FTP-server onder Windows

FTP in het Windows 10 'zonnetje'Altijd al een FTP-server gewenst? Weinigen weten het, maar Windows 7, Windows 8 en Windows 10 hebben die in huis! Je hoeft hem alleen maar aan te zetten en in te stellen.

FTP in het Windows 10 'zonnetje'

FTP staat voor File Transfer Protocol; een manier van werken die het uitwisselen van bestanden tussen computers gemakkelijker maakt. Het is een standaardset van afspraken die het mogelijk maakt gegevens tussen verschillende besturingssystemen op een uniforme wijze af te handelen. FTP maakt het mogelijk om, al dan niet versleuteld via SSH of SSL, bestanden te verzenden naar of te ontvangen van elke computer die is aangesloten op het internet.

FTP is gebaseerd op een client-servermodel. De client (b.v. FileZilla, CuteFTP, Verkenner/Explorer of Total Commander) maakt verbinding met een FTP-server. De server toont zijn gegevens (bestanden en mappen) aan de client die deze dan kan inzien en eventueel ophalen (downloaden) of verzenden (uploaden). FTP-servers kunnen deze gegevens al dan niet aan een anonieme gebruiker verstrekken en/of vereisen dat je beschikt over een gebruikersnaam en wachtwoord. FTP-servers kom je vaak tegen wanneer je een eigen website hebt en gegevens wenst te plaatsen. 
De FTP-server is onderdeel van Windows’ Internet Information Services (IIS). Deze server-service is ook in staat veilige verbindingen (FTPs) te maken.

Alle afbeeldingen komen uit Windows 10. In Windows 7 en Windows 8 zijn de afbeeldingen soortgelijk en herkenbaar.

1      Installatie

Installeren van de FTP-server gaat via: Windows-onderdelen in- of uitschakelen. Druk op de Windows-toets > Tik in: windows ond in het zoekvenster.
Vink onder Internet Information Services ten minste de onderdelen: FTP-service en IIS-beheerconsole aan. Misschien wil je meer onderdelen, schakel die dan ook in.

Installatie FTP-server - Windows onderdelen in- of uitschakelen

Na een klik op de knop [OK] wordt de installatie gestart en na tijdje is de installatie klaar

2      Configuratie

  Beheer van internet Information Services" title="IIS Beheer" style="float: left; margin-bottom: 15px; margin-right: 15px;" class="image-medium" height="114" width="220">Zodra IIS en de FTP-server zijn geïnstalleerd, kun je de configuratie starten. Druk/Klik op Start en tik in iis. Selecteer Beheer van Internet Information Services. Of via de route <Win+X> > Configuratiescherm > Systeem en beveiliging > Systeembeheer> Beheer van Internet Information Services. IIS-beheer werkt alleen onder het administratoraccount. Wanneer je, net als ik, veilig werkt onder een beperkt account, klik dan rechts op de link naar het programma en kies Als administrator uitvoeren. Of gebruik de toetsencombinatie: <Ctrl-Shift-Enter>. Dat is snel voor: Als administrator uitvoeren.

Mocht je de beheertoepassing niet zien of start deze niet, herstart dan eerst je systeem.

In het beheerconsole zie je een groot aantal configuratiemogelijkheden die gegroepeerd zijn naar functie. Voor het opzetten van een FTP-server klap je het eigen systeem aan de linkerkant uit door op je Systeemnaam (in dit voorbeeld: Rhino) te klikken. Klik nu met rechts op Sites en kies FTP-site toevoegen.

Via IIS Beheerconsole toevoegen van een FTP-site

Dit opent een scherm dat je aan de hand neemt (wizard) om de instellingen voor de FTP-site achtereenvolgens in te geven. Eerst de naam voor de nieuwe FTP-site. In mijn geval, dat zal je niet verbazen, Rhino. Daarnaast de locatie waar de map met inhoud voor de FTP-server komt. Dus de bestanden die je via FTP wilt delen en de mappen waar FTP-data geplaatst wordt door de FTP-gebruikers. Standaard is de locatie C:\inetpub\ftproot. Ik heb dat liever in de map die bij mij hoort dus: D:\!Rein\inetpub\ftproot. Gebruik je een eigen map, dan moet je er wel voor zorgen dat de gebruikers: IUSR en IIS_IUSRS leesrechten hebben op die map; de gebruiker SYSTEM dient het volledige beheer te hebben. Kies je voor de standaardmap, dan hoef je verder niets te doen.

Informatie over de FTP-site invullen

In het volgende scherm geef je de binding aan. Met binding wordt bedoeld op welk IP-adres de server moet luisteren. Deze kun je op Geen toewijzingen laten staan. Ook kun je een ander poortnummer opgeven dan de standaard. De standaard FTP-poort is 21. Laat het vinkje staan bij FTP-site automatisch starten en kies voor Geen SSL, tenzij je verstand hebt van certificaten en van plan bent om er een te installeren.

FTP binding- en SSL-instellingen ingeven

Nu nog aangeven hoe de autorisatie en verificatie moeten gebeuren. Hier kan gekozen worden voor Anonieme en/of Basisverificatie. Bij autorisatie heb je de mogelijkheid om te kiezen uit: FTP Verificatie- en autorisatie-informatie Alle gebruikers, Anonieme gebruikers of Specifieke gebruikers of opgegeven rollen of gebruikers(groepen).

Basisverificatie houdt in dat er een account aanwezig moet zijn voor iedereen die toegang wenst via FTP. Bij Anonieme verificatie (dat is de gebruiker IUSR) is dat, zoals de naam al zegt, niet van toepassing. In het beheerconsole kan de toegang via FTP-autorisatieregels fijner worden afgesteld door meer regels toe te voegen.
Let op: Omdat je ook rechten op de mappen zelf kunt instellen, kan het voorkomen dat regels conflicteren. De strengste regel zal prevaleren.

Nu ben je klaar om de verbinding lokaal te testen. Dat doe je door de verkenner of een browser  te openen en dan in de adresregel (dus niet in de zoekmachineregel), de volgende tekst in te typen: ftp://localhost. Wanneer alles goed werkt zie je dat een map wordt geopend met daarin de bestanden en mappen die zich in ...\inetpub\ftproot bevinden.

FTP map openen in de Verkenner

Mocht je een speciaal FTP-programma hebben of Total Commander, dan kun je hetzelfde doen. Open het clientprogramma en tik localhost als de hostnaam en kies Anonymous als gebruikersnaam. Wanneer er om een wachtwoord wordt gevraagd, dan is het beleefd gebruik om daar je e-mailadres in te vullen.

Onder Windows 7 en hoger kun je via de wizard niet meer dan één map, met onderliggende mappen, aan de FTP-site toevoegen. Wil je echter meer, dan zul je dat moeten regelen door virtuele mappen toe te voegen. Nu is het echter voldoende om de FTP-map te openen en er bestanden en mappen aan toe te voegen. Deze zul je terugzien wanneer je verbinding maakt. De FTP-server draait nu goed op je lokale pc.

3      Verbinding maken vanaf een andere computer in het netwerk.

Om verbinding vanaf een externe computer mogelijk te maken moet de Windows firewall zo worden ingesteld dat FTP-verbindingen naar jouw pc worden toegestaan, anders wordt externe computers de toegang ontzegd. Druk op Start > Tik in Fire > Kies Windows Firewall.

In de firewallinstellingen klik je op Geavanceerde instellingen > Kies regels voor binnenkomende verbindingen. Blader nu naar FTP-Server... Kies hier de FTP-server voor inkomend verkeer en die voor (FTP Passive Traffic-In) Schakel beide regels in. Bij de Regels voor uitgaande verbindingen ook beide FTP-regels inschakelen. Nu staat de firewall toe om een verbinding vanaf een externe computer op te zetten. Wil je ook met SSL een verbinding kunnen maken of wens je dat uitsluitend te doen, kies dan de overeenkomende regels in de firewall.

Windows firewall met geavanceerde beveiliging (FTP-server inkomend verkeer)

Een externe computer heeft het IP-adres van de FTP-server nodig. Je eigen IP-adres achterhaal je door in een Opdrachtprompt het commando ipconfig gevolgd door <Enter> in te geven. Je ziet dan het nummer achter het IPv4-adres. Dat nummer gebruik je dan op de externe computer. In de Verkenner bijvoorbeeld: ftp://192.168.178.26
Let op: Zorg dat je virusscanner geen roet in het eten gooit. Soms hebben die zo hun eigen aanvullende regels of, nog erger… hebben ze een eigen firewall!

Wens je de FTP-server ook open te zetten voor computers buiten je eigen netwerk, dan zul je ook de router van het internet zodanig moeten instellen dat die verbindingen van buiten accepteert en deze doorzet naar de pc waarop de FTP-server draait. Meestal is dat te regelen in het configuratiescherm van de router onder het kopje portforwarders of port forwarding. Je maakt daar een regel naar de pc waarop de FTP-server draait voor poort 21. Naar buiten kun je ter maskering een ander poortnummer gebruiken. Gebruikers van je FTP-server moeten dan wel je externe IP-nummer weten. Dat is vanaf je eigen netwerk eenvoudig te achterhalen via de site: http://www.watzijnmijnips.nl/.  Mooier is het echter om een DNS-naam te hebben, iets als http: //pietje.xs4all.nl. Bij xs4all kun je dat gratis configureren of anders via een dynamische DNS-provider zoals http://duckdns.org/ of http://noip.com/free.
Let op! Wanneer je van het internet te benaderen bent is het sterk aan te raden met certificaten te gaan werken. Al is het alleen maar omdat anders de wachtwoorden van niet-anonieme gebruikers onversleuteld over het internet gaan! Meer weten over het openen van poorten op de router? Kijk hier op Schoonepc.

Je FTP-server werkt en doet het goed. Nu wil je meer mappen kunnen delen en misschien heb je wel verschillende doeleinden voor verschillende gebruikers. Dan ben je toe aan virtuele mappen. Open IIS-beheer, klik met rechts op je FTP-server en kies Virtuele map toevoegen. Kies een naam en blader naar de map die je wenst toe te voegen. Nadat de map is toegevoegd, kun je desgewenst de toegangsregels verfijnen.

IIS - FTP virtuele map toevoegen

Merk op dat, in tegenstelling tot een echte map, een virtuele map zich toont met het link-symbooltje (zie het symbool voor ‘Videos’ in onderstaande afbeelding). In feite is het ook niets anders dan een symbolische link. Je mag net zoveel mappen aan je FTP-server koppelen als je maar wil.

Virtuele map aanbrengen onder FTP

4      Veiligheid

Je vraagt je natuurlijk af of wat je doet veilig is. Wees je ervan bewust dat 100% veiligheid niet bestaat, behalve wanneer je de netwerkstekker loskoppelt. Tja, dan heb je niet zoveel aan een FTP-server. Voor IIS onderscheiden we twee zaken.

  1. Hoe scherm ik mijn eigen computer af van nieuwsgierige IIS gebruikers
  2. Hoe beveilig ik mij tegen kwaadwilligen van buiten het eigen netwerk

IIS gebruikers afschermen.

Bij de installatie van IIS worden twee nieuwe gebruikersgroepen aangemaakt.

  • IUSR
    Internet gast, gebruikt voor anonieme toegang tot web- of FTP-site
  • IIS_USRS
    Interne beheergroep die toegang heeft tot alle bestanden en systeembronnen om een goed beheer mogelijk te maken. Leden van deze groep kunnen de IIS-mappen en -bestanden beheren. De groep wordt eigenlijk alleen gebruikt binnen grote organisaties om beheer van de diverse servers te vergemakkelijken.

De groep IUSR krijgt toegang tot de mappen en bestanden die je deelt met anonieme gebruikers. Binnen IIS-beheer zijn die machtigingen in te stellen voor elke server en elke map afzonderlijk via de FTP-autorisatieregels. FTP authorisatieregels instellen

Daarnaast kun je de IUSR expliciet de toegang tot bepaalde mappen ontzeggen door in de fysieke mappen de machtiging voor IUSR in te stellen op Weigeren.

De vermelding Weigeren gaat boven de vermelding Toestaan. Dit houdt in dat, als een gebruiker lid is van twee groepen, waarvan bij één de vermelding Weigeren is ingesteld, de toegang geblokkeerd wordt.

FTP-server machtigingen instellen voor IUSR

Je kunt natuurlijk ook een besloten FTP-server opzetten waarvoor je zelf een aparte machtigingsgroep maakt die toegang heeft tot de gedeelde FTP-mappen. Vervolgens maak je gebruikers aan die alleen lid zijn van deze groep. In dit geval raad ik aan om alleen via SSL verbinding met de FTP-site te maken. Gebruikersnaam en wachtwoord gaan anders leesbaar over het net.
Wees met name alert op de map die je openstelt voor schrijven. Wat wordt daar geplaatst? Is dat vrij van virussen en is het legitiem? Voordat je het weet ben je een verspreider van malware of illegale content.
Aanvallen van buiten
Het beste is om geen open poorten naar het internet te hebben. Word je niet gezien, dan word je niet aangevallen. Om aanvallen van buiten je netwerk tegen te gaan zijn de volgende maatregelen aan te bevelen:

  • Houd de besturingssoftware (firmware) van je router up-to-date.
  • Firewall van je router staat natuurlijk aan
  • Open niet meer poorten dan noodzakelijk. Test op openstaande poorten (IPv4) of (IPv6). O ja, let op, in tegenstelling tot wat Gibson beweerd, is ‘Closed’ goed genoeg. Geen reden tot paniek wanneer in de ‘Common ports’-test bovenaan in de test tot twee keer toe ‘Failed’ staat (o.a. voor de ping test). In de tijd van Windows 9x was daar nog wat voor te zeggen, maar nu niet meer
  • Gebruik een andere poort dan de standaard poort 21
  • Sommige modems hebben een voorziening dat de poort pas wordt opengezet wanneer door de aanvrager eerst een sleutelpakket naar de router wordt gezonden. Dit heet: … Ik ben de naam vergeten……. Prijsvraag! Wie? Laat het weten via een opmerking onder het artikel.
  • Windows Update staat aan.
  • Zorg voor een bijgewerkt antiviruspakket
  • Scan regelmatig met een second opinion scanner zoals HitManPro of Malwarebytes.

Wanneer je deze regels hanteert is de kans op ongewenste effecten miniem.

5      Tot slot

Loop de verschillende instellingsmogelijkheden eens langs. Kijk wat mogelijk en/of nuttig is. Weet je niet wat iets precies betekent, druk dan op het help-symbool en je wordt naar een Microsoft Technetpagina geleid. Beheers je het Engels onvoldoende, kopieer dan de link en plak die in Google Translate. Ontdek zo de wereld van je eigen FTP-server.

label: 

Reacties

hallo,
ik heb een ftp opgezet met open toegang (geen gebr.naam/ww). Toch krijg ik van enkele mensen te horen dat zij een gebr.nm en ww moeten ingeven.
Hoe kan dit en hoe is dit op te lossen?

bvd
Ed van 't Veer

Wanneer je open toegang hebt wil dat zeggen dat het wachtwoord niet wordt gecontroleerd. In dat geval is het gebruikelijk om het volgende in te vullen:

  • Gebruikersnaam: Anonymous
  • Wachtwoord:Mailadres van de gebruiker

Dan zul je zien dat het nu wel lukt.
Meer informatie vind je hier.

Reactie toevoegen

randomness