提升IIS的FTP安全性 管理員的九陰真經

提升IIS的FTP安全性 管理員的九陰真經

《九陰真經》是不少武林高手矇昧以求的武林祕籍，在系統管理員這個武林中也有不少相似《九陰真經》同樣的祕籍。在這裏就向你們介紹一下有關提升IIS的FTP安全性的實用技巧。對廣大直面各類網絡攻擊的網絡安全工程師來講，工做中必然會遇到會遇到各類各樣的FTP攻擊，普通管理員會認爲Windows 下FTP服務安全性比較弱，安全性沒法保證，因此在 Windows server加裝了第三方FTP 程序，以知足本身的要求。

通過筆者多年研究發現，其實利用IIS 下的FTP服務器，通過和系統配合設置就能很好的瞞住您的要求。所謂維護型安全FTP是指不公開使用或者不多公開使用的，通常只供網絡管理員或者安全工程師在維護服務器時使用的FTP系統。這樣的系統在工做中很是須要，可是由於自己是不公開的，因此安全性每每得不到足夠的重視，成爲不少攻擊者喜歡攻擊的目標。本文講述了不爲你們熟知九種技巧來教授如何使用你們都不看好的IIS FTP Server來構建足夠網絡管理員維護使用的FTP服務器，並且安全性足夠高。

真經基礎階段

真經第一重易筋鍛骨篇—— 指定FTP IP地址並修改默認端口

1．使用專用IP進行FTP服務器搭建

以典型的Windows 2003 Server系統爲例，安裝完成IIS以及FTP之後，依次選擇「開始->管理工具->Internet信息服務IIS管理器」，指向「FTP站點」

右擊並選擇「新建->FTP站點」，進入「FTP站點建立嚮導」。在此嚮導中，重點介紹爲即將創建的安全的維護型FtP服務器指定IP地址並修改端口。

2．使用足夠隱蔽的端口進行通訊

「端口」設置建議不使用默認端口，而是將默認端口設置成一個不經常使用的，大於10000、小於65535的端口號。之因此要設置大於10000，小於65535是由於不少端口掃描工具默認狀況下都不會掃描這部分端口，而攻擊者若是手動設置掃描端口的話，出於時間和速度的考慮，也不多定義1-65535這樣的端口掃描規則，因此很容易迷惑攻擊者，讓他們根本不知道原來還有一個高端端口隱蔽在系統中發揮做用。

即便攻擊者用掃描器掃到了這個端口，每每也會由於這個陌生的端口而不明白具體運行的服務，須要詳細探測纔有可能發現是FTP服務。接下來，將對此新建的FTP服務器進行詳細的安全配置。

經第二重療傷篇——定製詳細的FTP日誌記錄相關信息

IIS的FTP系統有很是完善、豐富的日誌記錄系統，使用日誌系統來時刻記錄FTP服務器的運行狀態是很是重要的。

1．啓用FTP服務器的日誌記錄功能

在默認狀況下，IIS管理器下FTP站點中的某個站點的FTP日誌系統默認是啓用的。

2．FTP服務器的高級日誌配置

和普通的FTP服務器要求不一樣，若是須要創建足夠安全的FTP服務器，須要對日誌系統進行詳細的高級定義，定義的內容就是設置攻擊者或者可能發生的攻擊可能存在的典型特徵。

詳細須要定製的高級規則以下：

「新日誌計劃」：此選項控制每一個日誌文件的生成規則，默認是天天生成一份新的FTP日誌。

假定攻擊者繞過了種種限制，對某目標FTP服務器進行了大批量的分佈式暴力破解攻擊，若是FTP日誌是按默認的記錄方式記錄的，則會產生無比龐大的單一文件有時候日誌記錄文件可能達到數十GB的大小，甚至撐破系統盤的空間，致使系統的正常運行出現問題。

因此這裏須要首先肯定FTP的日誌按照文件大小來生成，選擇「新日誌計劃」下的「當文件大小達到20MB」時開始生成新的日誌記錄文件，方便分析和調用；

「日誌文件目錄」：此選項是很是重要的選項，定義FTP日誌的存放地址，默認是存放在「C:\WINDOWS\system32\LogFiles」下。

對於任何被攻擊者普遍瞭解的默認選項，都應該進行相關的在可容許範圍內修改。同時，出於對操做系統所在盤的保護，建議將FTP的日誌系統定義到每一個FTP用戶單獨使用的文件夾下，但不能賦予該用戶對此日誌記錄文件的訪問權限。

3．定義FTP服務器日誌的詳細記錄規則

在配置好日誌文件的生成規則和路徑之後，須要對日誌文件記錄信息的類型進行詳細配置。一個能記錄絕大多數攻擊者和使用者行爲的日誌文件應該包含如下記錄信息：

日期（非默認選中，須要手動選中）；

時間（默認選中）；

客戶端IP地址（默認選中）；

用戶名（非默認選中，須要手動選中）

方法（默認選中）；

URL資源（默認選中）；

協議狀態（默認選中）；

Win32狀態（默認選中）；

所用時間（非默認選中，須要手動選中）；

用戶代理（非默認選中，須要手動選中）；

須要注意的是，並非日誌系統記錄的信息越多就越好，由於日誌系統記錄FTP用戶（攻擊者或者正經常使用戶）的訪問畢竟須要消耗資源，並且生成的日誌記錄一樣須要存放空間。若是記錄項目過多，可能引發系統資源消耗日誌文件佔用空間大的問題。

真經第三重點穴篇——取消匿名訪問

匿名訪問是FTP服務器的默認設置，此設置能夠很好地支持普通用戶的FTP訪問，可是要創建安全性足夠的FTP服務器的話，此項設置必須去除。

去除FTP服務器的匿名訪問功能很簡單，只須要指向IIS管理器下的須要修改的FIP站點，右擊並選擇「屬性」，進入「安全帳戶」標籤，取消「容許匿名鏈接」前的便可。

真經第四重摧心掌——強制安全密碼規則

在有意無心之中，一些用戶的FTP帳號密碼設置得過於簡單，爲了提升FTP服務器的安全性，特別是須要創建安全性足夠強的維護型FTP服務器，必須強制用戶設置複雜的帳號密碼。

1．組策略簡介

在Windows系統中，密碼的規則設置是由組策略所控制的。簡單地說，組策略設置就是在修改註冊表中的配置。固然，組策略使用了萄託每的管理組織方法，能夠對各類對象中的設置進行管理和配置，遠比手工修改註冊表方便、靈活，功能也更增強大。

依次指向「開始一運行」，輸入「gpedit.msc」進入Windows 2003 Server系統的組策略選項。進入組策略選項之後，在左方快速連接欄中依次指向「計算機配置一〉Windows設置一〉帳戶策略一〉密碼策略」，這裏能夠設置不少密碼的相關安全規則。

2．啓用密碼複雜性要求策略

在右側礦體中找到「密碼必須符合複雜性要求」項，而後雙擊打開後，選中「已啓用」按鈕，最後單擊肯定使之生效。

若是啓用「密碼必須符合複雜性要求」策略，在更改或建立帳戶（密碼）時就會執行復雜性策略檢查，密碼必須符合下列最低要求：

a.密碼不能包含帳戶名：

b.密碼不能包含用戶名中超過兩個連續字符的部分：

c.密碼至少有6個字符長度；

d.策略包含如下4類字符中的至少3類字符：英文大寫字母(A-Z)、英文小「．寫字母(a-z)、10個基本數字(0-9)、特殊字符（例如！、$、#、%）

3．啓用密碼長度最小值策略

另外，更具安全密碼規則中密碼長度的要求，能夠雙擊「密碼長度最小值」進行最小密碼長度的設置。例如把最小長度設置爲8個字符，通過這樣的設置，FTP用戶（乃至系統用戶）的密碼安全性就大大地提升了，系統安全性也就大大加強了。

真經第五重蛇行狸翻之術——使用專用帳戶訪問FTP服務

維護型的FTP服務器使用者通常是網絡管理員，因此不存在大量用戶使用的問題，通常都是機構管理員在分別使用。

針對這樣的狀況，若是採用IIS下的FIP Server構建服務器的話，首先應該考慮的是去掉默認FTP服務器中的匿名訪問，而後創建專用的FTP帳戶，最後爲專用的FTP帳戶指派訪問目錄。

1．創建專用FTP帳戶

假定有5個管理員須要對服務器進行常常性的維護，並且各自的工做職能不一樣，那就須要創建至少5個專用FTP帳戶。

Net user ft01 pass11@! wd /add

重複上述用戶創建設置，依次創建ftp01~ftp05等幾個帳戶。

2．創建專用帳戶對應的FTP文件夾

創建好FTP專用帳戶之後，須要爲專用帳戶指派FTP目錄，以系統管理員身份找到n（y的根文件夾，分別爲每一個用戶創建一個對應的文件夾，例如用戶ftp01就對應ftp01文件夾、ftp02用戶對應ftp02文件夾。

真經高手階段

上述幾個步驟只是簡單地創建了幾個可用帳戶，遠遠沒有達到實現安全FTP的目的，下述內容將進行詳細設置。

真經第六重九陰白骨爪——使用NTFS約束FTP用戶權限

在管理員各自對應的FTP用戶創建好以後，並不能直接使用，須要對各帳戶進行詳細的權限設置。

1．將FTP用戶權限限定爲Guest組

使用「net user」命令創建的系統用戶默認是屬於「user」組，在系統中具備必定的權限。首先須要作的是刪除這些Fl

P用戶的「user」組權限，並將它指派成Guest用戶組中的一員。

使用以下命令刪除剛剛創建的各帳戶的「user」組權限：

Net localgroupusers ftp01 /del

而後使用以下命令將該帳戶指派到系統的「Guest」用戶組：

Net localgroup guests ftp01 /add

如今的各個FTP帳戶都處於「Guest」用戶組，權限很是低。刪除並更改完FTP用戶的所屬用戶組之後，須要對各個FTP用戶對應的文件夾進行權限設置。

2．刪除各FTP文件夾繼承權限

以ftp01帳戶對應的ftp01文件夾爲例，以系統管理員身份登陸，選中文件夾並右鍵選擇「安全」選項卡，默認狀況下這裏有很是多的已經繼承於上級文件夾的權限，

咱們須要作的是刪掉這些默認的權限，可是在刪除的時候會出現系統提示：

由於「SYSTEM」從其父系繼承權限，您沒法刪除此對象。要刪除「SYSTEM

「必須阻止對象繼承權限。關閉繼承權限的選項，而後重試刪除「SYSTEM」

由於權限是繼承上級文件夾的，因此不能直接刪除，須要單擊「高級」按鈕，進入此文件夾的「高級安全設置」，

3．爲FTP用戶指派文件夾訪問權限

此時的文件夾是系統中不少用戶都不能直接使用的，拄即便是管理員也沒法直接打開。這時候須要爲FTP帳戶指派訪問權限。選中文件夾「安全」選項卡下的「添加」，分別選擇「高級-當即查找」，選中上述創建的FTP專用用戶便可。此時ftp01默認已經有部分權限，包括「讀取和運行」、「列出文件夾目錄」、「讀取」3種。做爲系統管理員們使用的維護型FTP，顯然須要常用上傳功能，因此這裏須要選中「寫入」權限。

上述各選項均爲基本的FTP設置選項，完成之後具備必定安全性的維護型FTP服務器就創建好了，可是要要作到高安全性仍是不夠，須要進行其餘一些設置。

真經第七重白蠎鞭——強制密碼更改時間與強制密碼歷史策略

若是遇到構造巧妙的暴力破解攻擊，管理員是很難受的。一個安全的、少數人使用的FTP服務器中，每一個用戶應當常常性（在用戶能夠承受的日期之內）地修改密碼，以縮短被暴力破解的時間，保護密碼安全是須要重點注意的。在Windows 2003 Server系統中，組策略可使用「強制密碼更改時間」和「強制密碼歷史」策略作到這一點。具體來講，如何在儘可能不影響用戶正常使用的前提下，儘可能限制暴力破解的時間呢？在Windows系統下，可使用強制密碼更改時間策略實現；如何避免不少用戶（包括管理員）習慣使用2，3個固定密碼進行循環得非安全機制呢？可使用強制密碼歷史策略。

1．啓用強制密碼更改時間策略

爲了大大縮短暴力破解攻擊能夠發起的時間，極度減低暴力破解的成功率，在不影響用戶的正常使用的前提下，強制性地要求用戶按期修改本身的FTP密碼是很是重要的一個安全措施—組策略能夠完成這樣的策略指派。

使用「gpedit.msc」命令打開組策略編輯器，在「計算機配置」下的「安全設置」、「帳戶策略」、「密碼策略」下，能夠看到「密碼最短使用期限」和「密碼最長使用期限」。

「密碼最長使用期限」這個安全設置是肯定系統要求用戶更改密碼以前可使用該密碼的時間（單位爲天），也就是說這個時間控制用戶必須在多少天以內修改密碼，

管理員能夠將密碼的過時天數設置在1～999天之間。具體來講，分爲如下3種狀況：

若是將天數設置爲0，則指定密碼永不過時；

若是密碼最長使用期限在1～999天之間，那麼「密碼最短使用期限」必須小於密碼最長使用期限；

若是密碼最長使用期限設置爲0，則密碼最短使用期限能夠是1～998天之間的任何值。

兼顧到正經常使用戶的使用，這裏建議設置的密碼過時天數是30～90天。這是一種實際證實比較優秀的安全策略。經過這種方式，攻擊者只可以在有限的時間內破解用戶密碼。這個策略應該和上面的最長使用期限相配合，合理的設置應該是30天左右。

2．啓用強制密碼歷史策略

「強制密碼歷史」策略是指用戶在從新使用舊密碼以前，該用戶所使用的新密碼必須不能與本身所使用的最近的舊密碼同樣。該策略經過確保舊密碼不能在某段時間內重複使用，使用戶帳戶更安全，須要說明的是，若是管理員但願「強制密碼歷史」安全策略選項設置有效，須要將「密碼最短有效期限」配置爲大於0。若是沒有密碼最短有效期限，則FTP用戶能夠重複循環經過密碼規則的密碼，直到得到喜歡的舊密碼。

默認設置不聽從這種推薦方法，所以管理員能夠爲用戶指定密碼，而後要求當用戶登陸時更改管理員定義的密碼。

若是將該密碼的歷史記錄設置爲0，則用戶沒必要選擇新密碼。所以，通常狀況下將密碼歷史記錄設置爲1。

真經第八重移魂大法——錯誤鎖定策略指派

經過上文的一些設置，如今的密碼安全策略已經有了保障，可是面對頭疼的暴力破解攻擊，如何讓維護型的FTP服務器具備強悍的防護能力呢？這就須要使用錯誤鎖定策略。

1．定義帳戶鎖定閥值

「錯誤鎖定」策略在組策略「計算機配置」中的「安全設置」、「帳戶策略」、「密碼策略」下。雙擊打開「帳戶鎖定閥值」，

這個安全策略肯定致使FTP用戶帳戶被鎖定的登陸嘗試失敗的次數，在管理員重置鎖定帳戶或帳戶鎖定時間期滿以前，沒法使用該鎖定帳戶。也就是說，若是達到管理員設置的登錄錯誤次數，則該帳戶將被鎖定。管理員能夠將登陸嘗試失敗次數設置爲介於0～999之間的值，若是將值設置爲0，則永遠不會鎖定帳戶。

通常狀況下，爲了對暴力破解（或者社會工程學猜解）攻擊的防護，設置帳號登陸的最大次數在5～10次左右，若是攻擊者嘗試登陸該帳戶超過此數值，帳號會被自動鎖定。

2．定義帳戶鎖定時間

設置完「錯誤鎖定」策略後，打開「帳戶鎖定時間」策略，這裏設置FTP帳號被鎖定的時間，帳號一旦被鎖定，超過這個時間值，才能從新使用，界面如圖

真經第九重大伏魔拳——啓用目錄安全性杜絕大多數各種FTP 攻擊

通過上述設置，一個安全性足夠、使用效率很高的FTP服務器已經架設成功，可是做爲一個專門爲管理員服務的維護型FTP服務器，若是能作到下面的一個設置，將把總體的安全性提升至少2個檔次！

無論是什麼樣的FTP攻擊，能登陸是最基本的一個步驟，也是絕大部分攻擊發起的目標成果，若是系統管理員採用「一招制敵」的方式，直接掐斷非法用戶的FTP登陸功能，讓攻擊者沒法使用（或者很是難使用）暴力破解攻擊，讓攻擊者獲得FTP帳戶密碼也沒有登陸權限的話，就能解決起碼90%以上的攻擊！

在IIS的FTP Server中，「目錄安全性」能夠實現這個功能，不過根據管理員不一樣的環境，策略會有些許變化。

依次指向IIs管理器的FTP站點，右擊並選擇「ftp屬性」，打開「目錄安全性」，在界面中選擇「拒絕訪問」，而後單擊「添加」按鈕定義容許訪問的單一計算機、多臺計算機，設置好的界面「目錄安全性」是經過FTP用戶的登陸IP進行判斷的一種機制，上圖中的「拒絕訪問」表明默認拒絕全部IP的FTP使用請求，除非請求登陸FTP的計算機IP地址包含在「下面列出的除外」列表框中。

經過這個設置，管理員能夠控制惟一的，或者是極少的絕對信任IP可使用P)（y功能。例如，在一個大型的公司網絡中，所有員工都是使用的固定IP鏈接網絡（或使用固定IP地址的出口網關上網），管理員能夠定義只容許此IP地址的計算機（或計算機羣）進行FTP服務器的使用，其餘全部的I1）地址均不能訪問FTP服務器。

通過這樣的設置，全部的外部攻擊者都被阻擋在FTP服務器之外了。不過這個功能在兩種狀況下可能存在缺陷：

第一種

狀況是攻擊者使用了IP僞造技術，不但成功欺騙了互聯網，還成功欺騙了服務器，讓服務器覺得攻擊者就是被容許訪問中的一員，從而讓攻擊者達到攻擊網[y服務器的目的。不過這樣的攻擊難度實在太大，相信沒有幾個攻擊者願意嘗試。

第二種

狀況是攻擊者經過滲透攻擊等方式，控制了和服務器管理員同IP的計算機，好比管理員的同事等，而後在管理員同事的計算機上進行FTP攻擊。固然，這樣的滲透攻擊自己就難於FTP攻擊，因此現實中存在的相似攻擊也是至關少。

真經總卷：對配置後的服務器進行最後的演練

有防護就有攻擊，任何安全工程師都不可能說本身構建的防護體系是完美的，是不可能被攻破的。因此下面將針對上述的各項安全措施防護的維護型FTP服務器，進行理論化的高級攻防演練：

若是攻擊者採用傳統的暴力破解技術，那無疑是不能直接對上述加固後的FTP服務器進行窮舉的，由於FTP服務器不但有IP限制策略，也就是目錄安全性策略，就算攻擊者成功地得到了一臺容許使用FTP服務器的計算機（或某IP），丕有很大概率會卡在FTP服務器的端口隱藏策略、密碼安全策略、密碼更換策略、帳戶登陸錯誤鎖定策略等相關安全策略之中。

就如今的網絡技術而言，通常狀況下要對上述的安全FTP服務器進行暴力破解，成功率接近於零。若是攻擊者想採用漏洞攻擊，先不說目錄安全性策略是否能繞過，就目前存在的、公佈的漏洞來看，這樣的漏洞尚未可用的（固然，不排除有很是牛的攻擊者研究出了IIS下的FTP驚天漏洞而未公佈）。若是攻擊者採用嗅探技術得到上述FTP服務器的密碼，那麼接着須要解決的就是目錄安全性的問題（也就是IP策略）、可能遇到的密碼按期更改問題等。

    總的來講，上述IIS下FTP服務器可能隨着攻防技術的不斷進步而產生漏洞，但就目前的技術水平來看，單就FTP服務自己而言（不包括服務器其餘方面的服務出現漏洞等狀況），安全性有了顯著提升。

本文發佈在： http://os.51cto.com/art/201012/239821.htm

本文出自 「李晨光原創技術博客」 博客，謝絕轉載！