纯用线描或稍加墨染(用线描或稍加墨染者称)-奇宝库

Windows 2000系统提供FTP服务功能，因为简单易用，与Windows系统本身紧密结合，所以深受用户喜爱。但是用iis5.0设置的FTP服务器真的安全吗？它的默认设置其实有很多安全隐患，很容易被黑客盯上。如何让FTP服务器更安全，稍微修改一下就可以实现。

取消匿名访问功能

默认情况下，Windows 2000系统的FTP服务器允许匿名访问。匿名访问虽然为用户上传和下载文件提供了便利，但存在很大的安全隐患。用户无需申请合法账号即可访问FTP服务器，甚至可以上传下载文件。尤其是一些存储重要信息的FTP服务器，很容易出现信息泄露。因此，建议用户取消匿名访问功能。

在Windows 2000系统中，单击开始程序管理工具Internet服务管理器，会弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项，可以看到IIS5.0自带的FTP服务器，这里作者以默认FTP站点为例介绍如何取消匿名访问功能。

右键“默认FTP站点”，在右键菜单中选择“属性”，会弹出默认FTP站点属性对话框，切换到“安全账号”的标签页，取消选中“允许匿名连接”前的框(如图1)，最后点击“确定”按钮，这样用户就不能用匿名账号访问FTP服务器，必须有合法账号。

图1禁止匿名访问

2.启用日志记录

Windows日志记录了系统运行的所有信息，但许多管理员对日志功能不够重视。为了节省服务器资源，他们禁用了FTP服务器的日志功能，这是绝对不能接受的。FTP服务器日志记录了所有用户的访问信息，如访问时间、客户端IP地址、登录账号等。这对FTP服务器的稳定运行具有重要意义。一旦服务器出现问题，可以查看FTP日志，找到故障，及时排除。因此，必须启用FTP日志记录。

在默认的FTP站点属性对话框中，切换到“FTP站点”选项卡，并确保选择了“启用日志记录”选项，以便您可以在事件查看器中查看FTP日志记录。

第三，正确设置用户访问权限。

每个FTP用户账号都有一定的访问权限，但是用户权限设置的不合理也会导致FTP服务器的安全隐患。比如服务器中的CCE文件夹，只允许CCEUSER账号对其进行读写、修改、列表等操作，禁止其他用户访问。但是，系统默认设置仍然允许其他用户读取和列出CCE文件夹，因此必须重置该文件夹的用户访问权限。

右键单击CCE文件夹，在弹出菜单中选择属性，然后切换到安全选项卡。首先删除Everyone用户账号，然后点击添加将CCEUSER账号添加到名称列表框中，然后在权限列表框中选择修改、读取和运行、列出文件夹目录、读取和写入选项，最后点击确定。这样，CCE文件夹只能由CCEUSER用户访问。

4.启用磁盘配额

FTP服务器磁盘空间资源是宝贵的，用户无限制的使用必然会造成巨大的浪费，所以需要限制每个FTP用户使用的磁盘空间。笔者以CCEUSER为例，将其限制在100M磁盘空间。

在资源管理器窗口中，右键单击CCE文件夹所在的硬盘盘符，在弹出菜单中选择属性，然后切换到配额选项卡(如图2所示)，选中启用配额管理复选框，激活配额选项卡中的所有配额设置选项。为了防止某些FTP用户占用过多的服务器磁盘空间，您必须选中“拒绝超过配额限制的用户使用磁盘空间”复选框。

图2限制FTP存储空间

然后，在“为该卷上的新用户选择默认配额限制”框中选择单选选项“限制磁盘空间为”，然后在后栏中输入100，磁盘容量单位为MB。然后，设置预警级别，在“将预警级别设置为”一栏中输入“96”，容量单位为MB，这样就完成了默认的配额设置。此外，选中“用户超过配额限制时记录事件”和“用户超过警告级别时记录事件”复选框，以在Windows日志中记录配额警报事件。

点击配额选项卡底部的配额项目按钮，打开磁盘配额项目对话框，然后点击配额新建配额项目，打开选择用户对话框。选择CCEUSER后，点击确定，在新增配额项对话框中为CCEUSER设置配额参数，选择“限制磁盘空间为”选项，输入“100”，然后在“设置警告级别为”栏中输入“96”，其磁盘容量单位为“MB”。最后点击“确定”按钮，完成磁盘配额设置，这样CCEUSER用户只能使用100 MB的磁盘空间，超过96MB会发出警告。

TCP/IP访问限制

为了确保FTP服务器的安全性，您还可以拒绝某些IP地址的访问。在默认的FTP站点属性对话框中，切换到目录安全选项卡，选择“授权访问”选项(如图3所示)，然后点击“除以下”框中的“添加”按钮，会弹出“拒绝以下访问”对话框。在这里，您可以拒绝对单个IP地址或一组IP地址的访问。以单个IP地址为例，选择“单机”选项，然后在中选择“单机”选项，这样，所有添加到列表中的IP地址都无法访问FTP服务器。

图3阻止此IP访问FTP