使用webscan检测网站时,常会发现存在FTP匿名访问漏洞。该问题允许未授权用户无需密码即可访问FTP服务,可能导致敏感文件被查看、篡改或上传恶意脚本,进而被攻击者利用,造成数据泄露、服务中断或服务器被控等严重安全风险。
1、 禁止匿名访问,需通过开始菜单进入所有程序→管理工具,点击Internet 信息服务(IIS)管理器(见图1),启动后将显示2所示的操作界面,进行后续配置与管理。
2、 进入已创建的FTP站点,右键点击站点名称(如默认站点),选择属性。切换至安全账户选项卡,此时可见允许匿名连接处于勾选状态。取消该选项的勾选后,系统将弹出提示对话框,确认选择是。完成操作后点击应用,此时FTP站点将关闭匿名访问功能,有效避免未经授权的匿名登录,提升站点安全性。
3、 二、在多用户隔离环境下配置FTP服务并设置相应权限。为提升系统安全性,需对FTP用户进行权限限制,防止账户被破解后出现越权操作。首先应创建专用的FTP用户账户。操作步骤如下:右键点击我的电脑,选择管理选项,进入计算机管理界面后,展开本地用户和组目录,点击用户子项,进入用户管理页面。随后右键空白区域,选择新用户,弹出创建窗口。在新建用户时,应避免使用简单密码,建议设置长度不少于10位的强密码,包含大小写字母、数字及特殊字符,以增强账户安全性。本文以ftp2作为示例账户名进行演示。完成账户创建后,可进一步配置其对FTP服务的访问权限,实现用户间的有效隔离,确保各用户仅能访问授权资源,从而提升整体系统的安全防护能力。
4、 创建用户后,右键点击ftp2用户,选择属性,进入隶属于选项卡,移除默认的Users组。点击添加按钮,在弹出窗口中选择高级,随后点击立即查找,从列出的用户组中选中IIS_WPG组,最后确认选择,完成权限配置。
5、 在FTP根目录下新建一个与账户同名的文件夹。然后右键点击FTP站点,依次选择新建和虚拟目录。在弹出的向导窗口中点击下一步,进入别名设置界面,输入与账户名称一致的别名(如ftp2),确保别名、文件夹名称和用户名完全相同。完成别名设置后,继续点击下一步,随后浏览并选择之前创建的文件夹路径作为虚拟目录的物理位置。确认路径无误后,完成虚拟目录的创建。此时,系统已成功配置,可通过FTP客户端使用对应账户访问该目录,实现文件的上传与下载操作。整个过程需保证名称统一,路径准确。
6、 三、用户目录安全权限配置
7、 在降低FTP用户权限的基础上,还需进一步设置用户对FTP目录的操作权限。以ftp2账户对应的ftp2文件夹为例,使用系统管理员身份登录系统,右键点击该文件夹,选择属性中的安全选项卡。此时可看到该目录默认继承了上级文件夹的大量权限设置。为实现精细化权限控制,需清除这些继承而来的权限。但在尝试删除时,系统会提示:由于‘SYSTEM’从父级继承权限,无法直接删除。此时,必须先更改权限继承设置。点击高级选项,选择禁用继承,系统将弹出转换继承权限或完全删除继承的选项,选择从此对象中删除所有已继承的权限。完成此操作后,原先无法删除的SYSTEM权限即可被移除。随后可根据实际需求,为特定用户或用户组重新分配最小必要权限,从而实现对FTP目录访问的严格管控,提升整体系统的安全性。
8、 点击高级按钮,进入文件夹的高级安全设置,移除默认用户,添加ftp2账户,并根据实际需求分配相应权限。
