教學(xué)要求:掌握利用IIS建立的Web網(wǎng)站和FTP服務(wù)的安全策略�����。
教學(xué)重點(diǎn):Web網(wǎng)站和FTP服務(wù)的安全策略�����。
教學(xué)難點(diǎn):WEB和FTP服務(wù)的建立方法�����。
教學(xué)過程:
一�����、Web服務(wù)器系統(tǒng)安全策略的應(yīng)用
無論是Internet或者Intranet�����,它的核心是Web服務(wù)器。管理好�����、使用好�����、保護(hù)好Web服務(wù)器中的資源�����,是網(wǎng)管人員的重要職責(zé)�����。Web服務(wù)器網(wǎng)站的開發(fā)�����,除了集中開發(fā)外�����,還有一個(gè)長期的維護(hù)和積累過程�����;因此�����,Web中的數(shù)據(jù)資料非常重要�����。如果出現(xiàn)問題�����,就會(huì)造成不可彌補(bǔ)的損失�����。本文根據(jù)開發(fā)和維護(hù)Web服務(wù)器的過程�����,介紹Web服務(wù)器安全策略的綜合應(yīng)用方法。
(一)系統(tǒng)安裝的安全策略
目前�����,Web服務(wù)器基本采用Windows平臺(tái)�����,對(duì)Windows0的系統(tǒng)進(jìn)行管理是一個(gè)日積月累�����、不斷完善的過程�����。作為Web服務(wù)器�����。需要注意以下幾點(diǎn)�����。
(1)安裝系統(tǒng)時(shí)�����,不要把系統(tǒng)安裝在默認(rèn)目錄下�����,也不要安裝多余的服務(wù)和多余的協(xié)議�����,因?yàn)橛械姆?wù)存在漏洞�����,多余的協(xié)議會(huì)占用資源�����,因此�����,無用的服務(wù)和協(xié)議不要安裝�����。
(2)安裝Windows補(bǔ)丁。
(3)安裝防病毒軟件�����。
(4)選擇合適的網(wǎng)卡驅(qū)動(dòng)和顯示器驅(qū)動(dòng)程序�����。
(二)系統(tǒng)安全策略的配置
(1)限制匿名訪問本機(jī)用戶
選擇“開始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“安全選項(xiàng)”—〉雙擊“對(duì)匿名連接的額外限制”——〉在下拉菜單中選擇“不允許枚舉SAM帳號(hào)和共享”—〉“確定”�����。
(2)限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問 �����。選擇“開始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“安全選項(xiàng)”—〉雙擊“只有本地登錄用戶才能訪問軟盤”—〉在單選按鈕中選擇“已啟用(E)”— “確定”�����。
(3)限制遠(yuǎn)程用戶對(duì)NetMeeting的共享,禁用NetMeeting的遠(yuǎn)程桌面共享功能�����,用戶就不能利用NetMeeting控制該計(jì)算機(jī)�����。選擇“開始”—〉“運(yùn)行”—〉在對(duì)話框中輸入“gpedit.msc” —〉“計(jì)算機(jī)配置”—〉“管理模板”—〉“Windows組件” —〉“NetMeeting” —〉“禁用遠(yuǎn)程桌面共享”—〉右鍵—〉在單選按鈕中選擇“啟用(E)”—〉“確定”�����。
(4)限制用戶執(zhí)行Windows安裝任務(wù)�����。這個(gè)策略可以防止用戶在系統(tǒng)上安裝軟件�����。設(shè)置方法與(3)相同�����。
(三)IIS安全策略的應(yīng)用
在配置Internet信息服務(wù)(IIS)時(shí)�����,應(yīng)該進(jìn)行以下工作�����。
一般不使用默認(rèn)的Web站點(diǎn),避免外界對(duì)網(wǎng)站的攻擊�����,具體做法如下�����。
(1)停止默認(rèn)的Web站點(diǎn)
“開始”—〉“程序”—〉“管理工具”—〉“Internet服務(wù)管理器”—〉“TLJWEB (計(jì)算機(jī)名稱)”—〉選擇—〉“默認(rèn)Web站點(diǎn)”—〉右鍵—〉“停止”�����。
(2)建立新的Web站點(diǎn)
“開始”—〉“程序”—〉“管理工具”—〉“Internet服務(wù)管理器”—〉“TLJWEB(計(jì)算機(jī)名稱)”—〉右鍵—〉“新建”—〉“Web站點(diǎn)” —〉“下—〉步”—〉輸入Web站點(diǎn)說明“yyyddd”—〉“下—〉步”—〉選擇站點(diǎn)主目錄路徑—〉“下—步”—〉選擇對(duì)該Web站點(diǎn)的訪問權(quán)限 —〉“下—步”—〉“完成”�����。
(4)完成新建的Web站點(diǎn)yyyddd后.要對(duì)該站點(diǎn)主目錄權(quán)限進(jìn)行設(shè)置�����。一般情況下設(shè)置成SYSTEM和Administrator兩個(gè)用戶可完全控制.IUSR可以讀取文件�����。
(四)審核日志策略的配置
系統(tǒng)日志對(duì)于Windows 2000的作用就如同“黑匣子”對(duì)于飛機(jī)的作用�����。當(dāng)Windows 2000出現(xiàn)問題的時(shí)候�����,首先應(yīng)該查看系統(tǒng)日志�����,通過對(duì)系統(tǒng)日志的分析�����,可以了解故障發(fā)生前系統(tǒng)的運(yùn)行情況�����,作為判斷故障原因的根據(jù)。
通過日志不僅可以了解本機(jī)的安全性能和用戶的操作情況�����,也可以發(fā)現(xiàn)系統(tǒng)自身的問題�����。Windows 2000的日志系統(tǒng)在默認(rèn)安裝下�����。安全審核是關(guān)閉的�����?����!蛋闱闆r下需要對(duì)常用的3種日志(用戶登錄日志�����、Http和ftp)進(jìn)行配置�����。
1�����、設(shè)置登錄審核日志
“開始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“審核策略”—〉雙擊“審核賬戶登錄事件”—〉在復(fù)選框中選擇“成功(S)�����,失敗(F)”�����。
審核事件分為成功事件和失敗事件�����。成功事件表示一個(gè)用戶成功地獲得了訪問某種資源的權(quán)限.而失敗事件則表明用戶的嘗試失敗�����。太多的失敗事件可解釋為攻擊行為.但成功事件解釋起來就比較困難。盡管大多數(shù)成功的審核事件僅表明活動(dòng)是正常的�����,但獲得了訪問權(quán)的攻擊者也會(huì)生成一個(gè)成功事件�����。例如�����,一系列失敗事件后面跟著一個(gè)成功事件可能表示企圖進(jìn)行的攻擊最后是成功的�����。對(duì)審核項(xiàng)進(jìn)行如表1的設(shè)置�����,可便于日志分析�����。
如果對(duì)登錄事件進(jìn)行審核,那么每次用戶在計(jì)算機(jī)上登錄或注銷時(shí)�����,都會(huì)在安全日志中生成一個(gè)事件�����?����?梢允褂檬录蘒D對(duì)登錄情況進(jìn)行判斷�����。
A.本地登錄嘗試失?����。合铝惺录蘒D都說明登錄失?����。?29�����,530�����,531�����,532�����,533�����,534和537,如果一個(gè)攻擊者試圖使用本地帳戶的用戶名和密碼但未成功,就會(huì)有529和534發(fā)生�����。
B.帳戶誤用:事件530,531�����,532和533都表示帳戶誤用。
C.帳戶鎖定:事件539表示帳戶被鎖定�����。
D.終端服務(wù)攻擊:事件683表示用戶沒有從“終端服務(wù)”會(huì)話注銷�����,事件682表示用戶連接到先前斷開的連接中�����。
2�����、 設(shè)置HTTP審核日志
A.設(shè)置日志的屬性
“開始”—〉“程序”—〉“管理工具”—〉“Internet服務(wù)管理器”—〉“計(jì)算機(jī)名稱”選擇站點(diǎn)名稱“yyyddd”—〉右鍵—〉“屬性”在Web選項(xiàng)卡中�����,選擇“W3C擴(kuò)充日志文件格式”的“屬性”—〉對(duì)“常規(guī)屬性”和“擴(kuò)充的屬性”進(jìn)行設(shè)置�����。
B.改日志的存放位置
http審核日志的默認(rèn)位置在安裝目錄的\system32\LogFiles下�����。更改日志的存放位置可以加強(qiáng)日志自身的安全性�����,方法如下�����。
與上面A的操作相同,在“常規(guī)屬性”選項(xiàng)卡中�����。選擇“日志文件目錄(L):”的“瀏覽”指定一個(gè)目錄后�����。選“確定”�����。
3�����、設(shè)置FTP審核日志
設(shè)置方法同http的設(shè)置基本一樣�����。選擇FTP站點(diǎn)�����。對(duì)其屬性進(jìn)行設(shè)置�����。然后修改日志的存放位置�����。
Web服務(wù)器上的內(nèi)容�����。經(jīng)常要按照領(lǐng)導(dǎo)和用戶的要求進(jìn)行修改�����,維護(hù)工作相當(dāng)頻繁�����。因此�����,要制定完善的維護(hù)策略�����,才能保證Web服務(wù)器的安全。
(一)設(shè)置administrator用戶口令
對(duì)administrator設(shè)置較復(fù)雜的口令�����,以防止外界的口令攻擊�����。有時(shí)�����,復(fù)雜口令使網(wǎng)管人員感覺不方便�����,還容易忘記�����。為避免網(wǎng)管人員忘記口令�����,除了修改后及時(shí)記錄下口令外�����,還可以另外建立一個(gè)具有Administrator特權(quán)的管理用戶�����,起一個(gè)比較生僻的用戶名�����。設(shè)置一個(gè)自己容易記憶的口令�����。這樣�����,就可以對(duì)其他用戶進(jìn)行維護(hù)�����,包括口令修改等�����。
(二)網(wǎng)頁發(fā)布和下載的安全策略
一般情況下�����。一臺(tái)Web服務(wù)器上安裝有幾個(gè)部門的網(wǎng)頁�����,并由各部門自己維護(hù)�����。多數(shù)網(wǎng)管人員采用共享目錄的方法讓各部門進(jìn)行網(wǎng)頁的下載和發(fā)布�����,這種方法很不安全�����。因此�����,在Web服務(wù)器上�����,要取消所有的共享目錄,避免其他沒有授權(quán)的計(jì)算機(jī)通過共享目錄查看或刪除重要的數(shù)據(jù)和文件。
(1)網(wǎng)頁的更新采用FTP方法進(jìn)行�����,不僅可以使各部門維護(hù)人員之間的網(wǎng)頁和數(shù)據(jù)互相獨(dú)立�����,而且比共享目錄直觀方便�����。FTP的配置方法如下�����。
“開始”—〉“程序”—〉“管理工具”—〉“Internet服務(wù)管理器”—〉“TLJWEB(計(jì)算機(jī)名稱)”—〉右鍵—〉“新建”—〉“FTP站點(diǎn)” —〉“下—步”—〉輸入FTP站點(diǎn)說明“bbbgggFTP”—〉“下一步”—〉“輸入FTP站點(diǎn)的IP地址”(例如10.96.74.250)—〉“下一步”—〉“輸入主目錄的路徑”(輸入d:\bbbggg)—〉“下—步” —〉選擇對(duì)該FTP站點(diǎn)的訪問權(quán)限“讀取�����、寫入”—〉“下—步”—〉“完成”�����。
(2)FTP安全策略設(shè)置如下�����。
選中剛建立的FTP站點(diǎn)(bbbgggFTP) —〉“右鍵”—〉“屬性”—〉“目錄安全性”—〉在“拒絕訪問”對(duì)話框中選擇“添加”—〉“單機(jī)”或“—組計(jì)算機(jī)”輸入IP地址(如:10.96.74.240)—〉“確定”(可以增加多個(gè)IP地址)�����。這樣�����。就只有10.96.74.240的計(jì)算機(jī)可以訪問該FTP站點(diǎn)�����。也只能對(duì)d:\bbbggg目錄進(jìn)行讀寫�����。
(3)在服務(wù)器上添加FTP的IP地址
選擇“網(wǎng)上鄰居”—〉右鍵—〉“屬性”“本地連接”—〉右鍵—〉“屬性”—〉“Internet協(xié)議(TCP/IP)”—〉“屬性”—〉“高級(jí)”—〉在“IP設(shè)置”選項(xiàng)卡中選擇“添加”—〉輸入IP地址(10.96.74.250)和子網(wǎng)掩碼—〉“添加”—〉“確定”—〉“確定”—〉“確定”�����。
(4)在服務(wù)器上添加用戶
在服務(wù)器上�����。為某部門的網(wǎng)頁維護(hù)人員添加用戶。例如用戶名為bbbggg�����,口令為bbbgggxt�����。
(5)FTP訪問服務(wù)器的方法
在瀏覽器地址欄輸入ftp://bbbggg:bbbgggxt@10.96.74.250�����。即可看到Web服務(wù)器上的內(nèi)容�����。
(三)網(wǎng)頁維護(hù)過程
根據(jù)用戶要求�����。軟件下載功能經(jīng)常需要更新�����,其更新維護(hù)方法如下�����。
(1)不要直接修改Web服務(wù)器上的內(nèi)容,先在自己的機(jī)器上進(jìn)行修改�����。按照要求修改rjxz.htm網(wǎng)頁�����,連接增加的下載內(nèi)容�����。
(2)在瀏覽器地址欄輸入ftp://rjwh:rjwh@10.96.74.250�����。即可看到Web 服務(wù)器上download目錄中的內(nèi)容�����。
(3)把本機(jī)上修改過的網(wǎng)頁和要下載的內(nèi)容復(fù)制到download目錄下�����。
(4)查詢?cè)囼?yàn)�����,用瀏覽器打開網(wǎng)頁進(jìn)行查看�����,觀察運(yùn)行結(jié)果是否正常�����。
(5)為了安全�����,使用完后�����,要在IE瀏覽器屬性中�����,清除歷史記錄�����。
Web服務(wù)器的資源對(duì)于用戶來說是有價(jià)值的東西。如果Web服務(wù)器沒有及時(shí)維護(hù)�����,它上面的東西就沒有任何價(jià)值�����,那么就不值得花費(fèi)財(cái)力和精力來保證它的安全�����。
為保證Web的安全�����,不僅要綜合應(yīng)用各種安全策略�����,還要采取了其他安全措施�����。如在系統(tǒng)安全方面�����,建立系統(tǒng)盤的鏡像備份�����,建立詳細(xì)文檔資料�����;在應(yīng)用安全方面�����,修改數(shù)據(jù)庫默認(rèn)擴(kuò)展名�����,使用虛擬目錄而不使用實(shí)際目錄�����,如制定聊天室的安全策略等。
一般來說�����,方便使用和安全措施是一對(duì)矛盾�����。如果對(duì)系統(tǒng)安全策略設(shè)置的很完善�����,在開始時(shí)你會(huì)感覺不方便�����,但如果你是遵章守紀(jì)的維護(hù)人員�����,你會(huì)感覺很安全且很方便�����。
二�����、FTP服務(wù)安全策略
windows 2003系統(tǒng)的iis6.0提供 了ftp服務(wù)功能�����,由于它的簡單易用�����,與windows系統(tǒng)本身結(jié)合緊密�����,深受廣大用戶的喜愛�����。但使用iis6.0架設(shè)的ftp服務(wù)器真的安全嗎�����?它的默認(rèn)設(shè)置其實(shí)存在很多安全隱患�����,很容易成為黑客們的攻擊目標(biāo)。如何讓ftp服務(wù)器更加安全�����,只要我們稍加改造�����,就能做到�����。
(一)取消匿名訪問功能
默認(rèn)情況下�����,windows 2003系統(tǒng)的ftp服務(wù)器是允許匿名訪問的�����,雖然匿名訪問為用戶上傳�����、下載文件提供方便�����,但卻存在極大的安全隱患�����。用戶不需要申請(qǐng)合法的賬號(hào)�����,就能訪問你的ftp服務(wù)器�����,甚至還可以上傳�����、下載文件�����,特別對(duì)于一些存儲(chǔ)重要資料的ftp服務(wù)器�����,很容易出現(xiàn)泄密的情況,因此建議用戶取消匿名訪問功能�����。
在windows 2003系統(tǒng)中�����,點(diǎn)擊“開始→程序→管理工具→internet服務(wù)管理器”�����,彈出管理控制臺(tái)窗口�����。然后展開窗口左側(cè)的本地計(jì)算機(jī)選項(xiàng)�����,就能看到iis6.0自帶的ftp服務(wù)器�����,下面筆者以默認(rèn)ftp站點(diǎn)為例�����,介紹如何取消匿名訪問功能�����。
右鍵點(diǎn)擊“默認(rèn)ftp站點(diǎn)”項(xiàng)�����,在右鍵菜單中選擇“屬性”�����,接著彈出默認(rèn)ftp站點(diǎn)屬性對(duì)話框�����,切換到“安全賬號(hào)”標(biāo)簽頁�����,取消“允許匿名連接”前的勾選�����,最后點(diǎn)擊“確定”按鈕,這樣用戶就不能使用匿名賬號(hào)訪問ftp服務(wù)器了�����,必須擁有合法賬號(hào)�����。
(二)啟用日志記錄
windows日志記錄著系統(tǒng)運(yùn)行的一切信息�����,但很多管理員對(duì)日志記錄功能不夠重視�����,為了節(jié)省服務(wù)器資源�����,禁用了ftp服務(wù)器日志記錄功能�����,這是萬萬要不得的�����。ftp服務(wù)器日志記錄著所有用戶的訪問信息�����,如訪問時(shí)間�����、客戶機(jī)ip地址�����、使用的登錄賬號(hào)等�����,這些信息對(duì)于ftp服務(wù)器的穩(wěn)定運(yùn)行具有很重要的意義�����,一旦服務(wù)器出現(xiàn)問題�����,就可以查看ftp日志,找到故障所在�����,及時(shí)排除�����。因此一定要啟用ftp日志記錄�����。
在默認(rèn)ftp站點(diǎn)屬性對(duì)話框中�����,切換到“ftp站點(diǎn)”標(biāo)簽頁�����,一定要確?����!皢⒂萌罩居涗洝边x項(xiàng)被選中,這樣就可以在“事件查看器”中查看ftp日志記錄了�����。
(三)正確設(shè)置用戶訪問權(quán)限
每個(gè)ftp用戶賬號(hào)都具有一定的訪問權(quán)限�����,但對(duì)用戶權(quán)限的不合理設(shè)置�����,也能導(dǎo)致ftp服務(wù)器出現(xiàn)安全隱患�����。如服務(wù)器中的cce文件夾�����,只允許cceuser賬號(hào)對(duì)它有讀�����、寫�����、修改�����、列表的權(quán)限�����,禁止其他用戶訪問�����,但系統(tǒng)默認(rèn)設(shè)置�����,還是允許其他用戶對(duì)cce文件夾有讀和列表的權(quán)限�����,因此必須重新設(shè)置該文件夾的用戶訪問權(quán)限�����。
右鍵點(diǎn)擊cce文件夾,在彈出菜單中選擇“屬性”�����,然后切換到“安全”標(biāo)簽頁�����,首先刪除everyone用戶賬號(hào)�����,接著點(diǎn)擊“添加”按鈕�����,將cceuser賬號(hào)添加到名稱列表框中�����,然后在“權(quán)限”列表框中選中修改�����、讀取及運(yùn)行�����、列出文件夾目錄�����、讀取和寫入選項(xiàng)�����,最后點(diǎn)擊“確定”按鈕�����。這樣一來�����,cce文件夾只有cceuser用戶才能訪問�����。
(四)啟用磁盤配額
ftp服務(wù)器磁盤空間資源是寶貴的�����,無限制的讓用戶使用,勢必造成巨大的浪費(fèi)�����,因此要對(duì)每位ftp用戶使用的磁盤空間進(jìn)行限制�����。下面筆者以cceuser用戶為例�����,將其限制為只能使用100m磁盤空間�����。
在資源管理器窗口中�����,右鍵點(diǎn)擊cce文件夾所在的硬盤盤符�����,在彈出的菜單中選擇“屬性”�����,接著切換到“配額”標(biāo)簽頁�����,選中“啟用配額管理”復(fù)選框�����,激活“配額”標(biāo)簽頁中的所有配額設(shè)置選項(xiàng)�����,為了不讓某些ftp用戶占用過多的服務(wù)器磁盤空間�����,一定要選中“拒絕將磁盤空間給超過配額限制的用戶” 復(fù)選框�����。
然后在“為該卷上的新用戶選擇默認(rèn)配額限制”框中選擇“將磁盤空間限制為”單選項(xiàng)�����,接著在后面的欄中輸入100,磁盤容量單位選擇為“mb”�����,然后進(jìn)行警告等級(jí)設(shè)置�����,在“將警告等級(jí)設(shè)置為”欄中輸入“96”�����, 容量單位也選擇為“mb”�����,這樣就完成了默認(rèn)配額設(shè)置�����。此外�����,還要選中“用戶超出配額限制時(shí)記錄事件”和“用戶超過警告等級(jí)時(shí)記錄事件”復(fù)選框�����,以便將配額告警事件記錄到windows日志中�����。
點(diǎn)擊配額標(biāo)簽頁下方的“配額項(xiàng)”按鈕�����,打開磁盤配額項(xiàng)目對(duì)話框�����,接著點(diǎn)擊“配額→新建配額項(xiàng)”�����,彈出選擇用戶對(duì)話框�����,選中cceuser用戶后�����,點(diǎn)擊“確定”按鈕,接著在“添加新配額項(xiàng)”對(duì)話框中為cceuser用戶設(shè)置配額參數(shù)�����,選擇“將磁盤空間限制為” 單選項(xiàng)�����,在后面的欄中輸入“100”�����,接著在“將警告等級(jí)設(shè)置為”欄中輸入“96”�����,它們的磁盤容量單位為“mb”�����,最后點(diǎn)擊“確定”按鈕�����,完成磁盤配額設(shè)置�����,這樣cceuser用戶就只能使用100 mb磁盤空間�����,超過96mb就會(huì)發(fā)出警告�����。
(五)TCP/IP訪問限制
為了保證ftp服務(wù)器的安全�����,我們還可以拒絕某些ip地址的訪問�����。在默認(rèn)ftp站點(diǎn)屬性對(duì)話框中�����,切換到“目錄安全性”標(biāo)簽頁�����,選中“授權(quán)訪問”單選項(xiàng),然后在“以下所列除外”框中點(diǎn)擊“添加”按鈕�����,彈出“拒絕以下訪問”對(duì)話框�����,這里我們可以拒絕單個(gè)ip地址或一組ip地址訪問�����,以單個(gè)ip地址為例�����,選中“單機(jī)”選項(xiàng)�����,然后在“ip地址”欄中輸入該機(jī)器的ip地址�����,最后點(diǎn)擊“確定”按鈕。這樣添加到列表中的ip地址都不能訪問ftp服務(wù)器了�����。
(六)合理設(shè)置組策略
通過對(duì)組策略項(xiàng)目的修改�����,也可以增強(qiáng)ftp服務(wù)器的安全性�����。在windows 2003系統(tǒng)中�����,進(jìn)入到“控制面板→管理工具”�����,運(yùn)行本地安全策略工具�����。
1. 審核賬戶登錄事件
在本地安全設(shè)置窗口中�����,依次展開“安全設(shè)置→本地策略→審核策略”�����,然后在右側(cè)的框體中找到“審核賬戶登錄事件”項(xiàng)目�����,雙擊打開該項(xiàng)目�����,在設(shè)置對(duì)話框中選中“成功”和“失敗”這兩項(xiàng)�����,最后點(diǎn)擊“確定”按鈕�����。該策略生效后�����,ftp用戶的每次登錄都會(huì)被記錄到日志中。
2. 增強(qiáng)賬號(hào)密碼的復(fù)雜性
一些ftp賬號(hào)的密碼設(shè)置的過于簡單�����,就有可能被“不法之徒”所破解�����。為了提高ftp服務(wù)器的安全性�����,必須強(qiáng)制用戶設(shè)置復(fù)雜的賬號(hào)密碼�����。
在本地安全設(shè)置窗口中�����,依次展開“安全設(shè)置→賬戶策略→密碼策略”�����,在右側(cè)框體中找到“密碼必須符合復(fù)雜性要求”項(xiàng)�����,雙擊打開后�����,選中“已啟用”單選項(xiàng)�����,最后點(diǎn)擊“確定”按鈕�����。
然后�����,打開“密碼長度最小值”項(xiàng)�����,為ftp賬號(hào)密碼設(shè)置最短字符限制�����。這樣以來,密碼的安全性就大大增強(qiáng)了�����。
3. 賬號(hào)登錄限制
有些非法用戶使用黑客工具�����,反復(fù)登錄ftp服務(wù)器�����,來猜測賬號(hào)密碼�����。這是非常危險(xiǎn)的�����,因此建議大家對(duì)賬號(hào)登錄次數(shù)進(jìn)行限制�����。
依次展開“安全設(shè)置→賬戶策略→賬戶鎖定策略”�����,在右側(cè)框體中找到“賬戶鎖定閾值”項(xiàng)�����,雙擊打開后�����,設(shè)置賬號(hào)登錄的最大次數(shù)�����,如果超過此數(shù)值�����,賬號(hào)會(huì)被自動(dòng)鎖定�����。接著打開“賬戶鎖定時(shí)間”項(xiàng)�����,設(shè)置ftp賬號(hào)被鎖定的時(shí)間,賬號(hào)一旦被鎖定�����,超過這個(gè)時(shí)間值�����,才能重新使用�����。
通過以上幾步設(shè)置后�����,我們的ftp服務(wù)器就會(huì)更加安全�����,再也不用怕被非法入侵了�����。
消防安全知識(shí)培訓(xùn)教案
