2026/7/984 次浏览
文件服务器

成都电气制造企业500人工厂共享目录异常与Btrfs快照恢复

从SMB异常批量改名发现风险 · 快照恢复目录 · 补齐账号保护与WriteOnce归档

概述

成都电气制造企业群晖SA3600与RX1217SAS快照防勒索部署架构示意图
群晖SA3600承载生产共享数据,RX1217SAS扩展柜建立独立存储池保存本地副本, Btrfs快照、Active Backup for Business整机备份和WriteOnce归档构成多层保护体系。

一、企业概况与数据保护诉求

该企业是一家位于四川成都的电气与智能装备制造企业,拥有约500名员工和500余台终端。企业日常使用的文件包括CAD图纸、三维模型、BOM、工艺文件、质检报告和办公文档。

项目建设前,这些资料存放在Windows文件服务器中,面临以下挑战:

  • 大容量共享迁移:需要将全量共享文件迁移到统一的NAS文件服务平台;
  • 账号体系延续:需要沿用原有AD域账号和权限体系;
  • 时间点版本保护:共享目录缺少可回退的历史版本;
  • 终端备份:部分Windows电脑需要整机备份与恢复路径;
  • 内网扩散风险:局域网终端数量多,一旦有终端通过有效账号访问SMB共享目录,异常修改可能沿现有权限传播。

二、SA3600部署与文件服务器迁移

2023年:集中共享与Btrfs快照基础设施

2023年6月,成都美步科技有限公司完成设备部署、数据迁移和交接培训:

  • 使用群晖SA3600承载生产共享数据;
  • 配置10块16TB硬盘,RAID6保护,Btrfs文件系统;
  • 项目记录可用容量约116TB;
  • NAS加入客户原有AD域,账号与权限整改由客户配合完成;
  • 使用zetoBackup哲托备份软件将原Windows文件服务器数据迁移到SA3600;
  • 通过Snapshot Replication为关键共享目录配置快照保护。

2024年:扩展RX1217SAS独立存储池

2024年7月,客户在SA3600上连接RX1217SAS扩展单元:

项目 SA3600生产存储 RX1217SAS扩展单元
硬盘 10块16TB 10块20TB
RAID RAID6 RAID6
文件系统 Btrfs Btrfs
项目记录可用容量 约116TB 约145TB
用途 生产共享数据 独立存储池和卷中的本地副本

RX1217SAS建立独立存储池和卷,用于保存SA3600生产卷的本地副本。生产数据和副本分布在不同存储池中,两者共用SA3600控制器和DSM。

三、Btrfs快照策略设计

项目使用Snapshot Replication为关键共享目录创建Btrfs快照:

  • 快照频率:每2小时一次;
  • 保留周期:3个月;
  • 容量监控:配置容量告警;
  • 恢复验证:已测试单文件、目录和共享目录恢复操作。

快照在同一NAS系统中保留时间点版本,适合处理误删、覆盖和异常批量修改等场景。File Station可用于浏览和检查恢复出来的文件,快照计划和恢复任务由Snapshot Replication管理。

群晖Snapshot Replication快照计划与三个月保留策略配置界面
Snapshot Replication中的快照计划配置界面,显示每2小时拍摄快照、保留周期3个月的策略设置。

四、2025年7月SMB共享目录异常事件

异常发现

2025年7月,客户在局域网环境中发现NAS共享目录里的子目录名被连续批量修改。SMB传输和操作日志显示异常修改来自局域网终端,来源IP和使用账号持续变化。现场未发现勒索说明文件,未快速确认具体攻击类型。

工程师与客户按局域网安全事件响应流程处置。

隔离与控制

工程师优先执行隔离动作,控制影响范围:

  1. 根据日志变化阻断相关来源IP段;
  2. 断开相关SMB会话;
  3. 禁用持续出现异常行为的相关账号;
  4. 对相关电脑逐台检查;
  5. 统一执行终端杀毒和安全排查;
  6. 持续查看SMB日志,确认异常修改停止。

由于来源IP和账号不断变化,隔离措施覆盖IP段而非单一IP。

五、快照恢复:从时间点版本恢复目录

选择攻击前恢复点

工程师在Snapshot Replication中检查时间点版本,选取异常发生前约2小时的快照作为恢复来源。判断依据:

  • 快照时间早于已知异常修改;
  • 快照中的目录结构完整可浏览;
  • 抽样文件可以正常打开;
  • 文件和权限信息可与现状比对。

临时目录验证与人工比对

工程师将快照中的相关目录复制到临时目录,逐步验证后再恢复到生产区:

  • 人工比对异常前后的子目录名称和目录结构;
  • 使用File Station检查目录与ACL权限;
  • 抽样打开CAD图纸和办公文档,确认可正常读取和写入;
  • 由客户IT负责人完成业务侧确认。

项目在数个工作日内完成全部处置和恢复。

群晖NAS快照恢复操作——从快照复制目录到临时位置进行验证
从Snapshot Replication时间点版本中选取攻击前快照,将相关目录复制到临时位置, 工程师在File Station中比对目录结构和文件完整性。

六、事件后安全加固与账号整改

事件处置完成后,工程师继续强化NAS和终端侧安全控制:

  • 账号分离:管理员账号与日常办公账号分开使用;
  • 多因素认证:为管理账号启用MFA;
  • 自动封锁与账号保护:启用DSM自动封锁和账号保护机制;
  • 群晖安全顾问:使用安全顾问检查DSM配置和安全风险;
  • 登录分析:启用登录分析功能与异常登录通知;
  • 日志保留:保留连接日志和文件协议传输日志;
  • 系统更新:持续更新DSM和适用套件;
  • 终端查杀:对相关终端统一执行杀毒和安全检查;
  • 关闭RDP外网暴露,改用VMM共享链接:事件后关闭 RDP 3389 端口的外网映射,远程运维改用群晖 Virtual Machine Manager 虚拟机共享链接——在 NAS 内运行一台 Windows 虚拟机作为跳板,VMM 生成带密码和有效期的共享链接,远程人员浏览器访问虚拟机桌面后通过局域网 RDP 内网电脑,不再开放外网端口。
群晖VMM虚拟机列表与共享链接设置截图,win10虚拟机运行中并启用安全共享,通过QuickConnect共享链接和密码访问虚拟机
群晖Virtual Machine Manager真实界面截图。界面左侧为VMM功能导航栏,当前选中「虚拟机」模块;中间虚拟机列表展示liunx centos 8.0、server 2012、vweb、win10等虚拟机,其中win10处于「运行中」状态,其余虚拟机为「已关机」。画面下方弹出「共享链接」设置窗口,显示QuickConnect共享链接,并勾选「启用安全共享」,密码字段以圆点隐藏显示,同时提供「有效期」「获取QR码」「默认电子邮件」「邮件分享」「取消」和「保存」等操作。该图说明通过VMM共享链接与密码保护方式,为远程用户提供受控虚拟机访问入口,用于替代直接开放RDP端口的远程访问方式。
浏览器访问群晖VMM虚拟机桌面截图,通过QuickConnect与noVNC页面进入win10虚拟机桌面,无需直接开放RDP端口
通过浏览器访问群晖VMM虚拟机桌面的真实界面截图。画面顶部为Chrome浏览器窗口,当前标签页显示为「win10」,地址栏中可见通过QuickConnect域名进入群晖Virtual Machine Manager的noVNC远程控制页面。浏览器主体区域显示win10虚拟机桌面,左侧可见回收站、微信、Microsoft Edge、Google Chrome、QQ、CIFS18、Notepad++、新建文本文档等桌面图标。该图说明远程用户可通过浏览器访问VMM虚拟机桌面,实现受控远程操作,从而替代直接开放RDP 3389端口的访问方式。

七、Active Backup for Business电脑整机备份

项目使用Active Backup for Business保护50台Windows电脑:

项目 配置
保护对象 50台Windows电脑
备份方式 整机备份
任务频率 每周
保留规则 保留最新3个版本
备份目标 SA3600
备份账号 独立账号(与日常办公账号分离)

工程师选取一份Windows整机备份在Synology Virtual Machine Manager中执行恢复测试,恢复后的系统正常启动并进入Windows。

八、WriteOnce一年归档保护

2025年事件后,项目为关键归档数据增加WriteOnce共享文件夹,设置1年有效期,在设定期限内限制归档数据被修改或删除。

WriteOnce与原有保护机制的分工:

保护能力 策略 主要用途
Snapshot Replication快照 每2小时一次,保留3个月 近期目录和文件版本恢复
WriteOnce共享文件夹 保留1年 关键归档资料的限制改写保存
RX1217SAS本地第二卷 同机独立存储池和卷 增加本地副本路径
Active Backup for Business 50台Windows电脑整机备份 电脑文件与系统恢复

九、项目效果总览

领域 已确认结果
异常发现 通过SMB日志发现共享目录子目录名异常批量修改
事件控制 阻断来源IP段、断开会话、禁用账号并排查终端
快照恢复 从约2小时前快照复制到临时目录并人工比对恢复
文件验证 抽样检查CAD和办公文件可正常读写
电脑备份 50台Windows电脑纳入ABB整机备份
VMM测试 选取备份在VMM中启动验证,系统正常进入Windows
本地副本 RX1217SAS独立存储池和卷保存生产数据本地副本
归档保护 事件后新增WriteOnce一年归档保护
安全加固 MFA + 自动封锁 + 账号保护 + 安全顾问 + 登录分析
运维复核 2026年持续运维中另行执行恢复路径检查
群晖DSM账号保护与安全顾问配置界面
DSM安全配置界面,展示多因素认证、自动封锁、账号保护和安全顾问的启用状态。

十、制造企业可借鉴的经验

本案例适合以下制造企业参考:

  • 使用SMB共享盘保存CAD、工艺和办公资料,局域网终端数量多;
  • 已有RAID保护,但缺少独立的快照与时间点恢复流程;
  • 希望在异常事件中先从快照复制到临时目录、人工验证后再恢复;
  • 需要为Windows电脑建立整机备份和启动恢复验证;
  • 需要在安全事件后补充账号保护、日志监控和WriteOnce归档。

完整的NAS防勒索方案规划可参阅群晖NAS快照防勒索方案。更多制造业NAS应用场景可参考制造业群晖NAS解决方案制造业研发文件与CAD图纸管理方案

结语

从2023年部署SA3600替代Windows文件服务器,到2025年在SMB异常事件中通过Btrfs快照恢复目录,再到事后补齐账号保护、整机备份和WriteOnce归档,该企业的项目经历体现了制造企业文件保护从基础设施到安全闭环的渐进建设过程。快照、备份和安全配置需要周期性复核,2026年美步科技在持续运维中另行执行了恢复路径检查。

本案例由成都美步科技有限公司作为西南 Synology 群晖授权代理与方案集成商全程参与实施,专职工程师在设备部署、数据迁移、异常事件处置和事后安全整改各阶段持续跟进。详细配置咨询请见下方「关于本方案服务方」。


关于本方案服务方

成都美步科技有限公司(简称美步科技)是四川成都 Synology 群晖授权代理与方案集成商,长期为制造、电气装备、机械加工等行业客户提供从硬件选型、网络规划、部署实施到长期运维的端到端 NAS 解决方案。已在成都、重庆、贵阳、昆明等西南城市完成大量企业级群晖 NAS 项目落地,覆盖本文涉及的文件服务器迁移、NAS快照防勒索、终端整机备份与WriteOnce归档等典型场景。

业务范围: 群晖全系 NAS(DS/RS/SA 系列) · Snapshot Replication 快照保护 · Active Backup for Business 终端备份 · WriteOnce 归档 · DSM 安全加固 · 万兆/25GbE 网络规划 · 持续运维与恢复演练。

本地化服务优势: 四川成都本地仓储 + 工程师到场实施 · 西南地区当日响应 · 长期运维与扩容升级支持。

咨询热线:028-82009000→ 群晖 NAS 产品选型→ 更多解决方案

操作步骤

  1. 1
    部署SA3600与数据迁移
    使用SA3600承载生产共享数据,通过ZetoBackup将原Windows文件服务器数据迁移到NAS,NAS加入AD域沿用原有账号和权限体系。
  2. 2
    配置Btrfs快照策略
    通过Snapshot Replication为关键共享目录设置每2小时快照、保留3个月,配置容量告警并测试恢复操作。
  3. 3
    异常发生后隔离影响范围
    阻断异常来源IP段、断开SMB会话、禁用异常账号、排查终端并统一执行杀毒和安全检查,确认异常修改停止。
  4. 4
    从攻击前快照恢复目录
    选取异常发生前约2小时的快照,将相关目录复制到临时目录,人工比对目录结构、检查权限、抽样验证文件后恢复到生产区。
  5. 5
    补充账号保护与整机备份
    管理员账号与办公账号分离,启用MFA、自动封锁和账号保护;50台Windows电脑通过Active Backup for Business整机备份。
  6. 6
    建立WriteOnce归档保护
    为关键归档数据建立WriteOnce共享文件夹并设置1年有效期,与快照和整机备份形成多层保护体系。

常见问题与解答

为您整理的关于此内容的常见疑惑及专业解答

SA3600的快照每两小时一次、保留三个月,这个策略如何确定?

快照频率和保留周期根据共享目录的数据变化率、业务恢复点目标和存储容量综合评估。本项目CAD图纸和工艺文件更新频繁,两小时间隔可将最大数据丢失窗口控制在两小时以内,三个月保留覆盖绝大多数发现滞后的异常。

SMB共享目录出现子目录名异常批量改名,第一步应该做什么?

先控制影响范围:根据SMB日志阻断异常来源IP段、断开相关SMB会话、禁用持续出现异常行为的账号,确认异常修改停止后再评估恢复方案。

为什么不直接把快照覆盖回生产目录,而是先复制到临时目录?

直接覆盖可能影响尚未受损的文件和权限。先复制到临时目录,逐一比对异常前后的目录结构、检查ACL权限、抽样验证文件可读写,确认无误后再恢复到生产区。

RX1217SAS扩展柜和SA3600之间是什么关系?

RX1217SAS通过SAS接口连接到SA3600,建立独立存储池和卷用于保存生产卷的本地副本。两者共用同一控制器和DSM,生产数据和副本分布在不同存储池中。

事件后为什么要增加WriteOnce归档?

快照保护的是近期可回退的时间点版本,WriteOnce保护的是关键归档数据在设定期限内的完整性。两者用途不同,配合使用可覆盖短期恢复和长期归档两种需求。

Active Backup for Business保护了多少台电脑?

本项目为50台Windows电脑配置整机备份,每周执行一次,保留最新3个版本。工程师选取一份备份在Synology VMM中启动验证,恢复后的系统正常进入Windows。

群晖安全顾问在事件后整改中起什么作用?

安全顾问用于检查DSM配置安全风险,包括账号强度、开放端口、套件版本等。结合登录分析功能可识别异常登录行为和密码猜测尝试。

四川成都及西南地区如何咨询群晖NAS防勒索方案?

成都美步科技有限公司是Synology群晖品牌在四川成都的授权代理与方案集成商,咨询热线028-82009000,提供从硬件选型、网络规划、部署实施到长期运维的端到端服务。西南地区(成都、重庆、贵阳、昆明等)提供本地工程师到场实施与当日响应。详细配置可参考站内[群晖NAS产品选型](/products)与[完整解决方案库](/solutions)。

参考来源

  1. Synology SA3600 产品规格
  2. Snapshot Replication 技术规格
  3. Active Backup for Business 快速入门
  4. 支持 WriteOnce 和不可变快照的型号
  5. 保护您的组织免受勒索软件侵害
  6. 安全顾问功能说明