Installing a secure ftp server on windows using iis

Configuration

The element is configured at the site or URL level.

Rules are processed from top to bottom, in the order they appear in the list. The allowunlisted attribute is processed last. Best practice for Internet Protocol security (IPsec) restrictions is to list Deny rules first. You cannot clear the allowunlisted attribute if it is set to false.

Attributes

Attribute	Description
	Optional Boolean attribute.Specifies whether to allow unlisted IP addresses. Setting the allowUnlisted attribute to true allows an unlisted IP address to access the server. Setting the allowUnlisted attribute to false locks down the server, preventing access to all IP address unless they are listed. If you set this attribute to false and do not list the local loopback address (127.0.0.1) as an allowed IP address, you will not be able to access your server by using a browser from a local console.The default value is .
	Optional Boolean attribute.Specifies whether to enable or disable reverse Domain Name System (DNS) lookups for the FTP server. Reverse lookups involve looking up the domain name when the IP address is known.Caution: Reverse DNS lookups will use significant resources and time.The default value is .

Attribute

Description

Optional Boolean attribute.Specifies whether to allow unlisted IP addresses. Setting the allowUnlisted attribute to true allows an unlisted IP address to access the server. Setting the allowUnlisted attribute to false locks down the server, preventing access to all IP address unless they are listed. If you set this attribute to false and do not list the local loopback address (127.0.0.1) as an allowed IP address, you will not be able to access your server by using a browser from a local console.The default value is .

Optional Boolean attribute.Specifies whether to enable or disable reverse Domain Name System (DNS) lookups for the FTP server. Reverse lookups involve looking up the domain name when the IP address is known.Caution: Reverse DNS lookups will use significant resources and time.The default value is .

Child Elements

Element	Description
	Optional element.Adds an IP restriction to the collection of IP address restrictions.
	Optional element.Removes a reference to a restriction from the collection.
	Optional element.Removes all references to restrictions from the collection.

Configuration Sample

The following sample illustrates several security-related configuration settings in the element for an FTP site. More specifically, the settings in this example demonstrate how to:

Specify an FTP authorization rule for read and write access for the administrators group.
Specify FTP request filtering options that deny *.exe, *.bat, and *.cmd files.
Specify FTP request limits for a maximum content length of 1000000 bytes and a maximum URL length of 1024 bytes.
Block FTP access to the _vti_bin virtual directory, which is used with the FrontPage Server Extensions.
Specify FTP IP filtering options that allow access from 127.0.0.1 and deny access from the 169.254.0.0/255.255.0.0 range of IP addresses.

Генерация и установка на IIS SSL сертификата

Затем откройте консоль диспетчера IIS, выберите сервер и перейдите в раздел «Сертификаты сервера.

В этом разделе можно импортировать сертификат, создать запрос на сертификат, обновить сертификат или создать самозаверяющий сертификат. В демонстрационных целях мы сосредоточимся на самозаверяющем сертификате (вы также можете создать его с помощью командлета New-SelfSifgnedCertificate). При входе в сервис появится предупреждение о том, что сертификат выдан ненадежным центром сертификации. Чтобы отключить это предупреждение для этого сертификата, вы можете добавить его в список доверенных через GPO.

Выберите «Создать самоподписанный сертификат.

В мастере создания сертификата укажите его имя и выберите тип сертификата веб-хостинга.

Самозаверяющий сертификат должен появиться в списке доступных сертификатов. Сертификат действителен 1 год.

Creating a New FTP User with Windows

In this section, we’ll show you how to create a new user to connect to the FTPS server with the appropriate permissions. Here are the steps to take:

Open Local Users and Groups on your Windows Server. Go to Server Manager >> Tools >> Computer Management. Expand the Systems tools >> and open “Local Users and Groups”.
Alternatively, you can use the Win+R shortcut to open “Run” and type “lusrmgr.msc”.
Go to Action and click on “New User”.

On the “New User” window, go ahead and enter the user’s credential information.
Click on “Create”.

Now, you need to grant the new user permission to the FTP root folder

The default folder in IIS for storing content is called “inetpub”. Go to the C:\inetpub, and find the folder “ftproot”.
Right-click on it and open “Properties”.
Go to the Security tab >> and then click on “Edit”, and find the user that you created previously and set the permissions. For example, you can restrict or allow the user access to the FTP Root folder resources.

Now that we have created a user with the right permission, we need to create an FTP site that can only be opened by the user with the right permissions.

Installing IIS and FTP Server Features

IIS is installed by default on most Windows Servers, but the FTP server feature is usually disabled by default. Therefore the first step is to enable FTP server features. Follow the steps below to enable the FTP server feature on Windows Server 2022, Windows Server 2019, Windows Server 2016, or Windows Server 2012:

In Windows, Server Manager go to Dashboard and run Manage >> Add Roles and Features.
In Add Roles and Features wizard: Proceed to the Installation Type step and confirm Role-based or feature-based installation.
Proceed to the Server Roles step and check the Web Server (IIS) role. Note that it is checked already if you had IIS installed as a Web Server previously. If you are prompted to install the IIS Management Console tool, confirm it.
Proceed to Web Server Role (IIS) >> Role Services step and check the FTP Server role service. Uncheck the Web Server role service, if you do not need it.
Confirm your installation by clicking “Next,” proceed to install, and wait for the installation to complete.

Как усилить безопасность SSL, TLS

Бывает так, что сертификат установлен, а тестирование ssllabs показывает не лучший грейд безопасности.
Чтобы добиться заветного , нужно правильно настроить NGINX.
Для этого, сначала запускаем следующую команду, которая сгенерирует нужные ключи для Forward Secrecy (прямая секретность означает, что если третья сторона узнает какой-либо сеансовый ключ, то она сможет получить доступ только к тем к данным, что защищены этим ключом, не более):

openssl dhparam -out /etc/letsencrypt/dhparam.pem 2048

Затем, необходимо присутствие следующих записей в конфигурации сервера:

server {
  server_name sheensay.ru www.sheensay.ru;

  ssl_session_cache   shared:SSL:10m; # Разделяемый между всеми процесами кеш сессий на 10 байт с названием SSL. 1 Мб вмещает около 4000 сессий
  ssl_session_timeout 10m; # 10 минут - максимальное время жизни сессии

  add_header Strict-Transport-Security "max-age=31536000;"; # Заголовок, принудительно включающий защищённое соединение, минуя небезопасный HTTP

  # Заголовок Content Security Policy - отвечает за то, что считать безопасным подгружаемым контентом на странице
  add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline' *.yandex.ru; style-src https: 'unsafe-inline' fonts.googleapis.com; img-src https: data:; font-src https: data: fonts.googleapis.com; child-src https: www.youtube.com; report-uri /csp-report";

  ssl_stapling on;
  ssl_stapling_verify on;
  ssl_trusted_certificate /etc/letsencrypt/live/sheensay.ru/chain.pem; # домен меняете на свой
  resolver 8.8.4.4 8.8.8.8 valid=300s;
  resolver_timeout 10s;

  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!EXP:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
  ssl_prefer_server_ciphers on;

  ### Чтобы у нас заработал Forward Secrecy, сгенерируем ключ командой ниже:
  ## openssl dhparam -out /etc/letsencrypt/dhparam.pem 2048
  ### После генерации расскомментируем строку ниже
  ssl_dhparam /etc/letsencrypt/dhparam.pem;
  
  ### Дальше другие настройки сервера
  ### ...

После всех манипуляций, не забудьте перезагрузить NGINX

service nginx reload

IMAP — Internet Message Access Protocol

Как и РОРЗ, протокол IMAP предназначен для доступа к почте на почтовом сервере. Аналогично клиентам POP3 клиент IMAP может работать в автономном режиме, в котором почта обрабатывается на локальной машине. По сравнению с клиентами POP3 клиенты IMAP обладают более широкими возможностями в оперативном режиме, например, они могут извлекать только заголовки или только
основные части указанных почтовых сообщений, искать конкретные сообщения на сервере и устанавливать флаги, например флаг «ответ отправлен». По существу, IMAP позволяет клиенту обрабатывать удаленный почтовый ящик, как если бы он был локальным.

Протокол IMAP определен в RFC 1730.

Тестирование подключения FTP over SSL

Для тестирования FTPS-соединения воспользуемся клиентом Filezilla.

Запустите FileZilla (или любой другой клиент с поддержкой FTPS).
Щелкните Файл> Менеджер сайта и создайте новое соединение (Новый сайт).
Укажите адрес сервера FTPS (хост), тип протокола (Требовать явного FTP через TLS), имя пользователя (поле «Пользователь») и требование запрашивать пароль для авторизации (Требовать пароль)
Нажмите кнопку «Подключиться» и введите пароль пользователя.
Должно отображаться предупреждение о ненадежном сертификате (при использовании самозаверяющего сертификата). Подтверждаем подключение.
Соединение должно быть установлено, и в журнале должны появиться следующие строки:
Это означает, что установлено безопасное соединение и можно передавать файлы по протоколу FTPS

Источник изображения: winitpro.ru

Шаг 1. Генерация SSL/TLS сертификата и закрытого ключа#

Создайте следующий каталог, в котором будут храниться файлы ключа и SSL/TLS сертификат:

Затем, генерируем самозаверенный SSL/TLS сертификат и закрытый ключ, используя следующую команду:

Ниже приведено описание каждого флага, используемого в вышеописанной команде:

req — команда для управления запросом подписи сертификата X.509 (CSR);
x509 — управление данными сертификата X.509;
days — количество дней, в течение которых действителен сертификат;
newkey — процессор ключей сертификата;
rsa:2048 — процессор ключей RSA сгенерирует 2048-битный закрытый ключ;
keyout — устанавливает файл, хранящий ключи;
out — устанавливает файл, хранящий сертификаты, кстати, сертификат и ключ хранятся в одном файле: /etc/ssl/vsftpd/vsftpd.pem.

Приведенная выше команда предложит вам ответить на вопросы ниже, не забывайте использовать нужные вам значения.

Разрешение для симптома 1

Чтобы устранить эту проблему, при необходимости используйте следующие методы.

Проверка включения удаленного рабочего стола

Откройте элемент System в панели управления. Чтобы запустить средство System, нажмите кнопку Начните, нажмите панель управления, щелкните System и нажмите кнопку ОК.
Под панелью управления главная щелкните удаленные параметры.
Щелкните вкладку Remote.
В удаленном рабочем столе выберите любой из доступных параметров в зависимости от требований к безопасности:
- Разрешить подключения с компьютеров с компьютеров с любой версией удаленного рабочего стола (менее безопасной)
- Разрешить подключение с компьютеров только с компьютеров с удаленным рабочим столом с проверкой подлинности на уровне сети (более безопасно)

Если вы выберите не разрешайте подключение к этому компьютеру на вкладке Remote, никакие пользователи не смогут подключаться удаленно к этому компьютеру, даже если они являются членами группы пользователей удаленных настольных компьютеров.

Проверка ограничения числа подключений служб удаленного рабочего стола

Запустите оснастку групповой политики, а затем откройте локализованную политику безопасности или соответствующую групповую политику.
Найдите следующую команду:

Локализованная компьютерная политика > Конфигурация компьютера > Административные шаблоны > Windows компоненты > Удаленные службы настольных компьютеров > Удаленный хост сеансов рабочего стола > Подключение Ограничивает количество подключений
Щелкните Разрешено.
В разрешенной поле RD Maximum Connections введите максимальное количество подключений, которое необходимо разрешить, и нажмите кнопку ОК.

Проверка свойств служб удаленного рабочего стола RDP-TCP

Следуйте этим шагам в зависимости от версии операционной системы.

Настройка с помощью конфигурации служб удаленного рабочего стола

Настройка количества одновременных удаленных подключений, разрешенных для подключения:

На хост-сервере сеанса RD откройте конфигурацию хост-сервера удаленного рабочего стола. Чтобы открыть конфигурацию хост-хозяйской сессии удаленного рабочего стола, нажмите кнопку Начните, указать на административные средства, указать на удаленные службы настольных компьютеров.
В «Подключениях» щелкните правой кнопкой мыши имя подключения и нажмите кнопку Свойства.
На вкладке Сетевой адаптер нажмите кнопку Максимальное подключение, введите количество одновременных удаленных подключений, которые необходимо разрешить для подключения, а затем нажмите кнопку ОК.
Если параметр Maximum подключений выбран и затемнеет, параметр Limit number of connections Group Policy включен и применен к серверу хост-сервера сеанса RD.

Проверка прав логотипа служб удаленного рабочего стола

Настройка группы удаленных пользователей настольных компьютеров.

Группа пользователей удаленных настольных компьютеров на хост-сервере сеансов RD предоставляет пользователям и группам разрешение на удаленное подключение к хост-серверу сеансов RD. Вы можете добавить пользователей и группы в группу удаленных пользователей настольных компьютеров с помощью следующих средств:

Привязка локальных пользователей и групп
Вкладка Remote в диалоговом окне System Properties на хост-сервере сеанса RD
Активные пользователи каталогов и компьютеры, если хост-сервер сеанса RD установлен на контроллере домена

Вы можете использовать следующую процедуру для добавления пользователей и групп в группу пользователей удаленных настольных компьютеров с помощью вкладки Remote в диалоговом окне System Properties на сервере хост-сервера сеансов RD.

Членство в локальной группе администраторов или эквивалент на сервере хост-сервера сеанса RD, который вы планируете настроить, является минимальным, необходимым для завершения этой процедуры.

Запустите средство System. Для этого нажмите кнопку Начните, нажмите панель управления, нажмите значок System и нажмите кнопку ОК.
Под панелью управления главная щелкните удаленные параметры.
На вкладке Remote в диалоговом окне System Properties щелкните Выберите пользователей. Добавьте пользователей или группы, которые должны подключиться к серверу хост-сервера сеансов RD с помощью удаленного рабочего стола.

Примечание

При выборе параметра «Не разрешай подключения к этому компьютеру» на вкладке Remote пользователи не смогут подключиться удаленно к этому компьютеру, даже если они являются членами группы пользователей удаленных настольных компьютеров.

Настройка FTP-сервера в Windows Server 2012

В статье описан процесс установки и настройки FTP-сервера на VPS под управлением операционной системы Windows Server 2012, настройки работы брандмауэра, подключение к серверу, а также дополнительной настройки Secure FTP.

Виртуальный сервер на базе Windows

Установка FTP-сервера

Откройте Диспетчер серверов и выберите пункт «Добавить роли и компоненты».

В открывшемся выберите тип установки Установка ролей или компонентов.

Затем выберите нужный сервер из пула. Нажмите Далее.

В списке ролей найдите веб-сервер IIS, и разверните его. Далее нужно отметить галочкой запись «FTP-сервер» и нажать далее.

Примечание: в некоторых версия веб-сервера IIS роль FTP-сервера может быть расположена на другой странице.

Подтвердите установку FTP-сервера.

Откройте диспетчер служб IIS. Правой кнопкой мыши нажмите Сайты и в вертикальном меню выберите Добавить FTP сайт.

На дальнейшем шаге укажите название FTP-сайта и введите путь до каталога, в котором будут храниться файлы.

Затем необходимо выбрать IP-адрес сервера (он должен совпадать с адресом, указанным в панели управления сервером), установить галочку напротив «Запускать сайт FTP автоматически» и «Без SSL»:

На последующем шаге выберите обычную аутентификацию и разрешите доступ всем пользователям (с разрешениями на чтение и запись).

Ваш сайт появится древовидной структуре веб-сервера.

Настройка Брандмауэра

Для внешнего подключения к ftp-серверу необходимо настроить firewall. Для этого откройте Брандмауэр Windows в режиме повышенной безопасности. В вертикальном меню слева выберите Правила для входящих подключений, затем в вертикальном меню справа Создать правило.

В открывшемся окне отметьте тип Предопределенные и в выпадающем списке выберите FTP-сервер. Нажмите Далее.

Отметьте галочками все строки и нажмите Далее.

Подключение к FTP-серверу

Рассмотрим подключение через Проводник. В адресной строке введите: ftp://ip-адрес Например, ftp://188.227.16.74

Откроется окно ввода логина и пароля, укажите данные для подключения из панели управления сервером.

Примечание: веб-сервер IIS позволяет гибко настраивать подключение к FTP-серверу, например разделять видимость пространства для разных пользователей, включать анонимный доступ и настраивать права.

В итоге вы увидите содержимое папки FTP-сервера:

Примечание: встроенный ftp-сервер web-сервера IIS обладает широкими возможностями, например, такими как: изоляция пользователей, поддержка SSL, ограничение попыток входа на сервер, ведения журнала с различными параметрами.

Настройка Secure FTP

Для повышения уровня безопасности вашего файлового сервера можно использовать SSL сертификаты. Существует 2 варианта сертификатов: самоподписанный и заверенный центром сертификации. Наиболее надежным являются файлы центра сертификации, для того чтобы заказать такой SSL-сертификат для веб-сервера IIS воспользуйтесь инструкцией. Процесс установки полученного сертификата на IIS также подробно описан.

При созданном локально самозаверенном сертификате пользователи вашего сервера FTPS будут предупреждены при подключении к серверу.

Для создания самозаверенного сертификата:

Для настройки FTP Secure перейдите на начальную страницу вашего FTP-сайта и двойным щелчком мыши откройте Параметры SSL FTP.

В новом окне выберите политику Требовать SSL-соединения, в выпадающем списке выберите ваш сертификат и нажмите действие Применить.

Для подключения через защищенный канал используйте программу WinSCP, после запуска:

Перед вами откроется содержимое ftp-каталога.

Настройка FTPS (Secure FTP – расширение самого протокола, которое включает в себя полную поддержку криптографических протоколов, например SSL)

Есть несколько вариантов повысить безопасность файлового сервера, например можно использовать SSL сертификат. Мы рассмотрим именно этот вариант, но существуют так же варианты альтернативных шифрований, изоляция самой среды и использование фаерволов.

Сертификаты делятся на два вида – самоподписанный и заверенный официальным центром по сертификации. Отметим, что наиболее доверенным и надежным является сертификат заверенный официальным центром, подробнее вы можете узнать в статье о разнице между этими видами. Пользователи которые имеют доступ к вашему FTPS серверу будут оповещены о созданном локальном самостоятельно заверенном сертификате.

Рассмотрим процесс создания:

Выберите пункт Сертификаты и сервера в диспетчере IIS
В меню справа выберите «Создать самозаверенный сертификат»
Укажите его имя

Теперь приступим к настройке FTP Secure. Перейдем на главную страницу вашего FTP-сайта и откроем параметры SSL FTP.

В выпавшем окне необходимо выбрать политику SLL – «Требовать SSL-соединения» и нажать Применить.

Чтобы подключиться через защищенный канал мы будем использовать программу WinSCP. Введите следующие настройки после запуска:

протокол передачи данных выберем FTP;
явное шифрование;
имя хоста – ip-адрес или домен вашего сервера;
— по умолчанию 21 порт
— пароль и имя пользователя системы

После чего перед вами появится содержимое вашего каталога.

На этом установка и настройка FTP на Windows окончена. В нашей базе знаний вы найдёте ещё множество статей посвящённых различным аспектам работы в Windows, а если вы ищете надежный виртуальный сервер под управлением Windows, обратите внимания на нашу услугу — Аренда виртуального сервера Windows.

What is FTPS, and what do you need to build a server?

FTPS (FTP over SSL) depends on SSL (Secure Sockets Layer) to build a secure channel between client and server. SSL uses certificates for proving identity and ensuring security for communications across internal or external networks (Internet).

By itself, FTP does not provide any form of encryption or authentication. Instead, FTP relies on SSL (thus FTPS) to build an SSL tunnel so that FTP can send all data in clear text through the tunnel. In simple words, FTPS is the classic FTP but with added SSL support.

What is not FTPS? FTPS (FTP over SSL) is not SFTP (FTP over SSH). Both are completely different file transfer mechanisms. Although you could install OpenSSH in your Windows Server to create an SFTP server, IIS does not support SFTP.

What do you need to build an FTPS server on IIS?

A Windows Server running IIS.
FTP services installed on IIS.
Depending on the use-case, a self-signed, domain-certificate, or CA-signed SSL certificate.
A root folder for FTP content with permissions.
A firewall or routing device that allows connections over the FTP Server.

(Optional) Step 3: Configure Windows Firewall Settings

Windows Server 2008 contains a built-in firewall service to help secure your server from network threats. If you choose to use the built-in Windows Firewall, you will need to configure your settings so that FTP traffic can pass through the firewall.

There are a few different configurations to consider when using the FTP service with the Windows Firewall — whether you will use active or passive FTP connections, and whether you will use unencrypted FTP or use FTP over SSL (FTPS). Each of these configurations are described below.

Note

You will need to make sure that you follow the steps in this section walkthrough while logged in as an administrator. This can be accomplished by one of the following methods:

Logging in to your server using the actual account named «Administrator».
Logging on using an account with administrator privileges and opening a command-prompt by right-clicking the Command Prompt menu item that is located in the Accessories menu for Windows programs and selecting «Run as administrator».

One of the above steps is required because the User Account Control (UAC) security component in the Windows Vista and Windows Server 2008 operating systems prevents administrator access to your firewall settings. For more information about UAC, please see the following documentation:

https://go.microsoft.com/fwlink/?LinkId=113664

Note

While Windows Firewall can be configured using the Windows Firewall applet in the Windows Control Panel, that utility does not have the required features to enable all of the features for FTP. The Windows Firewall with Advanced Security utility that is located under Administrative Tools in the Windows Control Panel has all of the required features to enable the FTP features, but in the interests of simplicity this walkthrough will describe how to use the command-line Netsh.exe utility to configure the Windows Firewall.

Using Windows Firewall with non-secure FTP traffic

To configure Windows Firewall to allow non-secure FTP traffic, use the following steps:

Open a command prompt: click Start, then All Programs, then Accessories, then Command Prompt.
To open port 21 on the firewall, type the following syntax then hit enter:
To enable stateful FTP filtering that will dynamically open ports for data connections, type the following syntax then hit enter:

Important Notes:

Active FTP connections would not necessarily covered by the above rules; an outbound connection from port 20 would also need to be enabled on server. In addition, the FTP client machine would need to have its own firewall exceptions setup for inbound traffic.
FTP over SSL (FTPS) will not be covered by these rules; the SSL negotiation will most likely fail because the Windows Firewall filter for stateful FTP inspection will not be able to parse encrypted data. (Some 3rd-party firewall filters recognize the beginning of SSL negotiation, e.g. AUTH SSL or AUTH TLS commands, and return an error to prevent SSL negotiation from starting.)

Using Windows Firewall with secure FTP over SSL (FTPS) traffic

The stateful FTP packet inspection in Windows Firewall will most likely prevent SSL from working because Windows Firewall filter for stateful FTP inspection will not be able to parse the encrypted traffic that would establish the data connection. Because of this behavior, you will need to configure your Windows Firewall settings for FTP differently if you intend to use FTP over SSL (FTPS). The easiest way to configure Windows Firewall to allow FTPS traffic is to list the FTP service on the inbound exception list. The full service name is the «Microsoft FTP Service», and the short service name is «ftpsvc». (The FTP service is hosted in a generic service process host (Svchost.exe) so it is not possible to put it on the exception list though a program exception.)

To configure Windows Firewall to allow secure FTP over SSL (FTPS) traffic, use the following steps:

Open a command prompt: click Start, then All Programs, then Accessories, then Command Prompt.
To configure the firewall to allow the FTP service to listen on all ports that it opens, type the following syntax then hit enter:
To disable stateful FTP filtering so that Windows Firewall will not block FTP traffic, type the following syntax then hit enter:

Use the FTP Site Wizard to Create an FTP Site With Anonymous Authentication

In this section you, create a new FTP site that can be opened for Read-only access by anonymous users. To do so, use the following steps:

Go to IIS 7 Manager. In the Connections pane, click the Sites node in the tree.
Right-click the Sites node in the tree and click Add FTP Site, or click Add FTP Site in the Actions pane.
When the Add FTP Site wizard appears:
- Enter «My New FTP Site» in the FTP site name box, then navigate to the folder that you created in the Prerequisites section.
  
  Note
  
  If you choose to type in the path to your content folder, you can use environment variables in your paths.
- Click Next.
On the next page of the wizard:
- Choose an IP address for your FTP site from the IP Address drop-down, or choose to accept the default selection of «All Unassigned.» Because you will be accessing this FTP site remotely, you want to make sure that you do not restrict access to the local server and enter the local loopback IP address for your computer by typing «127.0.0.1» in the IP Address box.
- You would normally enter the TCP/IP port for the FTP site in the Port box. For this walk-through, you will choose to accept the default port of 21.
- For this walkthrough, you do not use a host name, so make sure that the Virtual Host box is blank.
- Make sure that the Certificates drop-down is set to «Not Selected» and that the Allow SSL option is selected.
- Click Next.
On the next page of the wizard:
- Select Anonymous for the Authentication settings.
- For the Authorization settings, choose «Anonymous users» from the Allow access to drop-down. Select Read for the Permissions option.
- Click Finish.
Go to IIS 7 Manager. Click the node for the FTP site that you created. The icons for all of the FTP features display.

Summary

To recap the items that you completed in this step:

You created a new FTP site named «My New FTP Site», with the site’s content root at .
You bound the FTP site to the local loopback address for your computer on port 21, choosing not to use Secure Sockets Layer (SSL) for the FTP site.
You created a default rule for the FTP site to allow anonymous users «Read» access to the files.

Подключиться к FTP-серверу сайта с помощью Проводника Windows 10

Чтобы подключиться к вашему хостингу, серверу по FTP, нужно создать FTP клиент. Создавать и настраивать мы его будет без сторонних программ, с помощью проводника windows. Функция известна еще со времен windows xp, но было все сложновато и непонятно, и каждый раз с новым выходом windows она совершенствовалась и становилась стабильной, что вполне заменит сторонние ftp клиенты для передачи данных на сервер. Тем не менее это означает что данным методом вы сможете настроить ftp клиент для любой версии виндовс: windows xp, 7, 8.1, 10.

А) Если вы хотите подключиться к FTP серверу веб сайта на хостинге, то вы должны настроить FTP сервер на вашем хостинге сайте, к примеру Cpanel, задав там имя и пароль.

Б) Если вы подключаетесь к другому устройству в своей локальной сети, вы можете использовать частный внутренний IP-адрес. (Если нужно указать порт, то он ставится после IP-адреса с двоеточием, к примеру 192.168.1.1:9090).

Вам придется выбрать, как настраивать вход к вашему веб-сайту на хостинг сервере. Все ровно в двух случаях настройки делаются на вашем хостинге, где веб-сайт к которому хотите получить доступ. Анонимный вход—при входе сетевой ftp папки в проводнике у вас запросит имя и пароль. Вход с пользователем—зайдет сразу при открытии вашей сетевой ftp папки в проводнике.

Теперь вам нужно указать любое имя. Это может быть ваше доменное имя, IP-адрес сервера, имя сайта или другое.

Источник

Проблемы версий протоколов SSL и TLS и совместимости приложений

Для начала рассмотрим проблемы связанные с версиями SSL протоколов:

SSL v2 небезопасен, устарел и не рекомендуется для использования. См. атаку DROWN по этому протоколу.
SSL v3 небезопасен и устаревший инструмент. См. атаку POODLE.
TLS v1.0 также является устаревшим протоколом, но на практике он все же оказывается необходим. Его основная слабость (BEAST) была смягчена в современных браузерах.
TLS v1.1 и TLS v1.2 оба не имеют известных проблем с безопасностью, но только v1.2 предоставляет современные криптографические алгоритмы.

SSL 2.0, SSL 3.0 и TLS 1.0 настоятельно рекомендуется отключить, так как большинство стандартов безопасности их уже давно не поддерживают (например, PCI DSS 3.1). Рекомендуемые протоколы TLS v1.1 и TLS v1.2 с актуальными алгоритмами шифрование и снятия хэшей.

В более ранних версиях Windows Servers (2008, 2012) SSL v3 все еще включен, т. е. Вам необходимо вручную отключить устаревшие протоколы. Windows Server 2016 и выше уже имеют конфигурацию SSL, которая соответствует действующим регламентам безопасности (например, SSL v2 и SSL v3 отключены).

Но и это оказывается не полной правдой. Дело в том, что использование протоколов зависит не только от системных настроек, но и от того, как написаны приложения. Например, я выяснил, что .NET приложения используют свои собственные настройки безопасности. Также известно, что если включить поддержку TLS 1.2 на SQL Server (например, применив патч https://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-server), установленный на Windows Server 2012, то приложения .NET и JAVA потеряют возможность подключаться к SQL.

Также давно известна проблема с вэб приложениями, написанными на базе интерфейса WinHTTP API. После включения TLS 1.1/1.2 они также перестают подключаться.

Службы IIS и ADFS при этом прекрасно используют новые протоколы, следуя системным настройкам. Более того, к сервисам Azure вы не сможете подключиться через TLS 1.2, но при этом, как выяснилось, Powershell даже в Windows Server 2016 использует SSL3.0 и TLS 1.0, несмотря на то, что согласно системной настройке они отключены.