Kundenbereich
Sie möchten von Ihrem PC aus auf die Dateien Ihres Windows VPS zugreifen, als wäre es ein externes Laufwerk - ein Backup ablegen, Protokolle lesen, Dateien mit Kollegen teilen. Die Standardlösung unter Windows heißt SMB (Server Message Block). Aber zwischen einem über das Internet exponierten VPS und Ihrem PC zu Hause ist es eine Sicherheitskatastrophe, SMB einfach so zu verbinden.
Dieser Leitfaden erklärt, wie Sie einen Ordner von einem Windows VPS freigeben und auf Windows, macOS und Linux einbinden - mit 4 Methoden, die nach Sicherheit eingestuft sind: SMB über VPN (empfohlen), SMB über SSH-Tunnel, SFTP, WebDAV. Sie werden mit einer funktionalen, sicheren Konfiguration zurückkehren, die auf Ihr Client-OS abgestimmt ist.
Warum einen Ordner von einem Windows VPS freigeben
Einige gängige Anwendungsfälle:
- Backups auf dem VPS speichern/wiederherstellen, als wäre es ein entferntes NAS.
- Auf die Protokolle einer gehosteten Anwendung zugreifen, ohne eine RDP-Sitzung öffnen zu müssen.
- Dateien mit Kollegen über einen gemeinsamen VPS teilen.
- Medien (Fotos, Videos, Dokumente) zentralisieren, die von mehreren Arbeitsplätzen aus zugänglich sind.
- Netzlaufwerk für Geschäftsanwendungen, die auf
\\server\folderverweisen.
Der Vorteil eines VPS gegenüber einem dedizierten NAS: von überall zugänglich (nicht nur im lokalen Netzwerk), für ein paar Euro pro Monat und in der Lage, andere Dienste parallel zu hosten.
⚠️ Die SMB-Falle im Internet - unbedingt vorher lesen
SMB wurde nie für das Internet konzipiert. Das Protokoll und sein Port 445/TCP sind das Hauptziel massiver Angriffe - seit 2017 ist es der Hauptvektor für Ransomware (WannaCry, NotPetya und deren aktuelle Nachfolger).
Wenn Sie den Port 445 Ihres VPS direkt ins Internet öffnen:
- Tausende von Scans pro Tag testen Windows-Passwörter und bekannte SMB-CVE (EternalBlue und Varianten).
- Ein einziger nicht gepatchter Fehler kann vollständigen Admin-Zugriff gewähren.
- Aktuelle Ransomware verschlüsselt alle exponierten Dateien in wenigen Minuten.
Absolute Regel: niemals den Port 445 direkt ins Internet exponieren. Immer SMB in ein VPN, einen SSH-Tunnel einbetten oder eine verschlüsselte Alternative verwenden (SFTP, WebDAV/HTTPS).
Die folgenden Methoden entsprechen alle dieser Regel.
Entscheidungstabelle - Welche Methode wählen
| Methode | Sicherheit | Leistung | Komplexität der Einrichtung | Kompatibel | Empfehlung |
|---|---|---|---|---|---|
| A. SMB + VPN WireGuard | ★★★★★ | ★★★★★ | Mittel (30 min) | Win/Mac/Linux | ⭐ Referenz |
| B. SMB + SSH-Tunnel | ★★★★★ | ★★★ | Hoch | Win/Mac/Linux | Wenn bereits SSH |
| C. SFTP | ★★★★★ | ★★★★ | Niedrig (10 min) | Win/Mac/Linux | ⭐ Der schnellste |
| D. WebDAV HTTPS | ★★★★ | ★★★ | Mittel | Win/Mac/Linux | HTTP-Integration |
| Direktes SMB über Port 445 | ☠️ | ★★★★★ | Niedrig | Win/Mac/Linux | NIEMALS tun |
Schnelle Auswahl:
- Sie möchten ein integriertes Netzlaufwerk wie ein lokales NAS → Methode A (SMB + VPN)
- Sie möchten nur gelegentlich Dateien übertragen → Methode C (SFTP)
- Sie haben bereits SSH-Zugriff auf den VPS → Methode B (SSH-Tunnel)
- Sie möchten über jeden Browser auf das Web zugreifen → Methode D (WebDAV)
Methode A - SMB über VPN WireGuard (Referenz)
Prinzip: WireGuard auf dem VPS installieren, der PC verbindet sich mit dem VPN, der VPS wird über eine private IP (z. B. 10.0.0.1) zugänglich. Dann greifen Sie auf die SMB-Freigabe wie in einem LAN zu - aber unsichtbar aus dem Internet.
A.1 - WireGuard auf dem VPS installieren
Laden Sie WireGuard von wireguard.com/install herunter und installieren Sie es auf dem VPS.
Generierung der Server-Schlüssel:
cd "C:\Program Files\WireGuard"
.\wg.exe genkey | Out-File -Encoding ascii server_private.key
Get-Content server_private.key | .\wg.exe pubkey | Out-File -Encoding ascii server_public.key
Erstellen Sie C:\Program Files\WireGuard\Data\Configurations\wg0.conf:
[Interface]
PrivateKey = <Inhalt von server_private.key>
ListenPort = 51820
Address = 10.0.0.1/24
[Peer]
PublicKey = <öffentlicher Schlüssel des Client-PCs>
AllowedIPs = 10.0.0.2/32
Starten Sie den Tunnel über den grafischen WireGuard-Client.
A.2 - Den WireGuard-Port in der Firewall öffnen
New-NetFirewallRule -DisplayName "WireGuard UDP 51820" `
-Direction Inbound -Protocol UDP -LocalPort 51820 -Action Allow
A.3 - SMB auf das VPN-Netzwerk beschränken
Blockieren Sie den Port 445 auf allen Schnittstellen außer dem VPN:
# SMB auf Internet-Schnittstellen deaktivieren
Set-NetFirewallProfile -Profile Public,Private -Enabled True
# SMB nur vom VPN-Subnetz zulassen
New-NetFirewallRule -DisplayName "SMB nur über VPN" `
-Direction Inbound -Protocol TCP -LocalPort 445 `
-RemoteAddress 10.0.0.0/24 -Action Allow
# SMB von jeder anderen Quelle blockieren
New-NetFirewallRule -DisplayName "Blockiere SMB aus dem Internet" `
-Direction Inbound -Protocol TCP -LocalPort 445 `
-RemoteAddress Any -Action Block -Priority 1
A.4 - WireGuard auf dem Client-PC installieren
Laden Sie den WireGuard-Client für Windows/macOS/Linux herunter. Erstellen Sie einen Tunnel:
[Interface]
PrivateKey = <privater Schlüssel des Clients>
Address = 10.0.0.2/24
[Peer]
PublicKey = <öffentlicher Schlüssel des Servers>
Endpoint = <öffentliche-ip-vps>:51820
AllowedIPs = 10.0.0.0/24 # routet NUR das VPN, nicht Ihren gesamten Verkehr
PersistentKeepalive = 25
Aktivieren Sie den Tunnel. Überprüfen Sie:
ping 10.0.0.1
A.5 - Auf die Freigabe zugreifen
Öffnen Sie den Windows-Explorer → geben Sie in die Adresszeile ein:
\\10.0.0.1\Partage
Sie sehen den Inhalt des freigegebenen Ordners. Geben Sie Ihre Windows-Anmeldeinformationen des VPS ein.
Hauptvorteil: der Port 445 des VPS bleibt im Internet geschlossen - unsichtbar für Scans, immun gegen SMB-Ransomware.
Methode B - SMB über SSH-Tunnel
Wenn Sie bereits OpenSSH auf dem VPS installiert haben (seit Windows Server 2019 als optionale Funktion installierbar), können Sie SMB über SSH ohne VPN tunneln.
B.1 - OpenSSH-Server installieren (falls noch nicht geschehen)
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
Start-Service sshd
Set-Service -Name sshd -StartupType Automatic
New-NetFirewallRule -Name sshd -DisplayName "OpenSSH Server" `
-Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22
B.2 - Den Tunnel vom Client-PC aus herstellen
Auf Ihrem PC (Windows 10/11, macOS, Linux):
ssh -L 4450:127.0.0.1:445 admin@<ip-vps>
Dieser Befehl leitet den lokalen Port 4450 über SSH-Verschlüsselung an den Port 445 des VPS weiter.
B.3 - Die Freigabe lokal einbinden
Unter Windows:
net use Z: \\127.0.0.1\Partage\port=4450
⚠️ Windows-Einschränkung: der Windows-SMB-Client akzeptiert nicht leicht einen nicht standardmäßigen Port mit
net use. Lösung: Verwenden Sie Loopback-Adressen oder ein Tool wie Tableau Network Drive (kommerziell). Einfacher: Verwenden Sie Methode A (VPN).
B.4 - Unter Linux/macOS
sudo mount -t cifs //127.0.0.1/Partage /mnt/vps -o port=4450,username=admin
Diese Methode ist elegant, aber komplexer unter Windows. Für den regelmäßigen Gebrauch ziehen Sie Methode A vor.
Methode C - SFTP (die einfachste sichere)
SFTP ist das native Dateiübertragungsprotokoll von OpenSSH. Keine schweren Installationen, vollständige Verschlüsselung, funktioniert mit jedem Client (WinSCP, FileZilla, Cyberduck, Finder, Files Nautilus).
C.1 - OpenSSH mit SFTP auf dem VPS aktivieren
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
Start-Service sshd
Set-Service -Name sshd -StartupType Automatic
New-NetFirewallRule -Name sshd -DisplayName "OpenSSH Server" `
-Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22
SFTP ist standardmäßig aktiviert, sobald OpenSSH installiert ist. Keine zusätzliche Konfiguration erforderlich.
C.2 - SSH-Zugriff nach IP beschränken (empfohlen)
Set-NetFirewallRule -DisplayName "OpenSSH Server" -RemoteAddress "<ihre-erlaubten-ips>"
Oder ändern Sie den Standard-SSH-Port, um das Rauschen von Scans zu reduzieren.
C.3 - Auf der Client-Seite: einen SFTP-Client konfigurieren
- Windows: installieren Sie WinSCP (
winscp.net) - kostenlos, Drag-and-Drop-Oberfläche. - macOS: Finder →
Cmd+K→sftp://<ip-vps>- integriert den VPS als gemountetes Volume. - Linux: Files / Nautilus → Andere Orte → Mit einem Server verbinden →
sftp://<ip-vps>. - Alle OS: FileZilla (
filezilla-project.org) - kostenlos, plattformübergreifend.
C.4 - SFTP als Netzlaufwerk unter Windows einbinden
Um SFTP als Laufwerk Z: im Windows-Explorer zu haben:
- Installieren Sie SFTP Net Drive (kostenlos) oder
rclone mount(Open Source). - Konfigurieren Sie die Verbindung zu
sftp://<ip-vps>. - Wählen Sie den Laufwerksbuchstaben (
Z:).
Der Ordner des VPS erscheint als lokales Laufwerk, das von allen Ihren Anwendungen aus zugänglich ist.
Vorteile von SFTP
- ✓ Ende-zu-Ende-Verschlüsselung (SSH).
- ✓ SSH-Schlüssel-Authentifizierung (nicht bruteforcebar).
- ✓ Natives plattformübergreifendes Protokoll.
- ✓ Kein exponierter SMB-Port.
- ✓ Gleiche Ports wie SSH = nur ein Port zu öffnen.
Methode D - WebDAV über HTTPS
WebDAV erweitert HTTP, um das Lesen/Schreiben von Dateien zu ermöglichen. Vorteil: verwendet den Port 443 HTTPS, sodass es überall funktioniert (Unternehmen, Hotels, Hotspots, die SSH/VPN blockieren).
D.1 - WebDAV-Rolle auf IIS installieren
Install-WindowsFeature -Name Web-Server, Web-WebDAV-Publishing, Web-Basic-Auth `
-IncludeManagementTools
D.2 - IIS-Website konfigurieren
Über den IIS-Manager:
- Wählen Sie die Website aus → Authentifizierung → aktivieren Sie Basic Authentication.
- Gehen Sie zu WebDAV Authoring Rules → aktivieren Sie WebDAV.
- Fügen Sie eine Regel hinzu: erlaubte Benutzer, Berechtigungen Lesen/Schreiben.
D.3 - HTTPS erzwingen
Installieren Sie ein Zertifikat (Let's Encrypt über win-acme zum Beispiel) und konfigurieren Sie die Website nur auf Port 443.
D.4 - Client-Seite
- Windows: Explorer → Rechtsklick Dieser PC → Netzlaufwerk verbinden →
https://ihre-domain.com. - macOS: Finder →
Cmd+K→https://ihre-domain.com. - Linux: Paket
davfs2, dannmount -t davfs https://ihre-domain.com /mnt/dav.
WebDAV-Einschränkungen
- Leistung unter SMB/SFTP.
- Weniger zuverlässiges Locking (nicht für Datenbanken oder konkurrierende Dateien verwenden).
- Längere IIS-Konfiguration.
Auf der VPS-Seite - SMB-Freigabe im Detail erstellen
Unabhängig davon, ob Sie Methode A oder B wählen, müssen Sie eine SMB-Freigabe auf dem VPS erstellen. Hier sind die beiden Möglichkeiten: GUI und PowerShell.
GUI-Methode (grafisch)
- Erstellen Sie den freizugebenden Ordner im Explorer:
C:\Partage. - Rechtsklick auf den Ordner → Eigenschaften → Registerkarte Freigabe → Erweiterte Freigabe.
- Aktivieren Sie Diesen Ordner freigeben.
- Klicken Sie auf Berechtigungen → fügen Sie Ihren Windows-Benutzer hinzu → aktivieren Sie Lesen/Schreiben (Ändern + Vollzugriff nach Bedarf).
- Klicken Sie auf Zwischenspeicherung → deaktivieren Sie die Offline-Zwischenspeicherung, wenn Sie eine Echtzeitreaktion wünschen.
PowerShell-Methode (schnell)
# Erstellen Sie den Ordner
New-Item -Path "C:\Partage" -ItemType Directory -Force
# Erstellen Sie die SMB-Freigabe
New-SmbShare -Name "Partage" `
-Path "C:\Partage" `
-FullAccess "DOMAIN\IhrKonto" `
-Description "Benutzerfreigabe OuiHeberg"
# Überprüfen
Get-SmbShare -Name "Partage" | Format-List
Nützliche Varianten
# Versteckte Freigabe (der Name erscheint nicht im Netzwerkumfeld)
New-SmbShare -Name "Partage$" -Path "C:\Partage" -FullAccess "IhrKonto"
# Nur-Lese-Freigabe
New-SmbShare -Name "PartageRO" -Path "C:\Partage" -ReadAccess "Jeder"
# Aktivieren Sie die SMB-Verschlüsselung für die Freigabe (Windows Server 2019+)
Set-SmbShare -Name "Partage" -EncryptData $true -Force
Globale SMB-Verschlüsselung aktivieren (empfohlen)
Set-SmbServerConfiguration -EncryptData $true -Force
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Set-SmbServerConfiguration -EnableSMB2Protocol $true -Force
- SMB1 deaktiviert = Schutz gegen EternalBlue.
- EncryptData = selbst über VPN bleibt der Inhalt Ende-zu-Ende verschlüsselt.
Client-Seite - Freigabe einbinden
Unter Windows 10 / 11
Methode 1 - Explorer:
- Öffnen Sie den Datei-Explorer.
- Rechtsklick auf Dieser PC → Netzlaufwerk verbinden.
- Laufwerksbuchstabe:
Z:. - Ordner:
\\10.0.0.1\Partage(IP des VPS über VPN). - Aktivieren Sie Bei Anmeldung wieder verbinden und Mit anderen Anmeldeinformationen verbinden.
- Geben Sie das Windows-Konto des VPS ein.
Methode 2 - PowerShell:
# Temporäre Zuordnung
New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\10.0.0.1\Partage" -Credential (Get-Credential)
# Persistente Zuordnung nach Neustart
New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\10.0.0.1\Partage" `
-Credential (Get-Credential) -Persist
Methode 3 - net use:
net use Z: \\10.0.0.1\Partage /user:IhrKonto IhrPasswort /persistent:yes
Unter macOS
- Finder → Gehe → Mit Server verbinden (oder
Cmd + K). - Geben Sie ein:
smb://10.0.0.1/Partage. - Klicken Sie auf Verbinden, geben Sie die Anmeldeinformationen ein.
- Die Freigabe erscheint in der Seitenleiste des Finders.
Für die automatische Einbindung beim Start:
- Systemeinstellungen → Benutzer und Gruppen → Registerkarte Anmeldeobjekte.
- Fügen Sie das gemountete Volume hinzu.
Unter Linux (Ubuntu / Debian)
Installieren Sie cifs-utils:
sudo apt update
sudo apt install cifs-utils
Erstellen Sie den Einhängepunkt:
sudo mkdir /mnt/vps-partage
Manuell einbinden:
sudo mount -t cifs //10.0.0.1/Partage /mnt/vps-partage \
-o username=IhrKonto,password=IhrPasswort,uid=$(id -u),gid=$(id -g)
Für eine automatische Einbindung beim Booten erstellen Sie eine Datei mit Anmeldeinformationen:
sudo bash -c 'cat > /root/.smbcredentials << EOF
username=IhrKonto
password=IhrPasswort
EOF'
sudo chmod 600 /root/.smbcredentials
Fügen Sie dann zu /etc/fstab hinzu:
//10.0.0.1/Partage /mnt/vps-partage cifs credentials=/root/.smbcredentials,uid=1000,gid=1000,iocharset=utf8,_netdev 0 0
Testen Sie ohne Neustart: sudo mount -a.
NTFS-Berechtigungen + Freigabeberechtigungen: die verwirrende Regel
Es gelten zwei Berechtigungsebenen für eine SMB-Freigabe:
- Freigabeberechtigungen (SMB Share) - gelten nur für den Netzwerkzugriff.
- NTFS-Berechtigungen - gelten immer (lokal + Netzwerk).
Berechnungsregel: Die effektive Berechtigung ist die restriktivste der beiden.
| Freigabeberechtigungen | NTFS-Berechtigungen | Effektives Ergebnis |
|---|---|---|
| Lesen | Lesen/Schreiben | Lesen |
| Lesen/Schreiben | Lesen | Lesen |
| Vollzugriff | Ändern | Ändern |
| Vollzugriff | Vollzugriff | Vollzugriff |
Empfohlene bewährte Praktiken:
- Freigabeberechtigungen: Vollzugriff für authentifizierte Benutzer.
- NTFS-Berechtigungen: granular (nach Konto oder Gruppe), hier verwalten Sie wirklich die Sicherheit.
# NTFS-Berechtigungen über PowerShell
$acl = Get-Acl "C:\Partage"
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"IhrKonto", "Modify", "ContainerInherit,ObjectInherit", "None", "Allow"
)
$acl.SetAccessRule($rule)
Set-Acl "C:\Partage" $acl
Fehlerbehebung
„Zugriff verweigert“ trotz der richtigen Berechtigungen
Ursache: Konflikt zwischen Freigabeberechtigungen und NTFS oder Windows-Anmeldeinformationen im Cache.
Lösung:
net use * /delete /y # alle zwischengespeicherten Zuordnungen löschen
cmdkey /list # gespeicherte Anmeldeinformationen anzeigen
cmdkey /delete:<name> # veraltete Anmeldeinformationen löschen
„Der Netzwerkpfad wurde nicht gefunden“
Ursache: keine Konnektivität zum VPS oder Name nicht aufgelöst.
Lösung: Pingen Sie die IP des VPS über VPN an. Wenn der Ping funktioniert, aber SMB nicht, überprüfen Sie:
- Port 445 in der Firewall des VPS für den VPN-Bereich geöffnet.
- LanmanServer-Dienst gestartet:
Get-Service LanmanServer.
Extreme Langsamkeit beim Lesen/Schreiben
Mögliche Ursachen:
- MTU-Mismatch im VPN - fügen Sie
MTU = 1280in die WireGuard-Konfiguration ein. - Antivirus auf dem Client, das den gesamten SMB-Verkehr scannt.
- SMB1 aktiviert (immer deaktivieren):
Set-SmbServerConfiguration -EnableSMB1Protocol $false. - Verschlüsselung aktiviert ohne Hardwarebeschleunigung auf einem alten VPS: Verwenden Sie den VPN-Tunnel, der bereits verschlüsselt, und deaktivieren Sie
EncryptData.
Die Freigabe verschwindet nach dem Neustart des VPS
Get-SmbShare -Name "Partage"
# Wenn nicht vorhanden, wurde die Freigabe nicht im persistenten Modus erstellt
Erstellen Sie sie erneut mit New-SmbShare (Freigaben, die über PowerShell erstellt werden, sind standardmäßig persistent, es sei denn, Sie haben ein Skript verwendet, das sie bei jedem Boot neu erstellt - überprüfen Sie den Task Scheduler).
Fehler „STATUS_USER_SESSION_DELETED“ (0xC0000203)
Ursache: Die SMB-Sitzung wurde verloren (VPN-Trennung, Netzwerk-Timeout).
Lösung:
# Auf der Client-Seite, SMB-Timeout erhöhen
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" `
-Name "SessTimeout" -Value 600
„Der Benutzer ist gesperrt“
Ursache: Sperrpolitik ausgelöst durch zu viele fehlgeschlagene Versuche (siehe unseren RDP-Brute-Force-Leitfaden).
Lösung: Entsperren über net user IhrKonto /active:yes oder auf das Ende der Sperre warten (standardmäßig 30 Minuten).
FAQ - Ein Verzeichnis auf einem Windows VPS teilen und einbinden
Kann ich ein Verzeichnis von meinem Windows VPS direkt im Internet teilen? Technisch ja, aber es ist extrem gefährlich. Der SMB-Port 445 ist seit 2017 das Hauptziel von Ransomware (WannaCry, NotPetya). Machen Sie das niemals: Kapseln Sie SMB immer in ein VPN (Methode A) oder verwenden Sie SFTP (Methode C).
Was ist der Befehl zum Erstellen eines SMB-Freigabe in PowerShell? New-SmbShare -Name "Freigabe" -Path "C:\Freigabe" -FullAccess "IhrKonto". Die Freigabe ist sofort verfügbar und bleibt zwischen Neustarts bestehen.
Wie bindet man ein VPS-Verzeichnis auf einem Mac ein? Im Finder drücken Sie Cmd + K und geben smb://<ip-vps>/Freigabe (über VPN) oder sftp://<ip-vps> für SFTP ein. Geben Sie Ihre Anmeldedaten ein. Das Verzeichnis erscheint in der Seitenleiste als eingebundenes Volume.
SMB oder SFTP: Was soll ich für einen VPS wählen? SFTP, wenn Sie nur gelegentlich Dateien übertragen oder einsehen möchten - einfacher, standardmäßig sicherer. SMB über VPN, wenn Sie ein dauerhaft eingebundenes Netzlaufwerk wie ein lokales Laufwerk für Anwendungen haben möchten, die auf einen UNC-Pfad verweisen.
Warum ist mein VPS über SMB über VPN langsam? Die Hauptursachen: (1) Falsch konfiguriertes MTU im VPN - setzen Sie MTU = 1280 in WireGuard; (2) SMB-Verschlüsselung zusammen mit VPN-Verschlüsselung - deaktivieren Sie EncryptData der Freigabe, wenn das VPN bereits verschlüsselt; (3) Client-Antivirus, das den gesamten Verkehr scannt. Bei einer guten Verbindung sollten Sie 80 bis 100 Mbits/s über SMB in WireGuard erreichen.
Sollte man SMB1 auf einem VPS deaktivieren? Ja, absolut. SMB1 wird von EternalBlue ausgenutzt (die Schwachstelle, die WannaCry verursacht hat). Befehl: Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force. Kein moderner Client benötigt SMB1.
Ist mein Windows-Freigabe von Linux aus zugänglich? Ja, über cifs-utils (Paket cifs-utils auf Debian/Ubuntu, samba-client auf Fedora). Befehl: sudo mount -t cifs //ip/freigabe /mnt/punkt -o username=X,password=Y. Für eine automatische Einbindung beim Booten konfigurieren Sie /etc/fstab mit der Option _netdev.
Was ist der Unterschied zwischen NTFS-Berechtigungen und Freigabeberechtigungen? Freigabeberechtigungen = Zugriff nur über das Netzwerk. NTFS-Berechtigungen = Zugriff unter allen Umständen (lokal + Netzwerk). Die effektive Berechtigung ist die restriktivste von beiden. Gute Praxis: Freigabeberechtigungen auf „Vollzugriff“ setzen und die tatsächliche Sicherheit über NTFS-Berechtigungen verwalten.
Kann man WebDAV anstelle von SMB verwenden? Ja, und es ist nützlich, wenn Sie sich in einem Netzwerk befinden, das SSH/VPN-Ports blockiert (Hotels, Unternehmen). WebDAV läuft über HTTPS (Port 443) und funktioniert überall. Allerdings sind die Leistungen schlechter als bei SMB/SFTP und das Locking ist weniger zuverlässig - zu vermeiden für Datenbanken oder konkurrierende Dateien.
Wie teile ich ein VPS-Verzeichnis mit mehreren Benutzern im Nur-Lese-Modus? New-SmbShare -Name "FreigabeRO" -Path "C:\Freigabe" -ReadAccess "Benutzer". Konfigurieren Sie dann die NTFS-Berechtigungen des Verzeichnisses, um zu begrenzen, wer was darin sehen kann. Es ist die NTFS-Ebene, die die feine Sicherheit gewährleistet, nicht die SMB-Freigabe.
Fazit
Ein Verzeichnis von einem Windows VPS auf einen PC zu teilen, bedeutet, zwischen SMB gekapselt (über VPN oder SSH) für ein dauerhaftes Netzlaufwerk oder SFTP für verschlüsselte gelegentliche Übertragungen zu wählen. Die absolute Regel, die beachtet werden muss: niemals den Port 445 direkt im Internet exponieren - das ist die Hauptursache für Ransomware auf Windows VPS seit 2017.
Mit einer WireGuard + verschlüsselten SMB-Konfiguration erhalten Sie ein entferntes NAS, das von Windows, macOS und Linux aus zugänglich ist, mit nativen Leistungen (typisch 80-100 Mbits/s) und einer Sicherheit, die einem LAN-Freigabe entspricht.
Suchen Sie einen geeigneten Windows VPS, um eine entfernte Datei-Freigabe zu hosten? Die Windows VPS von OuiHeberg beinhalten SSD NVMe für optimale Leistungen in SMB, sofortigen RDP-Zugang und optional vorinstallierbares WireGuard-VPN, 7/7 Support mit Sitz in Frankreich.