A. WIN2003下的FTP帳號及許可權管理
現在我們開始使用Win2003系統自帶的FTP服務架設一台安全的FTP伺服器。
步驟1、為FTP伺服器建立一個安全的專用FTP帳號:
點擊"開始菜單→管理工具→計算機管理",這里彈出一個計算機管理窗口,我們在裡面建立一個供FTP客戶端登陸的帳號,雙擊左欄中的"本地用戶和組"然後在右欄中點擊滑鼠右鍵,選擇"新建"命令,就會彈出一個新用戶建立窗口,現在我們建立一個用戶,在這里我們建立一個用戶名為 cnhack 的帳號,密碼為chinanetpk ,並去除"用戶下次登陸時須更改密碼"的選項,勾選"用戶不能更改密碼"及"密碼永不過期"選項。然後點擊"創建"按鈕,就創建了一個用戶名為 cnhack 的用戶。如下圖(圖15)所示:
15)
(圖
為了伺服器安裝著想,我們還須進行如下安全設置,在默認的情況下,我們建立的用戶帳號為 Users 組用戶,雖然普通用戶組對伺服器安全影響不大,但我們還是把這個用戶所屬的 Users 組刪除,把剛建立的 cnhack 用戶添加到 Guests 用戶組,步驟如下:
右擊右欄中剛才建立的普通用戶 cnhack ,出現一個菜單,選擇屬性,這時會彈出別一個窗口cnhack 屬性窗口,選擇"隸屬於"標簽,這時我們會看到cnhack 用戶隸屬於Users組,我們選擇下欄中的Users組名稱,並選擇"刪除"按鈕,這里cnhack用戶原來的隸屬組被刪除,我們再點擊下欄中的"添加"按鈕,這時彈出一個"選擇組"窗口,選擇"高級"按鈕,再點擊"立即查找"按鈕,這時我們會看到一個"Guests"用戶組名,雙擊"Guests"用戶組名稱後返回選擇組窗口,點擊"確定"按鈕退出。這樣我們就把剛建立的 cnhack 用戶添加進了Guests 用戶組,並把原 cnhack 隸屬的用戶組刪除了。基本配置方法如下圖(圖16)所示:
16)
(圖
為了伺服器安裝著想,我們還應在"cnhack屬性"欄里選擇遠程式控制制標簽,把"啟用遠程式控制制"的勾去掉。這里一個安全的FTP帳號建立成功。如下圖(圖17)所示:
17)
(圖
本例中,我們在D盤建立一個文件夾,並重命名該文件夾文件名為 cnhack ,然後在該文件夾圖標處點擊右鍵,出現一菜單,選擇"屬性",這里彈出一個屬性對話框,在" cnhack 屬性"中選擇"安全"標簽,點擊右下方的"高級"選項,並去除勾選"允許父項的繼承許可權傳播到該對像和所有對像,包括那些在此明確定定義的項目(A)"。如下圖(圖18)所示:
18)
(圖
然後點擊確定按鈕,返回cnhack屬性的"安全"標簽,在這里會看到還剩下一個超級管理員組 Administrators 成員可以管理cnhack 文件夾,我們再勾選允許超級管理員組成員允許完全控制該文件夾,這樣就給了我們管理員組對cnhack文件夾的完全控制權,現在我們再給我們剛才建立的 cnhack 用戶管理許可權,我們點擊"添加"按鈕,根據提示把 cnhack 帳號添加成為 cnhack 文件夾的管理員,然後再勾選允許cnhack 帳號完全管理該文件夾,這樣就給了 cnhack 帳號對該文件夾的完全管理權。如下圖(圖19所示):
19)
(圖
現在D:\cnhack 文件夾只允許超級管理員組Administrators 成員和帳號為 cnhack 的來賓組成員進行管理與訪問了,其它帳戶的帳號將不能對 cnhack 文件夾有任何的訪問權及修改許可權。
步驟2、使用Internet 信息服務(IIS)管理器建立一個安全的FTP空間:
現在我們打開"開始菜單"→"程序"→"管理工具"→"Internet 信息服務(IIS)管理器",彈出一個IIS管理器窗口,在裡面找到"FTP站點" →"默認 FTP 站點",並在"默認 FTP 站點"里點擊滑鼠右鍵,選擇"屬性"選擇,出現一個"默認 FTP 站點屬性"對話框,選擇"主目錄"標簽,把原來默認的地址改為我們剛才建立的文件夾D:\cnhack 的路徑,下面會有三個選項,分別是、"讀取、寫入、記錄訪問",你可以根據需要勾選,如果中介提供給別人下載的FTP空間,則不要勾選寫入選項,如果需要提供給別人上傳及更改FTP空間內容的,則需要勾選寫入選項。本例中,我們是讓朋友可以把數據上傳到FTP空間的,所以我們勾選了"寫入"選項,如下圖(圖20)所示:
20)
(圖
下面我們再來配置使用指定的我們剛才建立的帳號cnhack 才能登陸現在這個FTP空間,我們現在點擊"安全帳戶"標簽,再點擊"瀏覽"按鈕,根據提示選擇我們剛才建立的cnhack用戶名,然後點擊確定,這樣就指定了這個空間只有使用我們設置的 cnhack 用戶帳號才能登陸,記住不要勾選下面的"只允許匿名連接"選項,因為這樣將會帶來安全問題,如下圖(圖21)所示:
21)
(圖
現在我們再來指定該FTP站點的IP地址,我們只要點擊"FTP站點"標簽,然後在"IP地址(I)"的右欄輸入框里輸入我們本機的IP地址即可。還有可以在"TCP/IP埠(T)"的右輸入框里修改當前FTP站點的TCP/IP埠號,默認情況下是使用21埠的。如下圖(圖22)所示:
22)
(圖
這樣一個安全的FTP站點就建立成功了。使用IIS6建立的FTP伺服器可以使用IE及FTP客戶端軟體登陸FTP空間。而且功能強大。
B. 怎樣設置FTP伺服器共享訪問許可權
方法/步驟
1
首先按照前面步驟打開Internet信息服務窗口,在該窗口的左側顯示區域,用滑鼠右鍵單擊目標FTP站點,從彈出的快捷菜單中單擊「屬性」
命令,打開目標FTP站點的屬性設置窗口,單擊該窗口中的「安全帳號」標簽,進入到標簽設置頁面(如下圖);
檢查該標簽頁面中的「允許匿名連接」項目是否處於選中狀態,要是發現該選項已經被選中的話,那我們必須及時取消它的選中狀態;
其次單擊上圖中標簽頁面中的「瀏覽」按鈕,從隨後出現的「選擇用戶或組」設置窗口中,依次將「bbb」、「ccc」用戶帳號選中並導入進來,再單擊「確
認」按鈕,返回到Internet信息服務列表窗口;
2
接
著打開伺服器系統的資源管理器窗口,找到D盤下面的「aaa」目錄,然後用滑鼠右鍵單擊該目錄窗口中的子文件夾「bbb」,並執行右鍵菜單中
的「屬性」命令,打開B部門信息上傳目錄的屬性設置窗口,單擊該設置窗口中的「安全」標簽,再在該標簽頁面中單擊「添加」按鈕,從彈出的「選擇用戶或組」
列表中將「bbb」用戶帳號選中,再單擊「確定」按鈕返回到安全標簽設置頁面(如下圖所示),
並在該頁面中賦予「bbb」用戶帳號合適的訪問許可權。之後在下圖界面中選中Everyone帳號名稱,並點擊「刪除」按鈕,以便取消其他員工對「bbb」
文件夾的訪問許可權,最後單擊「確認」按鈕結束「bbb」上傳目錄的訪問許可權。
按照相同的設置操作步驟,我們再將信息上傳目錄「ccc」的安全許可權只授予「ccc」用戶帳號,如此一來我們就順利完成了對B部門、C部門所管理的信息上傳目錄共享許可權間的相互限制了。
驗證共享訪問安全
為了檢驗B部門、C部門的員工在訪問FTP伺服器時,是否只能看到本部門的上傳信息,我們現在就以FTP伺服器IP地址為
192.168.1.10為例嘗試FTP登錄訪問操作。首先打開IE瀏覽窗口,並在該窗口址址框中輸入URL地址
「ftp://192.168.1.10」,單擊回車鍵後,IE會自動彈出一個身份驗證對話框,在其中正確輸入用戶名「bbb」及對應帳號的訪問密碼,再
單擊「登錄」按鈕,在隨後彈出的瀏覽頁面中,我們會發現B部門的員工以「bbb」用戶帳號登錄FTP伺服器時,只能訪問並管理「bbb」信息上傳目錄,而
看不到「ccc」信息上傳目錄中的內容。當我們再次在IE瀏覽窗口中輸入URL地址「ftp://192.168.1.10」,然後在身份驗證對話框中輸
入「ccc」用戶帳號及對應該帳號的密碼時,我們會發現C部門的員工以「ccc」用戶帳號登錄FTP伺服器時,只能訪問並管理「ccc」信息上傳目錄,而
看不到「bbb」信息上傳目錄中的內容。
當B部門的員工登錄進FTP伺服器後,想嘗試在IE瀏覽窗口中輸入URL地址
「ftp://192.168.1.10/ccc」,來達到瀏覽C
部門的信息上傳目錄時,IE會自動彈出相關提示信息,告訴我們沒有瀏覽對應目錄的許可權。通過上述驗證操作,我們發現不同部門的員工共享使用同一台FTP服
務器時,只要進行合適的共享許可權設置,就會有效避免部門信息被輕易外泄的風險。
C. 文件伺服器(FTP)怎麼給用戶設置許可權
1、對准開始鍵右擊-選擇第一個程序和功能-選擇(左邊小菜單)啟用或關閉Windows功能。在InternetInformationServices可承載的Web核心和InternetInformationServices子菜單把FTP打鉤。
D. 如何使FTP伺服器安全
一、操作系統的選擇
FTP伺服器首先是基於操作系統而運作的,因而操作系統本身的安全性就決定了FTP伺服器安全性的級別。雖然Windows 98/Me一樣可以架設FTP伺服器,但由於其本身的安全性就不強,易受攻擊,因而不要採用。Windows NT就像雞肋,不用也罷。採用Windows 2000及以上版本,並記住及時打上補丁。至於Unix、Linux,則不在討論之列。
二、使用防火牆
埠是計算機和外部網路相連的邏輯介面,也是計算機的第一道屏障,埠配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的埠,將其他不需要使用的埠屏蔽掉會比較安全。限制埠的方法比較多,可以使用第三方的個人防火牆,如天網個人防火牆等,這里只介紹Windows自帶的防火牆設置方法。
1。利用TCP/IP篩選功能
在消運Windows 2000和Windows XP中,系統都帶有TCP/IP篩選功能,利用它可以簡單地進行埠設置。以Windows XP為例,打開「本地連接」的屬性,在「常規」選項中找到「Internet協議(TCP/IP)」,雙擊它打開該協議的屬性設置窗口。點擊右下方的「高級」卜橋廳按鈕,進入「高級TCP/IP設置」。在「選項」中選中「TCP/IP篩選」並雙擊進入其屬性設置。這里我們可以設置系統只允許開放的埠,假如架設的FTP伺服器埠為21,先選中「啟用TCP/IP篩選(所有適配器)」,再在TCP埠選項中選擇「只允許」,點「添加」,輸入埠號21,確定即可。這樣,系統就只允許打開21埠。要開放其他埠,繼續添加即可。這可以有效防止最常見的139埠入侵。缺點是功能過於簡單,只能設置允許開放的埠,不能自定義要關閉的埠。如果你有大量埠要開放,就得一個個地去手工添加,比較麻煩。
2。打開Internet連接防火牆
對於Windows XP系統,自型隱帶了「Internet連接防火牆」功能,與TCP/IP篩選功能相比,設置更方便,功能更強大。除了自帶防火牆埠開放規則外,還可以自行增刪。在控制面板中打開「網路連接」,右擊撥號連接,進入「高級」選項卡,選中「通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網路」,啟用它。系統默認狀態下是關閉了FTP埠的,因而還要設置防火牆,打開所使用的FTP埠。點擊右下角的「設置」按鈕進入「高級設置」,選中「FTP伺服器」,我它。由於FTP服務默認埠是21,因而除了IP地址一欄外,其餘均不可更改。在IP地址一欄中填入伺服器公網IP,確定後退出即可即時生效。如果架設的FTP伺服器埠為其他埠,比如22,則可以在「服務」選項卡下方點「添加」,輸入伺服器名稱和公網IP後,將外部埠號和內部埠號均填入22即可。
三、對IIS、Serv-U等伺服器軟體進行設置
除了依靠系統提供的安全措施外,就需要利用FTP伺服器端軟體本身的設置來提高整個伺服器的安全了。
1。IIS的安全性設置
1)及時安裝新補丁
對於IIS的安全性漏洞,可以說是「有口皆碑」了,平均每兩三個月就要出一兩個漏洞。所幸的是,微軟會根據新發現的漏洞提供相應的補丁,這就需要你不斷更新,安裝最新補丁。
2)將安裝目錄設置到非系統盤,關閉不需要的服務
一些惡意用戶可以通過IIS的溢出漏洞獲得對系統的訪問權。把IIS安放在系統分區上,會使系統文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統分區。另外,由於IIS是一個綜合性服務組件,每開設一個服務都將會降低整個服務的安全性,因而,對不需要的服務盡量不要安裝或啟動。
3)只允許匿名連接
FTP的安全漏洞在於其默認傳輸密碼的過程是明文傳送,很容易被人嗅探到。而IIS又是基於Windows用戶賬戶進行管理的,因而很容易泄漏系統賬戶名及密碼,如果該賬戶擁有一定管理許可權,則更會影響到整個系統的安全。設置為「只允許匿名連接」,可以免卻傳輸過程中泄密的危險。進入「默認FTP站點」,在屬性的「安全賬戶」選項卡中,將此選項選中。
4)謹慎設置主目錄及其許可權
IIS可以將FTP站點主目錄設為區域網中另一台計算機的共享目錄,但在區域網中,共享目錄很容易招致其他計算機感染的病毒攻擊,嚴重時甚至會造成整個區域網癱瘓,不到萬不得已,使用本地目錄並將主目錄設為NTFS格式的非系統分區中。這樣,在對目錄的許可權設置時,可以對每個目錄按不同組或用戶來設置相應的許可權。右擊要設置的目錄,進入「共享和安全→安全」中設置,如非必要,不要授予「寫入」許可權。
5)盡量不要使用默認埠號21
啟用日誌記錄,以備出現異常情況時查詢原因。
2。Serv-U的安全性設置
與IIS的FTP服務相比,Serv-U在安全性方面做得比較好。
1)對「本地伺服器」進行設置
首先,選中「攔截FTP_bounce攻擊和FXP」。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP伺服器發出一個「PORT」命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的埠號,伺服器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP伺服器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP伺服器有權訪問該機器的話,那麼惡意用戶就可以通過FTP伺服器作為中介,仍然能夠最終實現與目標伺服器的連接。這就是FXP,也稱跨伺服器攻擊。選中後就可以防止發生此種情況。
其次,在「高級」選項卡中,檢查「加密密碼」和「啟用安全」是否被選中,如果沒有,選擇它們。「加密密碼」使用單向hash函數(MD5)加密用戶口令,加密後的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項,用戶口令將以明文形式保存在文件中:「啟用安全」將啟動Serv-U伺服器的安全成功。
2)對域中的伺服器進行設置
前面說過,FTP默認為明文傳送密碼,
容易被人嗅探,對於只擁有一般許可權的賬戶,危險並不大,但如果該賬戶擁有遠程管理尤其是系統管理員許可權,則整個伺服器都會被別人遠程式控制制。Serv-U對每個賬戶的密碼都提供了以下三種安全類型:規則密碼、OTP S/KEY MD4和OTP S/KEY MD5。不同的類型對傳輸的加密方式也不同,以規則密碼安全性最低。進入擁有一定管理許可權的賬戶的設置中,在「常規」選項卡的下方找到「密碼類型」下拉列表框,選中第二或第三種類型,保存即可。注意,當用戶憑此賬戶登錄伺服器時,需要FTP客戶端軟體支持此密碼類型,如CuteFTP Pro等,輸入密碼時選擇相應的密碼類型方可通過伺服器驗證。
與IIS一樣,還要謹慎設置主目錄及其許可權,凡是沒必要賦予寫入等能修改伺服器文件或目錄許可權的,盡量不要賦予。最後,進入「設置」,在「日誌」選項卡中將「啟用記錄到文件」選中,並設置好日誌文件名及保存路徑、記錄參數等,以方便隨時查詢伺服器異常原因。
E. 2003FTP伺服器用戶許可權設置!
windows2003 FTP伺服器分配賬戶許可權:
第1步右鍵單擊新建的 FTP 站點,點擊「許可權」
第2 步在安全選項中點擊「添加」,然後在「選擇用戶或組」選項中點擊「高級」,
然後點擊「立即查找」,在「搜索結果」中選擇建立的賬戶(如「boaer」
第3 步點擊「確定/確定」後,在安全選項中,選擇剛才添加的用戶(如「boaer」),然後在下面的選項中,選擇「寫入」許可權,最後點擊「確定」即可。
登錄FTP 站點,站點創建完成後用FTP 軟體連接測試創建是否成功。
通過 iis 中的ftp 建立多用戶名多目錄站點主要注意的幾個問題:
(1)先建立賬戶,賬戶名將來是要和文件夾名字相對應的,建議做到簡單易懂好記錄,另密碼要設置復雜一些,最好8 位以上,且符合復雜性要求。
(2)注意建立文件夾時的目錄結構三層 1 層.可以自己起名字 2 層.必須是localuser 3 層. 文件夾名字必須和建立的賬戶名一樣
(3)在ftp 站點點擊右鍵,選擇許可權,然後添加第二步建立好的賬戶,並給予寫許可權。
(4)以上方法建立ftp 站點是只需要建立一個即可。
F. window2012伺服器 ftp許可權設置
首先在你的伺服器上創建用戶
打開管理工具 -> 計算機管理
打開後
點擊本地用戶和組
點擊用戶,右鍵新建用戶
輸入用戶名密碼,點擊創建。
再次用戶已經創建完畢了。
然後打開ftp站點
點擊FTP身份驗證
禁用匿名身份驗證
再點擊FTP授權規則
雙擊規則, 選擇指定的角色或用戶組
設置許可權。
完成。
G. win2008 ftp伺服器怎麼設置許可權
Windows Server 2008伺服器配置FTP站點的方法:
首先,安裝FTP服務
打開伺服器管理器,點擊角色,添加角色,如果安裝過iis,角色摘要裡面會有個Web伺服器(IIS),點擊後面的添加角色,滾動條拉到最後勾選FTP伺服器,根據步驟安裝。
添加FTP站點
打開IIS管理器,依次操作, IIS列表右鍵站點目錄,添加FTP站點,填寫名稱和路徑,下一步填寫綁定IP和SSL設置,繼續選擇授權訪問的用戶,點擊完成,至此創建站點完成。
創建FTP賬戶
開始-運行-cmd-lusrmgr.msc,出現本地用戶和組窗口,新用戶添加新用戶。
配置許可權
在IIS左邊選擇剛添加的站點,點擊編輯許可權,選擇安全-編輯-添加,添加上一步所創建的ftp賬戶,賦予完全控制許可權,點擊確定即可配置完畢。
最後還需要在防火牆中開啟相應的連接許可,進入「控制面板》系統和安全》Windows 防火牆》允許的程序」,在「允許另一個程序」中添加「C:\Windows\System32\svchost.exe」這個程序。 勾選允許防火牆通過的網路。
Windows下除了系統自帶的ftp伺服器外,還可以使用諸如Serv-U、WinFtp Server Ftp、FileZilla Server等第三方軟體來搭建ftp伺服器;ftp伺服器搭建好後,就可以使用如FlashFXP、Core FTP、8uFTP等常用的工具進行上傳下載操作了。
H. 如何設置ftp用戶的許可權
在桌面上右擊「我的電腦」,執行「管理」命令,在「計算機管理」窗口的左窗格中依次展開「系統工具」→「本地用戶和組」目錄,單擊選中「用戶」選項。在右側窗格中單擊右鍵,執行「新用戶」命令。在打開的「新用戶」對話框中填寫用戶名(如hanjiang),並設定密碼。然後取消「用戶下次登錄時需更改密碼」復選框,並勾選「用戶不能更改密碼」和「密碼永不過期」復選框,單擊「創建」按鈕完成該用戶的添加。重復這一過程添加其他用戶,最後單擊「關閉」按鈕即可。 x0dx0a為方便對這些用戶的管理,最好將他們放入一個專門的組中。例如我們可以創建一個「FTPUsers」組:在「計算機管理」窗口的目錄樹中單擊選中「組」選項,然後在右側窗格中單擊右鍵,執行「新建組」命令,並將該組命名為「FTPUsers」。接著依次單擊「添加」→「高級」→「立即查找」按鈕,將剛才創建的用戶全部添加進來,最後依次單擊「創建」→「結束」按鈕。 x0dx0a然而事情並沒有完,因為上述創建的用戶默認隸屬於「Users」組,也就是說他們擁有對大部分資源的瀏覽許可權。為了實現對特定資源的有效管理,需要將這些用戶從「Users」組中刪除。在「計算機管理」窗口的右側窗格中雙擊「Users」選項,用滑鼠拖選所有剛添加的用戶並單擊「刪除」按鈕即可。 x0dx0ax0dx0a設置獨立許可權 x0dx0a這里的許可權設置需要分兩部分來進行,即對FTP伺服器主目錄的許可權設置和對各個用戶文件夾的許可權設置。假設FTP伺服器的主目錄路徑為「G:/FTPServer」,我們先來取消「FTPUsers」組的用戶對「FTPServer」文件夾的「寫入 」許可權。右擊「FTPServer」文件夾,執行「屬性」命令。在打開的「FTPServer 屬性」對話框中切換至「安全」選項卡下,然後依次單擊「添加」→「高級」→「立即查找」按鈕,單擊選中「FTPUsers」組並依次單擊「確定」按鈕回到「FTPServer 屬性」對話框。接著在「FTPUsers的許可權」列表框中勾選「拒絕寫入」復選框。為了使「拒絕寫入」許可權僅對「FTPServer」文件夾有效,還需要單擊「高級」按鈕,在「FTPServer的高級安全設置」對話框中雙擊「許可權列表」中的「拒絕FTPUsers寫入」選項,打開「FTPServer的許可權設置」對話框。在「應用到」下拉列表中選中「只有該文件夾」選項,連續單擊「確定」按鈕完成設置(如圖1)。 x0dx0a接著我們為每個用戶創建獨立的文件夾(以用戶名命名),並針對每個文件夾賦予相應用戶適當的許可權。以文件夾「hanjiang」為例,在「hanjiang 屬性」對話框的「安全」選項卡下將用戶「hanjiang」添加進來,並賦予其讀取和寫入的許可權。同理,對於其他文件夾,也只賦予相應用戶讀取和寫入的許可權。 x0dx0a小提示:需要受到許可權保護的文件夾必須在NTFS分區中創建,FAT32分區內的資源無法設置許可權。 x0dx0ax0dx0a至此,設置工作就全部結束了。在任意一台機器上以用戶「hanjiang」的身份登錄FTP伺服器,你會發現該用戶只能在「hanjiang」文件夾中任意讀寫,而無法看到主目錄和其他用戶目錄的內容。
I. 怎樣去設置FTP伺服器共享訪問許可權
1、首先打開控制面板,找到程序-打開或關閉Windows功能選項。
2、找到internet信息服務項把其下面的所有子功能全部勾選。
3、等待短時間服務配置完成後,右鍵我的謹叢激電腦打開管理,選擇internet信息服務就可以在右邊祥襪網站上添加FTP站點。
4、設置FTP名稱和共享文件存鄭猜放的物理路徑。
5、身份驗證如果需要密碼的話可以勾選把「基本」也一起勾選了。
6、設置完成後點擊右邊的高級設置,把utf-8設置成FALSE這樣就可以放中文文件。
7、輸入FTP路徑就可以實現FTP共享文件。完成效果圖。