10步打造安全的FTP服务器

　　TIP # 5: 使用磁盘配额。

　　使用windows2000来限制磁盘配额是一件很轻松的事情。磁盘配额可能有效地限制每个用户所使用的磁盘空间。授予用户对自己上传的文件的完全控制权。使用磁盘配额可以检查用户是否超出了使用空间，您能有效地限制你的站点被攻破所带来的破坏。 一个最坏的情况就是是文件被无限制的传送而撑爆你的站点。 这可能给磁盘上的其它独立于ftp站点的服务带来严重的后果。

　　并且，限制用户能拥有的磁盘空间，您的站点将不会成为那些寻找空间共享他们的媒体文件的黑客的目标。

　　图5: 你可以在NTFS分区的磁盘的属性的“磁盘配额”栏开启磁盘配额管理

　　在NTFS分区可以对磁盘配额的用途进行限制。 此外，配额只能定义到每一个用户，而无法被分配到小组。

图5': 可以为每一个帐户设置磁盘配额。 极限应该定为用于FTP 登陆。

　　windows2000 访问时间限制是从nt4.0继承而来。 这个选项限制用户只能在指定的日期的时间内才能登陆访问站点。

　　这可以限制在唯一被批准的时间才能访问服务器。 如果你的站点实在企业环境中使用，你可以限制只有在工作时间才能访问服务请。 下班以后就禁止登陆，您可以关闭服务器以保障安全。

图6: 你可以在活动目录用户和用户属性页下找到登陆时间设置

　　* 本地用户帐号无法通过地方用户和小组控制台来配置登陆时间，这个选择在GUI下是不可用的。

　　TIP # 7: 基于IP策略的访问控制

　　windows2000的 FTP 可以限制具体IP 地址的访问。限制只能由特定的个体才能访问站点，可以大大地减少未批准者登陆访问的危险。

　　图7: 限制可以访问FTP的IP ：在站点属性页的目录安全栏。 确定选择默认禁止访问复选框，在列表框列出信任的IP地址。

　　TIP # 8: 审计登陆事件。

　　审计帐户登陆事件，您能在安全日志察看器里查看企图登陆站点的（成功/失败）事件。

　　经常查看日志可使您警觉一名恶意用户设法入侵的可疑活动。 它也作为历史记录用于站点入侵检测。

　　图8:可由使用打开本地安全策略配置工具打开审计帐户注册事件。 在policies/audit 政策容器中设置Audit account logon events条件为success，failure。

　　* 使用活动目录，也可使用组政策配置帐户访问日志。

　　使用复杂的密码是您采用终端用户认证的安全方式。这是巩固您的站点安全的一个关键的部分。

　　windows2000允许管理员强迫用户服从安全密码要求。在本地安全政策或组政策的”密码必须符合复杂性要求”，FTP用户帐号选择他们的密码的时候必须遵守以下制约:

　　· 确定不包含用户帐号名字的全部或部份

　　· 必须是至少6 个字符长

　　· 包含字符从3 以下4 个类别:

　　o 英文大写体字符(A - Z)

　　o 英文小写字母(a - z)

　　o 数字(0 至9)

　　o 非字母数字的字符(e.g 。, !，$ ，# ，%)

　　图9: 密码必须符合复杂性要求：使用本地安全政策配置工具来配置。 在policies/Account Policies/Password 政策容器和改变设置条件为允许

　　* 使用活动目录，' 密码必须符合复杂性要求' 可使用组政策配置

　　TIP # 10:帐户停工和认为停工门限。

　　FTP 帐户经常成为密码破解者用密码字典进行破解的目标。 windows2000 安全策略允许管理员当帐户在规定的次数内未登入的情况下将帐户锁定。 由这个选择和配置权限，管理员能限制脆弱密码的暴露。

　　图10: 帐户锁定时间和门限选择可使用本地安全政策配置工具配置。在policies/Account Policies/Password 策略可改变设置的启用和停用

　　*使用活动目录，'帐号锁定策略' 可使用组政策配置