为了便于维护网站，很多服务器上都开通了FTP服务，虽然Serv-U等第三方FTP服务器软件功能强大，不过系统自带的FTP组件具有稳定性好、操作简便，和系统完美融合等特点，在实际工作中使用极为普遍。我们知道，Serv-U的功能虽然不错，但是如果其设置不当的话，就会存在很大的安全隐患。在很多黑客入侵案例中，都可以看到黑客利用Serv-U配置漏洞入侵得手的情况。如何检测目标服务器上使用的是系统自带的FTP服务呢？方法很简单，使用“ftp”命令连接目标服务器，如果返回“220 Microsoft FTP Srvice”的信息，就表明其使用了上述组件。

在IIS 6.0之 前 的Windows中，IIS中没有办法将用户限制在FTP站点中的特定目录，于是造成拥有写入权限的用户把FTP主目录搞的乱七八糟的情况。IIS 6.0之后的系统可以有效解决该问题。通过使用用户隔离模式，让用户在连接FTP服务器后直接进入与之关联的目录中，并且其无法查看或者修改别的用户目录。为此，需要在系统中为FTP用户单独创建本地账户。运行“lusrmgr.msc”程序，在本地用户和组窗口左侧选择“用户”项，在右侧窗口的右键菜单中点击“新账户”项，来创建所需的账户。注意：不要选择“用户下次登录时须更改密码”项，同时选择“用户不能更改密码”和“密码永不过期”项。

图4 设置隔离用户

图5 开启磁盘配额管理功能

双击创建的账户，在其属性窗口的“隶属于”面板中删除所有的组名（例如User组等），使其不隶属于任意组。同理，可以创建多个FTP专用账户。

为了安全起见，需要事先规划好FTP站点的目录结构。方法是某个NTFS分区中新建一个文件夹（例如“Webroot”），在其中创建名为“LocalUser”的子目录。进入该子目录，在其中为每一个用户创建一个文件夹。

注意：FTP站点主目录下的子文件夹名称必须为“LocalUser”，在其中创建的子目录其名称必须和每个FTP用户的账户名完全一致。

在Internet信息服务窗口左侧的“FTP站点”的右键菜单上点击“新建”→“FTP站点”项，在向导界面中点击下一步按钮，输入FTP站点描述信息，在下一步窗口中选择该FTP站点使用的IP地址和端口号。在下一步窗口（如图4所示）选择“隔离用户”项，之后在“FTP站点主目录”窗口中选择FTP主目录，在下一步窗口中选择“写入”项，为其设置访问权限。之后完成FTP站点创建动作。前面我们已经为每一个磁盘设置了访问权限，只允许Administrators组和SYSTEM账户拥有访问权限。因此，需要针对每一个FTP账户文件夹，在其属性窗口中的“安全”面板中点击“添加”按钮，将与之对应的FTP本地账户添加进来，并为其指派除了“读取和运行”、“写入”、“修改”等权限。

一般来说，服务器针对每个用户提供的FTP存储空间都是有限的，具体的配置方法是选择FTP主目录所在的盘符，在其“属性”窗口中“配额”面板（如图5所示）中选择“启用配额管理”项，并选择“拒绝将磁盘空间给超过配额限制的用户”项。点击“配额项”按钮，在弹出窗口中的工具栏上点击第一个按钮，导入对应的FTP本地账户名，在“添加新配额项”窗口中选择“将磁盘空间限制为”项，为其分配合适的存储空间，点击确定按钮，该FTP用户就拥有了合适的存储空间。

当您登录到虚拟主机提供的FTP空间后，会发现其中存在三个目录，除了FTP主目录外，还 存 在“logfile”，“Isapi”目录，前者为网站日志目录，后者为ISAPI筛选器目录。但是，按照上述方法创建的FTP站点中却没有这些目录，为此我们手工在服务器中的FTP主目录中建立这些目录，其配置方法下面会提及。

注意，这里主要使用FTP站点维护网站之用，所以针对每一个FTP本地账户，在其关联的文件夹中分别创建“www”、“logfile”、“Isapi” 目录，用来存储其管理的网站目录、日志目录以及筛选器信息。