【文章內容簡介】 如服務器中的DOC文件夾，只允許DOCUSER賬號對它有讀、寫、修改、列表的權限，禁止其他用戶訪問，但系統(tǒng)默認設置，還是允許其他用戶對DOC文件夾有讀和列表的權限，因此必須重新設置該文件夾的用戶訪問權限。設置方法是：右鍵點擊DOC文件夾，在彈出菜單中選擇“屬性”，然后切換到“安全”標簽頁，首先刪除Everyone用戶賬號，接著點擊“添加”按鈕，將DOCUSER賬號添加到名稱列表框中，然后在“權限”列表框中選中修改、讀取及運行、列出文件夾目錄、讀取和寫入選項，最后點擊“確定”按鈕。 啟用磁盤配額FTP服務器磁盤空間資源是寶貴的，因此要對每位FTP用戶使用的磁盤空間進行限制。下面以DOCUSER用戶為例，將其限制為只能使用100M磁盤空間。在資源管理器窗口中，右鍵點擊DOC文件夾所在的硬盤盤符，在彈出的菜單中選擇“屬性”，接著切換到“配額”標簽頁（如圖22），選中“啟用配額管理”復選框，激活“配額”標簽頁中的所有配額設置選項，為了不讓某些FTP用戶占用過多的服務器磁盤空間，一定要選中“拒絕將磁盤空間給超過配額限制的用戶”復選框。　　圖22 限制FTP存儲空間然后在“為該卷上的新用戶選擇默認配額限制”框中選擇“將磁盤空間限制為”單選項，接著在后面的欄中輸入100，磁盤容量單位選擇為“MB”，然后進行警告等級設置，在“將警告等級設置為”欄中輸入“96”， 容量單位也選擇為“MB”，這樣就完成了默認配額設置。此外，還要選中“用戶超出配額限制時記錄事件”和“用戶超過警告等級時記錄事件”復選框，以便將配額告警事件記錄到Windows日志中。點擊配額標簽頁下方的“配額項”按鈕，打開磁盤配額項目對話框，接著點擊“配額→新建配額項”，彈出選擇用戶對話框，選中DOCUSER用戶后，點擊“確定”按鈕，接著在“添加新配額項”對話框中為DOCUSER用戶設置配額參數，選擇“將磁盤空間限制為” 單選項，在后面的欄中輸入“100”，接著在“將警告等級設置為”欄中輸入“96”，它們的磁盤容量單位為“MB”，最后點擊“確定”按鈕，完成磁盤配額設置，這樣DOCUSER用戶就只能使用100 MB磁盤空間，超過96MB就會發(fā)出警告。 TCP/IP訪問限制為了保證FTP服務器的安全，可以拒絕某些IP地址的訪問。在默認FTP站點屬性對話框中，切換到“目錄安全性”標簽頁，選中“授權訪問”單選項（如圖23），然后在“以下所列除外”框中點擊“添加”按鈕，彈出“拒絕以下訪問”對話框，這里可以拒絕單個IP地址或一組IP地址訪問，以單個IP地址為例，選中“單機”選項，然后在“IP地址”欄中輸入該機器的IP地址，最后點擊“確定”按鈕。這樣添加到列表中的IP地址都不能訪問FTP服務器了?！　D23 阻止該IP訪問FTP 合理設置組策略通過對組策略項目的修改，也可以增強FTP服務器的安全性。在Windows 2000系統(tǒng)中，進入到“控制面板→管理工具”，運行本地安全策略工具。 審核賬戶登錄事件在本地安全設置窗口中，依次展開“安全設置→本地策略→審核策略”，然后在右側的框體中找到“審核賬戶登錄事件”項目（如圖24），雙擊打開該項目，在設置對話框中選中“成功”和“失敗”這兩項，最后點擊“確定”按鈕。該策略生效后，F(xiàn)TP用戶的每次登錄都會被記錄到日志中?！　D24 記錄用戶登錄信息 增強賬號密碼的復雜性一些FTP賬號的密碼設置的過于簡單，很容易被破解。為了提高FTP服務器的安全性，必須強制用戶設置復雜的賬號密碼。在本地安全設置窗口中，依次展開“安全設置→賬戶策略→密碼策略”，在右側框體中找到“密碼必須符合復雜性要求”項，雙擊打開后，選中“已啟用”單選項，最后點擊“確定”按鈕。然后，打開“密碼長度最小值”項，為FTP賬號密碼設置最短字符限制。 賬號登錄限制對FTP服務器的一種攻擊方式是使用黑客工具，反復登錄FTP服務器，來猜測賬號密碼。因此應該對賬號登錄次數進行限制。依次展開“安全設置→賬戶策略→賬戶鎖定策略”，在右側框體中找到“賬戶鎖定閾值”項，雙擊打開后，設置賬號登錄的最大次數，如果超過此數值，賬號會被自動鎖定。接著打開“賬戶鎖定時間”項，設置FTP賬號被鎖定的時間，賬號一旦被鎖定，超過這個時間值，才能重新使用。3 IIS FTP安全配置 概述Windows Server 2003 IIS 服務器的安全設置模板來自“Windows Server 2003 Security Guide”，其網址為：（英文）。為了在抵制惡意用戶和攻擊者的過程中占據主動，默認情況下，IIS 不安裝在 Windows Server 2003 系列產品上。IIS 最初以高度安全的“鎖定”模式中安裝。例如，默認情況下，IIS 最初僅提供靜態(tài)內容。諸如 Active Server Pages (ASP)、服務器端包括 (SSI)、Web Distributed Authoring and Versioning (WebDAV) 發(fā)布及 Microsoft FrontPage174。 Server Extensions 等功能僅在管理員啟用它們后才起作用。可以通過 Internet 信息服務管理器（IIS 管理器）中的 Web 服務擴展節(jié)點啟用這些功能和服務。IIS 管理器具有圖形化的用戶界面 (GUI)，可用來方便地對 IIS 進行管理。它包括用于文件和目錄管理的資源，能夠對應用程序池進行配置，并且具有安全性、性能、以及可靠性方面的諸多特性。接下來的部分詳細介紹了各種安全性強化設置，執(zhí)行這些設置可增強 Intranet 中存放 HTML 內容的 IIS 服務器的安全性。但是，為確保 IIS 服務器始終處于安全狀態(tài)，還應執(zhí)行安全監(jiān)控、檢測和響應等步驟。 系統(tǒng)服務為了讓 IIS 向 Windows Server 2003 中添加 Web 服務器功能，則必須啟用以下三種服務。確保這些服務被配置為自動啟動。l HTTP SSL如果 HTTP SSL 服務停止，IIS 將無法執(zhí)行 SSL 功能。禁用此服務將導致任何明確依賴它的服務都無法實現(xiàn)。l IIS Admin 服務 “IIS Admin 服務”允許對 IIS 組件進行管理，例如文件傳輸協(xié)議 (FTP)、應用程序池、Web 站點、Web 服務擴展，以及網絡新聞傳輸協(xié)議 (NNTP) 和簡單郵件傳輸協(xié)議 (SMTP) 的虛擬服務器。“IIS Admin 服務”必須運行，以便讓 IIS 服務器能夠提供 Web、FTP、NNTP 以及 SMTP 服務。如果禁用此服務，則無法配置 IIS，并且對站點服務的請求將不會成功。l 萬維網發(fā)布服務 “萬維網發(fā)布服務”通過 IIS 管理單元提供網絡連通性和網站管理?！叭f維網發(fā)布服務”必須運行，以便讓 IIS 服務器通過 IIS 管理器提供網絡連通性和管理。 安全設置安裝 Windows Server 2003 和 IIS 之后，默認情況下，IIS 僅傳輸靜態(tài) Web 內容。當 Web 站點和應用程序包含動態(tài)內容，或者需要一個或多個附加 IIS 組件時，每個附加 IIS 功能必須逐一單獨啟用。但是，在該過程中必須謹慎，以確保將每個 IIS 服務器的受攻擊面降至最小。如果Web 站點只包含靜態(tài)內容而無需其它任何 IIS 組件，這時，默認的 IIS 配置足以將您的環(huán)境中的 IIS 服務器的受攻擊面降至最小。 僅安裝必要的 IIS 組件除“萬維網發(fā)布服務”之外， 還包括其它的組件和服務，例如 FTP 和 SMTP 服務。通過雙擊“控制面板”上的“添加/刪除程序”來啟動 Windows 組件向導應用程序服務器，以安裝和啟用 IIS 組件和服務。安裝 IIS 之后，必須啟用 Web 站點和應用程序所需的所有必要的 IIS 組件和服務。應該僅啟用 Web 站點和應用程序所需的必要 IIS 組件和服務。啟用不必要的組件和服務會增加 IIS 服務器的受攻擊面。 僅啟用必要的 Web 服務擴展許多運行于 IIS 服務器上的網站和應用程序具有超出靜態(tài)頁面范疇的擴展功能，包括生成動態(tài)內容的能力。通過 IIS 服務器提供的功能來產生或擴展的任何動態(tài)內容，都是通過使用 Web 服務擴展來實現(xiàn)的。IIS 中增強的安全功能允許用戶單獨啟用或禁用 Web 服務擴展。在一次新的安裝之后，IIS 服務器將只傳輸靜態(tài)內容。可通過 IIS 管理器中的 Web 服務擴展節(jié)點來啟用動態(tài)內容功能。這些擴展包括 、SSI、WebDAV 和 FrontPage Server Extensions。啟用所有的 Web 服務擴展可確保與現(xiàn)有應用軟件的最大可能的兼容性。但是，這可能帶來一些安全性風險，因為當所有的擴展被啟用時，同時也啟用了您的環(huán)境下 IIS 服務器所不需要的功能，這樣 IIS 的受攻擊面就會增加。為了盡可能減少 IIS 服務器的受攻擊面，只應該在 IIS 服務器上啟用必要的的 Web 服務擴展。 在專用磁盤卷中放置內容IIS 會將默認 Web 站點的文件存儲到 systemroot\inetpub\root，其中 systemroot 是安裝 Windows Server 2003 操作系統(tǒng)的驅動器。應該將構成 Web 站點和應用程序的所有文件和文件夾放置到 IIS 服務器的專用磁盤卷中。將這些文件和文件夾放置到 IIS 服務器的一個專用磁盤卷 — 不包含操作系統(tǒng)的磁盤卷 — 有助于防止目錄遍歷攻擊。目錄遍歷攻擊是指攻擊者對位于 IIS 服務器目錄結構之外的一個文件發(fā)送請求。例如， 位于于 systemroot\System32 文件夾中。攻擊者可能請求訪問以下位置：..\..\Windows\system\，企圖調用命令提示如果 Web 站點內容位于一個單獨的磁盤卷上，這種類型的目錄遍歷攻擊將無法成功，原因有二。首先， 的權限已經作為 Windows Server 2003 基礎結構的一部分進行了重設，從而將對它的訪問限制在很有限的用戶群中。其次，完成該更改之后， 不再與 Web 根目錄處于同一磁盤卷，而目前沒有任何已知的方法可通過使用這種攻擊來訪問位于不同驅動器上的命令。除了安全性考慮之外，將站點和應用程序文件和文件夾放置在一個專用的磁盤卷中使諸如備份和恢復這樣的管理任務變得更加容易。而且，將這種類型的內容放在一個分開的專用物理驅動器中有助于減少系統(tǒng)分區(qū)中的磁盤爭用現(xiàn)象，并且改善磁盤