限制为只能使用100MB磁盘空间。
在资源管理器窗口中,右键点击TOOL文件夹所在的硬盘盘符,在弹出的菜单中选择/属性0,切换到/配额0标签页,选中/启用配额管理0复选框,激活/配额0标签页中的所有配额设置选项。为了不让某些FTP用户占用过多的服务器磁盘空间,一定要选中/拒绝将磁盘空间给超过配额限制的用户0复选框。然后在/为该卷上的新用户选择默认配额限制0框中选择/将磁盘空间限制为0单选项,在后面的栏中输入100,磁盘容量单位选择为/MB0,再进行警告等级设置,在/将警告等级设置为0栏中输入/960,容量单位也选择为/M B0,这样就完成了默认配额设置。此外,还要选中/用户超出配额限制时记录事件0和/用户超过警告等级时记录事件0复选框,以便将配额告警事件记录到W i n do w s日志中。
点击配额标签页下方的/配额项0按钮,打开磁盘配额项目对话框,点击/配额→新建配额项0,弹出选择用户对话框,选中TOOLUSER用户后,点击/确定0按钮,在/添加新配额项0对话框中为TOOLUSER用户设置配额参数,选择/将磁盘空间限制为0单选项,在后面的栏中输入/1000,在/将警告等级设置为0栏中输入/960,它们的磁盘容量单位均为/M B0,最后点击
808 郝广鑫等:合理配置IIS,提高FTP服务器的安全性《中国有线电视》2006年第08期
/确定0按钮,完成磁盘配额设置,这样TOOLUSER用户就只能使用100M B磁盘空间,超过96M B就会发出警告。
6TCP/I P访问限制
为保证FTP服务器的安全,我们还可以拒绝某些I P地址的访问。在默认FTP站点属性对话框中,切换到/目录安全性0标签页,选中/授权访问0单选项,在/以下所
列除外0框中点击/添加0按钮,弹出/拒绝以下访问0对话框,这里可以拒绝单个I P地址或一组I P 地址访问,以单个I P地址为例,选中/单机0选项,在/I P地址0栏中输入该机器的I P地址,最后点击/确定0按钮,这样添加到列表中的I P地址都不能访问FTP服务器了。
7合理设置组策略
通过对组策略项目的修改,也可以增强FTP服务器的安全性。在W indo w s Server2003系统中,进入/控制面板→管理工具0,运行本地安全策略工具。
(1审核账户登录事件
在本地安全设置窗口中,依次展开/安全设置→本地策略→审核策略0,在右侧的框体中找到/审核账户登录事件0项目,双击打开该项目,在设置对话框中选中/成功0和/失败0这两项,最后点击/确定0按钮。该策略生效后,FTP用户的每次登录都会被记录到日志中。
(2增强账号密码的复杂性
一些FTP账号的密码设置得过于简单,就有可能被破解。为了提高FTP服务器的安全性,必须强制用户设置复杂的账号密码。
在本地安全设置窗口中,依次展开/安全设置→账户策略→密码策略0,在右侧框体中找到/密码必须符合复杂性要求0项,双击打开后,选中/已启用0单选项,点击/确定0按钮。然后,打开/密码长度最小值0项,为FTP账号密码设置最短字符限制,这样密码的安全性就大大增强了。
(3账号登录限制
有些非法用户使用黑客工具,反复登录FTP服务器,来猜测账号密码。这是非常危险的,因此建议大家对账号登录次数进行限制。
依次展开/安全设置→账户策略→账户锁定策略0,在右侧框体中找到/账户锁定阈值0项,双击打开后,设置账号登录的最大次数,如果超过此数值,账号会被自动锁定。打开/账户锁定时间0项,设置FTP账号被锁定的时间,账号一旦被锁定,超过这个时间值才能重新使用。
8不使用FTP默认的端口号
FTP服务默认的端口号是21,这也是具有一定网络知识的人所熟知的,这个端口非常容易被黑客或木马所利用。在创建FTP服务器时应尽量不使用21作为FTP服务的端口号,这样就可以大大提高FTP服务器的安全性,有效避免网络恶意攻击。
通过以上合理配置,FTP服务器就会更加安全,但没有绝对的安全,我们还更应重视平时的维护工作,如:及时更新系统补丁阻塞漏洞、定期查看系统日志、做好重要数据的备份等等。
参考文献: [1]周学毛.网站规划建设与管理维护[M].北京: 电子工业出版社,2001.[2]Jeffer y R fShapiro.W i n do w s Server2003宝典 [M].杨秀梅,林润生,盖江南,译.北京:电子工 业出版社,2003.[3]梁军,毛振寰.计算机网络与信息安全[M].北京:北京邮电大学出版社,2005.[4]程迎春.W i n dow s安全应用策略和实施方案手册 [M].北京:人民邮电出版社,2005.
[收稿日期:2006-03-06] 敬告作者:投稿注意事项
1.请作者务必以电子邮件方式投稿,邮件地址为: E-m ai:l ccatvbjb@ma i.l x jtu.edu.cn。 2.稿件正文字号以5号字为宜,不可再小。
3.除了维护维修技术一类的稿件,其余稿件均应有摘要、关键词、作者单位、作者简介、所在省市(县、邮编,并将文题、作者单位、摘要、关键词译为英文。
4.来稿必须注明作者通信地址、邮编、联系电话,以便投寄样刊。
809《中国有线电视》2006年第08期郝广鑫等:合理配置II S,提高FTP服务器的安全性
