Partager via

Restrictions de tentative d’ouverture de session FTP IIS 8.0

  • Article

par Robert McMurray

Compatibilité

Version Notes
IIS 8.0 Des restrictions sur les tentatives de connexion FTP ont été introduites dans IIS 8.0.
IIS 7.5 Les restrictions de tentative de connexion FTP n'étaient pas prises en charge dans IIS 7.0 ou IIS 7.5.
IIS 7.0

Problème

Une vulnérabilité possible pour un serveur est une attaque de mot de passe par force brute via le service FTP. Étant donné que les comptes utilisés pour FTP sont souvent des comptes d'utilisateurs physiques sur le système d'exploitation hôte, il est théoriquement possible de deviner le nom d'utilisateur administratif une fois que vous avez déterminé le type de serveur FTP. Une fois le nom d'un compte découvert, un client malveillant peut se connecter à un serveur et tenter une attaque par force brute sur ce compte. (Par exemple : « administrateur » pour les systèmes Windows ou « root » pour les systèmes UNIX.)

Dans IIS 7.5, le service FTP a introduit des API d'extensibilité qui ont permis aux développeurs de créer des fournisseurs d'authentification personnalisés, ce qui permet aux comptes non Windows d'accéder à FTP. Cela réduit considérablement la zone d'attaque du service FTP, car ces comptes FTP ne sont pas des comptes Windows valides et n'ont donc pas accès aux ressources en dehors du service FTP. En utilisant les fonctionnalités d'extensibilité de l'authentification FTP dans IIS 7.5, Microsoft a fourni aux administrateurs un moyen de réduire le risque d'attaques par force brute pour les comptes non Windows en créant un fournisseur d'authentification personnalisé. Ces informations sont documentées dans l'article suivant :

Comment utiliser le code managé (C#) pour créer un fournisseur d'authentification FTP avec des restrictions IP dynamiques

Solution

Dans IIS 8.0 pour Windows Server 2012, Microsoft a ajouté une fonctionnalité de sécurité réseau intégrée qui fournit cette fonctionnalité pour toutes les connexions sans qu'il soit nécessaire de créer un fournisseur d'authentification personnalisé. Dans cette procédure pas à pas, nous examinerons les étapes requises pour activer les restrictions de connexion FTP afin d'empêcher les attaques par force brute sur votre serveur.

Instructions pas à pas

Configuration requise :

  • Machine Windows Server 2012 avec IIS 8.0 et le service FTP déjà installés.

Solutions de contournement pour les bugs connus :

Il n’y a aucun bug connu pour cette fonctionnalité pour le moment.

Configurer FTP pour empêcher les attaques par force brute

Le service FTP peut être configuré pour refuser l'accès au service FTP en fonction du nombre de fois où un client FTP ne parvient pas à s'authentifier au cours d'une période spécifiée par l'utilisateur. Une fois le nombre de tentatives de connexion infructueuses atteint, le serveur ferme de force la connexion FTP et l'adresse IP des clients FTP est bloquée pour accéder au service FTP pendant la durée du délai d'attente.

Pour configurer le service FTP afin d'empêcher les utilisateurs malveillants d'accéder à votre service FTP, procédez comme suit :

  1. Connectez-vous en tant qu'administrateur sur votre ordinateur Windows Server 2012.
  2. Ouvrez le gestionnaire des services Internet (IIS).
  3. Mettez en surbrillance le nom de votre serveur dans le volet Connexions , puis double-cliquez sur restrictions de tentative d’ouverture de session FTP dans la liste des fonctionnalités.
    Screenshot of the Connections pane with a focus on the F T P Logon Attempt Restrictions option.
  4. Cochez la case Activer les restrictions de tentative de connexion FTP et spécifiez le nombre de tentatives de connexion infructueuses et la période que le service FTP utilise pour déterminer s'il doit bloquer l'accès aux clients FTP.
    Screenshot of the F T P Logon Attempt Restrictions screen.
  5. Cliquez sur Appliquer.

L’option « Écrire dans le journal uniquement » ne bloque pas les tentatives d’ouverture de session. Au lieu de cela, il journalise que la condition a été remplie. L'administrateur informatique peut ensuite essayer différents paramètres de configuration pour évaluer l'impact des paramètres sur leurs utilisateurs avant de les appliquer.

Résumé

Dans cette procédure pas à pas, vous avez examiné la configuration du service FTP pour empêcher les clients malveillants d'attaquer votre serveur FTP en configurant la nouvelle fonctionnalité de restrictions de tentative de connexion FTP dans Windows Server 2012.

Notez que les restrictions de tentative de connexion FTP sont des paramètres au niveau du serveur ; vous ne pouvez pas définir de restrictions de connexion distinctes pour chaque site. Étant donné que les attaquants tentent d'accéder à votre serveur et non à un seul site, le service FTP bloquera l'accès des utilisateurs malveillants au niveau du serveur.