檔案的分享一定要透過網芳（ds1515+），請問如何防止綁架軟體？

sy0215
個人積分：150分
文章編號：58076132

150分

樓主

2015-11-05 9:34

工作單位上有檔案分享的需求，
主要是設定成網芳，
一旦掛上去，大家就是會彼此分享檔案，
但現在怕的是如果有一台中了類似Crypt0L0cker這一種把檔案加密的綁架軟體，
我相信…大家會一起中，而且資料的損失真的會無從估計，
所以…
我想請問一下，
如果我把ds1515+上的資料，透過time backup這一個套件備份的方式，定時傳到另一台ds210+上，
可以解決這個問題嗎？至少把損失減到最輕，
否則要大家交檔案或是修改檔案的時候真的很麻煩，
但又怕被綁架，畢竟不是人人都有防毒的觀念，而且大家對於公用的電腦會比較隨便…
所以…
請問一下有經驗的大大了，謝謝…

2015-11-05 9:34 發佈

文章關鍵字檔案分享網芳 DS1515+ 軟體

pctine

pctine
個人積分：5084分
文章編號：58076185

5084分

2樓

2015-11-05 9:37

sy0215 wrote:
工作單位上有檔案分...(恕刪)

利用像 time backup 這種可備份檔案多個版本的備份軟體也是,一種可行的做法.

FB: Pctine

Newman.Chen

Newman.Chen
個人積分：5264分
文章編號：58077039

5264分

3樓

2015-11-05 10:34

只能備份備份在備份(雞蛋理論,多重異地備份)
沒人知道Crypt0L0cker怎樣中標與發病挖鼻孔

把握當下、愛要即時；勿以惡小而為之、勿以善小而不為。

fedora

fedora
個人積分：12907分
文章編號：58086047

12907分

4樓

2015-11-05 22:32

資安策略

純粹只需要閱讀、觀看的檔案，可以設成「唯讀」

NAS 上的權限設定，可以設定，某些目錄「唯讀」。（只能讀取，無法寫入）

或者依照登入帳號的權限，只有某些目錄可寫入，其餘都唯讀。

比如說：影音檔、文書範本、參考資料、素材.....什麼的。只需要讀取的，無修修改、編輯。就可以設成唯讀。

當然的，要有一個人做維護（MIS 管理員），那個人的帳號登入後，是有權限寫入的。他去管理/維護 NAS 中的資料。這個管理員懂電腦，電腦防毒要裝好，不會輕易中毒。

需要修改、編輯的資料，另設一個寫入的目錄。在那個目錄中進行交換。

或假如有要求部門隱私的話，設定多個可寫入目錄。各部門可使用的目錄分開來。

具體，舉例：
--------------
行銷部（唯讀）
行銷部（共享、可寫入）
客服部（唯獨）
客服部（共享、可寫入）
..........諸如此類

舉例2：（分兩層）
--------------------
第一層：
行銷部
設計部
.......
點進去後，還有分：公用資料（唯讀）、共享目錄（可寫入）

這樣劃分開來，雞蛋不放同一籃子，即使中毒，也只有那個可寫入目錄的資料會被破壞。於是就可以降低風險，不會一次全污染了。

NAS 機器，本身是跑 unix-like 作業系統的，windows 病毒對它無效。（正確的說：無法運行 *.exe/*.com 可執行檔）

unix-like 系統下，可執行檔並不是看副檔名的，是檔案要有可執行的權限標記。

對 NAS 來說，不會去執行 samba 儲存槽中的任何檔案。都視為資料檔，非執行檔。

※ 不過網站的 www 目錄就難講了，apache 有執行權限。所以 apache 系統帳號，應禁止去讀寫除了 www 以外的所有目錄。

所以就算儲存槽中的檔案有病毒，也只是當資料而已，不會去運行，自然就不可能中毒。

但問題在於：客戶端電腦（員工電腦）有可能中毒，然後去讀寫 NAS，把 NAS 中的檔案讀出來到自己電腦後，加密，然後又覆寫回去。

這本來就是 NAS 的正常使用範圍，遠端讀寫，防不了的。

就像如果公司混入了間諜人士，把 NAS 中資料 del 刪除光光，這個根本就防不了，因為完全是正常程序操作的。

因此，要保護的公用資料，就設「唯讀」。只允許讀取，不允許寫入，如此便無法被遠端竄改。

總不會所有資料都是需要時常編輯、修改的。一定有很多單純只是要閱讀、觀看的資料。文件範本、素材 .....什麼的。

編輯後的資料，若確定以後不需要再修改了，可以讓 MIS人員（維護 NAS 那個人），丟到唯讀目錄，或改成唯讀。

這個動作也可以叫做：封存。

MIS 人員，也可以不只一人，比如每個部門，挑位主管、主任，給予寫入權限，讓他專管他們部門的目錄。順便分類整理，讓資料更好找。

當然這些部門主管的電腦，防毒就要弄好，不然他們電腦中毒，一樣會感染到部門目錄中的資料。另外主管自然不會是隨便選一人，會選老鳥或有責任心的，不會上班打混摸魚，亂看色情網站、亂下載，結果中毒什麼的。

*****************************************

另一種方式是靠硬體，而非策略。

買台閘道防火牆，裝在路由器那邊。任何進入的資料都先掃毒，有病毒的資料直接丟棄，並顯示警告頁。

不過閘道防火牆系統不便宜，且防毒率也不是 100%，依然是有可能中毒。

策略無論如何，是一定要做的。硬體防護只是多一層保險。

比較省錢的，每台電腦裝防毒，這個當然是一定要的。

但防毒軟體是否有鎖密碼？

給防毒軟體鎖密碼，禁止使用者更改設定，卸載。

並在防毒軟體設定中，設置為：偵測到病毒，不問，直接刪檔。

一般預設是會問：要手動信任（白名單放行）？還是要刪除、丟入隔離？

一旦問了就會有漏洞，因為有些電腦白痴，或鐵齒的，選放行。他哪管公司電腦中毒啥的，就是想要下載那個檔案。或者看都不看，彈視窗出來，先點了再說，就點到放行。

所以最佳的是：千萬不要問。交給防毒全自動處理。

偵測到病毒，就是自動刪除，沒有第二種選擇。

然後密碼一定要鎖，防使用者重新配置。

若覺的每台電腦要一個一個設定，很麻煩的話，也可以買一種集中式統一控管的，server 型的企業版防毒軟體，server 下一個指令，所有 client端電腦設定全部同步。

若公司有 wifi 網路（筆電、平板、手機），不要和有線網路同一區網，錯開來。samba 只允許有線區網登入。

a19560714

a19560714
個人積分：226分
文章編號：58087692

226分

5樓

2015-11-06 1:40

比較重要的共用資料，建議使用唯讀方式開放連結，然後由專人進入 DSM file station 去維護，這樣就算該維護人員電腦中毒，因為是透過瀏覽器維護，理論上相對安全。

需要時常異動的資料，建議使用 Cloud station 來處理，且可以設定比較多的版本數量。

依照我個人來說，使用較高權限要使用網芳來整理資料時，我都是使用桌面上設定的捷徑連到 NAS 內(不保存密碼)，不直接透過網路掛載方是進行。

這樣的話除非該軟體能知道我所有桌面的連結捷徑，且還知道帳密，否則根本動不了。

不過最後也最安全的方式，還是進行定時+多版本的異地備份。

saber11

saber11
個人積分：344分
文章編號：58088097

344分

6樓

2015-11-06 3:29

最大的建議只有更新
所有的攻擊裡面漏洞影響最大
只要被找到漏洞風險自然很高
synology在去年就爆發綁架案
但是在綁架案開始爆發後
原廠也開始認真面對系統漏洞問題
常常出安全性更新修補各式漏洞
我覺得目前只有S牌最認真在這部分
一組更新就有好幾個update去補漏洞
現在也沒有在聽聞還有再出事

樓上的想法很好
使用桌面上設定的捷徑連到 NAS 內(不保存密碼)，不直接透過網路掛載方是進行。
綁架的感染途徑有可能透過網路磁碟機方式進入

但是最保險的還是用現在NAS廠搞出來的 LUN備份
有著多版本的備份就有機會撈出未被加密的資料

pctine

pctine
個人積分：5084分
文章編號：58090174

5084分

7樓

2015-11-06 9:56

a19560714 wrote:
比較重要的共用資料，建議使用唯讀方式開放連結，然後由專人進入 DSM file station 去維護，這樣就算該維護人員電腦中毒，因為是透過瀏覽器維護，理論上相對安全。

需要時常異動的資料，建議使用 Cloud station 來處理，且可以設定比較多的版本數量。...(恕刪)

感謝分享.

這應該是很理想的做法, 但實務上在大多數的企業及公司很難實施, 絕大多數各部份的共用資料夾, 為作業上的方便性都會開啟讀寫的權限, 很難由專人來負責檔案的 '歸檔' 作業.

FB: Pctine