Restrizioni dei tentativi di accesso FTP di IIS 8.0
Compatibilità
| Versione | Note |
|---|---|
| IIS 8,0 | Le restrizioni relative ai tentativi di accesso FTP sono state introdotte in IIS 8.0. |
| IIS 7,5 | Le restrizioni dei tentativi di accesso FTP non sono supportate in IIS 7.0 o IIS 7.5. |
| IIS 7.0 |
Problema
Una possibile vulnerabilità per un server è un attacco di forza bruta alla password tramite il servizio FTP. Poiché gli account usati per FTP sono spesso account utente fisici nel sistema operativo host, è teoricamente possibile indovinare il nome utente amministratore dopo aver determinato il tipo di server FTP. Dopo aver individuato un nome di account, un client dannoso può connettersi a un server e tentare un attacco di forza bruta su tale account. Ad esempio: "administrator" per sistemi Windows o "root" per sistemi UNIX.
In IIS 7.5 il servizio FTP ha introdotto API di estendibilità che consentono agli sviluppatori di creare provider di autenticazione personalizzati, che consente agli account non Windows di accedere a FTP. Ciò riduce significativamente l'area di attacco di superficie per il servizio FTP, perché questi account FTP non sono account Di Windows validi e pertanto non hanno accesso alle risorse esterne al servizio FTP. Usando le funzionalità di estendibilità dell'autenticazione FTP in IIS 7.5, Microsoft ha fornito agli amministratori un modo per ridurre la possibilità di attacchi di forza bruta per gli account non Windows creando un provider di autenticazione personalizzato. Queste informazioni sono documentate nell'articolo seguente:
Soluzione
In IIS 8.0 per Windows Server 2012 Microsoft ha aggiunto una funzionalità di sicurezza di rete predefinita che fornisce questa funzionalità per tutti gli account di accesso senza la necessità di creare un provider di autenticazione personalizzato. In questa procedura dettagliata verranno esaminati i passaggi necessari per abilitare le restrizioni di accesso FTP per evitare attacchi di forza bruta sul server.
Istruzioni dettagliate
Prerequisiti:
- Computer Windows Server 2012 con IIS 8.0 e il servizio FTP già installato.
Soluzioni alternative per i bug noti:
Al momento non sono presenti bug noti per questa funzionalità.
Configurare FTP per impedire attacchi di forza bruta
Il servizio FTP può essere configurato per negare l'accesso al servizio FTP in base al numero di volte in cui un client FTP non riesce a eseguire l'autenticazione entro un periodo di tempo specificato dall'utente. Dopo aver raggiunto il numero di tentativi di accesso non riusciti, il server chiude forzatamente la connessione FTP e l'indirizzo IP dei client FTP non riesce ad accedere al servizio FTP per la durata del timeout.
Per configurare il servizio FTP per impedire agli utenti malintenzionati di accedere al servizio FTP, seguire questa procedura:
- Accedere come amministratore nel computer Windows Server 2012.
- Aprire Gestione Internet Information Services (IIS).
- Evidenziare il nome del server nel riquadro Connessioni e quindi fare doppio clic su Restrizioni tentativi di accesso FTP nell'elenco delle funzionalità.
- Selezionare la casella Abilita restrizioni tentativi di accesso FTP e specificare il numero di tentativi di accesso non riusciti e il periodo di tempo usato dal servizio FTP per determinare se bloccare l'accesso per i client FTP.
- Fare clic su Applica.
L'opzione "Write to the log only" non blocca i tentativi di accesso. Registra invece che la condizione è stata soddisfatta. L'amministratore IT può quindi provare diversi parametri di configurazione per valutare l'impatto delle impostazioni sugli utenti prima di applicarli.
Riepilogo
In questa procedura dettagliata è stata esaminata la configurazione del servizio FTP per impedire ai client malintenzionati di attaccare il server FTP configurando la nuova funzionalità Restrizioni tentativi di accesso FTP in Windows Server 2012.
Si noti che le restrizioni di tentativo di accesso FTP sono impostazioni a livello di server; non è possibile impostare restrizioni di accesso separate per ogni sito. Poiché gli utenti malintenzionati tentano di accedere al server e non a un singolo sito, il servizio FTP bloccherà l'accesso per utenti malintenzionati a livello di server.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per