Ограничения попыток входа в FTP IIS 8.0
Совместимость
| Версия | Примечания |
|---|---|
| IIS 8,0 | Ограничения на попытки входа в FTP появились в IIS 8.0. |
| IIS 7,5 | Ограничения попыток входа в FTP не поддерживались в IIS 7.0 или IIS 7.5. |
| IIS 7.0 |
Проблема
Одной из возможных уязвимостей для сервера является атака методом подбора паролем через службу FTP. Так как учетные записи, используемые для FTP, часто являются физическими учетными записями пользователей в операционной системе узла, теоретически можно угадать имя администратора после определения типа FTP-сервера. После обнаружения имени учетной записи вредоносный клиент может подключиться к серверу и попытаться атаковать ее методом подбора. (Например, "администратор" для систем Windows или "root" для систем UNIX.)
В IIS 7.5 служба FTP представила API расширяемости, которые позволили разработчикам создавать настраиваемые поставщики проверки подлинности, что позволяет учетным записям, не используюющим Windows, получать доступ к FTP. Это значительно сокращает зону атак на поверхность для службы FTP, так как эти учетные записи FTP не являются допустимыми учетными записями Windows и, следовательно, не имеют доступа к ресурсам за пределами службы FTP. Используя функции расширяемости проверки подлинности FTP в IIS 7.5, корпорация Майкрософт предоставила администраторам способ уменьшить вероятность атак методом подбора для учетных записей, отличных от Windows, путем создания пользовательского поставщика проверки подлинности. Эти сведения описаны в следующей статье:
Решение
В IIS 8.0 для Windows Server 2012 корпорация Майкрософт добавила встроенную функцию безопасности сети, которая предоставляет эту функцию для всех имен входа без необходимости создания пользовательского поставщика проверки подлинности. В этом пошаговом руководстве мы рассмотрим действия, необходимые для включения ограничений для входа в FTP, чтобы предотвратить атаки методом подбора на сервер.
Пошаговые инструкции
Предварительные требования:
- Компьютер с Windows Server 2012 с IIS 8.0 и службой FTP, уже установленной.
Обходные решения для известных ошибок:
В настоящее время для этой функции нет известных ошибок.
Настройка FTP для предотвращения атак методом подбора
Служба FTP может быть настроена так, чтобы запретить доступ к службе FTP на основе числа неудачных попыток проверки подлинности FTP-клиента в течение указанного пользователем периода времени. После достижения количества неудачных попыток входа сервер принудительно закрывает FTP-подключение, а IP-адрес ftp-клиентов блокирует доступ к службе FTP на время ожидания.
Чтобы настроить службу FTP, чтобы запретить злоумышленникам доступ к службе FTP, выполните следующие действия.
- Войдите в систему с правами администратора на компьютере с Windows Server 2012.
- Откройте диспетчер IIS.
- Выделите имя сервера в области Подключения , а затем дважды щелкните Ограничения попыток входа в FTP в списке функций.
- Установите флажок Включить ограничения попыток входа в FTP и укажите количество неудачных попыток входа и период времени, который используется службой FTP, чтобы определить, следует ли блокировать доступ для FTP-клиентов.
- Щелкните Применить.
Параметр "Запись только в журнал" не блокирует попытки входа. Вместо этого он регистрирует, что условие было выполнено. Затем ИТ-администратор может попробовать различные параметры конфигурации, чтобы оценить влияние параметров на пользователей, прежде чем применять их.
Итоги
В этом пошаговом руководстве вы рассмотрели настройку службы FTP, чтобы запретить вредоносным клиентам атаковать FTP-сервер, настроив новую функцию ограничения попыток входа в FTP в Windows Server 2012.
Обратите внимание, что ограничения попыток входа в FTP являются параметрами уровня сервера. вы не можете задать отдельные ограничения для входа в систему для каждого сайта. Так как злоумышленники пытаются получить доступ к вашему серверу, а не к одному сайту, служба FTP блокирует доступ для злоумышленников на уровне сервера.