Я использую FTP под IIS на сервере Windows 2008. Компьютер не является частью домена. Я также использую изоляцию пользователей.
Я настраиваю тестового пользователя, чтобы убедиться, что у меня есть подключение к серверу из Интернета. Я использовал онлайн-клиент FTP для проверки возможности подключения. Я успешно зашел на сервер. По завершении теста я отключил учетную запись пользователя в «Диспетчере компьютера». После того, как я отключил учетную запись, я попытался снова подключиться через онлайн-клиент FTP. К моему удивлению, он позволил мне войти на сервер с отключенной учетной записью. Моя первая мысль заключалась в том, что онлайн-инструмент должен кэшировать результаты. Чтобы проверить эту теорию, я переименовал один из файлов в домашней папке пользователя и снова подключился. Конечно, онлайн-клиент снова успешно подключился и получил обновленный список файлов с самыми последними именами файлов.
Похоже, это серьезная брешь в системе безопасности Windows 2008. Что здесь происходит? Кэширует ли служба FTP пользовательскую базу данных и, следовательно, выполняет аутентификацию по устаревшим данным?
В конце концов, он откажет пользователю, но системе потребуется около 1/2 часа, чтобы распознать, что пользователь отключен.
РЕДАКТИРОВАТЬ:
Я использовал следующие тестовые сайты, чтобы убедиться, что могу войти на свой ftp-сайт как отключенный пользователь. https://ftptest.net/ https://www.infobyip.com/ftptest.php
Вот некоторые из настроек IIS для этого сайта:
IIS использует токен, который необходимо удалить из кеша, чтобы предотвратить доступ человека, который ранее имел доступ к сайту. Минимальный интервал, который можно установить для очистки этого кеша, составляет 15 минут. Если вы перезапустите IIS, кеш также будет очищен.
https://support.microsoft.com/en-us/help/152526/changing-the-default-interval-for-user-tokens-in-iis