windows系统FTP服务加固

Windows 系统 FTP服务加固

打开IIS信息服务管理器，查看FTP 所有加固功能，详见下图（以Windows server 2008举例）

1.禁用匿名登录

1). 创建FTP帐户

1. 在“开始”->“管理工具”->“计算机管理”->“本地用户和组”，创建用户，并配置强密码，密码建议8位以上，包括大小写字母、特殊字符、数字等混合体，不要使用生日、姓名拼音等常见字符串，设置用户属于GUESTS组

2)禁用匿名登录Windows 2008 系统使用FTP禁用匿名登录服务

Windows 2012系统使用FTP禁用匿名登录服务

2.启用强密码安全策略

在Windows系统中，强密码策略是有组策略控制的，您可以打开运行（win+R键），输入gpedit.msc，进入Windows系统组策略中，依次点击，计算机配置—>windows设置—>账户策略—>密码策略,启用密码复杂策略，具体如下：

如果“启用密码必须符合复杂性要求”策略，在更改或创建用户密码是就会执行浮渣性策略检测，密码必须符合以下最低要求:

a.密码不能包含账户名

b.密码不能包含用户名中超过两个连续字符的部分

c.密码至少有6个字符长度

d.策略包含以下4类字符的至少3类字符：英文大写字母(A-Z)、英文小写字母(a-z)、10个基本数字(0-9)、特殊字符（例如：!、￥、#、%）

推荐Windows所有认证服务采用以上密码策略。

3.启用账户登录失败处理机制

该机制对账户实施强失败处理，防止暴力破解攻击事件

4.启用FTP目录隔离机制

该功能防止查看其它用户目录文件，防止数据泄露。

5.指定访问源IP

6.启用授权机制

可以根据业务需求配置规则，制定用户访问和权限

7.启用SSL 加密传输功能

• 首先要创建服务器证书：

• 选定证书应用即可：

8.启用日志功能

默认情况下，IIS 下的FTP的日志是启动的，您可以根据磁盘空间配置日志空间大小和其他策略：

9 其他建议

1.如果不需要使用该服务，建议您关停FTP服务

2.强烈建议不要将此类型服务开放在互联网外，您可以使用V** 安全接入手段链接到文件类型的服务器端，同时使用安全组 控制访问源IP