Ограничение подключений

Если служба FTP предназначена для нескольких отдельных клиентов или сотрудников, на сервере не нужна поддержка множества единовременных подключений, так как это упрощает хакерам реализацию атаки на отказ в обслуживании. На вкладке FTP Site (FTP-узел) в области Connection (Подключение) в поле Limited To (Ограничено) введите соответствующий предел согласно назначению сервера. После этого на вкладке Message (Сообщение) включите отображение сообщения пользователям, пытающимся подключиться к серверу после достижения максимально допустимого числа подключений. В поле Connection Timeout (Время простоя соединения) введите время (в секундах), по истечении которого сервер отключит неактивных пользователей. Такая настройка параметров обеспечит закрытие всех подключений, если это не сделает протокол FTP.

Ведение журнала FTP-активности

В соответствии с политикой аудита безопасности необходимо осуществлять запись FTP-активности, поэтому отметьте опцию Enable Logging (Вести журнал). Для включения записи активности пользователей отметьте опцию Log Visits (Записывать в журнал посещения) на вкладке Home Directory (Домашний каталог) для каждого сайта FTP. Система обнаружения вторжений поддерживает мониторинг журналов, однако следует выяснить формат этих журналов. Параметры и настройки журнала должны быть такими же, как и для службы WWW.

Отключение пользователей

В окне Properties (Свойства) FTP-сайта выясните, какие пользователи в данный момент подключены к сайту, нажав на кнопку Current Sessions (Текущие сеансы), как показано на рисунке. Анонимные пользователи отображаются с использованием вопросительных знаков.

Для быстрого отключения определенного пользователя (например, возникло подозрение, что он использует сервер не по назначению) выделите его (или их) и нажмите на кнопку Disconnect (Отключить) или отключите всех пользователей, нажав на кнопку Disconnect All (Отключить всех).

Учетные записи безопасности

Для получения доступа к FTP-серверу пользователи должны осуществлять вход в систему. На вкладке Security Accounts имеются средства управления, позволяющие определить, кто имеет доступ к FTP-серверу, и кто является его администратором. Для предоставления общего доступа из интернета к файлам FTP-сервера выберите опцию Allow Anonymous Connection (Разрешить анонимное подключение) и укажите учетную запись, которая будет использоваться для анонимного доступа. На рисунке 10.3 показано, что учетной записью по умолчанию является IUSR_имя-компьютера. Эта же учетная запись используется для анонимного доступа из интернета к IIS-серверу.

(Если служба FTP настроена на разрешение анонимного доступа, клиенты смогут входить в систему под именем "anonymous". Как правило, анонимные пользователи FTP вводят в качестве пароля свой адрес электронной почты. Internet Explorer осуществляет автоматический анонимный вход на любой FTP-сервер, разрешающий анонимное подключение.)

Если используется одна и та же учетная запись для обеих служб, то любая "брешь" в службе FTP подвергает опасности и сервер IIS. Если только серверам FTP и IIS не требуется доступ к одним и тем же папкам (что не рекомендуется), создайте новую учетную запись для анонимных пользователей FTP. Используя раздельные учетные записи, разрешения NTFS смогут контролировать права доступа, и возникающие проблемы будут относиться только к FTP-папкам. Выбор опции Allow Only Anonymous Connections (Разрешить только анонимные подключения) позволит пользователям выполнять только анонимный вход. Это запретит использование имен и паролей через небезопасное FTP-подключение и предотвратит попытки хакеров получить доступ через учетную запись администратора. При выключении опции Allow Anonymous Connections при каждом запросе пользователя будет появляться диалоговое окно аутентификации для ввода имени и пароля.

Наделите отдельных пользователей или группы пользователей привилегиями операторов на общем уровне и уровне отдельных сайтов, добавив их в список операторов FTP-сайта. Операторы FTP-сайта представляют собой специальную группу, имеющую ограниченные полномочия администрирования на отдельных FTP-сайтах. Операторы администрируют параметры, влияющие только на подконтрольные им сайты. У них нет доступа к параметрам IIS, настройкам компьютера или к настройкам сети. Например, можно присвоить одному сотруднику из каждого отдела компании права оператора FTP-сайта соответствующего отдела организации. Оператор устанавливает разрешения на доступ к FTP-сайту, ведет журнал и настраивает сообщения, однако не может изменять настройки идентификации FTP-сайтов и анонимные имя пользователя и пароль, создавать виртуальные каталоги или изменять их пути. Учетные записи операторов не обязательно входят в группу администраторов Windows. Операторы сайтов могут относиться и к другим службам IIS, таким как WWW, NNTP и SMTP.