Restrições de Tentativas de Logon em FTP do IIS 8.0
por Robert McMurray
Compatibilidade
| Versão | Observações |
|---|---|
| IIS 8.0 | As Restrições de Tentativas de Logon em FTP foram introduzidas no IIS 8.0. |
| IIS 7.5 | Não havia suporte para Restrições de Tentativas de Logon em FTP no IIS 7.0 ou IIS 7.5. |
| IIS 7.0 |
Problema
Uma possível vulnerabilidade para um servidor é um ataque de senha de força bruta através do serviço FTP. Como as contas usadas para FTP geralmente são contas de usuário físicas no sistema operacional host, é teoricamente possível adivinhar o nome de usuário administrativo depois de determinar o tipo de servidor FTP. Depois que um nome de conta é descoberto, um cliente mal-intencionado pode se conectar a um servidor e tentar um ataque de força bruta nessa conta. (Por exemplo: "administrador" para sistemas Windows ou "raiz" para sistemas UNIX.)
No IIS 7.5, o serviço FTP introduziu APIs de extensibilidade que permitiram aos desenvolvedores criar provedores de autenticação personalizados, o que permite que contas que não sejam do Windows acessem o FTP. Isso reduz significativamente a área de ataque de superfície para o serviço FTP, porque essas contas FTP não são contas válidas do Windows e, portanto, não têm acesso a recursos fora do serviço FTP. Ao usar os recursos de extensibilidade de autenticação FTP no IIS 7.5, a Microsoft forneceu uma maneira de os administradores reduzirem a possibilidade de ataques de força bruta para contas que não sejam do Windows, criando um provedor de autenticação personalizado. Essas informações estão documentadas no seguinte artigo:
Solução
No IIS 8.0 para Windows Server 2012, a Microsoft adicionou um recurso interno de segurança de rede que fornece essa funcionalidade para todos os logons sem a necessidade de criar um provedor de autenticação personalizado. Neste passo a passo, examinaremos as etapas necessárias para habilitar as restrições de logon em FTP para evitar ataques de força bruta em seu servidor.
Instruções passo a passo
Pré-requisitos:
- Computador Windows Server 2012 com IIS 8.0 e o serviço FTP já instalado.
Soluções alternativas para bugs conhecidos:
No momento, não há bugs conhecidos neste recurso.
Configurar FTP para evitar ataques de força bruta
O serviço FTP pode ser configurado para negar acesso ao serviço FTP com base no número de vezes que um cliente FTP falha ao autenticar dentro de um período de tempo especificado pelo usuário. Uma vez que o número de tentativas de logon com falha foi atingido, o servidor fecha a conexão FTP à força e o endereço IP dos clientes FTP é impedido de acessar o serviço FTP durante o tempo limite.
Para configurar o serviço FTP para negar o acesso ao seu serviço FTP a usuários mal-intencionados, use as seguintes etapas:
- Faça logon como administrador em seu computador Windows Server 2012.
- Abra o Gerenciador de IIS (Serviços de Informação da Internet).
- Realce o nome do servidor no painel Conexões e clique duas vezes em Restrições de Tentativas de Logon em FTP na lista de recursos.
- Marque a caixa para Habilitar Restrições de Tentativas de Logon em FTP e especifique o número de tentativas de logon com falha e o período de tempo que o serviço FTP usará para determinar se deseja bloquear o acesso para clientes FTP.
- Clique em Aplicar.
A opção "Gravar somente no log" não bloqueia tentativas de logon. Em vez disso, ele registra que a condição foi atendida. O administrador de TI pode então tentar diferentes parâmetros de configuração para avaliar como as configurações afetam seus usuários antes de aplicá-las.
Resumo
Neste passo a passo, você analisou a configuração do serviço FTP para impedir que clientes mal-intencionados ataquem seu servidor FTP configurando o novo recurso Restrições de Tentativas de Logon em FTP no Windows Server 2012.
Observe que as Restrições de Tentativas de Logon em FTP são configurações no nível do servidor. Não é possível definir restrições de logon separadas por site. Como os invasores estão tentando obter acesso ao seu servidor, e não a um único site, o serviço FTP bloqueará o acesso de usuários mal-intencionados no nível do servidor.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de