เคล็ดลับที่ 5: การปิดใช้งานบัญชีผู้ดูแลระบบเริ่มต้น
บัญชีผู้ใช้ทั่วไปของผู้ดูแลระบบสามารถทำให้ Synology NAS ของคุณเสี่ยงต่อบุคคลอันตรายที่ใช้การโจมตีแบบสุ่มรหัส ซึ่งใช้การผสมชื่อผู้ใช้งานและรหัสผ่านทั่วไป ควรหลีกเลี่ยงชื่อทั่วไป เช่น “admin”,“ administrator”,“ root”* เมื่อตั้งค่า NAS ของคุณ เราขอแนะนำให้คุณ ‘ตั้งรหัสผ่านที่รัดกุมและไม่ซ้ำใคร’ ทันทีหลังจากตั้งค่า Synology NAS ของคุณและปิดการใช้งานบัญชีผู้ดูแลระบบเริ่มต้น**
หากปัจจุบันคุณลงชื่อเข้าใช้งานด้วยบัญชีผู้ใช้ “admin” คุณสามารถแก้ไขการตั้งค่าได้โดยเปิด แผงควบคุม > ผู้ใช้ และสร้างบัญชีผู้ดูแลระบบใหม่ จากนั้นลงชื่อเข้าใช้งานด้วยบัญชีผู้ใช้ใหม่ และปิดการใช้งานบัญชี “admin” เริ่มต้น
* “root” ไม่สามารถใช้งานเป็นชื่อผู้ใช้งานได้
** หากตั้งค่าชื่อผู้ใช้งานนอกเหนือจาก “admin” บัญชีผู้ใช้เริ่มต้นจะถูกปิดการใช้งานโดยอัตโนมัติ
คลิกเพื่อเรียนรู้การตั้งค่าผู้ใช้งาน
เคล็ดลับที่ 6: ความแข็งแกร่งของรหัสผ่าน
รหัสผ่านที่รัดกุมช่วยปกป้องระบบของคุณจากการเข้าถึงโดยไม่ได้รับอนุญาต ควรสร้างรหัสผ่านที่ซับซ้อน ซึ่งประกอบด้วยตัวอักษรผสมตัวเลขและอักขระพิเศษในแบบที่คุณจำได้เท่านั้น
การใช้รหัสผ่านทั่วไปสำหรับหลาย ๆ บัญชีถือว่าเป็นการดึงดูดแฮกเกอร์ หากบัญชีถูกบุกรุก แฮกเกอร์สามารถเข้าควบคุมบัญชีอื่น ๆ ของคุณได้อย่างง่ายดาย สิ่งนี้เกิดขึ้นเป็นประจำสำหรับเว็บไซต์และผู้ให้บริการรายอื่น เราขอแนะนำให้คุณลงทะเบียนกับบริการตรวจสอบสาธารณะ เช่น Have I Been Pwned หรือ Firefox Monitor หากคุณมีปัญหาในการจำรหัสผ่านที่ซับซ้อนสำหรับบัญชีต่าง ๆ ตัวจัดการรหัสผ่าน (เช่น 1Password, LastPass หรือ Bitwarden) อาจเป็นทางออกที่ดีของคุณ คุณเพียงต้องจำรหัสผ่านเพียงรหัสเดียว - รหัสผ่านหลัก - และตัวจัดการรหัสผ่านจะช่วยคุณสร้างและกรอกข้อมูลรับรองการลงชื่อเข้าใช้สำหรับบัญชีอื่น ๆ ทั้งหมดของคุณ
หากคุณดูแล Synology NAS และมีหน้าที่ตรวจสอบความถูกต้อง* คุณสามารถปรับแต่งนโยบายรหัสผ่านผู้ใช้ เพื่อกระชับข้อกำหนดด้านความปลอดภัยของรหัสผ่านสำหรับบัญชีผู้ใช้ใหม่ทั้งหมด โดยเปิด แผงควบคุม > ผู้ใช้ เลือกแท๊บ ขั้นสูง และกำหนดเลือกการตั้งรหัสผ่านตามต้องการ ข้อกำหนดเหล่านี้จะเริ่มใช้งานกับบัญชีผู้ใช้ใหม่
* นอกจากนี้ ยังมีตัวเลือกที่คล้ายกันในแพ็คเกจเซิร์ฟเวอร์ LDAP และเซิร์ฟเวอร์ไดเรกทอรีอีกด้วย
เคล็ดลับที่ 7: การยืนยันเข้าใช้งานแบบ 2 ขั้นตอน
หากคุณต้องการเพิ่มความปลอดภัยอีกชั้นให้กับบัญชีของคุณ เราขอแนะนำให้คุณเปิดใช้งานการยืนยันแบบ 2 ขั้นตอน ในการบังคับใช้การยืนยันแบบ 2 ขั้นตอนกับบัญชี DSM และบัญชี Synology ของคุณคุณจำเป็นต้องมีอุปกรณ์เคลื่อนที่และแอปตรวจสอบสิทธิ์ที่รองรับโปรโตคอลรหัสผ่านครั้งเดียวตามเวลา (TOTP) โดยการลงชื่อเข้าใช้จะต้องใช้ทั้งข้อมูลรับรองผู้ใช้ของคุณและรหัส 6 หลักแบบจำกัดเวลา ซึ่งดึงมาจาก Microsoft Authenticator, Authy หรือแอปรับรองความถูกต้องอื่น ๆ เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
สำหรับบัญชี Synology หากคุณทำโทรศัพท์ที่ติดตั้งแอปตรวจสอบสิทธิ์*หาย คุณสามารถใช้รหัสสำรองที่ให้มาระหว่างการตั้งค่าการตรวจสอบสิทธิ์แบบ 2 ขั้นตอนเพื่อลงชื่อเข้าใช้ สิ่งสำคัญคือต้องรักษารหัสเหล่านี้ให้ปลอดภัยโดยการดาวน์โหลดเก็บไว้ที่ไหนสักแห่งหรือพิมพ์ออกมา อย่าลืมรักษารหัสเหล่านี้ให้ปลอดภัย แต่ยังสามารถเข้าถึงได้
บน DSM หากคุณทำรหัสยืนยันตัวตนหาย คุณสามารถรีเซ็ตการยืนยันแบบ 2 ขั้นตอนเป็นทางเลือกสุดท้ายได้ ผู้ใช้ที่อยู่ในกลุ่มผู้ดูแลระบบสามารถรีเซ็ตการกำหนดค่าได้
หากบัญชีผู้ดูแลระบบทั้งหมดไม่สามารถเข้าถึงได้อีกต่อไป คุณจะต้องรีเซ็ตข้อมูลรับรองและการตั้งค่าเครือข่ายบนอุปกรณ์ของคุณ กดปุ่ม ‘รีเซ็ต’ ฮาร์ดแวร์บน NAS ของคุณค้างไว้ประมาณ 4 วินาที (คุณจะได้ยินเสียงบี๊บ) จากนั้นเปิดตัว Synology Assistant เพื่อกำหนดค่าอุปกรณ์ของคุณใหม่ **
* แอปการตรวจสอบสิทธิ์บางแอปรองรับวิธีการสำรองและกู้คืนข้อมูลตามบัญชีของบุคคลที่สาม ประเมินข้อกำหนดด้านความปลอดภัยของคุณเทียบกับตัวเลือกความสะดวกและการกู้คืนระบบ
** SHA, VMM, โฟลเดอร์แชร์ที่เข้ารหัสอัตโนมัติ, การตั้งค่าความปลอดภัยหลายรายการ, บัญชีผู้ใช้และการตั้งค่าพอร์ตจะถูกรีเซ็ต อ่านเพิ่มเติมเกี่ยวกับกระบวนการรีเซ็ต
เคล็ดลับที่ 8: เปลี่ยนพอร์ตเริ่มต้น
แม้ว่าการเปลี่ยนพอร์ต HTTP (5000) และ HTTPS (5001) เริ่มต้นของ DSM เป็นพอร์ตที่กำหนดเองจะไม่สามารถป้องกันการโจมตีแบบกำหนดเป้าหมายได้ แต่ก็สามารถยับยั้งภัยคุกคามทั่วไปที่โจมตีเฉพาะบริการที่กำหนดไว้ล่วงหน้าได้ เปลี่ยนแปลงพอร์ตเริ่มต้นได้โดยเปิด แผงควบคุม > เครือข่าย เลือกแท๊บ การตั้งค่า DSM และกำหนดหมายเลขพอร์ต นอกจากนี้ยังควรเปลี่ยนพอร์ตเริ่มต้น SSH (22) หากคุณใช้การเข้าถึง Shell เป็นประจำ
คุณยังสามารถปรับใช้ Reverse Proxy เพื่อลดวิธีการโจมตีที่อาจเกิดขึ้นให้เหลือเพียงบริการเว็บเฉพาะเพื่อยกระดับความปลอดภัย Reverse Proxy ทำหน้าที่เป็นตัวกลางในการสื่อสารระหว่างเซิร์ฟเวอร์ภายใน (ทั่วไป) และไคลเอนต์ระยะไกล โดยซ่อนข้อมูลบางอย่างเกี่ยวกับเซิร์ฟเวอร์ เช่น IP address จริง
เคล็ดลับที่ 9: ปิด SSH/telnet เมื่อไม่ใช้งาน
หากคุณเป็นผู้ใช้งานระดับสูงที่ต้องเข้าถึง Shell เป็นประจำ อย่าลืมปิด SSH/telnet เมื่อไม่ได้ใช้งาน เนื่องจากการเข้าถึงรูทถูกเปิดใช้งานโดยค่าเริ่มต้น และ SSH/telnet รองรับเพียงการลงชื่อเข้าใช้จากบัญชีผู้ดูแลระบบเท่านั้น แฮ็กเกอร์อาจสุ่มรหัสผ่านของคุณเพื่อเข้าถึงระบบของคุณ หากคุณต้องการให้บริการเทอร์มินัลพร้อมใช้งานตลอดเวลา เราขอแนะนำให้คุณตั้งรหัสผ่านที่คาดเดายากและเปลี่ยนหมายเลขพอร์ต SSH เริ่มต้น (22) เพื่อเพิ่มความปลอดภัย คุณยังสามารถใช้ประโยชน์จาก VPN และ จำกัดการเข้าถึง SSH เฉพาะ IP ในเครื่องหรือที่เชื่อถือได้
เคล็ดลับที่ 10: ตั้งรหัสเข้าถึงแชร์โฟลเดอร์
DSM รองรับการเข้ารหัส AES-256 สำหรับแชร์โฟลเดอร์ของคุณ เพื่อป้องกันการถูกดึงข้อมูล ผู้ดูแลระบบสามารถเข้ารหัสแชร์โฟลเดอร์ที่สร้างขึ้นใหม่และที่มีอยู่
การตั้งรหัสเข้าถึงแชร์โฟลเดอร์ที่มีอยู่ทำได้โดยเปิด แผงควบคุม > โฟลเดอร์ที่ใช้ร่วมกันเลือกโฟลเดอร์ที่ต้องการแก้ไข คลิก แก้ไข ตั้งค่า ‘คีย์เข้ารหัส’ ใต้แท็บ ‘การเข้ารหัส’ DSM จะเริ่มเข้ารหัสโฟลเดอร์นั้น เราขอแนะนำให้บันทึกไฟล์คีย์ที่สร้างขึ้นในตำแหน่งที่ปลอดภัยเนื่องจากข้อมูลที่เข้ารหัสจะไม่สามารถกู้คืนได้หากไม่มีข้อความรหัสผ่านที่ใช้หรือไฟล์คีย์
โบนัส: ความสมบูรณ์ของข้อมูล
ความปลอดภัยของข้อมูลมีเชื่อมโยงกับความสอดคล้องและความถูกต้องของข้อมูลของคุณ หรือเรียกได้ว่า ‘ความสมบูรณ์ของข้อมูล’ ความปลอดภัยของข้อมูลเป็นข้อกำหนดเบื้องต้นสำหรับความสมบูรณ์ของข้อมูล เนื่องจากการเข้าถึงโดยไม่ได้รับอนุญาตอาจนำไปสู่การปลอมแปลงข้อมูลหรือการสูญหายของข้อมูลทำให้ข้อมูลสำคัญของคุณใช้งานไม่ได้
2 มาตรการที่คุณสามารถทำได้ เพื่อรับรองความถูกต้องและความสอดคล้องของข้อมูลของคุณ: การเปิดใช้งานการตรวจสอบข้อมูล และ รัน S.M.A.R.T. ทดสอบเป็นประจำ คุณสามารถคลิกลิงก์เพื่ออ่านเพิ่มเติมเกี่ยวกับวิธีการรักษาความปลอดภัยทั้งสองนี้
และสิ่งสำคัญที่สุด
ภัยคุกคามทางไซเบอร์มีการพัฒนาอยู่เสมอ และความปลอดภัยของข้อมูลจำเป็นต้องมีปกป้องจากหลายแง่มุม จำนวนอุปกรณ์ที่เชื่อมต่อมาใช้ที่บ้านและที่ทำงานมากขึ้น ส่งผลให้อาชญากรไซเบอร์จะใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยและเข้าสู่เครือข่ายได้ง่ายขึ้น การรักษาความปลอดภัยไม่ใช่สิ่งที่คุณทำเพียงครั้งเดียวแล้วลืม มันเป็นกระบวนการที่ต้องปฏิบัติอย่างต่อเนื่อง
