Как настроить FTP‑сайт в Windows с помощью IIS

Что вы получите

• Локальный или публичный FTP‑сайт, доступный по IP или имени хоста.
• Контроль учётных записей и прав доступа.
• Возможность включить шифрование (FTPS) и ограничить доступ по диапазону портов.

https://www.makeuseof.com/wp-content/uploads/2010/04/keyboardkeys.png” />

Короткие определения

• FTP — протокол передачи файлов, работает по клиент‑серверной модели.
• FTPS — FTP поверх TLS/SSL, добавляет шифрование соединения.
• SFTP — передача файлов по SSH, другой протокол, не совместим с FTP/FTPS.

Когда это полезно

• Нужен простой доступ к большим файлам между машинами.
• Необходимо дать доступ группе пользователей к общей папке.
• Веб‑серверу требуется загрузка контента через FTP.

Требования и подготовка

• Windows с поддержкой IIS (в примере — IIS 7 на Windows 7, шаги применимы и к другим версиям с незначительными отличиями).
• Права администратора для установки компонентов и изменения правил брандмауэра.
• Если сайт должен быть доступен из интернета: публичный IP или динамический DNS и настроенный NAT/порт‑форвардинг на роутере.

Быстрая пошаговая инструкция (IIS)

Шаг 1 — Включение компонента IIS и FTP

Откройте Панель управления → Программы → Включение или отключение компонентов Windows. Отметьте «Интернет‑информационные службы» и в деталях — «FTP Server». Нажмите ОК и дождитесь установки.

Шаг 2 — Запуск диспетчера IIS

Откройте Панель управления → Система и безопасность → Администрирование → Диспетчер IIS.

Шаг 3 — Создание нового FTP‑сайта

В левой панели правой кнопкой по «Sites» → «Добавить FTP‑сайт». Задайте имя сайта и укажите корневую папку (каталог, который будет виден через FTP).

Шаг 4 — Настройка IP и SSL

Укажите IP‑адрес сервера или оставьте «All Unassigned» для всех интерфейсов. При необходимости выберите используемый порт (по умолчанию 21). Чтобы защитить передачи, настройте сертификат и включите FTPS (FTP over TLS).

Шаг 5 — Аутентификация и авторизация

Настройте типы аутентификации: анонимный доступ или базовая аутентификация с учётными записями Windows. Затем задайте правила авторизации — какие пользователи или группы и какие права (Чтение, Чтение/Запись).

Шаг 6 — Проверка подключения

Подключитесь через любой FTP‑клиент, указав IP/имя хоста, логин и пароль. Если используете динамический IP, настройте динамический DNS (DynDNS, No‑IP и др.).

Примечание: если доступ извне, убедитесь, что на роутере настроен проброс порта 21 и диапазона пассивных портов, а брандмауэр Windows разрешает входящие соединения на эти порты.

Подробности — сеть и NAT

• FTP использует порт 21 для команд и набор портов для передачи данных. В пассивном (passive) режиме сервер выделяет диапазон портов для передачи данных — этот диапазон нужно пробросить на роутере и разрешить в брандмауэре.
• Рекомендуем задать фиксированный узкий диапазон пассивных портов (например, 50000–50500) и пробросить его в NAT. Это упрощает администрирование и безопасность.

Безопасность и жёсткая настройка

• Всегда по возможности отключайте анонимный доступ.
• Включите FTPS (FTP over TLS) и требуйте защищённое подключение для передачи учётных данных.
• Ограничьте доступ к каталогу с помощью NTFS‑прав — предоставляйте минимально необходимые права.
• Создавайте отдельные сервисные учётные записи для FTP, не используйте администраторские учётки для обычных пользователей.
• Ограничьте диапазон пассивных портов и пробросьте их через NAT.
• Включите журналирование доступа и регулярно просматривайте логи на предмет неудачных попыток доступа.

Альтернатива: FTPS vs SFTP

• FTPS — расширение FTP с TLS, совместимо с клиентами FTP и поддерживается IIS. Подходит, если нужен привычный FTP‑функционал с шифрованием.
• SFTP — работает поверх SSH, часто проще в пробросе через NAT и безопаснее в некоторых сценариях, но требует SSH‑сервер (например, OpenSSH), и не совместим с FTP‑клиентами без поддержки SFTP.

Выбор зависит от инфраструктуры: если у вас уже есть инфраструктура SSH — SFTP удобен. Если требуется совместимость с существующими FTP‑клиентами и IIS — используйте FTPS.

Мини‑методология внедрения FTP в организации

1. Оцените требования к доступу, объёму и безопасности.
2. Выберите протокол (FTPS или SFTP).
3. Создайте архитектуру: публичный/внутренний доступ, DNS, NAT.
4. Подготовьте сервер: папки, NTFS‑права, учётные записи.
5. Разверните сайт в IIS и настройте SSL/диапазон портов.
6. Тестируйте подключение из локальной сети и из интернета.
7. Документируйте и включите мониторинг/журналирование.

Ролевые чек‑листы

Для администратора

• Создать выделенную папку и настроить NTFS‑права.
• Создать сервисную учётную запись и/или группы пользователей.
• Настроить IIS: сайт, FTPS, диапазон пассивных портов.
• Настроить правила брандмауэра и NAT/порт‑форвардинг.
• Настроить сертификат TLS и требовать защищённые соединения.
• Включить логирование и мониторинг.

Для пользователя

• Получить хост/порт, учётные данные и инструкцию по клиенту.
• Установить FTP‑клиент, включить пассивный режим.
• Тестировать загрузку и скачивание файлов.
• Сообщать администратору о проблемах с доступом.

Критерии приёмки

• Можно подключиться по указанному хосту/порту из локальной сети и через публичный адрес (если заявлено).
• Аутентификация работает и права доступа соответствуют требованиям.
• Передача файлов проходит корректно в пассивном режиме.
• Журналы фиксируют подключения и события безопасности.

Частые ошибки и решения

• “Не удаётся подключиться”: проверьте открытие порта 21, проброс NAT и брандмауэр.
• “Проблемы с передачей данных”: скорее всего пассивный диапазон не проброшен или клиент в активном режиме.
• “Отказ в доступе”: проверьте NTFS‑права папки и правила авторизации в IIS.
• “Проблемы с сертификатом”: убедитесь, что клиент поддерживает FTPS и в настройках выбрано использование TLS.

Шаблон действий при инциденте (быстрая реакция)

1. Отключить внешний доступ (временно убрать проброс портов).
2. Сменить пароли и проверить подозрительные учётные записи.
3. Проанализировать логи на предмет IP и времени атак.
4. При необходимости восстановить из резервной копии и обновить конфигурацию безопасности.

1‑строчный глоссарий

• FTP: базовый протокол передачи файлов; FTPS: FTP + TLS; SFTP: передачи файлов по SSH.

Часто задаваемые вопросы

Q: Нужен ли мне статический IP? A: Для удобства да — статический IP или корректный динамический DNS решает проблему доступа извне. Без этого придётся обновлять адрес вручную.

Q: Можно ли использовать этот сервер только внутри сети? A: Да, можно оставить проброс портов отключённым и давать доступ только внутри локальной сети.

Сводка

• Настройка FTP в IIS — быстрый способ организовать обмен файлами и удалённый доступ.
• Обязательно учитывайте безопасность: отключайте анонимный доступ, используйте FTPS и фиксируйте пассивный диапазон портов.
• Тестируйте подключение из разных сетей и документируйте конфигурацию.

Image Credit: Eric Kilby