浮雲雅築: [研究]IIS 10套用GCB設定路徑圖解(6)FTP要求

[研究]IIS 10套用GCB設定路徑圖解(6)FTP要求

2025-10-27

Windows Server 從Windows Server 2016開始，IIS為10.0版，後續 Windows Server 2019, Windows Server 2022, Windows Server 2025 也都是 10.0版，大版本號碼相同，小版本可能不同，畫面幾乎相同。

政府組態基準(Government Configuration Baseline，簡稱GCB)

TWGCB-04-014_Microsoft IIS 10政府組態基準說明文件v1.1_1141002

IIS 10.0 政府組態基準列表

項次	TWGCB-ID	類別	原則設定名稱	說明	設定位置	設定路徑	GCB設定值
40	TWGCB-04-014-0040	FTP要求	FTP SSL設定	▪ 這項原則設定決定 FTP 是否使用SSL 連線，以保護所有傳輸資料 ▪ 選項如下： (1)允許 SSL 連線：允許 FTP 伺服器支援與用戶端進行非 SSL 與SSL 連線 (2)需要 SSL 連線：FTP 伺服器與用戶端之間的通訊強制使用SSL 加密	伺服器	▪IIS 管理員\伺服器\管理\設定編輯器\動作\開啟功能\區段\system.applicationHost\siteDefaults\ftpServer\security\ssl\controlChannelPolicy ▪IIS 管理員\伺服器\管理\設定編輯器\動作\開啟功能\區段 \system.applicationHost\siteDefaults\ftpServer\security\ssl\dataChannelPolicy	SslRequire

預設值和GCB建議都是 SslRequire。

system.ftpServer/security/authentication/denyByFailure/enabled

這是 IIS FTP Server 模組（Microsoft FTP Service）的設定之一，

屬於 IIS FTP Server（Microsoft FTP Service）模組中的 SSL 安全通道設定，

是用來控制 FTP over SSL (FTPS) 的加密政策。

此設定僅在啟用 FTP 功能的情況下有意義，否則設定 True 或 False 沒作用、沒意義。

********************************************************************************

項次	TWGCB-ID	類別	原則設定名稱	說明	設定位置	設定路徑	GCB設定值
41	TWGCB-04-014-0041	FTP要求	FTP 登入嘗試限制	▪ 這項原則設定決定是否限制 FTP帳戶登入失敗之最大次數 ▪ 啟用 FTP 登入嘗試限制，可減輕攻擊者利用已發現之帳戶進行暴力攻擊所造成之影響 ▪ 預設為停用	伺服器	IIS 管理員\伺服器\管理\設定編輯器\動作\開啟功能\區段\system.ftpServer\security\authentication\denyByFailure\enabled	True