Конфигуриране на FTP в Windows: Потребители, портове и сигурност

  • Конфигурирането на FTP в Windows включва инсталиране на FTP ролята в IIS, създаване на конкретни потребители и дефиниране на главна папка с подходящи NTFS разрешения.
  • Сигурността се основава на комбиниране на основно или разширено удостоверяване, филтриране на команди и използване на SSL/FTPS, в допълнение към подходящи правила за защитна стена и рутер.
  • Windows предлага няколко метода за FTP връзка (специализирани клиенти, конзола, Explorer) и ви позволява да управлявате множество акаунти с различни нива на достъп.
Daniel Terrasa

17 Minutos

FTP на Windows

Настройването на FTP сървър в Windows остава един от най-лесните начини за... споделяйте файлове бързо в локална мрежа или през интернетбез да се разчита на облачни услуги или ограничения за размер. Въпреки че днес съществуват по-модерни алтернативи като SFTP или онлайн решения за съхранение, FTP продължава да се използва широко за хостинг, тестови среди и мащабни трансфери на данни.

Ако обаче наистина искате да го направите както трябва, не е достатъчно то да „работи“: ключово е правилно конфигурирайте потребители, портове, разрешения, защитна стена и мерки за сигурностОсобено когато сървърът ще бъде достъпен извън вашата мрежа. Това подробно ръководство ще ви покаже как да инсталирате и конфигурирате FTP, базиран на IIS, на различни версии на Windows, как да настроите защитата на услугите и наличните методи за свързване, както и често срещани грешки и как да ги избегнете.

Какво е FTP и каква роля играе в Windows и IIS?

FTP (Протокол за прехвърляне на файлове) Това е ветерански протокол, използван за Изпращане и получаване на файлове между клиент и сървър през TCP/IP мрежаНа практика, това ви позволява да се свържете с отдалечена машина, да преглеждате папки и файлове и да качвате или изтегляте съдържание почти сякаш е друг диск на вашия компютър.

В Windows Server (както и в Windows 7, 8, 8.1, 10 и по-нови версии), FTP сървърът обикновено е инсталиран върху IIS, уеб сървърът на Microsoft. Вътрешно IIS предоставя елемент в настройките на сайтаи в това се намира , който е блокът, където се контролират удостоверяването, оторизацията, филтрирането на команди и защитата на канала за данни и SSL.

Този елемент Включва няколко критични раздела: (анонимни, основни, сертификати, персонализирани), за ограничаване на опасните команди, за засилване на сигурността между канала за управление и данни и блоковете и да се определи използването на сертификати и FTPS.

В съвременните версии на IIS (7.5, 8.0, 8.5, 10.0) синтаксисът на Остава стабилно, замествайки класическата FTP конфигурация на IIS 6.0 който се намираше в метабазата LM/MSFTPSVC. ​​От Windows 7 / Windows Server 2008 R2 насам ролята FTP 7.5 е интегрирана като функция на IIS, така че няма нужда да се изтегля отделно.

FTP сървър на IIS

Необходими условия: оборудване, мрежа и планиране

Преди да предприемете каквото и да било действие, препоръчително е да се уверите, че средата е подготвена за хостване на FTP сървър и че сте наясно какво трябва да направите. кои потребители ще се свързват, откъде и какъв тип информация ще бъде прехвърлянаТова ще засегне всичко - от структурата на папките до политиките за сигурност, които активирате. Това са изискванията:

  • Има администраторски праваЗа да инсталирате ролята на FTP сървър, променете конфигурацията на IIS и настройте защитната стена.
  • Достатъчно дисково пространство за папката с данни на FTP И за очаквания растеж. Ако сървърът ще обработва много едновременни клиенти или много големи трансфери, може би си струва да се надстрои RAM паметта, процесорът или самата мрежова връзка.

От мрежова гледна точка е изключително важно вашата защитна стена и рутер да позволяват необходимия трафик. По подразбиране FTP използва портове 20 и 21 в несигурен режимАко обаче използвате защитени варианти (FTPS или FTP през SSH), са замесени и други портове, като например порт 22 в случая на SSH. Вашата компания може да има блокиран FTP поради политика за сигурност, така че ще трябва да се координирате с вашия мрежов администратор или доставчик на интернет услуги. За да разберете по-добре разпределението на IP адреси и NAT, вижте [линк към съответната документация]. Как устройствата получават своя IP адрес?.

Накрая, решете дали вашият сървър ще бъде само вътрешен или ще бъде достъпен и от интернет. Това решение влияе конфигурацията на портове, NAT, DNS, SSL сертификати и вида на удостоверяване, което ще разрешитеЗа среди, изложени на външни фактори, FTPS и силните пароли са практически задължителни.

Инсталиране на FTP услуга, базирана на IIS, на Windows

В Windows FTP сървърът се инсталира като услуга за роли в Internet Information Services (IIS)Точната процедура варира леко в зависимост от версията на операционната система, но общата идея винаги е една и съща: добавете ролята на уеб сървъра и в нея FTP услугата.

Инсталиране на FTP на Windows Server 2012 / 2012 R2

В Windows Server 2012 и 2012 R2 процесът се изпълнява от Server Manager. Достъпът до него е от лентата на задачите. „Администратор на сървъра > Управление > Добавяне на роли и функции“ и следвате съветника, като избирате инсталация, базирана на роли или функции, и подходящия целеви сървър.

На екрана „Роли на сървъра“ трябва да разгънете Изберете „Уеб сървър (IIS)“ и отметнете „FTP сървър“Самият съветник ще предложи добавянето на необходимите функции; най-добре е да ги приемете такива, каквито са, включително инструментите за администриране. След като щракнете върху „Напред“ на междинните екрани, потвърдете инсталацията и изчакайте да приключи.

Инсталиране на FTP на Windows Server 2008 / 2008 R2

В Windows Server 2008 R2, от „Старт“ отидете на „Административни инструменти > Диспечер на сървъри“В панела „Роли“ изберете „Уеб сървър (IIS)“ и щракнете върху „Добавяне на услуги за роли“. В съветника намерете „FTP сървър“, разгънете го и изберете „FTP услуга“.

След като сте избрали услугата за роли, следвайте инструкциите на съветника до екрана за потвърждение и щракнете върху „Инсталиране“, за да добавите компонентаСлед като съветникът покаже резултатите, можете да затворите прозореца и да продължите с конфигурацията в IIS.

Инсталиране на FTP на Windows 7, 8, 8.1 и 10

На настолни системи като Windows 7, 8, 8.1 и 10, FTP сървърът също е включен като компонент на Windows. Можете да получите достъп до него от контролния панел. „Програми и функции > Включване или изключване на функциите на Windows“ и разширете „Интернет информационни услуги“.

В IIS ще намерите елемента „FTP сървър“; изберете FTP услугата (и разширяемостта на FTP, ако искате допълнителни функции) и потвърдете с OK. В Windows 10 процесът е много подобен: достъпете същия панел с функции и се уверете, че изберете едновременно „FTP сървър“ и инструментите за уеб администриране за да можете удобно да използвате IIS Manager.

Инсталиране на Windows Server 2019

В Windows Server 2019 процедурата е почти идентична с тази за 2012/2016: в Server Manager отидете на „Добавяне на роли и функции“, изберете „Уеб сървър (IIS)“ и под „Услуги за роли“ включете „FTP сървър“ сред компонентите, които ще бъдат инсталираниСлед инсталацията ще можете да създавате свои FTP сайтове в IIS Manager.

Конфигуриране на FTP в Windows: Потребители, портове и съображения за сигурност

Създаване на потребители и групи за FTP

Добра практика за сигурност е Не използвайте повторно потребителски акаунти с повишени права за свързване чрез FTPВместо това е препоръчително да се създадат конкретни потребители (и, ако е уместно, групи), които имат достъп само до папките, необходими за качване и изтегляне на съдържание.

На Windows сървър можете да използвате конзолата за управление на потребители и групи. В лентата за търсене въведете нещо като „потребители“ и достъпете опцията. „Добавяне, редактиране или изтриване на други потребители“Оттам или от инструмента „Локални потребители и групи“ (или „Потребители и компютри на Active Directory в домейн“) можете да създавате нови акаунти.

Когато създавате FTP потребител, вие дефинирате потребителско име, пълно име и описание; идентификаторът за вход е от съществено значение. След това избирате силна парола и настройвате опции като „Потребителят не може да промени паролата“ или „Паролата е безсрочна“в зависимост от това как възнамерявате да използвате FTP.

Ако планирате да управлявате множество потребители с еднакви разрешения, е полезно да създадете отделна група, например „FTP_Users“. От раздела „Групи“ можете... Създайте нова група, задайте ѝ име и описание и добавете потребителите, които ще споделят правата.По-късно тази група може да се използва както в NTFS разрешения, така и в правилата за оторизация на IIS.

В среди с Active Directory (като например в много системи Windows Server 2019) е обичайно да се създаде специална организационна единица, например „FTP услуга“, и в нея дефинирайте акаунтите, които ще имат достъп до услугатаулесняване на централизираното администриране и политиките за сигурност.

Конфигурация на главната (домашна) папка на FTP

След като FTP услугата е инсталирана и потребителите са създадени, следващата стъпка е Подгответе папката, която ще служи като основна директория на FTP сайта.Това местоположение може да бъде просто „C:\FTP“ в тестова среда или специален том в производствена среда.

От File Explorer създайте папката в избрания път и след това отидете на нейните свойства (щракване с десния бутон > „Свойства“). В раздела „Защита“ отидете на „Разширени опции“ за по-прецизно управление на разрешенията И, ако е необходимо, нарушавате наследяването на разрешенията за диск.

Прекъсването на наследяването обикновено се извършва чрез щракване върху „Деактивиране на наследяването“ и избиране „Направете наследените разрешения изрични за този обект“така че оттам да можете да редактирате кой има достъп до папката, без да плъзгате целия ACL от диска или папките от по-високо ниво.

Обратно в прозореца за сигурност, препоръчително е да премахнете всички записи, които не са ви необходими (например, общата група „Потребители“) и да добавите само FTP потребителя или групата, които сте създали. В редактора на разрешения, предоставете на този потребител/група необходимите разрешения. „Пълен контрол“, за да се гарантира, че можете да четете, пишете, изтривате и преименувате файлове без проблеми.

В сценарии с много потребители можете да направите още една стъпка и създаване на подпапки за всеки потребителконфигуриране на отделни разрешения, така че всеки човек да вижда само собственото си съдържание, или експериментиране с IIS оторизация за изолиране на директории въз основа на самоличността.

Конфигуриране на FTP в Windows: Потребители, портове и съображения за сигурност

Създаване и конфигуриране на FTP сайт в IIS

След като FTP ролята е активирана и базовата папка с нейните разрешения, е време да създадете FTP сайта в Администратор на интернет информационни услуги (IIS).Това е частта, която свързва IP адреса, порта, физическия път и политиките за удостоверяване/автентикация. Ето стъпките, които трябва да следвате:

  1. Отворете IIS Manager от менюто с инструменти за администриране (или като го потърсите директно).
  2. В панела за връзки щракнете с десния бутон върху „Сайтове“.
  3. избирам „Добавяне на FTP сайт“Ще се отвори малък асистент с насочване.
  4. На първия екран на асистента дефинирайте Име на FTP сайта и физически път до основната папкаМожете да въведете пътя ръчно или да щракнете върху бутона за преглед, за да намерите папката, която сте създали по-рано (например „C:\FTP“). След като зададете домашната директория, щракнете върху „Напред“.
  5. Вторият екран конфигурира секцията „Връзка и SSL“. Изберете IP адреса, на който сайтът ще слуша (или оставете „Всички неприсвоени“, ако имате само един) и посочете TCP порта, който искате да използвате (по подразбиране е 21 за стандартен FTP или 990, ако искате имплицитен FTPS).
  6. Що се отнася до SSL, имате три основни опции:
    • Деактивирайте го („Без SSL“).
    • Позволете го по избор („Разрешаване на SSL“).
    • Принудително го настрой („Изискване на SSL“).
  7. Третият екран на съветника определя удостоверяването и оторизацията. Можете да активирате анонимно удостоверяване, основно удостоверяване или и двете. В секцията за оторизация избирате кой може да се свързва и какви разрешения ще има. IIS ви позволява да посочите „Всички потребители“, „Анонимни потребители“, „Посочени потребители“ или вградени групи. Например, можете да изберете „Посочени потребители“, да посочите акаунт или група и да отметнете квадратчето. Разрешения за четене и запис, за да се даде възможност за качване и изтегляне на файлове.
  8. Кликнете върху „Finish“ и FTP сайтът ще бъде създаден.

FTP удостоверяване: анонимно, основно и разширено

Разделът Конфигурацията на IIS FTP е това, което определя Как се идентифицират клиентите, които се опитват да се свържат?От изгледа с функции на FTP сайта, двукратното щракване върху „FTP удостоверяване“ ще ви покаже няколко опции.

  • Анонимно удостоверяване. Позволява на всеки да влезе без идентификационни данни, полезно само за напълно публични сайтове, където искате само да споделяте изтегляния И нищо не е ограничено. От раздела за удостоверяване, като изберете „Анонимно удостоверяване“ и използвате действията „Активиране“ или „Деактивиране“, можете да го активирате или блокирате според нуждите.
  • Основно удостоверяванеИзисква се клиентът да изпрати валидно потребителско име и парола за домейна или машинатаТова е обичайният метод за вътрешни или малки хостинг среди, но имайте предвид, че потребителското име и паролата се предават като обикновен текст, ако не използвате SSL, така че в интернет е силно препоръчително да го комбинирате с FTPS.
  • Удостоверяване с помощта на клиентски сертификати на Active Directory (clientCertAuthentication). Клиентът се идентифицира с цифров сертификат вместо потребителско име/парола.
  • Персонализирано удостоверяване (customAuthentication). Позволява ви да включите свои собствени или модули на трети страни, за да валидирате идентификационните данни по по-напреднали начини.

Ако искате да промените режима на удостоверяване по подразбиране, просто изберете „Основно удостоверяване“ на екрана „FTP удостоверяване“ и използвайте действието „Активиране“, за да деактивирате анонимното удостоверяване. Тази проста промяна значително намалява експозицията на сървъраособено ако го комбинирате с ограничителни правила за оторизация.

FTPS

Сигурност, SSL/FTPS и филтриране на команди

В днешно време оставянето на FTP сървър да слуша некриптиран в интернет не е добра идея, така че си струва да разгледате по-отблизо опциите за... разширена сигурност, предлагана от секцията FTP в IISТук влизат в действие използването на SSL, защита на каналите за данни и филтриране на команди.

За да защитите трафика, можете да използвате SSL сертификати. IIS ви позволява да създадете такъв. самоподписан сертификат директно от „Сървърни сертификати“ В IIS Manager или импортирайте такъв, издаден от доверен орган. След като го имате, в FTP настройките на сайта (опцията „FTP SSL Settings“) изберете този сертификат и отметнете „Require SSL connection“, ако искате всички връзки да бъдат криптирани (изрично или имплицитно FTPS, в зависимост от порта).

Блокът в рамките на Това ви позволява да коригирате правила като controlChannelPolicy и dataChannelPolicy, които указват дали е необходим SSL за каналите за управление и данни.

От друга страна, филтрирането на FTP команди чрез Това ви позволява откажете конкретни команди, които считате за опасни или ненужни. P

За сигурността на канала за данни, Това добавя допълнителни слоеве, като например принуждаване адресът на клиента в канала за данни да съвпада с адреса в контролния канал. Това възпрепятства определени атаки, които се опитват да отвлекат или пренасочат FTP сесията. възползвайки се от динамичното отваряне на портове.

Накрая, Контролира политиката относно клиентските сертификати в SSL, позволявайки ви да ги игнорирате (CertIgnore), да ги приемате или да ги изисквате. Ако работите в много затворена корпоративна среда, Изискването на клиентски сертификати добавя много мощна бариера за сигурност срещу неоторизиран достъп.

Защитна стена на Windows и отваряне на портове

Наличието на перфектен FTP сървър е безполезно, ако защитната стена блокира целия трафик. В Windows, защитната стена на Windows с разширена защита осигурява защита. По подразбиране блокира много входящи връзкиСледователно ще трябва да създадете специфични правила или да използвате предварително дефинираните.

От „Контролен панел > Система и сигурност > Защитна стена на Windows Defender“ можете да получите достъп „Разрешаване на приложение или функция през защитната стена на Windows“Там се уверете, че „FTP сървър“ е активиран както за частни, така и за публични мрежи, в зависимост от това как възнамерявате да го използвате.

За по-детайлно управление отворете „Защитна стена на Windows с разширена защита“ и под „Правила за входящи данни“ създайте ново предварително дефинирано правило за „FTP сървър“, проверяващ всички съответни компонентиТова автоматично ще генерира необходимите записи за порт 21 и други свързани услуги.

В някои случаи ще трябва да оторизирате и процеси като svchost.exe, който е хостът на услугите, където се изпълняват много функции на Windows. Ако откриете блокажи, можете да използвате опцията „Разрешаване на друго приложение“ и добавяне на svchost към списъка с разрешени приложениявинаги с внимание и знаейки какво означава това.

Ако искате вашият FTP сървър да е достъпен и от интернет, ще трябва да отворите порт 21 (или порта, който използвате за FTP) на вашия рутер, създавайки правило за пренасочване на портове към вътрешния IP адрес на вашия сървърТова се прави от WAN или NAT настройките на рутера, като се посочват услугата, външният порт, вътрешният IP адрес и вътрешният порт, обикновено всички зададени на 21/TCP, ако използвате класически FTP.

FTP на Windows

Начини за свързване към FTP сървър в Windows

След като сървърът е в експлоатация, имате няколко начина да Свързване от клиент на Windows и преместване на файловеНякои са по-удобни и графични, други са по-технически, но много полезни за диагностика.

Най-типичният начин в днешно време е да се използва Специализиран FTP клиент, като FileZilla WinSCP или другиТези програми предлагат двупанелен интерфейс (локален/отдалечен), плъзгане и пускане и управление на опашки; трябва само да посочите хоста (IP или домейн), типа протокол, потребителското име, паролата и порта (вижте Трите най-добри FTP клиента).

Друг вариант е да използвате уеб браузъра си, като въведете URL адрес, подобен на този, в адресната лента. ftp://IP-адрес-на-сървъра или ftp://ftp.вашиятдомейн.comАко вашият браузър все още поддържа FTP, ще се появи подкана за потребителско име и парола и ще видите изброеното съдържание. Съвременните браузъри обаче премахват поддръжката на FTP поради съображения за сигурност и ниска употреба, така че този метод вече е почти остарял.

Можете също да използвате командния ред. Отворете "cmd", изпълнете командата FTP за достъп до основния клиент, вграден в Windows и след това въведете „open IP-or-host port“, за да се свържете. Ако сървърът използва порт 21, просто въведете „open 192.168.xx“; ако е на различен порт, трябва да го посочите, например „open 192.168.0.26 214“.

Накрая, Windows File Explorer ви позволява да третирате FTP сървър като мрежово местоположение. От „Този ​​компютър“ можете да изберете „Добавяне на мрежово местоположение“ и в съветника да изберете „Избор на персонализирано мрежово местоположение“ и да посочите адреса на сървъра. във формат ftp://сървър-или-IPСлед като въведете идентификационни данни и му дадете идентифициращо име, това FTP местоположение ще се появи като икона под „Този ​​компютър“.

Управление на множество акаунти и разрешения във FTP

В сценарии, където множество хора ще използват сървъра, е нормално да искате създаване на множество FTP акаунти с различни разрешениятака че някои могат само да четат, други могат и да пишат, а някои може да са ограничени до определена поддиректория.

В Windows 10 и по-нови версии можете да създавате нови потребителски акаунти от Настройки > Акаунти > Семейство и други потребители, като използвате опцията „Добавяне на друг човек към този екип“ и избиране на „Добавяне на потребител без акаунт в Microsoft“ За прости локални акаунти. Въведете потребителското си име и парола и ще имате допълнителен профил.

След това, на сървъра, отидете в FTP папката, въведете свойства > Защита и добавете този нов акаунт към списъка за защита, като му предоставите желаните разрешения (например само „Промяна“ и „Четене и изпълнение“). Това контролира какво може да прави потребителят на ниво файлова система, и можете автоматизиране на задачи с файлове с инструменти като FreeCommander XE.

Накрая, в IIS Manager, в FTP сайта, отворете функцията „Правила за оторизация“ и създайте ново правило за разрешения, указващо „Определени потребители“ с името на акаунта или групата, на които искате да разрешите достъп. Вие присвоявате права за четене и/или писане според ролята на този потребител.така че един и същ FTP сайт да може да хоства акаунти с много различни привилегии.

Ако повторите този процес с различни потребители, постепенно ще изградите много по-организирана многопотребителска FTP средакъдето всеки вижда само това, което трябва, и сървърът не е достъпен за всички с един споделен акаунт.

С всички тези части, правилно съчетани – инсталиране на FTP ролята в IIS, създаване на специфични потребители и групи, внимателно конфигуриране на главната папка, настройване на удостоверяването, използване на SSL, отваряне на портове и разбиране на различните методи за свързване – е възможно Настройте надежден, сравнително сигурен FTP сървър на Windows, съобразен с вашите нуждиНезависимо дали става въпрос за обикновен обмен на файлове във вашата локална мрежа или за предоставяне на хранилище, достъпно от всяка точка на света.

Най-добрите алтернативи на Windows Explorer
Свързана статия:
Най-добрите алтернативи на Windows Explorer