我的华硕NAS之旅篇六：NAS勒索病毒来袭！所有NAS用户都不容忽视的安全解决方案【实机演示，建议收藏】

作者：Stark-C

曾经刚种草NAS的我，天真的以为数据放在某网盘不是很靠谱，特别是重要的数据（小姐姐们），然后入手NAS之后就能万事大吉了。

结果等我玩了一段时间之后，才发现我对了又错了！

对的是小姐姐们在NAS上确实很安全，因为她们不会跑。

错的是虽说她们不会跑，但是她们可能不是我独享，甚至还被其它别有用心的人另外用把锁将她们锁在里面，连我都不能访问。

并且还贴心的在锁旁边贴了张纸条：访问要钱！

天理何在？我自己的房子被外人上了把锁，开锁还要花钱？！

对，没错！说了这么多我其实就是想告诉大家：

我说的这个外人其实就是别有用心的网络攻击者，

而那把锁就是传说中的勒索病毒。

勒索病毒：通俗来讲我们的NAS其实就是相当于我们日常使用的电脑，除了硬件配置，还有自己的系统。电脑系统会有中毒的可能，而NAS也是一样，并且都是通过恶意软件来传播的这个病毒！不过针对NAS的恶意软件深知我们NAS的使用场景，它直接将我们的NAS加密（也就是前面说的那把锁），让我们根本无法控制我们的NAS设备，并且还弹出一个要钱的赎金标签，来勒索我们用户。所以这样的恶意软件就被称为勒索病毒

某NAS中了勒索病毒之后的界面，大概意思是正在向用户索取比特币~~，据说它要的比特币在那个时候的行情，超过了人民币1W+。

说了那么多，其实就是告诉大家，不要以为购买了NAS就可以高枕无忧了，因为世界还是存有很多搞破坏的。。。我们还有很多必要的安全措施需要进一步的优化与设置，只有这样，我们才能最大限度的做到万无一失，而不被勒索病毒等恶意软件侵略。

首先需要说明的是我今天演示的NAS产品为华硕 AS6704T。聪明的小伙伴其实看完之后就会举一反三，在自己的其它不同品牌NAS上也能设置成一样的安全效果。

华硕 AS6704T定位于企业NAS产品，所以配置不错。采用了目前最先进的Intel 10 nm N5105 四核心处理器，拥有2.5Gb双网口设计，支持扩展到10G网卡，搭载了 4 个 M.2 SSD卡槽扩展位，并且自带一个HDMI接口，可以硬解 4K 解码串流，非常强悍。

该款NAS已经搭载了目前最新的华硕ADM 4.1操作系统，这个系统已经强化了NAS的安全措施，并且还提升了NAS的诸多稳定性。但是对于我们用户来说，一些日常需要做好的防范措施还是非常有必要的，因为搞定之后，就可以大大提升我们NAS的安全性了！

PS：以下操作不分主次和前后，如果你的NAS有同样的设置项，完全可以按照以下教程一样操作。

NO.1 保持最新系统

能给NAS远程传播勒索病毒的一定肯定是非常熟悉该NAS的人，它会钻研系统漏洞而做出不同的攻击。同时，一个负责任NAS厂商的技术部门也会根据系统的漏洞进行持续的改进与更新来解决产品安全漏洞。所以说我们NAS用户只要看到有系统更新提醒，就第一时间更新系统就可以了！

PS：此操作仅针对官方正品NAS产品，黑NAS用户请勿此操作！！！切记！！！（从另一方面讲，我这里算不算间接的建议大家转正正规NAS呢~~某品牌NAS别忘付我广告费哈！）

华硕NAS用户只需要在偏好设置--ADM更新里面，勾选上启用新版本提示通知，如果系统有新的版本更新，NAS就会第一时间推送并通知用户。

NO.2 停用默认的管理员帐户

NAS厂商的默认管理员账户一般都是一样的，所以很容易就被攻击者猜到而主动攻击这个账户。所以我们的NAS到手之后就应该第一时间里创建一个属于自己的管理员账户，并禁用产品默认的管理员账户。

打开NAS的访问控制--本机用户--新增用户

重新设置用户名和密码。这里的密码建议设置一个英文数字组合的高强度密码（自己要记住啊），然后点击下一步。

这里勾选此使用者拥有管理者的权限并可存取所有现有的共享文件夹

没有问题之后点击完成

接着我们点击自己账户位置，选择注销

登录的时候输入自己刚刚新建立的那个管理员账户，而不是之前的那个系统默认管理员账户。

再次回到NAS界面，就会发现用户管理员已经变成我们更改之后的了。

此时工作还没完成。我们还要继续回到访问控制里面，按照上图步骤停用系统默认的管理员账户。

目前来访者账户我也用不上，也一起停用了，只保留自己建立的新管理员账户就可以了。

NO.3 更改默认的设备端口号

玩NAS的小伙伴都知道端口号的重要性，我们不管是局域网访问或者外网访问，一般都是依靠IP地址+ 端口的形式来进行指定访问，包括我们NAS的web登录界面。

和上面说的默认管理员帐户是一样，一般来说，各品牌的默认端口号都是一样的，人家攻击者肯定知道呀！所以很容易就被他们扫描攻击，或者密码穷举攻击等。

比如说上图就是我们常见的NAS下载软件qB在下载的时候，会显示所有正在连接该种子的IP，基本都是公网IP。如果说这些用户在没有更改默认的设备端口号的情况下，我们任何人都可以通过这里显示的IP地址+ NAS默认端口号访问到他们NAS的登录界面，虽说我们没有账号和密码可能无法进入NAS内部，但是碰巧该NAS用户又正好是默认的管理员帐户，那就~~~呵呵了！

所以说修改默认端口号是安全措施必不可少的一步！

华硕NAS很好改，直接在偏好设置--一般--管理下面，更改系统HTTP通讯端口和系统HTTPS通讯端口端口即可，完成后记得点下面的应用按钮保存！

NO.4 停用不必要的连接服务

这个主要是针对NAS 的一些连接协议而说的，特别是容易进入NAS系统底层的SSH 、SFTP 服务，我们在不用的时候一定要将其停用，然后再需要使用的时候再将其手动打开。

华硕NAS直接点击服务，选择终端机--SSH，取消勾选启用SSH服务，最后点击应用即可。

如果说你平时用的多，不可避免的会忘记手动关闭，那么你也可以通过更改默认的通讯端口来实现SSH的登录安全。

NO.5 开启NAS网络防护/防火墙设置

一般品牌NAS都会有自己的网络防护和防火墙来保护不受外界网络攻击。但是默认状态那两个服务都是没有开启，需要我们自己配置的。

华硕NAS的设置在偏好设置--ADM Defender 里面，首先我们可以在网络防护里面的信任列表（通俗来说就是白名单或者指定IP）添加自己经常连接NAS的设备（可以是电脑，手机，或者服务器等）的IP，这样的好处就是我们添加进去的设备不会收到任何限制。

然后继续在下方位置勾选启用自动黑名单，我们还可以点击偏好设置对黑名单进行更细化的设置操作。群晖用户是不是很眼熟？对！没错，它其实就是IP 自动封锁功能。

NO.6 使用 HTTPS 进行连线

HTTPS是目前广泛用于互联网的一种安全的通讯协议，因为 HTTPS 需要对网站及与它通讯的相关网页服务器进行身份认证才可以进行连接，从而达到避免其它人攻击的目的。

在使用 HTTPS 进行连线的过程中，有一项非常重要的东西，那就是签署凭证。并且这个签署凭证还必须被第三方认证才可以。遗憾的是目前华硕NAS虽默认自带签署凭证，但是没经由第三方认证，所以浏览器是不信任这个凭证的。

所以华硕NAS默认登录页面的输入框前面会提示不安全的红头标，一看就是很危险的节奏对吧！想要解决问题其实很简单，我们只需要从信任的凭证认证机构取得有效的签署凭证，然后汇入NAS之中，这个问题就解决了。

说起来简单，不过操作起来的步骤还是有点多的，为了照顾新手朋友，这个等我下篇出一个详细教程吧！有兴趣的记得持续关注我~~

NO.7 启用事件通知

目前三大主流NAS厂商其实都提供的有这个服务。简单来说就是NAS有任何异常，NAS都会在最短的时间内发出通知到我们指定的设备上。从而让我们用户提早知道异常而做出处理方案，这样就可以有效的避免风险的发生了。

华硕NAS的通知功能在偏好设置--事件通知里面。里面通知类型包括信箱（邮件），短信，推播通知。但是目前后面两个短信和推播通知我们国内服务是无法使用的。

好在我们可以设置邮箱通知来达到接受信件的目的。不过华硕这里设置默认就谷歌和微软两个邮箱服务商，还是用不了，但是我们可以设置我们国内常见的QQ邮箱，也就是多输入几步的事，也很简单。

这里需要说明的是，其实我们的发送和接受可以设置为同一个邮箱，最后记得在接受设置里面把几个通知的类型全部勾选上。设置完了之后你可以点击旁边的传送测试电子邮件按钮测试你设置的有没有效果。反正我这边实测基本3秒之内就能传送过来了！

NO.8 运行系统安全检测

一般来说，品牌NAS都会自带一些系统安全检测软件，可针对当前系统的状态、设定及联机能力进行诊断，并提供建议。华硕NAS的安全检测软件叫做【Dr.ASUSTOR】，打开之后它就可以对NAS进行全面的体检。

其实呢通过前面的一些操作之后，我们的NAS安全度已经大大提升了，但是在检测这里，还是有一个感叹号，也就是快照那里有问题。

其实快照对于玩虚拟机的小伙伴应该很熟悉吧！它的作用是什么呢？其实就是能够进行在线数据备份与恢复的。简单来说就是你的后悔药，我刚刚不小心删除了硬盘里的小姐姐，但是我在她还在的时候建立了一个快照，我只需要对着快照点一下还原，小姐姐就回来了！就是这么神奇！

华硕NAS的快照建立基本就是傻瓜操作，非常简单，根据提示两步就能完成了。

快照的建立非常快，而且还几乎不占空间~

然后再重新打开华硕NASd的【Dr.ASUSTOR】，检测非常满意，已经没有任何问题了！

NO.9 建立多重备份

可能是我多年来的工作习惯，我有个习惯非常好，那就是定期备份的习惯。NAS虽说是数据存储利器，但是它也有损坏的可能。退一步讲，就算我们NAS中了勒索病毒，但是如果说我们有NAS之外的备份，我们也不会让勒索病毒的勒索得逞，对吧~~

其实对于重要数据的备份，行业内一直有一个通用的黄金数据保护法则，那就是3-2-1数据备份原则：

至少制作3份备份
将备份分别存放在2种不同储存媒体
至少1份放在异地保存

不过具体的玩法又是一篇长篇大论了，等我有空专门整理一份教程再分享给大家~~

华硕NAS在备份这一块做的还是不错的，支持备份至公有云，备份至 MyArchive 硬盘，备份至本地端计算机，备份至远程 NAS，备份至外接式储存装置，以及上面说的Btrfs 快照中心，也是备份的一种。

并且华硕NAS还有一个特色功能，就是通过【 MyArchive】进行脱机备份，也就是我们说的冷备份。简单来说它直接将需要备份的数据存储在MyArchive 硬盘，然后直接在其它非NAS环境下使用，从而达到即插即用的便利性。

NO.10 关注硬盘健康检测

硬盘毕竟是NAS的重要载体，并且因为NAS的特殊性，硬盘可能会长时间的持续运行，所以说我们除了购买靠谱的专业NAS硬盘，平时也要注意对硬盘进行必要的健康检测，以达到早发现早处理的目的，要不等到到时候挂掉了哭都来不及。

我的华硕NAS用的是希捷酷狼硬盘，这款硬盘直接能再NAS上显示它家的狼头标，并且配备了希捷酷狼健康管理(IronWolf Health Management)，可轻松访问和监控硬盘运行状况。

像我这样喜欢下载的人，硬盘长时间高负载读写对硬盘的伤害还是很大的。而且现在的大容量硬盘都是以千元为单位，我要少吃多少箱泡面才能省出来啊！所以我个人的方案直接找了一块用不上的闲置硬盘单独插在NAS上，然后设置为纯粹的下载盘，这样就大大减轻了其它硬盘的负担，并且还起到了废盘再利用的效果，即便挂了我也不心疼！