Synolgoy 的安全性一直是他們的指標之一,對於系統安全一直深受大家信任,不過近期卻爆發出用戶檔案遭受勒索軟體加密的情況發生,經過探查之後發現,這次攻擊是針對市面上各品牌與型號的 NAS 大規模的進行暴力密碼破解,而並非實際上有系統漏洞,所以大家對於
管理者權限要更加謹慎,除了不要用預設的 Admin 帳號之外,還要有更多層的保護,官方有哪些建議步驟要做呢?一起帶大家來看看!
官方建議步驟:
- 於控制台 > 使用者帳號新增一組具管理員權限的帳號,並停用系統預設的「admin」帳號
- 使用強度較強的密碼,並在控制台 > 使用者帳號 > 進階設定啟動密碼強度限制規則
- 啟用兩步驟驗證,強化帳號安全
- 在控制台啟用自動封鎖並執行安全性諮詢中心以避免系統使用弱密碼
- 在控制台中啟用防火牆,僅為必要的服務開啟外部連接埠
以下是帶大家實作的部分,請依序參考囉!
進階設定啟動密碼強度限制規則 △ 控制台 > 使用者帳號 > 進階設定 > 啟用密碼強度限制規則,這個部分主要是設定密碼強度,能設定預防使用者名稱出現在密碼當中、設定包含大小寫、包含數字、包含特殊字元、排除常用密碼、設定密碼長度等,基本上有英文大小寫 + 數字 + 特殊符號就有一定的安全性了!
使用者帳號新增一組具管理員權限的帳號 通常帳號密碼暴力破解都是針對預設管理者帳號,Synology 預設帳號就是 admin,所以必須新增一個管理者帳號,再來停用原本的 admin 帳號。
△ 控制台 > 使用者帳號。
△ 新增一個帳號,若原本有帳號的話,可以使用編輯的方式。
△ 設定使用者名稱與密碼,密碼強度剛剛在第一個步驟設定過,密碼強度請設定強一點,比較不容易被暴力破解。
△ 下一個步驟請將開使用者加入 administrators 的群組,也代表加入了管理者權限。
△ 接下來就是各種權限設定,基本上就是最管理者就是最高權限,不用特別設定也可以。
停用系統預設的「admin」帳號 △ 接下來請使用新增的管理者帳號登入,之後進入控制台中的使用者帳號,編輯 admin 使用者,勾選「停用此使用者帳號」確定後離開,徹底的停用預設 admin 管理者帳號的權限。
啟用兩步驟驗證,強化帳號安全 △ 新的管理者帳戶進入之後,從右上角點選頭像圖示 > 個人設定。
△ 勾選啟動兩步驟驗證,不過這功能要先開啟電子郵件通知服務,若沒有設定就順便設定,設定步驟我就跳過,因為還頗簡單的。
△ 設定好電子郵件通知服務之後,勾選啟動兩步驟驗證,就會進入兩步驟驗證精靈,下一步繼續開始設定。
△ 設定電子郵件地址,如果行動裝置遺失時可以使用。
△ 這時候請從手機另外安裝 Google Authenticator(
Android 安裝、
iOS 安裝),安裝後開啟 Google Authenticator 來掃描畫面中的 QRcode。
△ 之後會在 Google Authenticator APP 當中顯示 6 位數的驗證碼,輸入後下一步繼續。
△ 這樣就設定完成囉!以後登入帳號就要兩步驟驗證,安全性提升非常非常多。
登入失敗自動封鎖 △ 控制台 > 安全性 > 帳號 > 啟動自動封鎖,這部分的設定預設就開啟的,請大家可以檢查看看,通常一直嘗試登入失敗就會被封鎖,這裡大家也可以調整封鎖的頻率,甚至可以設定被解除的時間。
啟用防火牆 △ 控制台 > 安全性 > 防火牆,這個預設是沒有開啟,請大家手動啟動防火牆,並且編輯規則開啟對外服務的外部連接埠,防火牆設定後也請務必測試各項服務是否正常唷!!!