适用于 Windows Server 2022、Windows Server 2019、Windows 10（内部版本 1809 及更高版本）

本文介绍了适用于 OpenSSH 服务器 (sshd) 的特定于 Windows 的配置。

OpenSSH 在 OpenSSH.com 上在线维护有关配置选项的详细文档，本文档集中没有重述。

OpenSSH 具有用于服务器和客户端设置的配置文件。 OpenSSH 是开源软件，从 Windows Server 2019 和 Windows 10（内部版本 1809）开始添加到 Windows Server 和 Windows 客户端操作系统中。 因此，这里不再赘述 OpenSSH 配置文件的开源文档。 客户端配置文件可以在 ssh_config 手册页中找到，而 OpenSSH 服务器配置文件可以在 sshd_config 手册页中找到。

Open SSH 服务器 (sshd) 默认情况下从 %programdata%\ssh\sshd_config 中读取配置数据，也可以通过使用 -f 参数启动 sshd.exe 来指定不同的配置文件。 如果该文件不存在，则在启动该服务时，sshd 将使用默认配置生成一个文件。

在 Windows 中，OpenSSH 客户端 (ssh) 按以下顺序从配置文件中读取配置数据：

默认命令 shell 提供用户使用 SSH 连接到服务器时看到的体验。 初始默认 Windows 是 Windows Command shell (cmd.exe)。 Windows 还包括了 PowerShell，第三方命令 shell 也可用于 Windows，并可配置为服务器的默认 shell。

若要设置默认命令 shell，请首先确认 OpenSSH 安装文件夹是否位于系统路径上。 对于 Windows，默认安装文件夹为 %systemdrive%\Windows\System32\openssh。 以下命令显示当前路径设置，并向其中添加默认的 OpenSSH 安装文件夹。

通过将 shell 可执行文件的完整路径添加到 DefaultShell 字符串值中的 HKEY_LOCAL_MACHINE\SOFTWARE\OpenSSH，在 Windows 注册表中配置默认 ssh shell。

例如，以下提升的 PowerShell 命令将默认 shell 设置为 powershell.exe：

在 Windows 中，sshd 默认情况下从 %programdata%\ssh\sshd_config 中读取配置数据，也可以通过使用 -f 参数启动 sshd.exe 来指定不同的配置文件。 如果该文件不存在，则在启动该服务时，sshd 将使用默认配置生成一个文件。

下面列出的元素提供了通过 sshd_config 中的条目可以实现的特定于 Windows 的配置。 可以在其中实现的其他一些配置设置在此处没有列出，因为在线 Win32 OpenSSH 文档中详细介绍了它们。

提示

OpenSSH 服务器 (sshd) 在服务启动后读取配置文件。 对配置文件的任何更改都需要重新启动服务。

使用 AllowGroups、AllowUsers、DenyGroups 和 DenyUsers 指令控制哪些用户和组可以连接到服务器。 allow/deny 指令按以下顺序处理：DenyUsers、AllowUsers、DenyGroups，最后是 AllowGroups。 必须以小写形式指定所有帐户名称。 有关 SSH_ 配置中的模式和通配符的更多信息，请参阅 sshd_config OpenBSD 手册页。

当使用域用户或组配置基于用户/组的规则时，请使用以下格式：user?domain*。 Windows 允许使用多种格式来指定域主体，但许多格式与标准 Linux 模式冲突。 因此，添加了 * 来涵盖 FQDN。 此外，此方法使用“?”而不是 @，以避免与“用户名@主机”格式发生冲突。

工作组用户/组和连接到 internet 的帐户始终解析为其本地帐户名称（不包括域部分，类似于标准 Unix 名称）。 域用户和组严格解析为 NameSamCompatible 格式 - domain_short_name\user_name。 所有基于用户/组的配置规则都需要遵循此格式。

以下示例拒绝来自主机 192.168.2.23 的 contoso\admin，并阻止来自 contoso 域的所有用户。 以下示例还允许属于 contoso\sshusers 组和 contoso\serveroperators 组成员的用户。

以下示例允许用户 localusers 从主机 192.168.2.23 登录，并允许 sshusers 组成员登录。

对于 Windows OpenSSH，唯一可用的身份验证方法是 password 和 publickey。

重要

当前不支持使用 Azure AD 帐户进行身份验证。

默认为 .ssh/authorized_keys。 如果路径不是绝对路径，则采用相对于用户的主目录的路径（或配置文件映像路径），例如，C:\Users\username。 如果用户属于管理员组，则改为使用 %programdata%/ssh/administrators_authorized_keys。

提示

administrators_authorized_keys 文件必须只具有 NT Authority\SYSTEM 帐户和 BUILTIN\Administrators 安全组的权限条目。 NT Authority\SYSTEM 帐户必须被授予完全控制权限。 管理员需要 BUILTIN\Administrators 安全组来管理授权密钥，你可以选择所需的访问权限。 要授予权限，你可以打开提升的 PowerShell 提示符，然后运行 icacls.exe "C:\ProgramData\ssh\administrators_authorized_keys" /inheritance:r /grant "Administrators:F" /grant "SYSTEM:F" 命令。

此指令仅在 sftp 会话中受支持。 到 cmd.exe 的远程会话不遵循 ChrootDirectory。 若要设置仅限 sftp 的 chroot 服务器，请将 ForceCommand 设置为 internal-sftp。 还可以通过实现仅允许 scp 和 sftp 的自定义 shell，来通过 chroot 设置 scp。

GSSAPIAuthentication 配置参数指定是否允许基于 GSSAPI 的用户身份验证。 GSSAPIAuthentication 的默认值为 no。

使用 OpenSSH 客户端时，GSSAPI 身份验证还需要使用 -K 开关以指定主机名。 或者，你可以在 SSH 客户端配置中创建相应的条目。 在 Windows 中，OpenSSH 客户端默认从 %userprofile%.ssh\config 读取配置数据。

你可以在下面看到一个 GSSAPI OpenSSH 客户端配置示例。

重要

GSSAPI 仅在 Windows Server 2022、Windows 11 和 Windows 10 xxxx 中可用。

默认值为：

如果默认值不存在，则 sshd 会在服务启动时自动生成这些值。

将使用一个或多个标准来匹配条件。 找到一个匹配项后，将应用后续的配置参数。 匹配时使用 AllowGroups、AllowUsers、DenyGroups、DenyUsers 部分中介绍的模式规则。 用户和组名称应采用小写。

在 Windows 中不适用。 要阻止管理员登录，请将 Administrators 与 DenyGroups 指令一起使用。

如果需要基于文件的日志记录，请使用 LOCAL0。 日志将在 %programdata%\ssh\logs 下生成。 对于其他任何值（包括默认值）AUTH 都会将日志记录定向到 ETW。 有关详细信息，请参阅 Windows 中的日志记录功能。

以下配置参数从 Windows Server 2022、Windows 11 和 Windows 10 xxxx 开始可用：

以下配置参数在 Windows 服务器和 Windows 客户端附带的 OpenSSH 版本中不可用：