windows ftp服务工具(windows ntp服务器配置详解)

Windows 2000系统提供FTP服务功能。由于其简单易用，与Windows系统本身紧密结合，深受用户喜爱。

但是用iis5.0设置的FTP服务器真的安全吗？它的默认设置其实有很多安全隐患，很容易成为黑客攻击的目标。如何让FTP服务器更安全，稍微修改一下就可以实现。

取消匿名访问功能

默认情况下，Windows 2000系统的FTP服务器允许匿名访问。匿名访问虽然为用户上传和下载文件提供了便利，但存在很大的安全隐患。用户无需申请合法帐户即可访问FTP服务器。

甚至可以上传下载文件，尤其是一些存储重要资料的FTP服务器，很容易泄密，建议用户取消匿名访问功能。

在Windows 2000系统中，单击ldquo启动rarr程序rarr管理工具rarr互联网服务经理rdquo，弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项。

可以看到IIS5.0自带的FTP服务器，作者以默认FTP站点为例介绍如何取消匿名访问功能。

右键单击ldquo默认FTP站点rdquo项，在右键菜单中选择ldquo属性rdquo，然后弹出默认的FTP站点属性对话框，切换到ldquo安全账号rdquo标签页，

取消ldquo允许匿名连接到rdquo前面的勾选(如图1)，最后点击ldquo确定rdquo按钮，这样用户就不能使用匿名账号访问FTP服务器，必须拥有合法账号。

图1禁止匿名访问

2.启用日志记录

Windows日志记录了系统运行的所有信息，但许多管理员对日志记录功能不够重视。为了节省服务器资源，FTP服务器日志记录功能被禁用，这是绝对不能接受的。FTP服务器日志记录了所有用户的访问信息。

例如访问时间、客户端IP地址、使用的登录帐户等。这对FTP服务器的稳定运行具有重要意义。一旦服务器出现问题，可以查看FTP日志，找出故障，及时排除。所以一定要启用FTP日志记录。

在默认的FTP站点属性对话框中，切换到ldquoFTP站点rdquo选项卡，一定要确保ldquo启用日志记录rdquo选择该选项，

这样就可以用ldquo事件查看器rdquo检查中的FTP日志记录。

第三，正确设置用户访问权限

每个FTP用户账号都有一定的访问权限，但是不合理的用户权限设置也会导致FTP服务器存在安全隐患。如服务器中的CCE文件夹，只允许CCEUSER账号对其进行读写、修改、列表等操作，禁止其他用户访问。

但是，默认情况下，允许其他用户读取和列出CCE文件夹，因此必须重置该文件夹的用户访问权限。

右键单击CCE文件夹，从弹出菜单中选择ldquo属性rdquo然后切换到ldquo安全rdquo选项卡，先删除Everyone用户账号，然后点击ldquo添加rdquo按钮，

将CCEUSER帐户添加到名称列表框中，然后在ldquo权限rdquo选择修改，读取运行，列表框中列出文件夹目录，读写选项，最后点击ldquo确定rdquo按钮。这样一来，

CCE文件夹只能由CCEUSER用户访问。

4.启用磁盘配额

FTP服务器的磁盘空间资源是宝贵的，用户无限制的使用必然会造成巨大的浪费，所以需要对每个FTP用户使用的磁盘空间进行限制。下面作者以CCEUSER用户为例，限制他们只能使用100M的磁盘空间。

在资源管理器窗口中，右击CCE文件夹所在的硬盘盘符，在弹出菜单中选择ldquo属性rdquo然后切换到ldquo配额rdquo选项卡页面(如图2所示)，

选择ldquo启用配额管理rdquo复选框激活ldquo配额rdquo选项卡中的所有配额设置选项，为了防止部分FTP用户占用过多的服务器磁盘空间，

一定要选中ldquo;拒绝将磁盘空间给超过配额限制的用户rdquo; 复选框。

图2 限制FTP存储空间

然后在ldquo;为该卷上的新用户选择默认配额限制rdquo;框中选择ldquo;将磁盘空间限制为rdquo;单选项，接着在后面的栏中输入100，磁盘容量单位选择为ldquo;MBrdquo;

然后进行警告等级设置，在ldquo;将警告等级设置为rdquo;栏中输入ldquo;96rdquo; 容量单位也选择为ldquo;MBrdquo;这样就完成了默认配额设置。此外，

还要选中ldquo;用户超出配额限制时记录事件rdquo;和ldquo;用户超过警告等级时记录事件rdquo;复选框，以便将配额告警事件记录到Windows日志中。

点击配额标签页下方的ldquo;配额项rdquo;按钮，打开磁盘配额项目对话框，接着点击ldquo;配额rarr;新建配额项rdquo;弹出选择用户对话框，选中CCEUSER用户后，

点击ldquo;确定rdquo;按钮，接着在ldquo;添加新配额项rdquo;对话框中为CCEUSER用户设置配额参数，选择ldquo;将磁盘空间限制为rdquo; 单选项，

在后面的栏中输入ldquo;100rdquo;接着在ldquo;将警告等级设置为rdquo;栏中输入ldquo;96rdquo;它们的磁盘容量单位为ldquo;MBrdquo;

最后点击ldquo;确定rdquo;按钮，完成磁盘配额设置，这样CCEUSER用户就只能使用100 MB磁盘空间，超过96MB就会发出警告。

五TCP/IP访问限制

为了保证FTP服务器的安全，还可以拒绝某些IP地址的访问。在默认FTP站点属性对话框中，切换到ldquo;目录安全性rdquo;标签页，选中ldquo;授权访问rdquo;单选项(如图3)，

然后在ldquo;以下所列除外rdquo;框中点击ldquo;添加rdquo;按钮，弹出ldquo;拒绝以下访问rdquo;对话框，这里可以拒绝单个IP地址或一组IP地址访问，以单个IP地址为例，

选中ldquo;单机rdquo;选项，然后在ldquo;IP地址rdquo;栏中输入该机器的IP地址，最后点击ldquo;确定rdquo;按钮。这样添加到列表中的IP地址都不能访问FTP服务器了。

图3 阻止该IP访问FTP

六合理设置组策略

通过对组策略项目的修改，也可以增强FTP服务器的安全性。在Windows 2000系统中，进入到ldquo;控制面板rarr;管理工具rdquo;运行本地安全策略工具。

1. 审核账户登录事件

在本地安全设置窗口中，依次展开ldquo;安全设置rarr;本地策略rarr;审核策略rdquo;然后在右侧的框体中找到ldquo;审核账户登录事件rdquo;项目(如图4)，双击打开该项目，

在设置对话框中选中ldquo;成功rdquo;和ldquo;失败rdquo;这两项，最后点击ldquo;确定rdquo;按钮。该策略生效后，FTP用户的每次登录都会被记录到日志中。

图4 记录用户登录信息

2. 增强账号密码的复杂性

一些FTP账号的密码设置的过于简单，就有可能被ldquo;不法之徒rdquo;所修改。为了提高FTP服务器的安全性，必须强制用户设置复杂的账号密码。

在本地安全设置窗口中，依次展开ldquo;安全设置rarr;账户策略rarr;密码策略rdquo;在右侧框体中找到ldquo;密码必须符合复杂性要求rdquo;项，双击打开后，

选中ldquo;已启用rdquo;单选项，最后点击ldquo;确定rdquo;按钮。

然后，打开ldquo;密码长度最小值rdquo;项，为FTP账号密码设置最短字符限制。这样以来，密码的安全性就大大增强了。

3. 账号登录限制

有些非法用户使用黑客工具，反复登录FTP服务器，来猜测账号密码。这是非常危险的，因此建议大家对账号登录次数进行限制。

依次展开ldquo;安全设置rarr;账户策略rarr;账户锁定策略rdquo;在右侧框体中找到ldquo;账户锁定阈值rdquo;项，双击打开后，设置账号登录的最大次数，如果超过此数值，

账号会被自动锁定。接着打开ldquo;账户锁定时间rdquo;项，设置FTP账号被锁定的时间，账号一旦被锁定，超过这个时间值，才能重新使用。

通过以上几步设置后，用户的FTP服务器就会更加安全，再也不用怕被非法入侵了。