QNAP / Synology 兩大廠NAS 防範勒索病毒大作戰,從兩階段驗證、資料夾加密、異地備份一次完整學完
勒索病毒咸信是在2005年左右崛起,並從俄羅斯開始逐漸散佈到全球,雖同為為惡意軟體的一種,但是其運作手法跟以往的病毒有相當大的差異,它不以破壞系統或竊取機密資料為目標,而是採取加密的手段有系統的鎖住被害者硬碟中的檔案,而且只要一中勒索病毒,幾乎完全沒有自行解毒的可能性,
使用者需付出一筆不算小的「贖金」,才可拿到解密金鑰救回自己的檔案,而且就算是再好的防毒軟體,至今也僅能對病毒檔案進行清除,而無法解開被加密的檔案,也因此勒索病毒一時之間人人聞之色變,但我們是否完全束手無策,倒也未必,比如說 NAS,大多數人僅將其視為延伸到電腦之外的儲存與備份空間,但正是這個功能特性,反而使 NAS 成為了抵禦勒索軟體,甚至是災後復原的最強尖兵。
勒索軟體的運作機制及應對策略
雖然近期我們比較少聽見勒索病毒的大規模災害,但是這並不代表我們已經可以有效防禦勒索病毒,從技術上來說,勒索病毒採用的是一種非對稱的加密技術,加密時使用的密碼稱為加密金鑰,在解密時則使用稱為解密金鑰的密碼,而這2組金鑰並不相同,勒索者在攻擊過程中,首先會透過釣魚郵件將病毒植入被害者電腦中,再傳送加密金鑰讓病毒對檔案文件進行加密,所以自始至終,被害者電腦中都沒有解密金鑰的存在,自然無從解起,因此要對抗勒索病毒,最簡單又有效的方法,就是檔案的備份。
3-2-1備份策略
這裡說的檔案備份,並非另外存一份就好,由於勒索病毒會針對整個系統進行攻擊,所以你就算備份到電腦的D槽依然會中標,因此美國電腦緊急應變小組(US-CERT)在2012年的一份報告中,開門見山的建議電腦使用者透過3-2-1原則來保護重要的檔案資料,其內容包括:
3:重要檔案要保有3份拷貝,包括一份原始檔及兩份備份檔。
2:檔案需存放在2種不同的儲存媒介中,以預防不同類型的危險。
1:將其中1份檔案進行異地儲存,例如自家及辦公室之外的地方。
這個策略的概念相當明確,那就是我們不需要特地花時間或金錢去復原已經遭受損害的檔案,而是要透過備份來保存重要檔案的複本。
用NAS解決備份問題
那麼 NAS 跟3-2-1法則又有什麼關係呢?首先,它是獨立的儲存裝置,核心的 Linux 系統亦和 Windows 電腦不同,比較不會受到病毒的侵襲,同時 NAS 是透過網路傳輸備份檔案,也支援上傳到其他網路空間,符合多份複本及異地備份的原則,加上自動化機制,省下自己管理新舊檔案的麻煩,透過這篇專題,我們實際以市場上大家較熟悉 QNAP 及 Synalogy 兩家 NAS 為例,看看如何透過 NAS 本身的功能,達到最佳的資料安全防護效果。
▲ NAS 向來是備份及共享檔案的工具,對於防範勒索軟體也有一定的功效,圖為本次作為示範的 QNAP TS-351(左)及 Synology DS918+(右)。
啟動QNAP NAS的兩步驟驗證
由於網路上駭客猖獗,越來越多網路服務都採用兩步驟驗證,來強化使用者帳戶的安全,而 QNAP 在其 NAS 專用作業系統 QTS 中,也導入了此一安全機制,不過它需要 NAS 使用者自行啟用,同時並支援設定替代驗證方式,以防使用者的行動裝置遺失。由於帳號密碼可以說是 NAS 第一道門戶,加上現在 NAS 的網路功能相當多樣化,建議在初次安裝 NAS 時,最好是立刻開啟兩步驟驗證的功能,會比較安心。
▲ 1.首先到「控制台」中「一般設定」內的時間,將時區及時間調整到與手機相同,建議可透過網路自動同步。
▲ 2.點選右上角使用者圖示,選擇「偏好設定」,在「兩步驟驗證」的項目中按下「開始」。
▲ 3.在手機上安裝 QNAP 所建議的驗證程式,並透過驗證程式輸入金鑰或掃瞄 QR 碼。
▲ 4.將手機驗證程式所出現的6位數驗證碼填入空格,按下「驗證」,等出現驗證成功訊息再按「下一步」。
▲ 5.選擇以安全問題或是電子郵件作為替代驗證方式,輸入完按下「完成」即可。
▲ 6.設定完成後會強制登出 NAS,此時想要再登入,就需輸入兩步驟驗證碼才行。
針對NAS中的共用資料夾進行加密
NAS 的加密功能對於使用者來說似乎較少用到,畢竟多了一道加密的手續,對於檔案傳輸的效能必然會有影響,而且每次要加密解密也頗為麻煩,不過 QNAP 的產品對於硬體規格通常都給得不錯,因此加密後的效能表現也不會相去太遠。此外,就算不做整機加密,我們也可以單獨針對指定的共用資料夾進行加密,用它來保存比較重要的檔案資料,不過要注意的是,既然要另外加密,就別使用跟 NAS 登入相同的密碼。
▲ 1.QNAP 設定加密的方式有兩種,第一種是在建立共用資料夾時,從「控制台」的「共用資料夾」選擇「建立」。
▲ 2.在新增共用資料夾精靈的頁面往下拉,在「資料夾加密」的項目輸入自訂的金鑰密碼後按「建立」。
▲ 3.另一種是在既有的共用資料夾,點選「編輯屬性內容」的圖示,勾選「加密此資料夾」,同樣輸入密碼後「確定」。
▲ 4.加密後的共用資料夾,會多出一個鎖頭圖示,從圖示便可看出目前是解鎖或加密狀態。
▲ 5.解鎖狀態下按鎖頭圖示,會進入加密管理功能,包括下載金鑰檔,並可設定開機時自動掛載資料夾。
▲ 6.如果是在加密狀態下,按下鎖頭圖示,則會進入解鎖畫面,解鎖方式可輸入密碼,也可上傳金鑰檔解鎖。
把電腦中的重要檔案排程備份至NAS
NetBak Replicator 是 QNAP 替 Windows 電腦開發的備份還原工具,可同時備份多個資料夾,包括整顆硬碟,它相對於自家另一款檔案同步工具 Qsync 來說,重點在於「備份」而非「同步」,所以電腦與 NAS 兩邊的檔案會有一些時間差,但這樣的時間差,也意味對於遭受勒索軟體加密危害的人來說,還是有很大的機會可以回到 NAS 找回正常的檔案,此外它的還原功能也很方便,除了還原到檔案原始位置外,還可以指定還原到電腦中其他的位置。
▲ 1.在安裝 NetBak Replicator 過程中,透過網路設定精靈,可以設定 NAS 中的備份目的地資料夾。
▲ 2.開啟 NetBak Replicator,預設為簡易模式,可按下「立即備份」進行手動備份流程。
▲ 3.勾選電腦中要備份的硬碟或資料夾後再選擇目的地,除了可備份至 NAS,也支援 FTP 或 WebDAV 等等。
▲ 4.如果要設定排程備份,則要進入「進階模式」,在「排程備份」的項目中設定來源、目的地、時間與頻率,按下「新增」。
▲ 5.接著要輸入電腦的登入密碼,這樣即使在使用者未登入 Windows 的狀況下,排程備份任務仍可繼續進行。
▲ 6.切換到「立即還原」可執行檔案還原作業,除了還原到原路徑,也能選擇還原到電腦中其他位置,然後按「開始還原」。
將NAS同步到雲端
QNAP 去年發表的 Hybrid Backup Sync(混合型備份與同步中心),雖然也是一種備份工具,不過應用的範圍就比單純備份電腦檔案的 NetBak Replicator 要大得多,可以支援 NAS 與 NAS、NAS 與雲端、NAS 與外接儲存裝置之間的備份及同步,功能更為齊全,使檔案的保存兼具公有雲和私有雲的優點,並可透過單一的總覽頁面來掌握工作狀態,此外它也具備排程功能,一旦設定好之後,後續工作皆能自動完成,更重要的符合了異地備份的安全原則。
▲ 1.安裝「Hybrid Backup Sync」套件之後,可看到它有備份、還原、同步三大功能,這裡就以同步雲端為例,按下「建立同步工作」。
▲ 2.同步的方式包含單向、雙向及主動式同步,可依實際需求來選擇,然後按下「和雲端同步」。
▲ 3.QNAP 可支援許多常見的雲端空間,選定一個進行雲端帳號的認證手續之後,按「下一步」。
▲ 4.分別選擇來源端(NAS)及目的端(雲端)要同步的資料夾,按下「加入」並「套用」即可進行建立同步工作。
▲ 5.在上一步驟如果按下「進階設定」,則可以設定工作排程及檔案過濾的規則等等。
▲ 6.回到總覽頁面,按下「+」號可以繼續新增工作,並可顯示過去的工作是否有出現錯誤及警告訊息。
建立快照及快照共用資料夾
備份與快照雖然都是 NAS 保護資料的一種手段,但還是有許多人容易混淆,簡單來說,快照只是紀錄磁碟區的當下狀態而已,所以建立的速度快,所佔的容量也比較小,而 QNAP 的區塊層級快照則進一步支援增量備份形式,僅複製變動的快照內容,此外除了以磁碟區/LUN 為單位進行快照外,QNAP 也能讓使用者可以建立一個搭配專屬磁碟區的快照共用資料夾,這樣在還原單一資料夾時,就能大大縮短時間。
▲ 1.在 NAS 初始設定建立磁碟區時,選擇建立「完整磁碟區」便可完整支援快照的功能。
▲ 2.開啟「儲存與快照總管」,在儲存空間的項目中,點擊右側「快照」選單並按「擷取快照」。
▲ 3.選擇快照保留的天數,如果每次都選擇永久保留,滿了之後就需要手動刪除,完成之後按「確定」。
▲ 4.要建立「快照共用資料夾」則開啟 FileStation,透過新增按鈕,就可以找到「快照共用資料夾」。
▲ 5.除了輸入資料夾名稱,還可勾選設定資料夾容量配額及存取權限,完後按「建立」即可。
▲ 6.回到「儲存與快照總管」,便可看到多出一個「快照共用資料夾完整磁碟區」,並可單獨為它建立快照,方法與步驟2相同。
快照的管理、排程以及還原
QNAP 有磁碟區快照、快照共用資料夾等不同的設定,看似複雜,其實透過內建的「快照管理員」,就能幫助玩家分類、整理這些快照檔,並且安排系統進行排程快照,可存放的快照數目依照 NAS 規格而定,以這次使用的 TS-351為例,最多可存放256個快照,但實際數量依儲存池剩餘空間而定,如果空間吃緊又有保存快照的需求,那麼還可以啟用「最小快照保證空間」,確保 NAS 擁有足夠的空間存放新快照。
▲ 1.從「儲存與快照總管」選取要檢視的磁碟區,從右邊下拉選單點選「快照管理員」。
▲ 2.快照管理員內的快照依時間軸排序,並可看到資料夾與檔案。如果要設定排程,可點擊上方「排程快照」。
▲ 3.可設定擷取快照的頻率,如果勾選「啟用智慧型快照」,那麼檔案在無變動時,系統就不會擷取快照。
▲ 4.接著啟用「最小快照保證空間」,可自訂快照空間於儲存池上預留的比率,完成後按「確定」。
▲ 5.取回檔案有兩種方式,一是「回覆磁碟區快照」,可選擇本地回覆或把快照內的所有資料夾,回覆到其他的位置。
▲ 6.另一種是勾選快照內的指定資料夾進行「還原」,同樣也有還原到原本檔案位置,和還原到其他資料夾兩種模式。
下一頁要進入 Synology 篇!
替Synology NAS設定兩步驟驗證
不管是電腦或 NAS,要預防任何可能的入侵,帳號的管理都是第一道門戶,不過一般個人使用者,為了設定使用上的方便,通常都擁有最高管理者權限,一旦帳密外流,NAS 也就等於門戶大開,這時駭客甚至不需動用到病毒工具,也能輕易竊取或刪改 NAS 中的重要資料,因此 Synology 也很早就替旗下 NAS 系統加入二階段認證的機制,透過第二組即時產生的動態密碼,強化帳號登入的安全性。
▲ 1.進入 DSM 系統首頁,點選右上角使用者圖示,選擇「個人設定」,勾選「啟動兩步驟驗證」。
▲ 2.如果是首次設定的話,先依照畫面指示完成電子郵件通知服務的認證與啟動。
▲ 3.輸入電子郵件地址,預防在手機不慎遺失時,還可以透過信箱取得緊急驗證碼。
▲ 4.依畫面在手機上安裝 Synology 建議的驗證 APP,並透過掃瞄畫面 QR代碼或手動輸入密鑰的方式加入。
▲ 5.輸入手機 App 上所顯示的6位數驗證碼,以確認設定是否正確。
▲ 6.之後每次要登入 NAS,除了原本的帳號密碼,還需額外輸入另一組動態驗證碼才能正確登入。
共用資料夾的加密與解密
由於勒索病毒的關係,有些人對於檔案加密也產生疑慮,其實檔案資料的加密處理,原本就屬於資訊安全的一環,不僅可以保護敏感資料,不讓駭客取得或濫用在非法用途上,也可以保護電腦免於病毒侵害及後續可能的系統安全問題,在 Synology 的 DSM 系統中,便提供安全層級達 AES 256位元的加密功能,使用者可彈性依需求對個別共用資料夾設定是否加密,除了強化重要檔案的保護,也不會影響其他非加密資料夾的傳輸效率。
▲ 1.DSM 系統預設的共用資料夾例如 photo、video 是無法進行加密的,所以我們先從「控制台」的「共用資料夾」來新增。
▲ 2.首先設定資料夾名稱,接著在下一步勾選「加密此共用資料夾」並輸入8位金鑰密碼。
▲ 3.如果 NAS 在當初在初始設定時選擇 Btrfs 檔案系統,這裡可勾選「啟動資料總和檢查碼」,啟動檔案自我修復功能。
▲ 4.確認使用者權限無誤之後,套用設定,並把系統所產生的加密金鑰檔,儲存到其他安全的地方。
▲ 5.基於資料安全考量,平常建議將加密資料夾設在「卸載」狀態,需要存取時,同樣由「共用資料夾」進行「掛載」。
▲ 6.解鎖方式有輸入密碼及匯入加密金鑰檔兩種,若都遺失的話,其檔案連官方都無法幫你找回來,一定要保管好。
透過Synology Drive同步備份電腦檔案
一般電腦使用者當然都知道檔案備份的重要性,但是要時時動手勤備份,說實在沒有幾個人辦得到,不如交給自動化的 NAS 來幫忙,從檔案備份的角度來說,NAS 除了容量大之外,備份方式及支援性也比較多元化,像是 Synology 推出的全新檔案管理套件 Drive,直覺易用的圖形式介面整合了 Cloud Station Server 所有功能,除了可跨平台同步多台電腦的檔案外,也支援多檔案版本還原,即使手誤刪改了重要檔案,也能快速找回來。
▲ 1.安裝 Drive 套件後開啟 Drive 管理主控台,選擇一個共用資料夾啟用作為同步目的地,並可在「版本控管」設定版本數量。
▲ 2.在電腦上安裝 Synology Drive 應用程式,開啟後「新增」同步任務,輸入 NAS 的 IP 或 QuickConnect ID、登入帳密,按下一步。
▲ 3.分別設定電腦端與 NAS 端的同步資料夾,在「進階設定」中可彈性選擇資料同步的方向,完成後按套用。
▲ 4.若想找回檔案歷史版本,Drive 的操作也十分直覺,只要在 NAS 開啟 Drive 套件,選取該檔案後按下右鍵點選「歷史版本」即可。
▲ 5.然後便會依時間條列出該檔案的歷史版本,可進行下載、還原與建立副本等工作。
▲ 6.如果是已經刪除的檔案,在未清空 Drive 資源回收筒的狀況下,還是可以將檔案還原。
用Hyper Backup進行NAS的異地備份
根據備份3-2-1原則,其中一份檔案複本需要存放在與檔案正本所在地不同的場所。而透過 Synology Hyper Backup,我們可以很輕易地實現各種異地備份方式,包括備份到外接儲存裝置、遠端檔案伺服器及其他 Synology NAS,或是備份到 Google 雲端硬碟、Amazon Drive 等雲端空間;此外,Hyper Backup 使用區塊層級增量備份技術,大幅節省備份時間外,更可保留最多份還原點,這裡就以備份至另一台 NAS 為例。
▲ 1.安裝「Hyper Backup」套件,選擇「遠端NAS裝置」,並確定該 NAS 有安裝「Hyper Backup Vault」套件。
▲ 2.輸入目的地端的 NAS IP 位址、使用者帳號密碼,以及要存放備份檔案的資料夾等項目,按「下一步」。
▲ 3.先勾選要備份的本地端資料夾與應用程式,接著再設定排程備份與完整性檢查的時間,按「下一步」。
▲ 4.設定完成後便會開始備份,Hyper Backup 可快速查看備份進度,或也可以依前面步驟,再新增其他異地備份任務。
▲ 5.在目的地端的 NAS 開啟「Hyper Backup Vault」套件,即可看到已備份的容量大小,如果要檢視已備份的檔案,可按時鐘圖示按鈕。
▲ 6.即可開啟備份瀏覽器,可檢視從遠端備份過來的資料夾、檔案,以及時間版本等資訊。
在Synology NAS上建立快照
隨著勒索病毒的危害,NAS 的快照功能也成為了目前主要防禦手段之一,快照的技術概念與前面所說的備份略有不同,並非複製一份檔案複本,而是記錄系統當下的狀態,以 Synology 的 NAS 來說,只要採用 Intel 處理器、系統為 DSM 6.0版本以上的機型,都可支援 Snapshot Replication 快照功能。除了可排程將快照任務自動化,確保災難發生時可即時還原置最新版本,且相較於傳統備份,也省下不少儲存空間和備份資源消耗。
▲ 1.在 NAS 初次建立檔案空間時需選擇 Btrfs 檔案系統,才能支援快照及複寫等進階功能。
▲ 2.開啟「Snapshot Replication」套件,切換到「快照」,選擇要建立快照的共用資料夾,從下拉選單選擇「拍攝快照」。
▲ 3.按下「確定」前,重要的快照版本還可設為鎖定,並加上描述,便可確保此版本快照永久保存不被刪除。
▲ 4.如果要讓系統自動排程拍攝快照,則同樣先選擇共用資料夾按「設定」,勾選「啟動快照排程」,並設定執行日期與間隔。
▲ 5.在進階中可以勾選「開啟快照瀏覽」,便可在快照中瀏覽資料夾裡有什麼檔案,在需要還原時有助於確認。
▲ 6.透過日誌功能可以檢視系統建立快照的日期時間,並可匯出成 HTML 檔及 CSV 檔。
Synology NAS快照的管理與還原
在建立快照後,透過「Snapshot Replication」直覺的操作介面便可針對不同版本的快照進行瀏覽與編輯,且還原前也可輕鬆檢視所選版本是否無誤。而建立快照的目的也在於此,但如果連存在本機的快照都不慎遺失或損毀了,那可真的欲哭無淚,所以「Snapshot Replication」套件也支援複寫功能,可以把快照備份到 NAS 內其他的儲存空間或 NAS 外的其他伺服器,未來需要還原時,用戶還可選擇依原始狀態回覆或另外複製。
▲ 1.如果要檢視已建立的快照內檔案,先點選快照中的「快照清單」。
▲ 2.點選要檢視的快照版本,按下「編輯」。
▲ 3.然後便會跳出一個「File Station」檔案管理器視窗,可以直接檢視檔案版本是否正確。
▲ 4.透過「複寫」項目可將已建立的快照備份到其他 NAS 上,其流程與前述提過的 Hyper Backup 大致相似。
▲ 5.Synology Snapshot Replication 還原快照的手續也非常直覺簡單,只要到「還原」項目,選定資料夾按下「還原」。
▲ 6.在跳出的列表視窗中,選擇其中一個快照按下「動作」,並點選「依原始狀態還原」並「確定」,便可將該資料夾回覆到當時的狀態。
歡迎加入PC home雜誌粉絲團!