dia de Privacidade de Dados acabou de passar e com o Dia Mundial de Backup ao virar da esquina, preparamos 10 dicas de segurança de dados para ajudá-lo a proteger seus dispositivos de Sinologia contra ameaças on-line.nos últimos anos, assistiu-se a uma escalada dramática das ameaças à cibersegurança. De acordo com um relatório do New York Times, mais de 200 mil organizações foram atacadas com ransomware em 2019, um aumento de 41% em relação ao ano anterior.
para o ajudar a proteger-se, compilámos uma lista de configurações de segurança de dados importantes que são frequentemente ignoradas. No final incluímos dicas de bônus que poderiam ajudá — lo a garantir a integridade dos dados-outro pilar da proteção de dados.
Nota: A maioria das configurações listadas abaixo só podem ser acessadas e modificadas por uma conta de usuário com direitos administrativos.
- Dica 1: manter-se atualizado e permitir notificações
- Dica 2: Run Security Advisor
- Dica 3: funcionalidades básicas de segurança do DSM para configurar
- Dica 4: HTTPS Parte 2-Vamos criptografar
- Dica 5: Desactivar a conta de administrador predefinida
- Dica 6: Resistência à senha
- Dica 7: Verificação em 2 etapas
- dica 8: mude as portas predefinidas
- dica 9: Desactivar o SSH / telnet quando não estiver em uso
- dica 10: encriptar pastas partilhadas
- dica de bónus: a integridade dos dados
Dica 1: manter-se atualizado e permitir notificações
divulgamos atualizações do DSM regularmente para fornecer melhorias funcionais e de desempenho, e para resolver vulnerabilidades de segurança do produto.sempre que surja uma vulnerabilidade de segurança, a nossa equipa de resposta a Incidentes de segurança do produto (PSIRT) realizará uma avaliação e investigação no prazo de 8 horas e libertará um patch nas próximas 15 horas para ajudar a prevenir danos potenciais de ataques de zero dias.
para a maioria dos usuários, recomendamos vivamente que você configure atualizações automáticas para ter as últimas atualizações do DSM instaladas automaticamente.*
Saiba mais
Muitos Synology dispositivos têm a opção de executar o Virtual DSM dentro do Gerenciador de Máquina Virtual, para criar uma versão virtualizada do sistema operacional do DSM. Use o DSM Virtual para criar um ambiente de teste, em seguida, replicar ou tentar reproduzir o seu ambiente de produção dentro dele. Realize um teste de atualização instalando a última versão DSM em seu DSM Virtual e verifique a funcionalidade chave que sua implantação atual requer antes de prosseguir com a atualização em seu ambiente principal.
outra coisa importante a considerar é ficar em cima das coisas como elas ocorrem. Configure as notificações na sua Sinologia NAS e seja notificado por e-mail, SMS, no seu dispositivo móvel ou através do seu navegador Web, quando ocorrerem eventos ou erros específicos. Se usar o serviço de DDNS da Sinologia, você pode optar por ser notificado quando a conectividade externa da rede é perdida. Agir imediatamente em cima das notificações para os volumes de armazenamento que se esgotam do espaço, ou quando uma tarefa de backup e restauração falha é uma parte importante para garantir a segurança de seus dados a longo prazo.
também o encorajamos a configurar a sua conta de Sinologia para receber os nossos NAS e boletins informativos de segurança para acompanhar as últimas actualizações de segurança e funcionalidades.
* a atualização automática só suporta atualizações menores do DSM. As principais atualizações requerem instalação manual.
Saiba mais
Dica 2: Run Security Advisor
Security Advisor é uma aplicação pré-instalada que pode digitalizar o seu NAS para problemas comuns de configuração do DSM, dando-lhe sugestões para o que poderá ter de fazer a seguir para manter a sua Sinologia NAS segura. Por exemplo, ele pode detectar coisas comuns, como deixar o acesso SSH aberto, se qualquer log anormal em atividades estão ocorrendo, e se arquivos do sistema DSM foram modificados.
Saiba mais
Dica 3: funcionalidades básicas de segurança do DSM para configurar
pode configurar uma série de opções de segurança no painel de controlo > página de segurança para proteger as suas contas de utilizador.
IP Auto Block
Open Control Panel and go to Security> Auto Block. Activar o auto block para bloquear automaticamente os endereços IP dos clientes que não conseguem assinar dentro de um determinado número de vezes e período. Os administradores também podem listar endereços IP específicos para evitar potenciais ataques de Força bruta ou negação de serviço.
Configure a quantidade de tentativas com base no ambiente de utilização e no tipo de utilizadores que o seu dispositivo irá servir regularmente. Tenha em mente que a maioria das casas e empresas terão apenas um endereço IP externo para seus usuários e que os endereços IP são muitas vezes dinâmicos e vai mudar após um certo número de dias ou semanas.
aprenda mais
protecção de conta
enquanto o bloco automático lista endereços IP que falharam em muitas tentativas de autenticação, a protecção de contas protege as contas do utilizador bloqueando o acesso de clientes não confiáveis.
Go to Control Panel >Security> Account Protection. Poderá activar a protecção de contas para proteger as contas de clientes não confiáveis, após um conjunto de sinais falhados. Isso melhora a segurança de seu DSM e reduz o risco de contas serem presas de ataques de Força bruta de ataques distribuídos.
Saiba mais
activar os HTTPS
com os HTTPS activados, poderá encriptar e proteger o tráfego de rede entre os seus clientes Sinológicos NAS e ligados, o que protege contra formas comuns de escutas ou ataques man-in-the-middle.
Go to Control Panel >Network> DSM Settings. Assinalar a opção para redireccionar automaticamente as ligações de HTTP para os HTTPS. Agora você vai se conectar ao DSM via HTTPS. Na barra de endereços, você vai notar que o URL do seu dispositivo começa com “https://” em vez de “http://”. Note que o número de Porto padrão para https é 443, enquanto http por padrão usa o porto 80. Se você tinha certas configurações de firewall ou rede no lugar antes, você pode precisar atualizá-las.
aprenda mais
avançado: Personalize as regras de Firewall
uma firewall serve como uma barreira virtual que filtra o tráfego de rede a partir de fontes externas de acordo com um conjunto de regras. Go to Control Panel > Security> Firewall to set up firewall rules to prevent unauthorized sign-in and control service access. Você pode decidir se permitir ou negar o acesso a certos portos de rede por endereços IP específicos, uma boa maneira de, por exemplo, permitir o acesso remoto a partir de um escritório específico ou permitir apenas o acesso a um serviço ou protocolo específico.
aprenda mais
Dica 4: HTTPS Parte 2-Vamos criptografar
certificados digitais desempenham um papel fundamental na habilitação de HTTPS, mas são muitas vezes caros e difíceis de manter, especialmente para usuários não-empresariais. DSM tem suporte embutido para encriptar, uma organização de emissão de certificados livre e automatizada, para permitir que qualquer um possa facilmente garantir suas conexões.
Se já tiver um domínio registado ou estiver a utilizar DDNS, vá ao Painel de controlo > segurança > certificado. Carregue em Adicionar um novo certificado > obtenha um certificado a partir do ‘Let’s Encrypt’, para a maioria dos utilizadores, deverá verificar “Set as default certificate”*. Indique o seu nome de domínio para obter um certificado.
Uma vez que você tenha um certificado, certifique-se de que todo o seu tráfego passa por HTTPS (como listado na Dica #3).
* Se você tiver configurado o dispositivo para prestação de serviços através de múltiplos domínios ou sub-domínios, você precisará configurar o qual o certificado é utilizado por cada serviço no Painel de Controle > Segurança > Certificados > Configurar
Youtube vídeo tutorial
Dica 5: Desactivar a conta de administrador predefinida
administrador Comum os nomes de utilizador pode fazer a sua Synology NAS vulnerável a mal-intencionadas que utilizam ataques de força bruta com que o nome de utilizador e palavra-passe de combinações. Evite nomes comuns como” admin”,” administrador”,” root ” * ao configurar o seu NAS. Recomendamos que você também defina uma senha forte e única logo após configurar a sua Sinologia NAS e desativar a conta admin padrão do sistema**.
Se estiver de momento a registar-se usando a conta de utilizador “admin”, vá ao Painel de controlo > utilizador e crie uma nova conta administrativa. Em seguida, entrar usando a nova conta e desativar o padrão do sistema “admin”.
* “root” não é permitido como um nome de usuário.
* * se configurado usando um nome de usuário diferente de” admin”, a conta padrão já será desativada.
Saiba mais
Dica 6: Resistência à senha
uma senha forte protege o seu sistema de acesso não autorizado. Crie uma senha complexa que incorpore letras de caso misto, dígitos e caracteres especiais de uma forma que só você pode lembrar.
usar uma senha comum para muitas contas também é um convite para hackers. Se uma conta for comprometida, os hackers podem facilmente assumir o controle de suas outras contas. Isto acontece numa base regular para sites e outros prestadores de serviços. Recomendamos inscrever-se em serviços públicos de monitoramento, como eu fui Pwned ou firefox Monitor.
Se tiver problemas em memorizar senhas complexas e únicas para diferentes contas, um gestor de senhas (como 1Password, LastPass ou Bitwarden) poderá ser a sua melhor solução. Você só tem que memorizar uma senha – uma senha mestre – e o Gerenciador de senha irá ajudá-lo a criar e preencher credenciais de inscrição para todas as suas outras contas.
se administrar um NAS de Sinologia que lida com a autenticação*, poderá personalizar a Política de senha do utilizador para apertar os requisitos de segurança da senha para todas as novas contas de utilizador. Ir para o painel de controlo > utilizador > avançado e assinalar a opção Aplicar as regras de resistência à senha sob a secção de configuração da senha. A política será aplicada a qualquer usuário que crie uma nova conta.
* opções semelhantes também estão disponíveis dentro dos pacotes do servidor LDAP e do servidor de diretórios.
Saiba mais
Dica 7: Verificação em 2 etapas
Se você quiser adicionar uma camada extra de segurança à sua conta, recomendamos vivamente que você permita a verificação em 2 passos. Para fazer valer a verificação de 2 etapas na sua conta DSM e na conta de Sinologia, você precisará de um dispositivo móvel e um aplicativo autenticador que suporte o protocolo de senha única baseada no tempo (TOTP). A assinatura exigirá tanto as suas credenciais de usuário quanto um código de 6 dígitos de tempo limitado recuperado do Microsoft Autenticator, Authy ou outros aplicativos autenticadores para impedir o acesso não autorizado.
para a conta de Sinologia, se você perdeu o seu telefone com a aplicação de autenticação*, você pode usar os códigos de backup fornecidos durante a configuração de autenticação de 2 passos para se inscrever. É importante manter esses códigos seguros baixando-os em algum lugar ou imprimindo-os. Lembre-se de manter estes códigos seguros, mas acessíveis.
no DSM, se perder o seu autenticador, poderá reiniciar a verificação em 2 passos como último recurso. Os usuários pertencentes ao grupo de administradores podem reiniciar a configuração.
Se todas as contas de administrador já não estiverem acessíveis, terá de repor as credenciais e a configuração da rede no seu dispositivo. Mantenha o botão de reiniciar o hardware no seu NAS por cerca de 4 segundos (irá ouvir um bip) e, em seguida, inicie o Assistente de Sinologia para reconfigurar o seu dispositivo.**
* alguns aplicativos de autenticação suportam métodos de backup e restauração baseados em conta de terceiros. Avalie seus requisitos de segurança versus opções de conveniência e recuperação de desastres.
* * SHA, VMM, auto-montagem de pastas partilhadas encriptadas, várias configurações de segurança, contas de utilizador e configurações de portas serão reinicializadas. Leia mais sobre o processo de reset
Saiba mais
dica 8: mude as portas predefinidas
apesar de mudar as portas predefinidas do DSM HTTP (5000) e HTTPS (5001) para portas personalizadas não pode evitar ataques específicos, ele pode impedir ameaças comuns que apenas atacam serviços predefinidos. Para alterar as portas padrão, vá para o painel de controle > rede> configurações do DSM e personalize os números de porta. Também é uma boa idéia mudar o porto padrão SSH (22) se você usar regularmente o shell access.
Você também pode implantar um proxy reverso para reduzir potenciais vetores de ataque a apenas serviços específicos para aumentar a segurança. Um proxy reverso atua como um intermediário para as comunicações entre um (geralmente) servidor interno e clientes remotos, escondendo certas informações sobre o servidor, como seu endereço IP real.
Saiba mais
dica 9: Desactivar o SSH / telnet quando não estiver em uso
Se for um utilizador de energia que necessita frequentemente de acesso à linha de comandos, lembre-se de desligar o SSH/telnet quando não estiver em uso. Como o acesso ao root é ativado por padrão e o SSH / telnet só suporta sinais-ins de contas de administração, os hackers podem forçar a sua senha para obter acesso não autorizado ao seu sistema. Se você precisa ter serviço de terminal para estar disponível em todos os momentos, Recomendamos que você defina uma senha forte e alterar o número padrão de porta SSH (22) para aumentar a segurança. Você também pode considerar alavancar VPNs e limitar o acesso SSH apenas a IPs locais ou confiáveis.
Saiba mais
dica 10: encriptar pastas partilhadas
DSM suporta AES-256 encriptação das suas pastas partilhadas para evitar a extracção de dados de ameaças físicas. Os Admins podem encriptar pastas compartilhadas recentemente criadas e existentes.
para cifrar as pastas partilhadas existentes, vá para o painel de controlo > pasta partilhada e edite a pasta. Configure uma chave de encriptação sob a página de encriptação e o DSM irá começar a encriptar a pasta. Recomendamos salvar o arquivo chave gerado em um local seguro, como os dados criptografados não podem ser recuperados sem a frase-senha usada ou o arquivo chave.
Saiba mais
dica de bónus: a integridade dos dados
a segurança dos dados está indissociavelmente ligada à consistência e precisão da sua integridade dos dados. A segurança dos dados é um pré-requisito para a integridade dos dados, uma vez que o acesso não autorizado pode levar a adulteração de dados ou perda de dados, tornando os seus dados críticos inúteis. existem duas medidas que você pode tomar para garantir a precisão e consistência dos seus dados: activar verificação de dados e executar testes de S. M. A. R. T. regularmente. Nós escrevemos sobre estes dois métodos de segurança em nossos posts anteriores do blog-vá verificá-los para mais informações.as ameaças em linha estão sempre a evoluir e a segurança dos dados tem de ser igualmente multifacetada. À medida que mais dispositivos conectados são introduzidos em casa e no trabalho, torna-se mais fácil para os criminosos cibernéticos explorar buracos de segurança e ganhar entrada em sua rede. Ficar seguro não é algo que você faz uma vez e depois esquecer, é um processo em curso.