如何隐藏网络发现添加群晖共享？

在企业或家庭网络中，Synology（群晖）NAS 常被用作集中存储，但默认开启的网络发现会让同一子网的所有 PC 都能在资源管理器里直接看到共享目录。出于安全或隐私考虑，管理员往往希望将这些共享“隐藏”，同时又不想每次手动输入完整路径。下面从系统层面、协议配置和客户端映射三方面展开说明。

关闭 Windows 网络发现的底层机制

Windows 通过 SSDP 与 NetBIOS 广播实现“网络发现”。在服务列表中禁用 Function Discovery Provider Host 与 Function Discovery Resource Publication，即可阻止系统向局域网广播本机可用的 SMB 服务器。对应的注册表键值 HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerRemoteComputerNameSpace 也应删除，以防残留。

在群晖端隐藏共享名称

Synology DSM 提供了 隐藏共享（Hide this share from Windows network discovery） 选项。勾选后，SMB 协议仍然响应连接请求，但在 net view 或资源管理器的网络邻居中不再列出。若需要更细粒度的控制，可在 /etc/samba/smb.conf 中为特定共享添加 browseable = no，并使用 valid users = user1,user2 限定访问。

客户端映射的安全做法

• 使用 net use Z: \NAS_IPshare_name /user:username password /persistent:no 手动映射，避免自动发现。
• 在 PowerShell 脚本中加入 New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\NAS_IPshare_name" -Credential (Get-Credential) -Persist，实现一次性挂载。
• 通过组策略（Computer Configuration → Policies → Administrative Templates → Network → Lanman Workstation）禁用“启用不安全的 SMB1”，强制使用 SMB2/3，进一步降低被嗅探的风险。

实际部署时，建议先在测试子网验证隐藏效果，再逐步推广到生产环境。这样既保留了共享的可达性，又让网络发现的噪声降到最低。