[2026 資安] Synology NAS 淪為勒索病毒肉票?老司機必做的 4 道防護鎖

約 4 分鐘閱讀
作者:

這幾年我幫客戶救過太多台 NAS 了。很多人買了 Synology NAS,以為硬碟插上去、RAID 做好了,資料就萬無一失。結果某天早上醒來,發現所有珍貴的照片、公司文件都變成了 .deadbolt 或隨機亂碼的副檔名,駭客留下一封勒索信要你付比特幣。

說實話,到了 2026 年,勒索病毒 (Ransomware) 的攻擊手法已經全面自動化。它們不再是針對你個人,而是全網掃描。只要你的 NAS 門戶大開,你就是那個「軟柿子」。

今天不談複雜的企業級架構,我以 30 年的網管經驗,教你用一般家用/個人工作室都能懂的設定,為你的 Synology DSM (7.2+ 版本) 加上四道最有效的防護鎖。做完這些,你至少能擋掉 99% 的自動化攻擊。

內容目錄 顯示

前置準備

  • 適用系統: Synology DSM 7.0 / 7.1 / 7.2 及後續版本。
  • 必要條件: 擁有 Administrator 權限的帳號。

💡 站長經驗:
安全與便利永遠是天秤的兩端。以下的設定可能會讓你的登入過程稍微麻煩一點(例如要按手機驗證),但相信我,比起資料全毀的絕望,這一點點麻煩絕對值得。

第一道鎖:停用預設 admin 與強密碼策略

這是最基本,卻最多人犯的錯。駭客的暴力破解程式 (Brute-force) 第一個嘗試的帳號永遠是 admin

  1. 建立新管理員:
    前往 控制台 > 使用者與群組,新增一個使用者,自訂一個這輩子只有你知道的 ID (別用 root, support, user 這種),並將其加入 administrators 群組。
  2. 停用預設 admin:
    登入剛剛建立的新帳號,回到使用者列表,點選原本的 admin 帳號,選擇 編輯 > 停用此帳號
  3. 啟用自動封鎖:
    前往 控制台 > 安全性 > 保護
    勾選 「啟用自動封鎖」。建議設定:3 分鐘內登入失敗 5 次,就永久封鎖該 IP。這能有效擋住暴力猜密碼的機器人。

第二道鎖:二步驟驗證 (2FA) 是絕對防線

在 2026 年,單靠密碼已經不安全了。密碼可能會在其他網站外洩 (Credential Stuffing),但你的手機在你自己手上。

  1. 點選右上角的人頭圖示 > 個人設定
  2. 找到 「雙重驗證」 (2-Factor Authentication),點選啟用。
  3. 推薦方案:
    • 首選: 使用 Synology 自家的 Secure SignIn App,登入時手機會跳出「批准」按鈕,一鍵登入,既安全又比輸入 6 位數代碼快。
    • 備選: 使用 Google Authenticator 或 Authy。

⚠️ 注意:
設定完 2FA 後,系統會給你一組「緊急備用碼」。請務必把這組代碼抄寫在紙上或存在 NAS 以外的地方(如 1Password),以免手機遺失時把自己鎖在門外。

第三道鎖:防火牆「地理圍籬」大法 (Geo-IP Blocking)

如果你的 NAS 只需要在台灣使用,為什麼要允許來自俄羅斯或北韓的連線嘗試?這是最直觀且高效的防禦。

  1. 前往 控制台 > 安全性 > 防火牆
  2. 啟用防火牆,並點選 「編輯規則」
  3. 新增規則 (白名單邏輯):
    • 連接埠: 所有 (或僅限 DSM 的 5000/5001)。
    • 來源 IP: 選擇 「位置」 > 搜尋並勾選 「台灣 (Taiwan)」
    • 動作: 允許。
  4. 關鍵一步:
    在規則列表的最下方,確認預設動作是 「拒絕」
    邏輯是:只有台灣 IP 能連線,其他全世界的 IP 全部擋掉。

第四道鎖:快照 (Snapshot) —— 勒索病毒的後悔藥

前三道鎖是預防被駭,這道鎖是「萬一被駭」時的救命丹。勒索病毒會加密你的檔案,但通常無法加密「快照」。

  1. 開啟 Snapshot Replication 套件 (若無請去套件中心下載)。
  2. 點選 快照,選擇你的共用資料夾。
  3. 設定排程:
    建議每天至少拍一次快照。對於變動頻繁的文件夾,可以設定每 4 小時一次。
  4. 啟用「不可變快照 (Immutable Snapshots)」(DSM 7.2+ 新功能):
    如果你擔心駭客取得管理權限後刪除快照,請啟用此功能。設定保護期(例如 7 天),在這期間內,連管理員都無法刪除這些快照。

疑難排解與常見誤區

Q1: 我只用 QuickConnect,需要開防火牆嗎?

QuickConnect 會穿透防火牆,所以防火牆的 Geo-IP 對 QuickConnect 的轉送連線可能無效。
建議: 雖然 QuickConnect 很方便,但若你要絕對安全,建議關閉 QuickConnect,改用 DDNS + Router Port Forwarding 搭配上述的防火牆規則,或是更進階地架設 VPN Server,只允許透過 VPN 連回 NAS。

Q2: DSM 更新真的很重要嗎?

非常重要。Synology 官方修復漏洞的速度很快,但你如果不更新也是白搭。請設定 控制台 > 更新與還原,將其設為自動檢查並通知,看到有「安全性更新」請務必第一時間安裝。

結論

NAS 是你的數據銀行,不是隨便丟在角落的硬碟盒。上述四個步驟:停用 admin、開啟 2FA、設定地理防火牆、排程快照,加起來不用 10 分鐘,卻能讓你避開 90% 的災難。

別等到看到勒索信才來問我:「有沒有辦法解密?」老實告訴你,除非付贖金(而且付了也不一定給金鑰),否則神仙難救。現在就登入你的 DSM 檢查一下吧!