📂 零基础搞定！Windows搭建SFTP服务器，安全传输文件就这么简单

在Windows上搭建SFTP服务器：安全文件传输的本地解决方案

在当今的工作环境中，安全地传输文件至关重要。虽然云存储服务盛行，但在本地网络或受控环境中，搭建一个SFTP服务器能提供更高的安全性和自主权。与普通的FTP不同，SFTP基于SSH协议，对所有传输的数据进行加密，有效防止信息泄露。对于使用Windows系统的用户而言，无需转向Linux，利用现有系统即可构建一个可靠的SFTP服务。

核心工具选择：OpenSSH的集成与安装

自Windows 10 1809版本和Windows Server 2019起，微软官方将OpenSSH客户端和服务器组件作为可选功能集成到系统中，这成为了搭建SFTP最推荐且原生的方式。首先，打开“设置”应用，进入“应用”>“可选功能”。点击“添加功能”，在列表中找到“OpenSSH 服务器”并安装。或者，通过管理员权限的PowerShell，执行命令 `Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0` 来完成安装。 安装完成后，需要启动并配置服务。在PowerShell中运行 `Start-Service sshd` 来启动SSH服务器服务。为确保开机自启，执行 `Set-Service -Name sshd -StartupType 'Automatic'`。此时，基础的SSH（及SFTP）服务框架已经运行，但还需进行关键配置才能安全使用。

关键配置：用户、目录与权限设置

默认情况下，OpenSSH使用Windows自带的身份验证机制。你需要为需要连接的用户配置专用的SFTP访问目录。首先，在非系统盘（如D盘）创建一个目录作为根目录，例如 `D:\SFTPRoot`。接着，通过修改SSH服务器的配置文件来限制用户的访问范围。配置文件位于 `C:\ProgramData\ssh\sshd_config`，用记事本（以管理员身份运行）打开它。 找到 `Subsystem sftp` 一行，确保其为 `Subsystem sftp sftp-server.exe`。在文件末尾，添加关键的配置段落来锁定用户到指定目录。例如，要为用户“Alice”设置访问，可以添加： ``` Match User Alice ChrootDirectory D:\SFTPRoot ForceCommand internal-sftp PermitTTY no AllowTcpForwarding no ``` `ChrootDirectory` 将用户“禁锢”在指定目录内，无法访问其上级目录，这是安全的核心。配置完成后，保存文件并重启服务：`Restart-Service sshd`。

防火墙与连接测试

Windows防火墙可能会阻止SFTP连接（默认端口22）。需要在防火墙中创建入站规则。打开“高级安全Windows防火墙”，新建入站规则，选择“端口”，指定TCP端口22，并允许连接。为规则命名，如“OpenSSH SFTP”。完成此步骤后，服务器便准备就绪。 现在可以进行连接测试。使用任何支持SFTP的客户端，如FileZilla、WinSCP或命令行工具。在连接对话框中，主机地址填写Windows服务器的IP，端口22，协议选择SFTP，用户名和密码使用Windows账户凭据。连接成功后，你将只能看到和访问 `D:\SFTPRoot` 目录下的内容，这证明配置已生效。

总结与高级安全建议

通过以上步骤，你已经在Windows上成功部署了一个基本的SFTP服务器。这种方法利用了系统原生组件，兼容性好且维护简单。对于更高级的安全需求，建议考虑以下几点：首先，禁用密码登录，改用更安全的密钥对认证，这需要在 `sshd_config` 中设置 `PasswordAuthentication no` 并配置公钥。其次，定期审查系统日志 `C:\ProgramData\ssh\logs` 以监控访问行为。最后，考虑更改默认的22端口，以减少自动化攻击的扫描风险。 搭建自己的SFTP服务器不仅增强了对数据的控制力，也提供了一种符合企业安全规范的内部文件交换方式。通过细致的配置和维护，这个基于Windows的解决方案能够成为你数字工具箱中可靠且安全的一环。