Vous êtes sur la page 1sur 9

Configuration du serveur FTP sécurisé (Microsoft)

L’application

Le serveur FTP est disponible en standard sur la version W2K serveur. Il s’installe par
défaut et si ce n’est pas le cas peut-être installer ultérieurement.
Le FTP est utile par exemple pour l’échange de fichiers volumineux qui ne peuvent
être envoyé par mails.Il vous sera aussi utile pour vous permettre d’envoyer depuis
n’importe où vos fichiers personnels sur votre serveur.

Exemple des répertoires créés pour cet exercice

Un fichier root appeler FTP et 2 sous-répertoires appelé Anonyme et Perso


• Tous les visiteurs peuvent accéder à FTP et lire le nom des sous-répertoires.
• Tous les visiteurs peuvent lire les fichiers et sous-répertoires dans Anonyme.
• Vous seul pouvez au moyen d’un login lire et écrire dans Perso.

3 comptes seront utilisés pour accéder à ces répertoires.


• Administrator – Pour la connexion en local uniquement, souvenez-vous que
FTP transmet les comptes/passwords en clair sur Internet
• IUSR_le_nom_de_votre_serveur. C’est le compte utilisé pour le login
anonyme.
• Le nouveau compte My-Account que vous utiliserez pour accéder depuis
Internet en lecture/écriture dans le répertoire Perso. Ce compte n’ayant aucune
permission d’administration même si il est hacké les dommages ne
dépasseront pas le répertoire Perso.

Ceci n’est qu’un exemple pour montrer l’application de la sécurité sur le serveur FTP.
Libre à vous de modifier cette structure selon vos besoins.

Partition NTFS
Il est indispensable d’installer au moins les fichiers FTP sur une partition NTFS afin
de bénéficier de la sécurité en attribuant des permissions selon les utilisateurs.

Page 1 de 9 Site FTP sécurisé Michel Regard


Par définition un serveur W2K ne devrait avoir que des partitions NTFS afin de
bénéficier de la sécurité posées sur les répertoires et les fichiers. Pour faciliter la
gestion du site et garantir la sécurité créez le site sur une partition différente que
l’operating system et en Root de cette partition.

Pour passer de FAT(32) à NTFS lancer la commande en ligne suivante :


Convert d: /fs :ntfs (la partition d: va être convertie en NTFS)
Cette commande va obliger un reboot du serveur.

Installation du serveur FTP


Comme indiqué ci-dessus le serveur a été installé lors de la mise en place de W2K
serveur, si toutefois ce n’est pas le cas procéder comme suit:

Start – Control Panel – Add/Remove Programms – Add/Remove Windows


Components – Click sur Internet Information Server et Details

Click sur File Transfert protocol (FTP) server

Page 2 de 9 Site FTP sécurisé Michel Regard


Configuration du serveur FTP
Ouvrir la console d’administration :
Start – Programs – Administrative Tools – Internet Services Manager
Développer l’arborescence.

Click droit sur Default FTP server et click sur Properties


Limiter le nombre de connexion à 5 pour une ADSL 512. Ceci afin d’assurer un
minimum de bande passante à chaque utilisateurs. Ce chiffre variant en fonction de la
vitesse upload de votre ADSL. Changer la description selon votre choix

Page 3 de 9 Site FTP sécurisé Michel Regard


.

Click sur l’onglet message


Et entrer les messages selon votre choix.

Click sur l’onglet Home Directory


Entrer la partition (NTFS) ou seront posés les fichier FTP.
Il est conseillé de le mettre sur une partition séparée. Ceci va faciliter le sauvetage des
données et l’administration en général.
Click sur Write afin de pouvoir lire et écrire dans les fichiers du serveur FTP.

Page 4 de 9 Site FTP sécurisé Michel Regard


.

Click sur l’onglet Security Accounts


Lors de la création du site FTP l’utilisateur IUSR_(le nom de votre serveur) a été
automatiquement créé. Ce compte sera utilisé pour permettre un login Anonyme sur
une partie de votre site. Ne le modifier pas.

Page 5 de 9 Site FTP sécurisé Michel Regard


Création d’un compte d’accès permettant l’accès en lecture/écriture
Click sur My Computer (Desk Top) – Click droit Manage – Local User & Group et
créer un nouveau compte appeler My-Account et définissez un password compliqué.

Gestion des permissions


Pour respecter la limitation d’accès présentée au début de cet exemple il va falloir
jouer sur les permissions des répertoires afin d’être certain que vous seul pourrez
accéder au répertoire Perso en écriture alors que tout le monde pourra accéder au
répertoire Anonyme en lecture.

Click sur le répertoire root FTP, Dans l’exemple donné D:\FTP.


Click droit – Properties – Security
En standard W2K devrait vous afficher ceci
Compte Everyone = Full control

Désélectionner « Allow inhéritable permissions …. »

Page 6 de 9 Site FTP sécurisé Michel Regard


Click sur Remove

- Additionner Administrator(s)
(Administrator étant le compte, Administrators étant le groupe de sécurité des
administrator. Vous pouvez choisir l’un ou l’autre)
- Appliquer : Full control pour l’administrator.
- Additionnez le compte IUSR_le_nom_de_votre_serveur
- Appliquer les permissions Read/Execute & Liste folders contents & Read
- Enlever Everyone si il apparaît encore.

Page 7 de 9 Site FTP sécurisé Michel Regard


.

Click sur Advanced


Click sur “Reset permissions on all child....”
Click sur Yes et Ok
Maintenant le répertoire FTP et les 2 sous-répertoires ont les même permissions, soit
administrator Full Control et IUSR Read /Execute & List folder Content

Il nous reste maintenant à enlever le compte IUSR et ajouter le compte d’accès


privilégié dans le répertoire Perso afin de garantir la sécurité demandée.

Page 8 de 9 Site FTP sécurisé Michel Regard


Click sur le répertoire Perso
Click droit sur Security
Désélectionner Allow inheritable permission from parents…
Click sur Copy
Enlever le compte IUSR
Ajouter le compte d’accès privilégié My-Account
Définissez Full Control pour My-Account

Résumer de la sécurté

Le répertoire FTP (root)


• Administrator(s) Full Control.
• IUSR Read/Execute & Read &List folder content.

Le répertoire Anonyme ainsi que tous ses fichiers et sous-répertoires


• Administrator(s) Full Control.
• IUSR Read/Execute & Read & List folder content.

Le répertoire Peso ainsi que tous ses fichiers et sous-répertoires


• Administrator(s) Full Control
• My-Account Full Control

En suivant cet exemple vous pourrez obtenir une bonne sécurité d’accès à vos
répertoires FTP et éviter la visite d’intrus.

Log
Prenez le temps de lire les logs générés par le serveur FTP, cela permet de savoir qui
vient sur votre site et ce qu’ils y font. Les logs sont générés dans:
%WinDir%\System32\LogFiles

Michel Regard
Avril 2002
regard@ca.tc
http://regard.ca.tc

Page 9 de 9 Site FTP sécurisé Michel Regard