FTP - Benutzerisolation

 

Installation

Einrichten einer FTP-Site

Passiver FTP-Server und externe Firewall

Konfigurieren der Windows Firewall

 

 

Eine der Aufgaben als Administrator eines FTP-Servers ist der Schutz der Daten vor unberechtigten Zugriff. Die Konfiguration von NTFS-Berechtigungen ist eine Möglichkeit diesen Schutz durch zu setzen. Allerdings kann diese Konfiguration bei vielen Benutzern recht umfangreich werden.

 

Eine sehr gute Möglichkeit diesen Schutz zu gewährleisten ist die FTP-Benutzerisolation, ein Feature des FTP-Servers der IIS.  Wird die Benutzerisolation aktiviert wird der Benutzer beim verbinden mit dem FTP-Server in seinen Ordner geleitet und kann nicht aus diesem Ordner heraus navigieren. Sie sollten aber dafür sorgen, dass jeder Benutzer der hier zugreift auch über ein eigenes Verzeichnis verfügt, denn sonst erhält er Zugriff auf das Stammverzeichnis der FTP-Site.

 

Zur Nutzung der FTP-Benutzerisolation muss im Root Verzeichnis der FTP-Seite eine bestimmte Ordnerstruktur eingehalten werden. Je nach Art des FTP-Benutzerkonto's und den Authentifizierungseinstellungen muss im Stammverzeichnis der FTP-Site ein Odner LocalUser oder Domänename erstellt werden, der Ordner mit Namen der Benutzer enthält. Die Tabelle listet die Ordnerstruktur in Abhängigkeit der Benutzerkonten auf.

 

FTP-Benutzerkontentyp

Speicherort des Stammverzeichnisses

Anonyme Benutzer 

%FTPRoot%\LocalUser\Public

Lokale Windows-Konten 

%FTPRoot%\LocalUser\%UserName%

Windows-Domänenkonten 

%FTPRoot%\%UserDomain%\%UserName%

IIS-Manager-Benutzerkonten oder

ASP.NET-Benutzerkonten

%FTPRoot%\LocalUser\%UserName%

 

ftp_beniso_002.jpg

 

Im Bild die Ordnerstruktur für zwei FTP-Site auf die die FTP-Benutzerisolation angewendet werden soll. Gelb markiert für eine FTP-Site mit Windows-Domänenkonten und orange eine FTP-Site mit IIS-Manager Benutzerkonten. Für beide Verzeichnisse wurden den authentifizierten Benutzern das NTFS-Recht Ändern konfiguriert. Damit haben diese Benutzer auf alle Ordner innerhalb des Verzeichnisses dieses Recht. Durch die FTP-Benutzerisolation wird nun sichergestellt, das angemeldete Benutzer nur Zugriff auf ihren persönlichen Ordner erhalten.

 

Nachdem die Ordner erstellt wurden, erstellen Sie FTP-Site's die die Verzeichnisse FTP und IISM als Stammverzeichnisse benutzen.

 

ftp_beniso_005.jpg 

 

Wenn sie beim Erstellen der FTP-Site die Einstellungen für die Autorisierung konfiguriert haben, ist das Feature Benutzerisolation zu öffnen und die Benutzerisolation zu aktivieren.

 

Im Feature FTP-Authentifizierung wurde die anonyme Authentifizierung deaktiviert und die Standartauthentifizierung aktiviert. Damit ist sichergestellt, das nur Benutzer mit einem Windows Benutzerkonto auf die FTP-Site zugreifen können.

 

ftp_beniso_006.jpg

 

Nun können Windows-Domänenbenutzer auf die FTP-Site zugreifen. Sie starten in ihrem Benutzerverzeichnis und können dieses nicht verlassen.

 

Wollen Sie statt Windows-Benutzerkonten IIS-Manager Benutzerkonten für den Zugriff auf die FTP-Site verwenden sind einige zusätzliche Konfigurationsschritte notwendig.

 

ftp_beniso_008.jpg

 

Auf Serverebene muss im Feature Verwaltungsdienst die Option Windows-Anmeldeinformationen oder IIS-Manager-Anmeldeinformationen aktiviert werden.

 

ftp_beniso_010.jpg

 

Im Feature IIS-Manager-Benutzer sind die Benutzer der FTP-Site anzulegen.

 

ftp_beniso_001.jpg

 

Dem windowsinternen Dienst Netzwerkdienst müssen verschiedene Berechtigungen erteilt werden. Dazu benutzen sie die Eingabeaufforderung und das Programm Icacls.exe.

Geben Sie die folgenden Befehle ein:

icacls  "%systemdrive%\windows\system32\inetsrv\config" /grant "netzwerkdienst":R /T

icacls  "%systemdrive%\windows\system32\inetsrv\config\administration.config" /grant "netzwerkdienst":R

icacls  "%systemdrive%\windows\system32\inetsrv\config\redirection.config" /grant "netzwerkdienst":R

 

ftp_beniso_003.jpg

 

Zusätzlich muss dem Netzwerkdienst vor Erstellen der FTP-Site das NTFS-Recht Ändern am Stammverzeichnis der FTP-Site gegeben werden.

 

Nach Erstellen der FTP-Site muss diese für die Verwendung der IIS-Manager-Authentifizierung und die Benutzerisolation konfiguriert werden.

 

ftp_beniso_007.jpg

 

Dazu wählen Sie das Feature FTP-Authentifizierung der FTP-Site.

Klicken Sie im Aktionsmenü auf Benutzerdefinierter Anbieter. Markieren Sie IISManagerAuth und klicken Sie Ok. Deaktivieren Sie die Anonyme - und die Standardauthentifizierung.

 

Anschließend öffnen Sie das Feature FTP-Benutzerisolation und aktivieren die Benutzerisolation.

 

Nun haben Sie für diese FTP-Site IIS-Manager-Benutzern den Zugriff  mit Benutzerisolation konfiguriert.