广州和世鑫  Synology群晖企业方案

 

 

勒索病毒,一直在伺机而动。近期又有一种名为“WannaRen”的新型比特币勒索病毒来袭,与之前“WannaCry”行为类似,会加密Windows系统中几乎所有文件。

面对勒索病毒,为数据设置定时备份,遵循「备份321」原则,建立灾备机制,这些措施都可以有效抵御被病毒威胁而导致数据丢失。
 

http://s2-content.smarket.net.cn/index.php?mappingId=12d0bb64a8bdc94b61f4165fa22f7124

 

但有一些系统安全设置常常会被忽略,用户可以通过加强群晖NAS的系统安全、提高密码强度、增加访问验证等,来加强系统防护。这里,群晖整理了9个技巧,来提升系统安全性



 

 

 

 01 

 保持更新&启用通知 实时更新DSM群晖定期发布DSM系统更新,除了优化功能和性能外,还会解决一些产品安全漏洞
而如果发生安全漏洞时,群晖
产品安全事件响应团队(PSIRT)会在
8小时内进行评估和调查,并在接下来的15小时内发布补丁,以防止零日攻击的潜在损害。

 

http://s2-content.smarket.net.cn/index.php?mappingId=14789a0a4d5a043b8c06e92090a91af9

 

如果企业考虑到业务稳定性,不会实时对DSM进行更新,那可以先在群晖虚拟化应用平台—Virtual Machine Manager中创建一个虚拟DSM系统,也就是VDSM,将生产环境复制到VDSM中,并将VDSM系统更新到最新,以此来进行升级测试。
启用通知
开启接收系统通知,在发生特定事件时可以通过邮件、短信、移动设备或Web浏览器接收通知。例如:存储空间不足或备份任务失败,可以及时收到通知,并快速采取相应措施。

 

http://s2-content.smarket.net.cn/index.php?mappingId=8920ccc63ca9f88f5fe992b3485d2724

 

另外,建议用户建立Synology Account,可以及时收到安全信息以及最新的功能和产品资讯。


 

 

 

 02 

 运行安全顾问 通过【安全顾问】,可以扫描NAS系统、帐户、网络等安全情况,并且通过扫描结果,安全顾问还会提供建议的操作。例如,是否不小心打开SSH服务,是否发生任何异常登录活动等。
无论是企业还是个人,都建议设置定期扫描计划。而针对企业环境,还可以根据需求来勾选更多的检查项目


http://s2-content.smarket.net.cn/index.php?mappingId=bf14604ccf56da373ac29ca3b96ef5d3


 

 

 

 03 

 设置基本DSM安全功能 IP自动封锁
网络攻击最基本的就是恶意登录,在密码强度低的情况下,很有可能会被恶意攻破密码。所以通过设定登录次数和时间限制,来封锁恶意尝试登录的IP。同时还可以导入IP黑白名单,来规范访问。

 

http://s2-content.smarket.net.cn/index.php?mappingId=7ba205b3c9e58c3e84648435f856aa60

 

启用帐户保护除了设置IP黑白名单,还可以选择依据客户端来设置帐户保护,添加信任或是屏蔽不受信任的客户端。


http://s2-content.smarket.net.cn/index.php?mappingId=d9945bf28db149b553cd9cc7b18805d0

 

启用HTTPS

启用HTTPS后,可以加密和保护NAS与客户端之间的网络连接。
 

http://s2-content.smarket.net.cn/index.php?mappingId=fbcab353b0d8fe0aa1d2e481d118b5c9

 

自定义防火墙规则

通过启用防火墙,根据自定义规则在被保护的内网和外网间构建保护屏障。
 

http://s2-content.smarket.net.cn/index.php?mappingId=0b202622a7258e97f485c79ad0b59b39

 

防火墙是一个虚拟屏障,通过自定义规则可以防止未授权的登录和控制服务访问。用户可以决定是否允许或拒绝通过特定IP地址访问特定的网络端口。例如:允许从特定的办公室进行远程访问,或是只允许访问特定的服务或协议。


 

 

 

 04 

 为HTTPS添加证书 
数字证书在HTTPS中起着关键作用,但通常价格昂贵且难以维护。而对于小型工作室,或是家庭用户,群晖支持Let's Encrypt(一个免费的自动证书颁发组织),可以使用户进行安全连接。

 

http://s2-content.smarket.net.cn/index.php?mappingId=ab8e2002b0015b0b4ea7d66eb40d7362




 

 

 

 05 

 停用默认的管理员帐户 一些网络病毒会主动攻击系统中默认的admin,也就是管理员帐户,以获取系统的最高授权,从而可以攻击所有终端和文件。
所以在设置NAS时,尽量
避免使用admin等通用名称,例如:administrator、root等。所以在NAS中禁用默认admin帐户后,再自定义创建一个具有管理员权限的帐户,并设置高强度的唯一密码,不要和其他系统或平台通用。


http://s2-content.smarket.net.cn/index.php?mappingId=487a7da14f2454f96520719379302e90


 

 

 

 06 

 密码强度 密码作为登入NAS的重要凭证,需要尽量设置的复杂化,建议密码包含大小写字母、数字和特殊符号,并尽量不要和其他系统、平台通用。
另外,某些情况下,系统管理员会给具有相同权限的帐户设置同一个密码,而如果当某个帐户被盗,则其他帐户也会被轻松控制。

所以,管理员在设置帐户时,可以自定义密码策略,以规范所有用户设定密码的强度。

 

http://s2-content.smarket.net.cn/index.php?mappingId=1515a0c1cb9725835d6a8435ba729ff2

 

如果强密码容易导致用户忘记,也可以通过密码管理器,例如:1Password、LastPass、Enpass等。这样只需要记住一个主密码,密码管理器将帮助您创建和填写所有其他帐户的登录凭据。

 

http://s2-content.smarket.net.cn/index.php?mappingId=482e8758569bc2735e8c10ee2ab075bc




 

 

 

 07 

 2步验证 2步验证,可以为登录时添加额外的安全保护,也就是除了需要输入密码外,还需要输入手机上收到的一个6位动态验证码。这样就可以做到更安全的登录限制。
通过管理员对用户手机进行绑定设置,可以授权给绑定的手机进行2步验证。而当绑定的手机遗失或更换时,也可以取消该绑定设备来进行重设。


 

http://s2-content.smarket.net.cn/index.php?mappingId=e16d79a9b3d622b45d61282fa07b2b59




 

 

 

 08 

 更改默认端口 通过更改DSM的默认HTTP(5000)和HTTPS(5001)端口,可以阻止一些有针对性的常见威胁。而如果定期使用终端机来登录NAS,也可以更改默认的SSH(22)端口


http://s2-content.smarket.net.cn/index.php?mappingId=c4774492e94dc81ef60c44b06926695b

还可以部署反向代理从而提高安全性,反向代理会作为内部服务器和远程访问之间的通信中介,从而隐藏关于服务器的某些信息,例如服务器的实际IP地址。



 

 

 

 09 

 不使用时禁用SSH/Telnet 结合上一点,如果是定期需要使用SSH/Telnet服务,请在不用时进行关闭。由于默认情况下启用了root访问,并且SSH / Telnet仅支持以管理员帐户登录,因此黑客可能会强行破解管理员密码来获得对系统的未授权访问。如果需要始终提供终端服务,建议设置一个强密码并更改默认的SSH(22)端口号,以提高安全性。
通过以上9点可以为NAS系统加强安全等级,并实时掌握运行情况。除此之外,确保了数据安全,还要实时检测数据的一致性,因为如果有未授权的访问,很有可能会导致数据丢失或被篡改。所以在这9点基础上,还要定期对存储池进行数据清理,并对硬盘进行S.M.A.R.T.检测,以检测数据的完整性。

 

http://s2-content.smarket.net.cn/index.php?mappingId=19c98c9b0fe8a1302909e2ba6301b469

浏览量:0
创建时间:2021-04-04 19:26

面对勒索病毒,除了备份,还要做好这9点

网站首页    技术支持    防勒索    面对勒索病毒,除了备份,还要做好这9点