IIS FTP não negando acesso a usuários com deficiência

1

Estou executando o FTP no IIS em um servidor do Windows 2008. O computador não faz parte de um domínio. Eu também estou usando o isolamento do usuário.

Eu configurei um usuário de teste para verificar se eu tinha conectividade com o servidor da Internet. Eu usei um cliente FTP online para testar a conectividade. Eu entrei no servidor com sucesso. Depois que terminei meu teste, desativei a conta de usuário em "Gerenciador de computadores". Depois que desativei a conta, tentei conectar-me novamente ao cliente FTP on-line. Para minha surpresa, deixe-me entrar no servidor com a conta desativada. Meu primeiro pensamento foi a ferramenta on-line deve ser o cache dos resultados. Para testar essa teoria, renomeiei um dos arquivos na pasta inicial do usuário e conectei novamente. Com certeza, o cliente online se conectou com sucesso novamente e recuperou uma lista de arquivos atualizada com os nomes de arquivo mais recentes.

Isso parece uma falha de segurança muito ruim no Windows 2008. O que está acontecendo aqui? O serviço FTP está armazenando em cache o banco de dados do usuário e, portanto, autenticando-se em relação a dados obsoletos?

Eventualmente, ele negará o usuário, mas levará cerca de meia hora para o sistema reconhecer que o usuário está desativado.

EDITAR:

Eu usei os seguintes sites de teste para verificar se podia fazer logon no meu site de FTP como um usuário desabilitado link link

Aqui estão algumas das configurações do IIS para este site:

  • Autenticação anônima desativada
  • Autenticação básica está ativada
  • Navegação no diretório FTP = MS-DOS
  • Permitir que conexões SSL sejam verificadas
  • O registro do FTP está definido para os arquivos de log de rollover diários
  • O isolamento do usuário de FTP está definido como Diretório de nome de usuário (desabilitar diretórios virtuais globais)
por Aheho 02.06.2017 / 20:17

1 resposta

2

O IIS usa um token que precisa ser removido do cache para impedir que uma pessoa tenha acessado o site anteriormente. O intervalo mínimo que pode ser definido para limpar esse cache é de 15 minutos. Se você reiniciar o IIS, o cache também será limpo.

link

    
por 02.06.2017 / 22:47