Share via

Ограничения попыток входа в FTP IIS 8.0

  • Статья

Роберт Мак-Мюррей

Совместимость

Версия Примечания
IIS 8,0 Ограничения на попытки входа в FTP появились в IIS 8.0.
IIS 7,5 Ограничения попыток входа в FTP не поддерживались в IIS 7.0 или IIS 7.5.
IIS 7.0

Проблема

Одной из возможных уязвимостей для сервера является атака методом подбора паролем через службу FTP. Так как учетные записи, используемые для FTP, часто являются физическими учетными записями пользователей в операционной системе узла, теоретически можно угадать имя администратора после определения типа FTP-сервера. После обнаружения имени учетной записи вредоносный клиент может подключиться к серверу и попытаться атаковать ее методом подбора. (Например, "администратор" для систем Windows или "root" для систем UNIX.)

В IIS 7.5 служба FTP представила API расширяемости, которые позволили разработчикам создавать настраиваемые поставщики проверки подлинности, что позволяет учетным записям, не используюющим Windows, получать доступ к FTP. Это значительно сокращает зону атак на поверхность для службы FTP, так как эти учетные записи FTP не являются допустимыми учетными записями Windows и, следовательно, не имеют доступа к ресурсам за пределами службы FTP. Используя функции расширяемости проверки подлинности FTP в IIS 7.5, корпорация Майкрософт предоставила администраторам способ уменьшить вероятность атак методом подбора для учетных записей, отличных от Windows, путем создания пользовательского поставщика проверки подлинности. Эти сведения описаны в следующей статье:

Использование управляемого кода (C#) для создания поставщика проверки подлинности FTP с динамическими ограничениями IP-адресов

Решение

В IIS 8.0 для Windows Server 2012 корпорация Майкрософт добавила встроенную функцию безопасности сети, которая предоставляет эту функцию для всех имен входа без необходимости создания пользовательского поставщика проверки подлинности. В этом пошаговом руководстве мы рассмотрим действия, необходимые для включения ограничений для входа в FTP, чтобы предотвратить атаки методом подбора на сервер.

Пошаговые инструкции

Предварительные требования:

  • Компьютер с Windows Server 2012 с IIS 8.0 и службой FTP, уже установленной.

Обходные решения для известных ошибок:

В настоящее время для этой функции нет известных ошибок.

Настройка FTP для предотвращения атак методом подбора

Служба FTP может быть настроена так, чтобы запретить доступ к службе FTP на основе числа неудачных попыток проверки подлинности FTP-клиента в течение указанного пользователем периода времени. После достижения количества неудачных попыток входа сервер принудительно закрывает FTP-подключение, а IP-адрес ftp-клиентов блокирует доступ к службе FTP на время ожидания.

Чтобы настроить службу FTP, чтобы запретить злоумышленникам доступ к службе FTP, выполните следующие действия.

  1. Войдите в систему с правами администратора на компьютере с Windows Server 2012.
  2. Откройте диспетчер IIS.
  3. Выделите имя сервера в области Подключения , а затем дважды щелкните Ограничения попыток входа в FTP в списке функций.
    Снимок экрана: панель
  4. Установите флажок Включить ограничения попыток входа в FTP и укажите количество неудачных попыток входа и период времени, который используется службой FTP, чтобы определить, следует ли блокировать доступ для FTP-клиентов.
    Снимок экрана: экран ограничений попыток входа в F T P.
  5. Щелкните Применить.

Параметр "Запись только в журнал" не блокирует попытки входа. Вместо этого он регистрирует, что условие было выполнено. Затем ИТ-администратор может попробовать различные параметры конфигурации, чтобы оценить влияние параметров на пользователей, прежде чем применять их.

Итоги

В этом пошаговом руководстве вы рассмотрели настройку службы FTP, чтобы запретить вредоносным клиентам атаковать FTP-сервер, настроив новую функцию ограничения попыток входа в FTP в Windows Server 2012.

Обратите внимание, что ограничения попыток входа в FTP являются параметрами уровня сервера. вы не можете задать отдельные ограничения для входа в систему для каждого сайта. Так как злоумышленники пытаются получить доступ к вашему серверу, а не к одному сайту, служба FTP блокирует доступ для злоумышленников на уровне сервера.