Windows 2000係統的IIS5.0提供 了FTP服務功能，由於它的簡單易用（yòng），與Windows係統本身結合緊密，深受（shòu）廣大用戶的喜愛。但使用IIS5.0架（jià）設的FTP服務器真的安全嗎？它的默認設置其實存在很多安全隱患，很容易成為（wéi）黑客們的攻擊目標。如何（hé）讓（ràng）FTP服務器更加安全，隻要我們稍加改造，就能做到。

一 取消匿名訪問功能

默認情況下，Windows 2000係統的FTP服務器是允許匿名訪問的，雖然匿（nì）名（míng）訪問（wèn）為用（yòng）戶上傳、下載文件提供方便，但卻存在極大的安全隱患。用戶（hù）不需要申（shēn）請合法的賬號，就能訪問你的FTP服務器，甚至還可以上傳、下載文件，特別對於一（yī）些存儲重要資料的FTP服務（wù）器，很容易出現泄密的情況，因此建議用戶（hù）取消匿名訪問功能。

在Windows 2000係統中，點擊“開始→程序→管理工具→Internet服務管理器”，彈出管理控製台窗口。然後展開窗口左側的本地計算機選項，就能看到IIS5.0自帶的FTP服務器，下麵筆者以默認FTP站點（diǎn）為例，介紹如何取消匿名（míng）訪問功能（néng）。

右鍵點擊“默認FTP站點”項，在右鍵菜單中選擇“屬性”，接著彈出默認FTP站（zhàn）點屬性對話框，切換（huàn）到“安全賬號”標簽頁，取消“允許匿名連接”前的（de）勾選，最後點擊“確定”按鈕，這樣用戶就不（bú）能使用匿名賬號訪問（wèn）FTP服務器了，必（bì）須（xū）擁有合法賬號。

二 啟用日誌記錄

Windows日誌記錄著係統運行的（de）一切信息，但很多（duō）管理員對日誌記（jì）錄（lù）功能（néng）不夠重視，為了節省服務器資源，禁用了FTP服務器日誌記錄功能（néng），這是萬萬要不（bú）得的。FTP服務器日誌記錄著所有用戶（hù）的訪問信息，如訪問時間、客戶機IP地址、使用的登錄賬號等，這些信息（xī）對於FTP服務器（qì）的穩定運行具有很（hěn）重要的意義，一旦服務器出現問題，就可以查看FTP日誌，找到故障所在，及時排除。因此一定要啟用FTP日誌記錄。

在默認（rèn）FTP站點屬性對話框中（zhōng），切換到“FTP站點”標簽頁（yè），一定要確保“啟（qǐ）用日誌記錄”選項被選中，這樣就可以在“事件（jiàn）查看器”中查（chá）看FTP日誌記錄了。

三 正確設置用戶訪問權（quán）限

每個FTP用戶賬（zhàng）號都具有一定的訪問權限，但對用戶權限的不合理設置，也能（néng）導致FTP服（fú）務器出現安全隱患。如服務器中的CCE文件夾，隻允許CCEUSER賬號（hào）對它（tā）有讀（dú）、寫、修改、列表的權限（xiàn），禁止其他用戶訪問，但係統默認設置，還是允許其他用戶對CCE文件夾有讀和列表的權（quán）限，因此必須重新設置該文（wén）件夾的用戶訪問權限。

右鍵點擊CCE文件夾，在（zài）彈出菜單中選擇“屬性”，然後切（qiē）換到“安全”標簽頁，首先刪除Everyone用戶賬號，接著點擊“添加”按鈕，將CCEUSER賬號（hào）添（tiān）加到名稱列表框中，然後在“權限”列表框中選中修改、讀取及運（yùn）行、列出文件夾（jiá）目錄、讀取和寫入（rù）選項，最後點擊“確定”按鈕。這樣一來，CCE文件夾隻（zhī）有CCEUSER用戶才能訪問。

四 啟用磁（cí）盤配額

FTP服務器磁盤空間資源（yuán）是寶貴的，無限製的讓（ràng）用戶使用，勢必（bì）造成巨大的浪費，因此要對每位FTP用戶使用的磁盤空間進行限製。下麵（miàn）筆者（zhě）以CCEUSER用戶為例，將其限製為隻（zhī）能使用100M磁盤空間。

在資源管理器窗口中，右鍵點擊CCE文件夾所在的（de）硬盤盤符（fú），在彈出的菜單中選（xuǎn）擇“屬性”，接著切換到“配額（é）”標簽頁（如圖2），選中“啟用配額管（guǎn）理”複選框，激活“配額”標簽頁中的所有配額設置選項，為（wéi）了不讓（ràng）某些FTP用戶占用過多的服務器磁盤空間，一定要選（xuǎn）中“拒絕將（jiāng）磁盤空間給超（chāo）過配額（é）限製的用戶” 複選框。

然後在“為該卷上的新用戶（hù）選擇（zé）默認配額限製”框中選擇“將磁盤空間限製為”單選項，接著（zhe）在後（hòu）麵的欄中輸入100，磁盤容量單位選擇為“MB”，然（rán）後進行警告等級設置，在“將警告等級設置為”欄（lán）中輸入“96”， 容量單位也選擇為“MB”，這樣就完成了默認配（pèi）額設置。此外，還要選中“用戶超出配額限製時記錄事件”和“用戶超過警告等（děng）級時記錄事件”複選框，以便將配額告警事件（jiàn）記錄到Windows日誌中。

點擊配（pèi）額標簽頁下（xià）方的“配額項”按鈕，打（dǎ）開磁盤配額項目對話框，接著點（diǎn）擊“配額→新建配額項”，彈（dàn）出選擇用戶對話框，選中CCEUSER用戶後，點（diǎn）擊“確定”按（àn）鈕，接著在“添加新配額項”對話框中為CCEUSER用戶設置配額參數，選擇“將磁盤空間（jiān）限製為” 單選項，在後麵的欄中輸（shū）入“100”，接（jiē）著在“將警告等級設置為”欄中輸入“96”，它們的磁盤容（róng）量單位為“MB”，最後（hòu）點擊“確定”按鈕，完成磁（cí）盤配額設置，這樣CCEUSER用戶就（jiù）隻能使用100 MB磁盤空間，超過96MB就會發出警告。

五 TCP/IP訪問限製（zhì）

為了保證FTP服務器的安全，我們還可以拒絕某些IP地址的訪問。在（zài）默認FTP站（zhàn）點屬性對話框中（zhōng），切換到（dào）“目（mù）錄（lù）安全性”標簽頁，選中“授權（quán）訪問”單選項（如圖3），然後在（zài）“以下所列除外”框中點擊“添加”按鈕，彈出“拒絕以下訪（fǎng）問”對話框（kuàng），這裏我們可以拒絕單個IP地址或（huò）一組（zǔ）IP地址訪（fǎng）問，以單個IP地址為例，選中“單機（jī）”選項，然後（hòu）在“IP地址”欄中輸入該機器的IP地址，最（zuì）後點擊“確定”按鈕。這樣添加到（dào）列表中的IP地址都不能訪問FTP服務器了。

六 合（hé）理設置組策略

通過對組策略項（xiàng）目（mù）的修改，也可（kě）以增強FTP服務器的安全性。在（zài）Windows 2000係統中，進入（rù）到“控製麵板→管理工具”，運行本地安全策略工具。

1. 審核賬（zhàng）戶登錄事件

在本地安（ān）全設置窗口中，依次展開“安全設置→本地策略→審核策略”，然（rán）後（hòu）在（zài）右側的框體中找到“審核賬戶登錄事件”項目（如圖4），雙擊打開該項目，在設置對話（huà）框中選中“成功”和“失敗”這兩項（xiàng），最後點擊“確定”按鈕。該（gāi）策略生效後，FTP用戶的每次登（dēng）錄都會被記錄到日誌中（zhōng）。

2. 增（zēng）強賬（zhàng）號密碼的複雜性

一些FTP賬號的密（mì）碼設置的過於簡單（dān），就有可能被“不法之徒”所破解。為了提高FTP服務器的安（ān）全性，必須強製用戶設置複雜的賬號密碼。

在本地安（ān）全（quán）設置窗（chuāng）口中，依次展（zhǎn）開“安全設置→賬戶策略（luè）→密碼策略”，在右（yòu）側框體（tǐ）中（zhōng）找到“密碼必須符合複雜性要求”項，雙擊打開後，選（xuǎn）中“已啟用”單選項，最後點擊（jī）“確定”按鈕。

然後，打開“密碼（mǎ）長度最小值”項，為FTP賬號密碼設置（zhì）最短（duǎn）字符限製。這樣以來，密碼的安全性就大大增強了。

3. 賬號登錄限製

有些非（fēi）法用戶使用黑（hēi）客工具，反複（fù）登（dēng）錄FTP服（fú）務器，來（lái）猜測賬號密碼。這是非常危（wēi）險的，因此建議大家對賬號登錄（lù）次數進行限製。

依次展開“安全設置→賬戶策略→賬（zhàng）戶鎖定策略”，在右側框體中找到“賬（zhàng）戶（hù）鎖定閾值”項，雙擊打開後，設置（zhì）賬號登錄的最大次（cì）數，如果超過此數（shù）值，賬號會被自動鎖定（dìng）。接著打開“賬戶鎖定時間”項，設置FTP賬（zhàng）號被鎖定的時間，賬號一旦（dàn）被鎖定，超（chāo）過這個時間值，才能重新使用。

通過（guò）以上幾步設置後，我們的FTP服務器就會更加安全，再也不用怕被非法入侵了。