Datasikkerhedsdag er lige gået, og med verdens Backup-dag rundt om hjørnet har vi udarbejdet 10 datasikkerhedstips, der hjælper dig med at sikre dine Synology-enheder mod onlinetrusler.
de seneste år har oplevet en dramatisk eskalering i cybersikkerhedstrusler. Ifølge en rapport fra Ny York Times blev mere end 200.000 organisationer angrebet med løsepenge i 2019, en stigning på 41% Fra året før.
for at hjælpe dig med at beskytte dig selv har vi samlet en liste over vigtige datasikkerhedsindstillinger, der ofte overses. I slutningen har vi inkluderet bonustips, der kan hjælpe dig med at sikre dataintegritet — en anden søjle i databeskyttelse.
Bemærk: de fleste af nedenstående indstillinger kan kun tilgås og ændres af en brugerkonto med administrative rettigheder.
- Tip 1: Hold dig opdateret og aktiver meddelelser
- Tip 2: Kør sikkerhedsrådgiver
- Tip 3: grundlæggende DSM-sikkerhedsfunktioner til opsætning
- Tip 4: HTTPS Del 2 – Lad os kryptere
- Tip 5: Deaktiver standardadministratorkontoen
- Tip 6: adgangskodestyrke
- Tip 7: 2-trins verifikation
- Tip 8: Skift standardporte
- Tip 9: Deaktiver SSH / telnet, når den ikke er i brug
- Tip 10: Krypter delte mapper
- Bonus tip: dataintegritet
- vigtigere end nogensinde
Tip 1: Hold dig opdateret og aktiver meddelelser
Vi frigiver DSM-opdateringer regelmæssigt for at levere funktionelle og ydelsesforbedringer og for at løse produktsikkerhedssårbarheder.
Når der opstår en sikkerhedssårbarhed, vil vores Product Security Incident Response Team (PSIRT) foretage en vurdering og undersøgelse inden for 8 timer og frigive en patch inden for de næste 15 timer for at forhindre potentiel skade fra nul-dages angreb.
for de fleste brugere anbefaler vi kraftigt, at du konfigurerer automatiske opdateringer, så de nyeste DSM-opdateringer installeres automatisk.*
Lær mere
mange Synology-enheder har mulighed for at køre Virtual DSM inde i Virtual Machine Manager for at oprette en virtualiseret version af DSM-operativsystemet. Brug Virtual DSM til at oprette et iscenesættelsesmiljø, og gentag eller prøv derefter at gengive dit produktionsmiljø i det. Udfør en opgraderingstest ved at installere den nyeste DSM-version på din virtuelle DSM, og bekræft nøglefunktionalitet, som din nuværende installation kræver, før du fortsætter med opdateringen i dit hovedmiljø.
en anden vigtig ting at overveje er at holde sig på toppen af tingene, når de opstår. Konfigurer meddelelser på din Synology NAS, og få besked via e-mail, SMS, på din mobile enhed eller via din netsøgemaskine, når der opstår specifikke begivenheder eller fejl. Hvis du bruger Synologys DDNS-tjeneste, kan du vælge at få besked, når den eksterne netværksforbindelse går tabt. Øjeblikkelig handling efter meddelelser om lagermængder, der løber tør for plads, eller når en backup-og restaureringsopgave mislykkes, er en vigtig del af at sikre dine datas langsigtede sikkerhed.
Vi opfordrer dig også til at oprette din Synology-konto til at modtage vores NAS-og sikkerhedsrådgivende nyhedsbreve for at følge med i de seneste sikkerheds-og funktionsopdateringer.* automatisk opdatering understøtter kun mindre DSM-opdateringer. Større opdateringer kræver manuel installation.
få mere at vide
Tip 2: Kør sikkerhedsrådgiver
sikkerhedsrådgiver er et forudinstalleret program, der kan scanne din NAS for almindelige DSM-konfigurationsproblemer, hvilket giver dig forslag til, hvad du muligvis skal gøre ved siden af for at holde din Synology NAS sikker. For eksempel kan det registrere almindelige ting, såsom at lade SSH-adgang være åben, hvis der forekommer unormale loginaktiviteter, og hvis DSM-systemfiler er blevet ændret.
Lær mere
Tip 3: grundlæggende DSM-sikkerhedsfunktioner til opsætning
Du kan konfigurere et antal sikkerhedsindstillinger i Kontrolpanel> sikkerhedsfane for at sikre dine brugerkonti.
IP Auto Block
Åbn Kontrolpanel og gå til sikkerhed> Auto Block. Aktiver auto block for automatisk at blokere IP-adresser på klienter, der ikke logger ind inden for et bestemt antal gange og periode. Administratorer kan også sortliste specifikke IP-adresser for at forhindre potentielle brute-force-eller denial-of-service-angreb.
Konfigurer mængden af forsøg baseret på brugsmiljøet og typen af brugere, som din enhed regelmæssigt vil servicere. Husk, at de fleste hjem og virksomheder kun har en ekstern IP-adresse til deres brugere, og at IP-adresser ofte er dynamiske og vil ændre sig efter et bestemt antal dage eller uger.
Lær mere
Kontobeskyttelse
mens automatisk blokering af sortlister IP-adresser, der har fejlet et for mange godkendelsesforsøg, beskytter Kontobeskyttelse brugerkonti ved at blokere klienters adgang, der ikke er tillid til.
gå til Kontrolpanel > sikkerhed > Kontobeskyttelse. Du kan aktivere Kontobeskyttelse for at beskytte konti mod ikke-betroede klienter efter et bestemt antal mislykkede signins. Dette forbedrer sikkerheden for din DSM og reducerer risikoen for, at konti bliver bytte for brute-force-angreb fra distribuerede angreb.
Lær mere
aktiver HTTPS
med HTTPS aktiveret kan du kryptere og sikre netværkstrafikken mellem din Synology NAS og tilsluttede klienter, som beskytter mod almindelige former for aflytning eller man-in-the-middle-angreb.
gå til Kontrolpanel > netværk > DSM-indstillinger. Marker afkrydsningsfeltet for automatisk omdirigering af HTTP-forbindelser til HTTPS. Du vil nu oprette forbindelse til DSM via HTTPS. I adresselinjen vil du bemærke, at din enheds URL starter med “https://” i stedet for “http://”. Bemærk, at standardportnummeret for https er 443, mens http som standard bruger port 80. Hvis du havde visse indstillinger for brandsikring eller netværk på plads før, skal du muligvis opdatere dem.
Lær mere
avanceret: Tilpas regler for Brandvæg
en brandvæg fungerer som en virtuel barriere, der filtrerer netværkstrafik fra eksterne kilder i henhold til et regelsæt. Gå til Kontrolpanel > sikkerhed > brandvæg for at oprette regler for brandvæg for at forhindre uautoriseret login og kontroltjeneste adgang. Du kan beslutte, om du vil tillade eller nægte adgang til bestemte netværksporte ved hjælp af specifikke IP-adresser, en god måde at for eksempel tillade fjernadgang fra et bestemt kontor eller kun tillade adgang til en bestemt tjeneste eller Protokol.
Lær mere
Tip 4: HTTPS Del 2 – Lad os kryptere
digitale certifikater spiller en nøglerolle i aktivering af HTTPS, men er ofte dyre og vanskelige at vedligeholde, især for ikke-erhvervsbrugere. DSM har indbygget support til Let ‘ s Encrypt, en gratis og automatiseret certifikatudstedende organisation, så alle nemt kan sikre deres forbindelser.
Hvis du allerede har et registreret domæne eller bruger DDNS, skal du gå til Kontrolpanel>sikkerhed> certifikat. Klik på Tilføj et nyt certifikat > få et certifikat fra Let ‘s Encrypt, for de fleste brugere skal du kontrollere”Indstil som standardcertifikat”*. Indtast dit domænenavn for at få et certifikat.
Når du har fået et certifikat, skal du sørge for, at al din trafik går gennem HTTPS (som angivet i Tip #3).
* Hvis du har konfigureret din enhed til at levere tjenester via flere domæner eller underdomæner, skal du konfigurere, hvilket certifikat der bruges af hver tjeneste i Kontrolpanel > sikkerhed > Konfigurer
Youtube tutorial video
Tip 5: Deaktiver standardadministratorkontoen
almindelige administratorbrugernavne kan gøre din Synology NAS sårbar over for ondsindede parter, der anvender brute-force-angreb, der bruger almindelige kombinationer af brugernavn og adgangskode. Undgå almindelige navne som “admin”, “administrator”, “root”*, når du konfigurerer din NAS. Vi anbefaler, at du også indstiller en stærk og unik adgangskode lige efter opsætning af din Synology NAS og for at deaktivere systemets standardadministratorkonto**.
Hvis du i øjeblikket logger ind ved hjælp af brugerkontoen “admin”, skal du gå til Kontrolpanel> bruger og oprette en ny administrativ konto. Log derefter ind ved hjælp af den nye konto og deaktiver systemets standard “admin”.
* “root” er ikke tilladt som brugernavn.
** hvis oprettet ved hjælp af et andet brugernavn end” admin”, vil standardkontoen allerede være deaktiveret.
Lær mere
Tip 6: adgangskodestyrke
en stærk adgangskode beskytter dit system mod uautoriseret adgang. Opret en kompleks adgangskode, der indeholder blandede bogstaver, cifre og specialtegn på en måde, som kun du kan huske.
brug af en fælles adgangskode til mange konti er også en invitation til hackere. Hvis en konto er kompromitteret, hackere kan nemt tage kontrol over dine andre konti. Dette sker regelmæssigt for hjemmesider og andre tjenesteudbydere. Vi anbefaler at tilmelde dig offentlige overvågningstjenester som f.eks.
Hvis du har problemer med at huske komplekse og unikke adgangskoder til forskellige konti, kan en adgangskodeadministrator (f.eks. Du skal kun huske en adgangskode – en hovedadgangskode – og adgangskodeadministratoren hjælper dig med at oprette og udfylde loginoplysninger for alle dine andre konti.
Hvis du administrerer en Synology NAS, der håndterer godkendelse*, kan du tilpasse brugeradgangskodepolitik for at stramme adgangskodesikkerhedskravene for alle nye brugerkonti. Gå til Kontrolpanel > bruger > Avanceret og marker afkrydsningsfeltet Anvend regler for adgangskodestyrke under afsnittet adgangskodeindstillinger. Politikken vil blive anvendt på enhver bruger, der opretter en ny konto.
* lignende muligheder er også tilgængelige i LDAP-Server-og Katalogserverpakkerne.
Lær mere
Tip 7: 2-trins verifikation
Hvis du vil tilføje et ekstra lag af sikkerhed til din konto, anbefaler vi stærkt, at du aktiverer 2-trins verifikation. For at håndhæve 2-trins verifikation på din DSM-konto og Synology-konto skal du bruge en mobilenhed og en autentificeringsapp, der understøtter den tidsbaserede TOTP-protokol (engangskode). Log ind kræver både dine brugeroplysninger og en tidsbegrænset 6-cifret kode hentet fra Microsoft Authenticator, Authy eller andre authenticator-apps for at forhindre uautoriseret adgang.
Hvis du har mistet din telefon med authenticator-appen*, kan du bruge de sikkerhedskopikoder, der blev leveret under 2-trins godkendelsesopsætningen, til at logge ind. Det er vigtigt at holde disse koder sikkert ved at hente det et eller andet sted eller udskrive dem. Husk at holde disse koder sikre, men tilgængelige.
på DSM, hvis du mister din autentificering, kan du nulstille 2-trins verifikation som en sidste udvej. Brugere, der tilhører gruppen Administratorer, kan nulstille konfigurationen.
hvis alle administratorkonti ikke længere er tilgængelige, skal du nulstille legitimationsoplysninger og netværksindstillinger på din enhed. 4 sekunder (du hører et bip), og start derefter Synology Assistant for at konfigurere din enhed igen.**
* nogle godkendelse apps understøtter 3. parts konto-baserede backup og restaurering metoder. Vurdere dine sikkerhedskrav versus bekvemmelighed og disaster recovery muligheder.
** SHA, VMM, krypteret delt mappe automount, flere sikkerhedsindstillinger, brugerkonti og portindstillinger nulstilles. Læs mere om nulstillingsprocessen
Lær mere
Tip 8: Skift standardporte
selvom ændring af DSM ‘ s standard HTTP (5000) og HTTPS (5001) porte til brugerdefinerede porte ikke kan forhindre målrettede angreb, kan det afskrække almindelige trusler, der kun angriber foruddefinerede tjenester. For at ændre standardportene skal du gå til Kontrolpanel > netværk > DSM-Indstillinger og tilpasse portnumrene. Det er også en god ide at ændre standard SSH (22) – porten, hvis du regelmæssigt bruger shell-adgang.
Du kan også implementere en omvendt fuldmagt til at reducere potentielle angrebsvektorer til kun specifikke internettjenester for øget sikkerhed. En omvendt fuldmagt fungerer som mellemmand for kommunikation mellem en (normalt) intern server og fjernklienter og skjuler visse oplysninger om serveren, såsom dens faktiske IP-adresse.
Lær mere
Tip 9: Deaktiver SSH / telnet, når den ikke er i brug
Hvis du er en strømbruger, der ofte kræver shell-adgang, skal du huske at slukke for SSH/telnet, når den ikke er i brug. Da root-adgang er aktiveret som standard, og SSH/telnet kun understøtter login fra administratorkonti, kan hackere muligvis tvinge din adgangskode til at få uautoriseret adgang til dit system. Hvis du har brug for at have terminal service til rådighed på alle tidspunkter, anbefaler vi, at du indstiller en stærk adgangskode og ændrer standard SSH-portnummer (22) for at øge sikkerheden. Du kan også overveje at udnytte VPN ‘er og begrænse SSH-adgangen til kun lokale eller pålidelige IP’ er.
Lær mere
Tip 10: Krypter delte mapper
DSM understøtter AES-256-kryptering af dine delte mapper for at forhindre dataekstraktion fra fysiske trusler. Administratorer kan kryptere nyoprettede og eksisterende delte mapper.
for at kryptere eksisterende delte mapper skal du gå til Kontrolpanel > delt mappe og redigere mappen. Indstil en krypteringsnøgle under fanen kryptering, og DSM begynder at kryptere mappen. Vi anbefaler stærkt at gemme nøglefilen genereret på et sikkert sted, da krypterede data ikke kan gendannes uden den anvendte adgangskode eller nøglefilen.
Lær mere
Bonus tip: dataintegritet
datasikkerhed er uløseligt forbundet med konsistensen og nøjagtigheden af dine data — dataintegritet. Datasikkerhed er en forudsætning for dataintegritet, da uautoriseret adgang kan føre til data manipulation eller tab af data, hvilket gør dine kritiske data ubrugelige.
der er to foranstaltninger, du kan tage for at sikre nøjagtigheden og konsistensen af dine data: aktivering af data checksum og kører S. M. A. R. T. tests regelmæssigt. Vi har skrevet om disse to sikkerhedsmetoder i vores tidligere blogindlæg — tjek dem for mere information.
vigtigere end nogensinde
online trusler udvikler sig altid, og datasikkerheden skal være lige så mangesidig. Efterhånden som flere tilsluttede enheder introduceres derhjemme og på arbejdspladsen, bliver det lettere for cyberkriminelle at udnytte sikkerhedshuller og få adgang til dit netværk. At være sikker er ikke noget, du gør en gang og derefter glemmer, det er en løbende proces.