稍加改造 Windows FTP服务器更安全(二)

　　四 启用磁盘配额

　　FTP服务器磁盘空间资源是宝贵的，无限制的让用户使用，势必造成巨大的浪费，因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以CCEUSER用户为例，将其限制为只能使用100M磁盘空间。

　　在资源管理器窗口中，右键点击CCE文件夹所在的硬盘盘符，在弹出的菜单中选择&属性&，接着切换到&配额&标签页(如图2)，选中&启用配额管理&复选框，激活&配额&标签页中的所有配额设置选项，为了不让某些FTP用户占用过多的服务器磁盘空间，一定要选中&拒绝将磁盘空间给超过配额限制的用户& 复选框。

　　图2 限制FTP存储空间

　　然后在&为该卷上的新用户选择默认配额限制&框中选择&将磁盘空间限制为&单选项，接着在后面的栏中输入100，磁盘容量单位选择为&MB&，然后进行警告等级设置，在&将警告等级设置为&栏中输入&96&， 容量单位也选择为&MB&，这样就完成了默认配额设置。此外，还要选中&用户超出配额限制时记录事件&和&用户超过警告等级时记录事件&复选框，以便将配额告警事件记录到Windows日志中。

　　点击配额标签页下方的&配额项&按钮，打开磁盘配额项目对话框，接着点击&配额→新建配额项&，弹出选择用户对话框，选中CCEUSER用户后，点击&确定&按钮，接着在&添加新配额项&对话框中为CCEUSER用户设置配额参数，选择&将磁盘空间限制为& 单选项，在后面的栏中输入&100&，接着在&将警告等级设置为&栏中输入&96&，它们的磁盘容量单位为&MB&，最后点击&确定&按钮，完成磁盘配额设置，这样CCEUSER用户就只能使用100 MB磁盘空间，超过96MB就会发出警告。

　　五 TCP/IP访问限制

　　为了保证FTP服务器的安全，还可以拒绝某些IP地址的访问。在默认FTP站点属性对话框中，切换到&目录安全性&标签页，选中&授权访问&单选项(如图3)，然后在&以下所列除外&框中点击&添加&按钮，弹出&拒绝以下访问&对话框，这里可以拒绝单个IP地址或一组IP地址访问，以单个IP地址为例，选中&单机&选项，然后在&IP地址&栏中输入该机器的IP地址，最后点击&确定&按钮。这样添加到列表中的IP地址都不能访问FTP服务器了。

　　

　　图3 阻止该IP访问FTP

　　六 合理设置组策略

　　通过对组策略项目的修改，也可以增强FTP服务器的安全性。在Windows 2000系统中，进入到&控制面板→管理工具&，运行本地安全策略工具。

　　1. 审核账户登录事件

　　在本地安全设置窗口中，依次展开&安全设置→本地策略→审核策略&，然后在右侧的框体中找到&审核账户登录事件&项目(如图4)，双击打开该项目，在设置对话框中选中&成功&和&失败&这两项，最后点击&确定&按钮。该策略生效后，FTP用户的每次登录都会被记录到日志中。

　　

　　图4 记录用户登录信息

　　2. 增强账号密码的复杂性

　　一些FTP账号的密码设置的过于简单，就有可能被&不法之徒&所破解。为了提高FTP服务器的安全性，必须强制用户设置复杂的账号密码。

　　在本地安全设置窗口中，依次展开&安全设置→账户策略→密码策略&，在右侧框体中找到&密码必须符合复杂性要求&项，双击打开后，选中&已启用&单选项，最后点击&确定&按钮。

　　然后，打开&密码长度最小值&项，为FTP账号密码设置最短字符限制。这样以来，密码的安全性就大大增强了。

　　3. 账号登录限制

　　有些非法用户使用黑客工具，反复登录FTP服务器，来猜测账号密码。这是非常危险的，因此建议大家对账号登录次数进行限制。

　　依次展开&安全设置→账户策略→账户锁定策略&，在右侧框体中找到&账户锁定阈值&项，双击打开后，设置账号登录的最大次数，如果超过此数值，账号会被自动锁定。接着打开&账户锁定时间&项，设置FTP账号被锁定的时间，账号一旦被锁定，超过这个时间值，才能重新使用。

　　通过以上几步设置后，用户的FTP服务器就会更加安全，再也不用怕被非法入侵了。