随着全球备份日的临近,数据隐私日即将到来,我们准备了10个数据安全小贴士来帮助你保护你的Synology设备免受网络威胁。
网络安全威胁在过去几年里急剧上升。据《纽约时报》报道,2019年有超过200,000家企业遭到勒索,比去年增加41%。
为帮助您进行自我保护,我们整理了常常被忽视的一些重要数据安全设置。最后,我们还提供了一些额外的提示,以帮助确保数据完整性——数据保护的另一个支柱。
注:下面列出的大多数设置只能由用户帐户进行管理,并可以访问和修改。
技巧1:保持更新,并打开通知。
DSM的更新将定期发布,以提供功能和性能的改进,并解决产品的安全漏洞。
只要有安全漏洞出现,我们的产品安全事件响应小组就会在8小时之内对其进行评估和调查,然后在15小时之内发布补丁,以防止零天攻击可能造成的损害。
对大多数用户来说,我们强烈建议您设置自动更新来自动安装最新的DSM更新。
很多Synology群晖设备都有在VirtualMachineManager中运行VirtualDSM来创建一个虚拟版的DSM操作系统。用VirtualDSM创建转换环境,然后在该环境中复制或尝试复制生产环境。将最新的DSM版本安装到虚拟DSM上,然后执行升级测试,验证当前部署所需的关键功能,然后在主环境中继续进行更新。
另一个需要思考的重要问题是,当事情发生时,如何处理它。将通知设置为SynologyNAS,并在发生特定事件或错误时通过电子邮件、短信、移动设备或Web浏览器接收通知。如果使用的是Synology的DDNS服务,那么当外部网络连接丢失时,您可以选择通知。如果没有足够的存储空间,或者备份和还原任务失败,立即采取措施是确保数据长期安全的重要组成部分。
此外,我们还鼓励您设置Synology帐户来接收NAS和安全公告,以便了解最新的安全性和特性更新。
AutoUpdate只支持次要DSM更新。需要手动安装重要更新。
技巧2:运行安全顾问。
SecurityAdvisor是一个预先安装好的应用程序,它可以扫描你的NAS来找到常见的DSM配置问题,提供给你下一步如何保护你的SynologyNAS。举例来说,它可以检测到一些常见的问题,如打开SSH访问、出现任何异常登录活动以及是否修改了DSM系统文件等。
技巧3:设置基本DSM安全特性。
在“控制面板”>“安全”选项卡中,您可以配置许多安全设置来保护用户帐户。
IP自动阻止
开启控制面板,点击安全>自动阻止。AutoDiscovery可自动阻止未在指定时间和次数内登录的客户端的IP地址。管理者也可以在黑名单中列出特定的IP地址,防止可能发生的暴力或拒绝服务攻击。
基于用户类型配置尝试次数,该操作取决于使用环境和设备。切记,大多数家庭和企业只有一个外部IP地址供其用户使用,而且IP地址通常是动态的,在几天或几周内就会改变。
帐户保护。
尽管在一次身份验证失败时,自动阻止的IP地址会被列入黑名单,但是帐户保护则通过阻止非可信客户端访问来保护用户帐户。
控制面板>安全性>帐户保护。你可以启用帐户保护功能来屏蔽在某些失败登录之后不受信任的客户的帐户。这将提高DSM的安全性,并降低帐户受到分布式攻击的强力攻击的风险。
打开HTTPS。
在启用HTTPS之后,可以对群晖NAS与所连接客户端之间的网络通信进行加密和保护,从而防止常见的窃听或中间人攻击。
控制面板>Network>DSM设置。选择自动重定向HTTP连接到HTTPS复选框。你将通过HTTPS连接到DSM。从地址栏中,你会发现这个设备的URL开头是“https://”,而非“http://”。注意,https的默认端口号是443,而默认端口号是80,用于http。可能需要对之前的一些防火墙或网络设置进行更新。
先进:定制防火墙规则。
Firewards作为一个虚拟屏障,可以根据规则集从外部源过滤网络流量。“控制面板”>“安全”>“防火墙”可设置防止未授权登录和控制服务访问的防火墙规则。你可以决定是否允许或拒绝通过特定的IP地址访问某些网络端口,这是一种很好的方法,例如,可以允许来自特定办公室的远程访问,也可以只访问特定的服务或协议。
技巧4:HTTPS第2部分——我们来加密。
在启用HTTPS中,数字证书起到了关键作用,但是通常很贵而且很难维护,尤其是对非商业用户来说。该DSM内建了对Let'sEncrypt(一个免费的自动证书颁发机构)的支持,允许任何人轻松地保护自己的连接。
假如你已经注册了一个域名,或者你正在使用DDNS,进入控制面板>安全性>证书。点击新增证书>从Let'sEncrypt获取证书,对大多数用户来说,在选择中“设置为默认证书”*。请输入用于获取证书的域名。
在你拿到证书之后,确保所有的流量都通过了HTTPS(见技巧3)。
若已将设备设置为通过多个域或子域提供服务,则需要将每个服务使用的证书配置在控制面板>安全>证书>配置中。
视频教程YouTube。
技巧5:取消默认管理员帐户。
一般的管理员用户名可以使你的SynologyNAS容易受到恶意团体的攻击,他们使用一般用户名和密码组合进行强制攻击。在设置NAS时,避免通用名,如“admin”,“administrator”,“root”*。在设置SynologyNAS并禁用系统默认Administrators帐户**之后,我们建议您立即设置一个强大且唯一的密码。
若您目前使用admin用户帐户登录,请转到控制面板>用户,然后新建一个管理帐户。接着,用新帐户登录并禁用系统默认的“管理员”。
*不允许用户名为“root”。
**如果使用非“admin”用户名设置,则将禁用默认帐户。
地址:北京市海淀区白家疃尚品园 1号楼225
北京群晖时代科技有限公司