Sécurisation du service FTP grâce à un compte utilisateur dédié
Liste des problèmes rencontrés en rédigeant ce TP : Réponse AJAX

Objectif...

Sécuriser un service (en l'occurence FileZilla FTP Server) en le faisant tourner avec une compte d'utilisateur dédié, et non pas le compte par défaut system.

Prérequis...

Les prérequis sont :

Création d'un utilisateur nommé filezillaftpserver

Par défaut sous Windows, les services sont lancés avec les droits de l'utilisateur "Compte système local", ce qui correspond à des droits d'administrateur.

Un pirate qui découvre une faille dans le service risque de pouvoir contrôler le serveur avec beaucoup de droits.

Une technique très répandue (malheureusement pas assez sous Windows, mais c'est plus systématique sous Linux) consiste à lancer le service avec un compte utilisateur spécifique qui a juste les droits nécessaires pour faire tourner le service.

On va donc aller dans l'Active Directory (Gestionnaire de serveur --> Utilisateurs et ordinateurs Active Directory) et créer un utilisateur spécifique nommé filezillaftpserver.

Ci-contre une capture d'écran issue de services.msc / propriétés du service FileZilla FTP Server.

Sur votre Windows 2019 que vous avez transformé en serveur Internet et sur lequel vous avez installé FileZilla FTP Server, créez l'utilisateur filezillaftpserver. Comme mot de passe, je vous conseille de mettre le même que celui de l'administrateur qui est censé être solide, sécurisé et mémorisé.
Décochez "L'utilisateur doit changer de mot de passe à la prochaine ouverture de session".
Cochez "Le mot de passe n'expire jamais".

Aller consulter ce nouvel utilisateur et notez le ou les groupes dont il est membre :

Votre réponse n°1

Attribution des droits nécessaires à l'utilisateur

FileZilla FTP Server a besoin des :

Accordez les droits listés ci-dessus. Pour cela vous devez faire :

Attribuer le service FileZilla FTP Server à l'utilisateur filezillaftpserver

Dans les propriétés du services FileZilla FTP Server (services.msc), remplacez le compte système par l'utilisateur filezillaftpserver, n'oubliez pas de saisir le mot de passe de cet utilisateur (qui, si vous avez suivi mes conseils, doit être le même que le mot de passe administrateur Windows Server).

Comme il vous l'est demandé, redémarrez le service FileZilla Server FTP Server.

Vérification de la sécurisation

Il s'agit maintenant de vérifier si tout ceci a bien été utile.

Depuis l'interface FileZilla Server Interface, créez un utilisateur FTP nommé hacker.

Attribuez-lui comme Home Directory C:\ (avec tous les droits d'écriture).

Depuis votre Windows 10 sous VirtualBox, connectez-vous en FTP avec l'utilisateur hacker.

Avez-vous le droit d'envoyer, depuis FileZilla, un fichier vers C:\ ?

Votre réponse n°2

Avez-vous le droit d'envoyer, depuis FileZilla, un fichier vers C:\wamp64\www ?

Votre réponse n°3