FTP服務怎么在Windows server 2003 中安全配置？

在使用webscan檢測網(wǎng)站的時候，會發(fā)現(xiàn)存在ftp匿名訪問的問題，該漏洞可以不需要密碼就能夠訪問我們的ftp，這將直接導致黑客可以編輯修改我們的文件，以及上傳惡意代碼，來進行進一步的危害。

Windows server 2003圖1

<！--[if ！supportLists]-->一、<！--[endif]-->不允許匿名訪問在開始菜單->所有程序->管理工具中，選擇 Internet 信息服務(IIS)管理器（圖1），打開 Internet 信息服務(IIS)管理器，界面如圖2

Windows server 2003圖2

Windows server 2003圖3

接下來展開找到我們已經(jīng)建立好的ftp站點，右鍵“ftp站點”（我這里是默認ftp站點），選擇 “屬性”，切換到“安全賬戶”，這里會看到“允許匿名連接”是選中狀態(tài)，我們把“允許匿名連接” 的復選框去掉，會彈出如圖4的對話框，我們選擇是。點擊應用之后這樣就不會存在匿名訪問問題了。

Windows server 2003圖4

Windows server 2003圖5

二、多用戶隔離下面設置用戶隔離的ftp，并對其ftp進行權(quán)限設置。我們先創(chuàng)建一個ftp賬戶。這么做的目的是降低我們的ftp用戶的權(quán)限來保障安全。防止被破解后進行越權(quán)訪問。具體操作如下：右鍵單擊 “我的電腦”，選擇“管理”，展開“本地用戶和組”，選擇“用戶”。可以打開用戶帳戶管理。右鍵單擊“賬戶”，選擇“新用戶”，我們創(chuàng)建一個新的ftp賬戶，這里注意，不要設置弱口令，最好設置包含大小寫字母+特殊符號+數(shù)字，并且不低于10位數(shù)最好。我們這里以ftp2為例進行示范。

Windows server 2003圖6

Windows server 2003圖7

創(chuàng)建好用戶后，我們右鍵單擊ftp2用戶，選擇“屬性”，切換到“隸屬于”選項，我們這里把Users刪除，點擊添加，在彈出來的對話框中選擇“高級”，在點擊右邊的立即查找，在出現(xiàn)的用戶組中選擇IIS_WPG組，點擊確定。

Windows server 2003圖8

接下來創(chuàng)建ftp文件夾，在ftp的根目錄下，創(chuàng)建一個跟我們賬戶一樣的文件夾。接著，我們右鍵單擊我們的ftp站點，選擇新建->創(chuàng)建虛擬目錄。在彈出來的對話框中選擇下一步，這里我們需要輸入ftp的別名（這里是ftp2），這里跟我們的創(chuàng)建的用戶名需要一致（注意：別名和創(chuàng)建的文件夾和賬戶名需要一致。），點擊下一步，這里選擇我們新建立的文件夾的路徑。這樣我們就可以訪問ftp了。

Windows server 2003圖10

Windows server 2003圖11

三、用戶目錄安全性設置以上我們降低了ftp用戶的權(quán)限，這里在來對用戶對ftp的文件夾的操作權(quán)限進行設置。以ftp2賬戶對應的ftp2文件夾為例，以系統(tǒng)管理員身份登錄，選中文件夾并右鍵選擇“安全”選項卡，默認情況下這里有非常多的已經(jīng)繼承于上級文件夾的權(quán)限，我們需要做的是刪掉這些默認的權(quán)限，但是在刪除的時候會出現(xiàn)系統(tǒng)提示：因為“SYSTEM”從其父系繼承權(quán)限，您無法刪除此對象。要刪除“SYSTEM“必須阻止對象繼承權(quán)限。關閉繼承權(quán)限的選項，然后重試刪除“SYSTEM”因為權(quán)限是繼承上級文件夾的，所以不能直接刪除

Windows server 2003圖12

單擊“高級”按鈕，進入此文件夾的“高級安全設置”，刪除默認用戶后，我們添加ftp2用戶。權(quán)限根據(jù)自己的實際情況進行分配。

Windows server 2003圖13

Windows server 2003圖14