IIS 8.0 FTP 登入嘗試限制
相容性
| 版本 | 備註 |
|---|---|
| IIS 8.0 | IIS 8.0 引進了 FTP 登入嘗試限制。 |
| IIS 7.5 | IIS 7.0 或 IIS 7.5 不支援 FTP 登入嘗試限制。 |
| IIS 7.0 |
問題
伺服器的其中一個可能弱點是透過 FTP 服務進行暴力密碼破解攻擊。 由於用於 FTP 的帳戶通常是主機作業系統上的實體使用者帳戶,因此在判斷 FTP 伺服器類型之後,理論上可能會猜測系統管理使用者名稱。 探索到帳戶名稱之後,惡意用戶端就可以連線到伺服器,並嘗試在該帳戶上進行暴力密碼破解攻擊。 (例如:Windows 系統的 「系統管理員」或 UNIX 系統的「根」。)
在 IIS 7.5 中,FTP 服務引進了擴充性 API,可讓開發人員建立自訂驗證提供者,以允許非 Windows 帳戶存取 FTP。 這可大幅減少 FTP 服務的介面受攻擊區域,因為這些 FTP 帳戶不是有效的 Windows 帳戶,因此無法存取 FTP 服務以外的資源。 Microsoft 藉由使用 IIS 7.5 中的 FTP 驗證擴充性功能,為系統管理員提供了一種方式,可藉由建立自訂驗證提供者,減少非 Windows 帳戶的暴力密碼破解攻擊的可能性。 此資訊記載于下列文章中:
如何使用 Managed 程式碼 (C#) 建立具有動態 IP 限制的 FTP 驗證提供者
解決方法
在適用于 Windows Server 2012 的 IIS 8.0 中,Microsoft 已新增內建的網路安全性功能,為所有登入提供這項功能,而不需要建立自訂驗證提供者。 在本逐步解說中,我們將檢查啟用 FTP 登入限制所需的步驟,以防止伺服器上的暴力密碼破解攻擊。
逐步指示
先決條件:
- 已安裝 IIS 8.0 和 FTP 服務的 Windows Server 2012 電腦。
已知 Bug 的因應措施:
目前沒有此功能的已知錯誤。
設定 FTP 以防止暴力密碼破解攻擊
FTP 服務可以設定為根據 FTP 用戶端無法在使用者指定的時段內驗證的次數來拒絕對 FTP 服務的存取。 一旦達到失敗的登入嘗試次數,伺服器就會強制關閉 FTP 連線,而 FTP 用戶端的 IP 位址會在逾時期間遭到封鎖,而無法存取 FTP 服務。
若要將 FTP 服務設定為拒絕惡意使用者存取 FTP 服務,請使用下列步驟:
- 以 Windows Server 2012 電腦上的系統管理員身分登入。
- 開啟 [Internet Information Services (IIS) 管理員]。
- 在 [ 連線 ] 窗格中反白顯示您的伺服器名稱,然後在功能清單中按兩下 [ FTP 登入嘗試限制 ]。
![[連線] 窗格的螢幕擷取畫面,其中著重于 [F T P 登入嘗試限制] 選項。](iis-80-ftp-logon-attempt-restrictions/_static/image2.png)
- 核取 [ 啟用 FTP 登入嘗試限制] 的方塊,並指定 FTP 服務用來判斷是否封鎖 FTP 用戶端存取的失敗登入嘗試次數和時間週期。
- 按一下 [套用]。
![[連線] 窗格的螢幕擷取畫面,其中著重于 [F T P 登入嘗試限制] 選項。](iis-80-ftp-logon-attempt-restrictions/_static/image1.png)
[僅寫入記錄檔] 選項不會封鎖登入嘗試。 相反地,它會記錄已符合條件。 然後,IT 系統管理員可以嘗試不同的組態參數,以評估設定如何影響其使用者,然後再強制執行這些設定。
總結
在本逐步解說中,您已瞭解如何在 Windows Server 2012 中設定新的 FTP 登入嘗試限制功能,以設定 FTP 服務來拒絕惡意用戶端攻擊 FTP 伺服器。
請注意,FTP 登入嘗試限制是伺服器層級設定;您無法根據每個網站設定個別的登入限制。 由於攻擊者嘗試取得伺服器的存取權,而不是單一網站,因此 FTP 服務會封鎖伺服器層級惡意使用者的存取。