Få ditt eksemplar av Windows Server Hacks!
FTP er en av de eldste Internett-protokoller og fortsatt en av de mest nyttige. I gamle dager, ville virksomheter overføre informasjon ved kurerer på hesteryggen bærer skinnposer fylt med dokumenter. Nå er de fleste forretningsdokumenter er elektronisk og sendes over Internett i stedet, og mens e-post er ofte en god måte å gjøre dette, noen elektroniske dokumenter er uegnet for e-post som dokumenter for store til å tjene som vedlegg eller dokumenter som må sendes inn anonymt slik som undersøkelser. Som et resultat av mange bedrifter fortsatt finne behov for å kjøre FTP-servere for opplasting og nedlasting av store filer.
En interessant scenario er når du ønsker kunder, klienter eller samarbeidspartnere for å kunne laste opp filer anonymt til serveren din, men ikke være i stand til å se eller laste ned filer som andre kan ha lastet opp. Et slikt scenario kalles ofte en "drop box" fordi det virker som de fysiske bokser med sporene på toppen som kunder kan bruke til å fylle ut tilfredshetsundersøkelser og slippe dem inn når de forlater butikken din. Det er ganske enkelt å sette opp et slikt miljø ved bruk av FTP-tjenesten komponenten i Internet Information Services (IIS), og det er hva denne artikkelen handler om.
Tips: Book vil ha instruksjoner om hvordan du kommer i gang med å bruke FTP-tjenesten i IIS, se min tidligere artikkel opprette og konfigurere FTP nettsteder i Windows Server 2003 på WindowsNetworking.com.
Klar Drop Box
Min scenario skal bruke IIS 6 på en frittstående Windows Server 2003 som FTP-serveren og frittstående Windows XP som klient for testformål. Testing denne typen miljø er en stor bruk for Virtual PC, et fantastisk produkt jeg har omtalt i tidligere artikler om WindowsNetworking.com, og det er det jeg skal bruke her for demonstrasjonsformål.
Vi begynner ved å sette opp FTP-server. Etter å ha installert IIS sammen med valgfri FTP-tjenesten komponent, jeg laget en ny FTP rot mappe kalt FTPRoot- på E: stasjonen, en andre NTFS kjøre på serveren. Grunnen til flytting FTP innhold fra standardplasseringen for C: \\ Inetpub \\ FTPRoot- til E: \\ FTPRoot- er sikkerhets-data bør generelt bli isolert på en annen stasjon enn der operativsystemet er funnet. Dette tiltaket gjør det også lettere å komme seg fra en katastrofe når du må installere operativsystemet på nytt som på den måten dine data vil ikke bli overskrevet under gjenopprettingsprosessen bør du ha for å formatere oppstartsvolumet.
Innenfor E: \\ FTPRoot- mappe jeg neste opprette en mappe som heter drop som jeg vil bruke som min FTP drop-boksen. Standard tillatelser for min nye FTPRoot- mappe i Windows Server 2003 er vist i figur 1.
Figur 1: Standard tillatelser
La oss endre rettighetene på FTPRoot- mappen for å gjøre dem mer egnet for vårt formål. Klikk på Avansert for å åpne Avanserte sikkerhetsinnstillinger i dialogboksen. Deretter fjerner du avkrysningsruten «Tillat at arvbare tillatelser fra overordnet objekt overføres ..." og når en ny dialogboks som spør deg om du vil kopiere eller fjerne eksisterende nedarvede rettigheter på mappen, velg Kopier. Resultatet er at de eksisterende tillatelser på FTPRoot- mappen er de samme som i figur 1, men de er nå eksplisitte tillatelser i stedet arvet.
Nå klikker OK for å lukke Avanserte sikkerhetsinnstillinger boksen og gå tilbake til Egenskaper for FTPRoot- mappen. Fjern ess for følgende tre grupper: CREATOR OWNER, SYSTEM, og brukere. På dette punktet er den eneste ACE på FTPRoot- mappen er Administratorer har full kontroll.
Nå klikker Legg til og legge til en ACE for IIS anonym brukerkonto, som standard er oppkalt IUSR_servername der servernavn er navnet på Windows Server 2003 maskin. Deretter konfigurerer ACE for IUSR_servername slik at kontoen har bare tillatelsen Vise mappeinnhold tillatt som vist i figur 2.
Figur 2: Konfigurering av ACE for IUSR_servername
Det vi har på dette punktet er en FTPRoot- mappe som gir administratorer full tilgang, men kun anonyme brukere muligheten til å vise innholdet i mappen. Disse tillatelsene som standard er også arvet av rulleundermappe under FTPRoot-, og disse tillatelsene trenger noen endring for så nå åpne Egenskaper arket for drop-mappen, klikker du på Avansert, fjerne "Tillat at arvbare tillatelser ..." boksen, klikk Kopier, og klikk OK, så vi kan manuelt endre tillatelser på drop-mappen.
Klikk på Avansert-knappen igjen for å åpne Avanserte sikkerhetsinnstillinger for drop-mappen, som skal nå se ut som Figur 3:
Figur 3: Avanserte sikkerhetsinnstillinger for drop-mappen
Legg merke til at selv om standard tillatelser (ACE på siden Egenskaper) for IUSR_servername var vise mappeinnhold, her disse dukke opp som Les & Henrette. Vi trenger å stramme tillatelser for IUSR_servername enda mer, så velger du denne identiteten som vist i figur 3, og klikk på Rediger-knappen for å vise spesial NTFS tillatelser for IUSR_servernname. Når Tillatelser Entry dialogboksen vises, fjerner du merket av ved siden av alt unntatt List Folder /Read Data og Lese og endre Bruk på rullegardinlisteboksen til filer Bare som vist i Figur 4:
Figur 4: endre Bruk på rullegardinlisteboksen til filer Bare
Klikk OK for å lukke tillatelser Entry boksen og modifisere de spesielle tillatelser for IUSR_servername. Nå må vi opprette en annen ACE for IUSR_servername, men denne gangen vil det gjelde for drop-mappen selv og ikke til filer i denne mappen som ACE i Figur 4 gjorde tidligere. For å lage denne nye ACE, klikker du på knappen Legg til, angi IUSR_servername som den kontoen du ønsker å søke tillatelse til, og konfigurere tillatelsene som vist i Figur 5: Book Figur 5: Opprette den nye ACE
< P> Klikk OK flere ganger for å lukke dialog tillatelser boksene, og du er ferdig.
Testing av Drop Box
For å teste vår drop-boksen, vil vi først gjøre E: \\ FTPRoot- rotmappen for Standard FTP-område i IIS. Åpne IIS Manager, velger du FTP-nettsteder node, og under dette ved å høyreklikke på Standard FTP-område, og velg Egenskaper. Velg fanen Home Directory på denne Properties ark og endre Hjem-mappen for området fra C: \\ Inetpub \\ FTPRoot- til E: \\ FTPRoot- som vist i Figur 6. Ikke glem å også velge Skriv for å aktivere opplastede filer FTP-området.
Figur 6: Endre Hjem-mappen for området
Nå la oss teste dette oppsettet. Ved hjelp av en Windows XP virtuell maskin som kjører på Virtual PC, jeg åpner mappen Mine bilder, som har noen filer jeg vil laste opp til FTP-drop-boksen. Jeg deretter åpne Internet Explorer og skriver inn URL for min drop-boksen i form ftp: //server /slipp som vist i Figur 7:
Figur 7: Å laste opp filer til FTP mappen
nå har jeg dra og slippe noen bildefiler fra min lokale mappen Mine bilder til drop-mappen på den eksterne FTP-serveren. Filene skal overføre og vil vises i Internet Explorer-vinduet som bosatt i drop-mappen på den eksterne maskinen. Hvis jeg nå oppdatere visningen i Internet Explorer ved å trykke F5, de viste filene forsvinner. Med andre ord, når filene er lastet opp kan de ikke ses lenger, eller av noen andre som har tilgang på rulle mappen ved hjelp av en FTP-klient. For å dobbeltsjekke dette, kan jeg koble til min dråpe mappe ved hjelp av Windows kommandolinje ftp.exe klient og prøve å vise innholdet i rulle mappen etter å ha lastet noen filer til det (se figur 8). Resultatet er at jeg er nektet tilgang når jeg prøver å vise innholdet i rulle mappen
Figur 8:. Nektet adgang når tring å vise innholdet i rulle mappen
Ved hjelp av Windows Explorer på min FTP server men jeg kan enkelt kontrollere at filene har virkelig blitt lastet opp fra XP klientmaskinen.
Konklusjon
Slipp mapper som den jeg har beskrevet her kan være nyttig for bedrifter som trenger å tillate anonyme brukere å laste opp store filer til din bedrift via FTP. Ved å sette riktige NTFS tillatelser på en dråpe mappe på FTP-server, kan du tillate brukere å laste opp filer uten å være i stand til å se eller vet om filer lastet opp av andre brukere.