Windows 11 Pro终极指南：无需第三方软件，轻松搭建安全SFTP服务器！

43分钟前更新

告别FTP的安全隐患，用Windows系统自带功能打造专属加密文件传输服务

在这个数据为王的时代，文件传输的安全性越来越重要。传统的FTP协议就像是在网络上用明信片传输密码，毫无安全可言。而基于SSH的SFTP协议则为您的文件传输提供了端到端的加密保护。

很多人不知道的是，Windows 11 Pro自带了强大的SFTP服务器功能，只需简单配置，就能打造一个安全可靠的文件传输服务。今天，就让我们一步步教你如何在Windows 11 Pro上配置SFTP服务，并指定D盘的/bak目录为根目录。

📌 前言：为什么选择SFTP而不是FTP？

在开始之前，简单说说为什么SFTP比传统FTP更值得推荐。FTP在传输过程中数据是明文的，包括你的用户名和密码，而SFTP通过SSH协议加密所有传输数据，安全性更高。对于Windows 11 Pro用户来说，利用系统内置的OpenSSH服务器功能实现SFTP，无需安装任何第三方软件，更加稳定和安全。

第一步：安装OpenSSH服务器功能

Windows 11 Pro其实自带了OpenSSH服务器功能，只是默认没有安装。安装过程非常简单：

右键点击开始按钮，选择”Windows终端（管理员）”或”PowerShell（管理员）”。

输入以下命令并回车：

Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

等待安装完成。完成后会显示”State : Installed”。

小贴士：也可以通过图形界面安装。打开”设置”->”应用”->”可选功能”->”查看功能”，然后找到并安装”OpenSSH服务器”。

第二步：创建专用SFTP用户账户

出于安全考虑，我们不应该使用日常管理账户进行SFTP连接，而应该创建一个专用账户：

以管理员身份打开PowerShell，输入以下命令创建新用户（请将”YourStrongPassword!123″替换为一个复杂的密码）：
```
net user spueruser YourStrongPassword!123 /add /comment:"Dedicated account for SFTP file transfers" /fullname:"SFTP Super User"
```

设置密码永不过期：

wmic UserAccount where Name='spueruser' set PasswordExpires=False

禁止该用户通过远程桌面或本地控制台交互登录（增强安全性）：
```
net localgroup "Remote Desktop Users" spueruser /delete
```

吐槽一下：微软的密码策略真的很严格，设置简单密码它会直接拒绝你！但这是为了安全着想，还是老老实实设置一个包含大小写字母、数字和特殊符号的复杂密码吧。

第三步：准备SFTP根目录并设置权限

现在我们需要准备D盘的/bak目录作为SFTP根目录：

如果D盘还没有/bak目录，请先创建它：
```
mkdir D:\bak
```

设置关键目录权限（这一步很重要，很多问题都出在这里）：

# 将 D:\bak 的所有权授予 SYSTEM
takeown /F D:\bak /A /R /D Y
icacls D:\bak /setowner "SYSTEM" /T /C

# 为 SYSTEM 和 Administrators 授予完全控制权，并移除其他所有用户的写入权限
icacls D:\bak /grant:r "SYSTEM:(OI)(CI)(F)" /grant:r "Administrators:(OI)(CI)(F)" /remove:g "Authenticated Users" /remove:g "Users" /T /C

# 显式拒绝 spueruser 对此目录的写入权（可选，但更安全）
icacls D:\bak /deny "spueruser:(OI)(CI)(WD,AD)"

在D:\bak下创建一个供spueruser上传文件的子目录：
```
mkdir D:\bak\spueruser_upload
```

授予spueruser对此子目录的修改权限：

icacls "D:\bak\spueruser_upload" /grant:r "spueruser:(OI)(CI)(M)"

权限设置真是个大坑：ChrootDirectory要求目标目录及其所有上层路径必须由SYSTEM或Administrators拥有，且其他用户不能有写权限。不按要求设置，服务就会启动失败！

第四步：配置SSH服务器启用SFTP并限制目录

现在我们来配置SSH服务器，这是实现SFTP服务的核心：

用记事本（以管理员身份运行）打开SSH配置文件：
```
notepad C:\ProgramData\ssh\sshd_config
```

在文件末尾添加以下配置（注意：不要修改文件中的其他内容）：

# 限制专用SFTP用户 spueruser
Match User spueruser
    ChrootDirectory D:\bak
    ForceCommand internal-sftp
    AllowTcpForwarding no
    PermitTunnel no
    X11Forwarding no
    PermitTTY no

保存并关闭文件。

重要提示：配置文件中的空格和缩进不是必须的，但加上它们可以让配置更易读。千万别把上述配置放在文件中间，放在文件末尾即可。

第五步：启动OpenSSH服务并配置防火墙

启动OpenSSH SSH Server服务并设置为自动启动：

Start-Service sshd
Set-Service -Name sshd -StartupType 'Automatic'

配置防火墙允许SFTP连接（默认使用22端口）：

New-NetFirewallRule -Name "OpenSSH-SFTP" -DisplayName "OpenSSH SFTP (TCP 22)" -Enabled $true -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22

第六步：测试SFTP连接

现在到了最激动人心的时刻——测试我们的SFTP服务是否正常工作：

获取你的Windows 11 Pro机器的IP地址（在PowerShell中输入ipconfig查看IPv4地址）。
使用SFTP客户端连接。可以使用以下任何一种方式：
- 使用FileZilla：新建站点，协议选择”SFTP – SSH File Transfer Protocol”，主机填你的IP地址，端口22，登录类型”正常”，用户spueruser，输入密码后连接。
- 使用WinSCP：类似地，选择SFTP协议，输入主机名、用户名和密码。
- 使用命令行：
```
sftp -P 22 spueruser@你的机器IP地址
```
连接成功后，测试一下功能：
- 尝试切换到你无法访问的目录（如cd ..），应该会收到错误提示——这说明chroot限制生效了。
- 在spueruser_upload目录中尝试上传、下载和删除文件，这些操作应该成功。
- 尝试在根目录（/）中直接创建文件或目录，应该会被拒绝——这说明权限设置正确。

🚨 常见问题与解决方案

连接被拒绝：检查OpenSSH SSH Server服务是否正在运行，防火墙是否允许22端口。
密码认证失败：检查用户名和密码是否正确，确保密码中的特殊字符正确输入。
权限错误/无法上传文件：99%的问题都出在目录权限上。重新检查第三步中的权限设置，确保D:\bak目录由SYSTEM所有，且spueruser只有对D:\bak\spueruser_upload子目录的写入权限。
服务启动失败：检查sshd_config文件的语法是否正确，特别是Match User部分是否有拼写错误。

吐槽时间：Windows的权限系统有时候真的让人头疼，但一旦设置正确，它就非常可靠。如果遇到问题，别急着放弃，仔细检查每一步的权限设置，特别是继承权限和显式拒绝权限的冲突。