教學(xué)要求：掌握利用IIS建立的Web網(wǎng)站和FTP服務(wù)的安全策略。

教學(xué)重點(diǎn)：Web網(wǎng)站和FTP服務(wù)的安全策略。

教學(xué)難點(diǎn)：WEB和FTP服務(wù)的建立方法。

教學(xué)過(guò)程：

一、Web服務(wù)器系統(tǒng)安全策略的應(yīng)用

    無(wú)論是Internet或者Intranet，它的核心是Web服務(wù)器。管理好、使用好、保護(hù)好Web服務(wù)器中的資源，是網(wǎng)管人員的重要職責(zé)。Web服務(wù)器網(wǎng)站的開(kāi)發(fā)，除了集中開(kāi)發(fā)外，還有一個(gè)長(zhǎng)期的維護(hù)和積累過(guò)程；因此，Web中的數(shù)據(jù)資料非常重要。如果出現(xiàn)問(wèn)題，就會(huì)造成不可彌補(bǔ)的損失。本文根據(jù)開(kāi)發(fā)和維護(hù)Web服務(wù)器的過(guò)程，介紹Web服務(wù)器安全策略的綜合應(yīng)用方法。

    (一)系統(tǒng)安裝的安全策略

    目前，Web服務(wù)器基本采用Windows平臺(tái)，對(duì)Windows0的系統(tǒng)進(jìn)行管理是一個(gè)日積月累、不斷完善的過(guò)程。作為Web服務(wù)器。需要注意以下幾點(diǎn)。

    （1）安裝系統(tǒng)時(shí)，不要把系統(tǒng)安裝在默認(rèn)目錄下，也不要安裝多余的服務(wù)和多余的協(xié)議，因?yàn)橛械姆?wù)存在漏洞，多余的協(xié)議會(huì)占用資源，因此，無(wú)用的服務(wù)和協(xié)議不要安裝。

    （2）安裝Windows補(bǔ)丁。

    （3）安裝防病毒軟件。

    （4）選擇合適的網(wǎng)卡驅(qū)動(dòng)和顯示器驅(qū)動(dòng)程序。

    (二)系統(tǒng)安全策略的配置

    （1）限制匿名訪(fǎng)問(wèn)本機(jī)用戶(hù)

     選擇“開(kāi)始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“安全選項(xiàng)”—〉雙擊“對(duì)匿名連接的額外限制”——〉在下拉菜單中選擇“不允許枚舉SAM帳號(hào)和共享”—〉“確定”。

    （2）限制遠(yuǎn)程用戶(hù)對(duì)光驅(qū)或軟驅(qū)的訪(fǎng)問(wèn) 。選擇“開(kāi)始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“安全選項(xiàng)”—〉雙擊“只有本地登錄用戶(hù)才能訪(fǎng)問(wèn)軟盤(pán)”—〉在單選按鈕中選擇“已啟用(E)”— “確定”。

    （3）限制遠(yuǎn)程用戶(hù)對(duì)NetMeeting的共享,禁用NetMeeting的遠(yuǎn)程桌面共享功能，用戶(hù)就不能利用NetMeeting控制該計(jì)算機(jī)。選擇“開(kāi)始”—〉“運(yùn)行”—〉在對(duì)話(huà)框中輸入“gpedit.msc” —〉“計(jì)算機(jī)配置”—〉“管理模板”—〉“Windows組件” —〉“NetMeeting” —〉“禁用遠(yuǎn)程桌面共享”—〉右鍵—〉在單選按鈕中選擇“啟用(E)”—〉“確定”。

    （4）限制用戶(hù)執(zhí)行Windows安裝任務(wù)。這個(gè)策略可以防止用戶(hù)在系統(tǒng)上安裝軟件。設(shè)置方法與（3）相同。

    (三)IIS安全策略的應(yīng)用

    在配置Internet信息服務(wù)（IIS）時(shí)，應(yīng)該進(jìn)行以下工作。

    一般不使用默認(rèn)的Web站點(diǎn)，避免外界對(duì)網(wǎng)站的攻擊，具體做法如下。

    （1）停止默認(rèn)的Web站點(diǎn)

    “開(kāi)始”—〉“程序”—〉“管理工具”—〉“Internet服務(wù)管理器”—〉“TLJWEB (計(jì)算機(jī)名稱(chēng))”—〉選擇—〉“默認(rèn)Web站點(diǎn)”—〉右鍵—〉“停止”。

    （2）建立新的Web站點(diǎn)   

    “開(kāi)始”—〉“程序”—〉“管理工具”—〉“Internet服務(wù)管理器”—〉“TLJWEB(計(jì)算機(jī)名稱(chēng))”—〉右鍵—〉“新建”—〉“Web站點(diǎn)” —〉“下—〉步”—〉輸入Web站點(diǎn)說(shuō)明“yyyddd”—〉“下—〉步”—〉選擇站點(diǎn)主目錄路徑—〉“下—步”—〉選擇對(duì)該Web站點(diǎn)的訪(fǎng)問(wèn)權(quán)限 —〉“下—步”—〉“完成”。

    (4)完成新建的Web站點(diǎn)yyyddd后．要對(duì)該站點(diǎn)主目錄權(quán)限進(jìn)行設(shè)置。一般情況下設(shè)置成SYSTEM和Administrator兩個(gè)用戶(hù)可完全控制．IUSR可以讀取文件。

    (四)審核日志策略的配置

    系統(tǒng)日志對(duì)于Windows 2000的作用就如同“黑匣子”對(duì)于飛機(jī)的作用。當(dāng)Windows 2000出現(xiàn)問(wèn)題的時(shí)候，首先應(yīng)該查看系統(tǒng)日志，通過(guò)對(duì)系統(tǒng)日志的分析，可以了解故障發(fā)生前系統(tǒng)的運(yùn)行情況，作為判斷故障原因的根據(jù)。

    通過(guò)日志不僅可以了解本機(jī)的安全性能和用戶(hù)的操作情況，也可以發(fā)現(xiàn)系統(tǒng)自身的問(wèn)題。Windows 2000的日志系統(tǒng)在默認(rèn)安裝下。安全審核是關(guān)閉的?！蛋闱闆r下需要對(duì)常用的3種日志(用戶(hù)登錄日志、Http和ftp)進(jìn)行配置。

    1、設(shè)置登錄審核日志

    “開(kāi)始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“審核策略”—〉雙擊“審核賬戶(hù)登錄事件”—〉在復(fù)選框中選擇“成功(S)，失敗(F)”。

    審核事件分為成功事件和失敗事件。成功事件表示一個(gè)用戶(hù)成功地獲得了訪(fǎng)問(wèn)某種資源的權(quán)限．而失敗事件則表明用戶(hù)的嘗試失敗。太多的失敗事件可解釋為攻擊行為．但成功事件解釋起來(lái)就比較困難。盡管大多數(shù)成功的審核事件僅表明活動(dòng)是正常的，但獲得了訪(fǎng)問(wèn)權(quán)的攻擊者也會(huì)生成一個(gè)成功事件。例如，一系列失敗事件后面跟著一個(gè)成功事件可能表示企圖進(jìn)行的攻擊最后是成功的。對(duì)審核項(xiàng)進(jìn)行如表1的設(shè)置，可便于日志分析。

    如果對(duì)登錄事件進(jìn)行審核，那么每次用戶(hù)在計(jì)算機(jī)上登錄或注銷(xiāo)時(shí)，都會(huì)在安全日志中生成一個(gè)事件?？梢允褂檬录蘒D對(duì)登錄情況進(jìn)行判斷。

    A．本地登錄嘗試失?。合铝惺录蘒D都說(shuō)明登錄失?。?29，530，531，532，533，534和537，如果一個(gè)攻擊者試圖使用本地帳戶(hù)的用戶(hù)名和密碼但未成功，就會(huì)有529和534發(fā)生。

    B．帳戶(hù)誤用：事件530，531，532和533都表示帳戶(hù)誤用。

    C．帳戶(hù)鎖定：事件539表示帳戶(hù)被鎖定。

    D．終端服務(wù)攻擊：事件683表示用戶(hù)沒(méi)有從“終端服務(wù)”會(huì)話(huà)注銷(xiāo)，事件682表示用戶(hù)連接到先前斷開(kāi)的連接中。   

    2、 設(shè)置HTTP審核日志

    A．設(shè)置日志的屬性

    “開(kāi)始”—〉“程序”—〉“管理工具”—〉“Internet服務(wù)管理器”—〉“計(jì)算機(jī)名稱(chēng)”選擇站點(diǎn)名稱(chēng)“yyyddd”—〉右鍵—〉“屬性”在Web選項(xiàng)卡中，選擇“W3C擴(kuò)充日志文件格式”的“屬性”—〉對(duì)“常規(guī)屬性”和“擴(kuò)充的屬性”進(jìn)行設(shè)置。

    B．改日志的存放位置

    http審核日志的默認(rèn)位置在安裝目錄的＼system32＼LogFiles下。更改日志的存放位置可以加強(qiáng)日志自身的安全性，方法如下。

    與上面A的操作相同，在“常規(guī)屬性”選項(xiàng)卡中。選擇“日志文件目錄(L)：”的“瀏覽”指定一個(gè)目錄后。選“確定”。

    3、設(shè)置FTP審核日志

    設(shè)置方法同http的設(shè)置基本一樣。選擇FTP站點(diǎn)。對(duì)其屬性進(jìn)行設(shè)置。然后修改日志的存放位置。

    Web服務(wù)器上的內(nèi)容。經(jīng)常要按照領(lǐng)導(dǎo)和用戶(hù)的要求進(jìn)行修改，維護(hù)工作相當(dāng)頻繁。因此，要制定完善的維護(hù)策略，才能保證Web服務(wù)器的安全。

    (一)設(shè)置administrator用戶(hù)口令

    對(duì)administrator設(shè)置較復(fù)雜的口令，以防止外界的口令攻擊。有時(shí)，復(fù)雜口令使網(wǎng)管人員感覺(jué)不方便，還容易忘記。為避免網(wǎng)管人員忘記口令，除了修改后及時(shí)記錄下口令外，還可以另外建立一個(gè)具有Administrator特權(quán)的管理用戶(hù)，起一個(gè)比較生僻的用戶(hù)名。設(shè)置一個(gè)自己容易記憶的口令。這樣，就可以對(duì)其他用戶(hù)進(jìn)行維護(hù)，包括口令修改等。

    (二)網(wǎng)頁(yè)發(fā)布和下載的安全策略

    一般情況下。一臺(tái)Web服務(wù)器上安裝有幾個(gè)部門(mén)的網(wǎng)頁(yè)，并由各部門(mén)自己維護(hù)。多數(shù)網(wǎng)管人員采用共享目錄的方法讓各部門(mén)進(jìn)行網(wǎng)頁(yè)的下載和發(fā)布，這種方法很不安全。因此，在Web服務(wù)器上，要取消所有的共享目錄,避免其他沒(méi)有授權(quán)的計(jì)算機(jī)通過(guò)共享目錄查看或刪除重要的數(shù)據(jù)和文件。

    （1）網(wǎng)頁(yè)的更新采用FTP方法進(jìn)行，不僅可以使各部門(mén)維護(hù)人員之間的網(wǎng)頁(yè)和數(shù)據(jù)互相獨(dú)立，而且比共享目錄直觀方便。FTP的配置方法如下。

    “開(kāi)始”—〉“程序”—〉“管理工具”—〉“Internet服務(wù)管理器”—〉“TLJWEB(計(jì)算機(jī)名稱(chēng))”—〉右鍵—〉“新建”—〉“FTP站點(diǎn)” —〉“下—步”—〉輸入FTP站點(diǎn)說(shuō)明“bbbgggFTP”—〉“下一步”—〉“輸入FTP站點(diǎn)的IP地址”(例如10．96．74．250)—〉“下一步”—〉“輸入主目錄的路徑”(輸入d：\bbbggg)—〉“下—步” —〉選擇對(duì)該FTP站點(diǎn)的訪(fǎng)問(wèn)權(quán)限“讀取、寫(xiě)入”—〉“下—步”—〉“完成”。

    （2）FTP安全策略設(shè)置如下。

    選中剛建立的FTP站點(diǎn)(bbbgggFTP) —〉“右鍵”—〉“屬性”—〉“目錄安全性”—〉在“拒絕訪(fǎng)問(wèn)”對(duì)話(huà)框中選擇“添加”—〉“單機(jī)”或“—組計(jì)算機(jī)”輸入IP地址(如：10．96．74．240)—〉“確定”(可以增加多個(gè)IP地址)。這樣。就只有10．96．74．240的計(jì)算機(jī)可以訪(fǎng)問(wèn)該FTP站點(diǎn)。也只能對(duì)d：\bbbggg目錄進(jìn)行讀寫(xiě)。

    （3）在服務(wù)器上添加FTP的IP地址

    選擇“網(wǎng)上鄰居”—〉右鍵—〉“屬性”“本地連接”—〉右鍵—〉“屬性”—〉“Internet協(xié)議(TCP/IP)”—〉“屬性”—〉“高級(jí)”—〉在“IP設(shè)置”選項(xiàng)卡中選擇“添加”—〉輸入IP地址(10．96．74．250)和子網(wǎng)掩碼—〉“添加”—〉“確定”—〉“確定”—〉“確定”。

    （4）在服務(wù)器上添加用戶(hù)

    在服務(wù)器上。為某部門(mén)的網(wǎng)頁(yè)維護(hù)人員添加用戶(hù)。例如用戶(hù)名為bbbggg，口令為bbbgggxt。

    （5）FTP訪(fǎng)問(wèn)服務(wù)器的方法

    在瀏覽器地址欄輸入ftp：//bbbggg：bbbgggxt@10．96．74．250。即可看到Web服務(wù)器上的內(nèi)容。

    (三)網(wǎng)頁(yè)維護(hù)過(guò)程

    根據(jù)用戶(hù)要求。軟件下載功能經(jīng)常需要更新，其更新維護(hù)方法如下。

    （1）不要直接修改Web服務(wù)器上的內(nèi)容，先在自己的機(jī)器上進(jìn)行修改。按照要求修改rjxz．htm網(wǎng)頁(yè)，連接增加的下載內(nèi)容。

    （2）在瀏覽器地址欄輸入ftp：//rjwh：rjwh@10．96．74．250。即可看到Web 服務(wù)器上download目錄中的內(nèi)容。

    （3）把本機(jī)上修改過(guò)的網(wǎng)頁(yè)和要下載的內(nèi)容復(fù)制到download目錄下。

    （4）查詢(xún)?cè)囼?yàn)，用瀏覽器打開(kāi)網(wǎng)頁(yè)進(jìn)行查看，觀察運(yùn)行結(jié)果是否正常。

    （5）為了安全，使用完后，要在IE瀏覽器屬性中，清除歷史記錄。

    Web服務(wù)器的資源對(duì)于用戶(hù)來(lái)說(shuō)是有價(jià)值的東西。如果Web服務(wù)器沒(méi)有及時(shí)維護(hù)，它上面的東西就沒(méi)有任何價(jià)值，那么就不值得花費(fèi)財(cái)力和精力來(lái)保證它的安全。

     為保證Web的安全，不僅要綜合應(yīng)用各種安全策略，還要采取了其他安全措施。如在系統(tǒng)安全方面，建立系統(tǒng)盤(pán)的鏡像備份，建立詳細(xì)文檔資料；在應(yīng)用安全方面，修改數(shù)據(jù)庫(kù)默認(rèn)擴(kuò)展名，使用虛擬目錄而不使用實(shí)際目錄，如制定聊天室的安全策略等。

    一般來(lái)說(shuō)，方便使用和安全措施是一對(duì)矛盾。如果對(duì)系統(tǒng)安全策略設(shè)置的很完善，在開(kāi)始時(shí)你會(huì)感覺(jué)不方便，但如果你是遵章守紀(jì)的維護(hù)人員，你會(huì)感覺(jué)很安全且很方便。

 二、FTP服務(wù)安全策略

   windows 2003系統(tǒng)的iis6.0提供 了ftp服務(wù)功能，由于它的簡(jiǎn)單易用，與windows系統(tǒng)本身結(jié)合緊密，深受廣大用戶(hù)的喜愛(ài)。但使用iis6.0架設(shè)的ftp服務(wù)器真的安全嗎？它的默認(rèn)設(shè)置其實(shí)存在很多安全隱患，很容易成為黑客們的攻擊目標(biāo)。如何讓ftp服務(wù)器更加安全，只要我們稍加改造，就能做到。

　　 (一)取消匿名訪(fǎng)問(wèn)功能

　　 默認(rèn)情況下，windows 2003系統(tǒng)的ftp服務(wù)器是允許匿名訪(fǎng)問(wèn)的，雖然匿名訪(fǎng)問(wèn)為用戶(hù)上傳、下載文件提供方便，但卻存在極大的安全隱患。用戶(hù)不需要申請(qǐng)合法的賬號(hào)，就能訪(fǎng)問(wèn)你的ftp服務(wù)器，甚至還可以上傳、下載文件，特別對(duì)于一些存儲(chǔ)重要資料的ftp服務(wù)器，很容易出現(xiàn)泄密的情況，因此建議用戶(hù)取消匿名訪(fǎng)問(wèn)功能。

　　 在windows 2003系統(tǒng)中，點(diǎn)擊“開(kāi)始→程序→管理工具→internet服務(wù)管理器”，彈出管理控制臺(tái)窗口。然后展開(kāi)窗口左側(cè)的本地計(jì)算機(jī)選項(xiàng)，就能看到iis6.0自帶的ftp服務(wù)器，下面筆者以默認(rèn)ftp站點(diǎn)為例，介紹如何取消匿名訪(fǎng)問(wèn)功能。

　　 右鍵點(diǎn)擊“默認(rèn)ftp站點(diǎn)”項(xiàng)，在右鍵菜單中選擇“屬性”，接著彈出默認(rèn)ftp站點(diǎn)屬性對(duì)話(huà)框，切換到“安全賬號(hào)”標(biāo)簽頁(yè)，取消“允許匿名連接”前的勾選，最后點(diǎn)擊“確定”按鈕，這樣用戶(hù)就不能使用匿名賬號(hào)訪(fǎng)問(wèn)ftp服務(wù)器了，必須擁有合法賬號(hào)。

　　 (二)啟用日志記錄

　　 windows日志記錄著系統(tǒng)運(yùn)行的一切信息，但很多管理員對(duì)日志記錄功能不夠重視，為了節(jié)省服務(wù)器資源，禁用了ftp服務(wù)器日志記錄功能，這是萬(wàn)萬(wàn)要不得的。ftp服務(wù)器日志記錄著所有用戶(hù)的訪(fǎng)問(wèn)信息，如訪(fǎng)問(wèn)時(shí)間、客戶(hù)機(jī)ip地址、使用的登錄賬號(hào)等，這些信息對(duì)于ftp服務(wù)器的穩(wěn)定運(yùn)行具有很重要的意義，一旦服務(wù)器出現(xiàn)問(wèn)題，就可以查看ftp日志，找到故障所在，及時(shí)排除。因此一定要啟用ftp日志記錄。

　　 在默認(rèn)ftp站點(diǎn)屬性對(duì)話(huà)框中，切換到“ftp站點(diǎn)”標(biāo)簽頁(yè)，一定要確?！皢⒂萌罩居涗洝边x項(xiàng)被選中，這樣就可以在“事件查看器”中查看ftp日志記錄了。

　　 (三)正確設(shè)置用戶(hù)訪(fǎng)問(wèn)權(quán)限

　　 每個(gè)ftp用戶(hù)賬號(hào)都具有一定的訪(fǎng)問(wèn)權(quán)限，但對(duì)用戶(hù)權(quán)限的不合理設(shè)置，也能導(dǎo)致ftp服務(wù)器出現(xiàn)安全隱患。如服務(wù)器中的cce文件夾，只允許cceuser賬號(hào)對(duì)它有讀、寫(xiě)、修改、列表的權(quán)限，禁止其他用戶(hù)訪(fǎng)問(wèn)，但系統(tǒng)默認(rèn)設(shè)置，還是允許其他用戶(hù)對(duì)cce文件夾有讀和列表的權(quán)限，因此必須重新設(shè)置該文件夾的用戶(hù)訪(fǎng)問(wèn)權(quán)限。

　　 右鍵點(diǎn)擊cce文件夾，在彈出菜單中選擇“屬性”，然后切換到“安全”標(biāo)簽頁(yè)，首先刪除everyone用戶(hù)賬號(hào)，接著點(diǎn)擊“添加”按鈕，將cceuser賬號(hào)添加到名稱(chēng)列表框中，然后在“權(quán)限”列表框中選中修改、讀取及運(yùn)行、列出文件夾目錄、讀取和寫(xiě)入選項(xiàng)，最后點(diǎn)擊“確定”按鈕。這樣一來(lái)，cce文件夾只有cceuser用戶(hù)才能訪(fǎng)問(wèn)。

　　 (四)啟用磁盤(pán)配額

　　 ftp服務(wù)器磁盤(pán)空間資源是寶貴的，無(wú)限制的讓用戶(hù)使用，勢(shì)必造成巨大的浪費(fèi)，因此要對(duì)每位ftp用戶(hù)使用的磁盤(pán)空間進(jìn)行限制。下面筆者以cceuser用戶(hù)為例，將其限制為只能使用100m磁盤(pán)空間。

　　 在資源管理器窗口中，右鍵點(diǎn)擊cce文件夾所在的硬盤(pán)盤(pán)符，在彈出的菜單中選擇“屬性”，接著切換到“配額”標(biāo)簽頁(yè)，選中“啟用配額管理”復(fù)選框，激活“配額”標(biāo)簽頁(yè)中的所有配額設(shè)置選項(xiàng)，為了不讓某些ftp用戶(hù)占用過(guò)多的服務(wù)器磁盤(pán)空間，一定要選中“拒絕將磁盤(pán)空間給超過(guò)配額限制的用戶(hù)” 復(fù)選框。 　　

　　 然后在“為該卷上的新用戶(hù)選擇默認(rèn)配額限制”框中選擇“將磁盤(pán)空間限制為”單選項(xiàng)，接著在后面的欄中輸入100，磁盤(pán)容量單位選擇為“mb”，然后進(jìn)行警告等級(jí)設(shè)置，在“將警告等級(jí)設(shè)置為”欄中輸入“96”， 容量單位也選擇為“mb”，這樣就完成了默認(rèn)配額設(shè)置。此外，還要選中“用戶(hù)超出配額限制時(shí)記錄事件”和“用戶(hù)超過(guò)警告等級(jí)時(shí)記錄事件”復(fù)選框，以便將配額告警事件記錄到windows日志中。

　　 點(diǎn)擊配額標(biāo)簽頁(yè)下方的“配額項(xiàng)”按鈕，打開(kāi)磁盤(pán)配額項(xiàng)目對(duì)話(huà)框，接著點(diǎn)擊“配額→新建配額項(xiàng)”，彈出選擇用戶(hù)對(duì)話(huà)框，選中cceuser用戶(hù)后，點(diǎn)擊“確定”按鈕，接著在“添加新配額項(xiàng)”對(duì)話(huà)框中為cceuser用戶(hù)設(shè)置配額參數(shù)，選擇“將磁盤(pán)空間限制為” 單選項(xiàng)，在后面的欄中輸入“100”，接著在“將警告等級(jí)設(shè)置為”欄中輸入“96”，它們的磁盤(pán)容量單位為“mb”，最后點(diǎn)擊“確定”按鈕，完成磁盤(pán)配額設(shè)置，這樣cceuser用戶(hù)就只能使用100 mb磁盤(pán)空間，超過(guò)96mb就會(huì)發(fā)出警告。

　　 (五)TCP/IP訪(fǎng)問(wèn)限制

　　 為了保證ftp服務(wù)器的安全，我們還可以拒絕某些ip地址的訪(fǎng)問(wèn)。在默認(rèn)ftp站點(diǎn)屬性對(duì)話(huà)框中，切換到“目錄安全性”標(biāo)簽頁(yè)，選中“授權(quán)訪(fǎng)問(wèn)”單選項(xiàng)，然后在“以下所列除外”框中點(diǎn)擊“添加”按鈕，彈出“拒絕以下訪(fǎng)問(wèn)”對(duì)話(huà)框，這里我們可以拒絕單個(gè)ip地址或一組ip地址訪(fǎng)問(wèn)，以單個(gè)ip地址為例，選中“單機(jī)”選項(xiàng)，然后在“ip地址”欄中輸入該機(jī)器的ip地址，最后點(diǎn)擊“確定”按鈕。這樣添加到列表中的ip地址都不能訪(fǎng)問(wèn)ftp服務(wù)器了。

　　 (六)合理設(shè)置組策略

　　 通過(guò)對(duì)組策略項(xiàng)目的修改，也可以增強(qiáng)ftp服務(wù)器的安全性。在windows 2003系統(tǒng)中，進(jìn)入到“控制面板→管理工具”，運(yùn)行本地安全策略工具。

　　 1. 審核賬戶(hù)登錄事件

　　 在本地安全設(shè)置窗口中，依次展開(kāi)“安全設(shè)置→本地策略→審核策略”，然后在右側(cè)的框體中找到“審核賬戶(hù)登錄事件”項(xiàng)目，雙擊打開(kāi)該項(xiàng)目，在設(shè)置對(duì)話(huà)框中選中“成功”和“失敗”這兩項(xiàng)，最后點(diǎn)擊“確定”按鈕。該策略生效后，ftp用戶(hù)的每次登錄都會(huì)被記錄到日志中。

　　 2. 增強(qiáng)賬號(hào)密碼的復(fù)雜性

　　 一些ftp賬號(hào)的密碼設(shè)置的過(guò)于簡(jiǎn)單，就有可能被“不法之徒”所破解。為了提高ftp服務(wù)器的安全性，必須強(qiáng)制用戶(hù)設(shè)置復(fù)雜的賬號(hào)密碼。

　　 在本地安全設(shè)置窗口中，依次展開(kāi)“安全設(shè)置→賬戶(hù)策略→密碼策略”，在右側(cè)框體中找到“密碼必須符合復(fù)雜性要求”項(xiàng)，雙擊打開(kāi)后，選中“已啟用”單選項(xiàng)，最后點(diǎn)擊“確定”按鈕。

　　 然后，打開(kāi)“密碼長(zhǎng)度最小值”項(xiàng)，為ftp賬號(hào)密碼設(shè)置最短字符限制。這樣以來(lái)，密碼的安全性就大大增強(qiáng)了。

　　 3. 賬號(hào)登錄限制

　　 有些非法用戶(hù)使用黑客工具，反復(fù)登錄ftp服務(wù)器，來(lái)猜測(cè)賬號(hào)密碼。這是非常危險(xiǎn)的，因此建議大家對(duì)賬號(hào)登錄次數(shù)進(jìn)行限制。

　　 依次展開(kāi)“安全設(shè)置→賬戶(hù)策略→賬戶(hù)鎖定策略”，在右側(cè)框體中找到“賬戶(hù)鎖定閾值”項(xiàng)，雙擊打開(kāi)后，設(shè)置賬號(hào)登錄的最大次數(shù)，如果超過(guò)此數(shù)值，賬號(hào)會(huì)被自動(dòng)鎖定。接著打開(kāi)“賬戶(hù)鎖定時(shí)間”項(xiàng)，設(shè)置ftp賬號(hào)被鎖定的時(shí)間，賬號(hào)一旦被鎖定，超過(guò)這個(gè)時(shí)間值，才能重新使用。

　　 通過(guò)以上幾步設(shè)置后，我們的ftp服務(wù)器就會(huì)更加安全，再也不用怕被非法入侵了。