NAS被勒索软件锁了?你的群晖/威联通可能从一开始就没配对

前言

NAS这东西，买回来接上电、设好RAID就觉得高枕无忧了？大错特错。笔者去年帮不下五家企业做过勒索后的数据恢复——有意思的是，这些企业无一例外都觉得自己"挺注重安全的"，结果检查一圈下来，NAS的端口该开的全开着、admin账号密码弱得离谱、备份策略等于没有。

数据丢了找我们，花几万做恢复；当时配置好NAS，花几个小时。账怎么算都亏。

先搞清楚：NAS面临哪些威胁

NAS的安全威胁主要来自三个方向：

1. 网络暴露：DSM、QTS等Web管理界面默认通过HTTP/HTTPS暴露在局域网，部分用户还做了端口映射直接暴露到公网。Shodan上搜一下Network Attached Storage，暴露在互联网的NAS数量触目惊心。

2. 弱密码+暴力破解：勒索软件的前置攻击大量依赖弱口令扫描。攻击者知道家用/SMB NAS的管理后台路径就是/admin或/webman/，只要密码够弱，爆破成功率极高。

3. 漏洞利用：NAS系统也是Linux，同样面临漏洞问题。尤其是开启Docker、快照、远程访问等高级功能后，攻击面会显著扩大。

第一件事：关闭不必要的服务

群晖（Synology）和威联通（QNAP）的默认安装通常把一堆服务都开着。这些服务用不上就是纯攻击面。

群晖需要检查的服务清单：

# SSH/Telnet（用完即关，不要长期开放）# 控制面板 → 终端机和SNMP → 取消启用SSH服务# FTP（明文传输，极度危险，除非你明确知道自己在干什么）# 控制面板 → 文件服务 → FTP → 取消启用# rsync（备份用，但如果没用到，直接禁用）# 控制面板 → 文件服务 → rsync# Telnet（默认应该是关的，确认一下）

威联通的对应路径：

# 控制台 → 系统 → Telnet / SSH# 用完就关，启用后指定IP访问限制# 远程访问（myQNAPcloud等）：# 控制台 → 系统 → 外网访问 → 审查每一个开启的服务

判断原则：你的NAS上开了哪些服务、为什么开、能不能关——每个服务都应该能回答这三个问题。回答不了的，果断关。

第二件事：强密码与账户策略

这是老生常谈，但执行率低得可怕。

账户配置原则：

# 1. 禁用默认admin账户# 群晖：控制面板 → 用户与群组 → admin → 停用# 威联通：控制台 → 系统 → 用户 → admin → 修改为复杂密码或停用# 2. 创建具有管理权限的新账户，命名不要有规律# 好的例子：sunny_breeze_backup，old_pineapple# 坏的例子：admin，manager，admin123# 3. 密码策略（群晖 DSM 7.x）# 控制面板 → 用户与群组 → 高级设置 → 启用密码规则# - 最少8字符# - 包含大写字母、小写字母、数字、特殊字符# - 禁止与用户名相同# - 密码过期：建议90~180天强制更换

双因素认证（必须开启）：

# 群晖DSM 7.x：控制面板 → 账户 → 账户 → 双步骤验证# 强烈建议用身份验证器App（Google Authenticator或Microsoft Authenticator）# 不要用短信验证码（SIM卡劫持成本极低）# 威联通：控制台 → 系统 → 安全 → 双步骤验证

第三件事：防火墙与访问控制

群晖自带防火墙配置：

# 控制面板 → 安全 → 防火墙# 建议：仅允许内网IP段访问管理界面# 例如：# 规则1：允许 192.168.1.0/24 → TCP 5000,5001 (HTTP/HTTPS管理)# 规则2：允许 192.168.1.0/24 → TCP 22 (SSH)# 规则3：允许特定IP（如VPN网关） → 所有端口# 规则4：拒绝 → 所有端口（默认末尾添加）# 对于不需要外网访问的场景：# 控制面板 → 外部访问 → 路由器配置 → 删除所有端口转发规则

威联通防火墙：

# 控制台 → 安全 → 防火墙# 建议同样做来源IP限制

更好的方案：用VPN替代端口映射

如果你需要在外网访问NAS，永远不要把NAS端口直接映射到公网。

# 方案1：Tailscale（最简单，5分钟搞定）# 在NAS上安装Tailscale套件# 用你的Tailscale账号登录，NAS就加入虚拟局域网# 外网访问时，先拨Tailscale，再访问NAS的内网IP# 完全不暴露任何端口到公网# 方案2：群晖QuickConnect（官方方案，安全性中等）# 启用QuickConnect后，群晖通过中继服务器转发数据# 不需要路由器做端口映射# 但建议同时开启双因素认证# 方案3：自建WireGuard/OpenVPN（最安全，但配置稍复杂）

第四件事：权限管理——最小授权原则

常见错误：所有文件共享给所有人，一个账户通行所有权限。

# 群晖权限配置：# 控制面板 → 共享文件夹# 原则：# - 每个业务线创建独立共享文件夹（例：财务资料/研发代码/市场素材）# - 每个文件夹只授权需要访问的用户# - 禁用"应用权限"中的admin全权访问# 回收站设置（防止误删最后一道防线）：# 右键共享文件夹 → 编辑 → 启用回收站# 设置保留期限（如30天自动清空）# 禁用SMBv1（老旧协议，漏洞多）# 控制面板 → 文件服务 → 高级 → 取消勾选"启用SMB 1.0/CIFS文件共享"

威联通权限配置：

# 控制台 → 权限 → 用户/用户组# 同样遵循最小授权原则# ACL类型选"高级权限模式"以获得更精细的控制

第五件事：备份策略（最后一道防线）

没有备份的NAS，在勒索软件面前就是待宰羔羊。

3-2-1备份原则：

# 3份副本：原始数据 + 本地备份 + 异地备份# 2种介质：NAS本地RAID + 外接硬盘或另一台NAS# 1份异地：云端备份或异地NAS# 群晖：Hyper Backup（官方套件）# 配置定时备份到：# 1. 本地另一块硬盘（USB外接）# 2. 另一台群晖NAS（异地）# 3. 云端（京东云/阿里云OSS/S3兼容存储）# 威联通：HBS 3（Hybrid Backup Sync）# 支持备份到本地NAS、远程NAS、云端（Rclone支持主流云）

备份加密（防止备份介质被物理窃取）：

# 群晖Hyper Backup支持备份加密# 加密后备份包即使被拿走，没有密码也无法恢复# 强烈建议开启，并使用强密码妥善保管密钥文件# 密钥文件离线存储（纸质+保险柜）

第六件事：系统更新与漏洞管理

NAS厂商的固件更新频率并不低，但用户主动更新的意愿极低——很多人怕更新后出问题。

# 群晖DSM更新：# 控制面板 → 更新和还原 → 手动下载更新# 建议订阅Synology安全公告：https://www.synology.com/zh-cn/security# 当出现"安全更新"类型的补丁时，48小时内必须打上# 威联通更新：# 控制台 → 系统 → 固件更新# 建议开启自动更新（但生产环境建议先在测试机验证）# 禁止开启的"高危功能"（除非你清楚自己在做什么）：# - PHP（经常有漏洞）# - Perl# - 旧的Web服务器（Apache 2.2等）# - 未签名的第三方套件

实战检查清单

给你一个拿来就用的检查脚本，对着你的NAS逐项确认：

结语

NAS的安全配置，本质上是减少攻击面 + 限制访问来源 + 加密存储 + 可靠备份的组合拳。每一项单独看都不复杂，但加在一起就是一道有效的防线。

很多用户花了上万块买NAS，却舍不得花两个小时做安全配置。数据无价，别等中招了再后悔。

希望本文的教程对你有所帮助。如有疑问或需要专业技术支持，可通过以下方式联系我们：易云城IT服务，您身边的IT专家。