文档简介:
查看勒索病毒防护
前提条件
已购买主机安全版本为旗舰版或网页防篡改版。
约束限制
- 开启勒索病毒防护时,需要同时配置服务器备份并及时处置勒索病毒告警、修复系统及中间件漏洞。如果不开启服务器备份,遭受攻击后较大概率无法恢复业务。
- 未开启旗舰版、网页防篡改版、容器版防护不支持勒索相关操作。
- 按需计费模式下,不支持勒索病毒防护。
勒索病毒防护概览
1 登录管理控制台。
2 在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 在导航树选择“主动防御 > 勒索病毒防护”,查看勒索防护详情,参数说明如表所示。
勒索病毒概览
勒索病毒概览参数
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 时间范围 | 选择目标时间周期查看勒索病毒防护的检测情况和统计数据。 取值范围 :“最近24小时”、“最近3天”、“最近7天”、“最近30天”。 | “最近30天” |
| 防护统计 | 已防护服务器 | 已开启勒索病毒防护的服务器总数。 |
| 防护事件 | 所选时间范围内勒索病毒防护检测发现的事件总数。 | - |
| 备份统计 | 已备份服务器 | 已备份数据的服务器数量。 |
| 备份恢复任务 | 服务器数据恢复的任务数量,单击数量值可查看所有任务进度详情。 | - |
| 已使用容量/总容量 | 备份数据的使用容量和总容量。 | - |
| 备份策略 | 备份规则和保留规则详情,同时可修改备份策略。 | - |
| 防护服务器 | 服务器名称/ID | 服务器的名称和ID,单击服务器名称可查看服务的详情。 |
| IP地址 | 防护服务器的弹性公网IP和私有IP。 | - |
| 操作系统 | 服务器所属的操作系统。 | Linux |
| 服务器状态 | 服务器当前状态。 l 运行中 l 关机 | - |
| 勒索防护状态 | 目标服务器的勒索防护状态。 l 开启中:目标服务器正在开启勒索防护。 l 已开启:目标服务器已开启勒索防护。 l 关闭中:目标服务器勒索防护正在关闭。 l 未开启:目标服务器未开启勒索防护,单击“立即开启”可开启勒索防护。 | 已开启 |
| 防护策略 | 该服务器使用的防护策略名称。 | - |
| 防护事件 | 所选时间范围内已检测防护到的事件数量。 | - |
| 备份功能 | 显示开启或关闭防护中的服务器数据备份状态。 l 已开启:已开启目标服务器全量数据自动备份。 l 未开启:未开启目标服务器全量数据自动备份,单击“立即开启”可开启备份。 | 已开启 |
| 已有备份数 | 存储库已经产生备份数量。 | 18 |
| 防护策略 | 防护策略名称 | 防护策略的名称。 |
| 防护动作 | 策略的防护机制。 l 告警:发现病毒,仅产生告警事件。 l 告警并自动隔离:发现病毒,产生告警事件的同时系统自动隔离发现的病毒。 | 告警并自动隔离 |
| 诱饵防护 | 在服务器中存放无效数据的文件和目录,作为预防被攻击后访问的目录和文件。 在开启服务器的勒索病毒防护时,诱饵防护会默认开启。 开启诱饵防护后,系统会在防护目录和关键目录(不包括排除目录)中部署诱饵文件。诱饵文件会占用小部分服务器资源,不会影响您服务器的正常运行。 | 开启 |
| 运行时检测 | 目标策略运行时检测的状态。 l 开启 l 未开启 | 未开启 |
| 操作系统 | 目标策略绑定服务器的操作系统。 | Windows |
| 关联服务器数 | 目标防护策略被关联的服务器数量。 | - |
查看备份恢复任务
说明
主机安全勒索防护的备份依附于云备份服务,执行备份相关操作须已购买云备份服务。
1 登录管理控制台。
2 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 在导航树选择“主动防御 > 勒索病毒防护”,单击“备份恢复任务”的数量值。
5 弹出备份恢复任务弹窗,查看所有备份恢复详情,可通过服务器名称和恢复状态来筛选或检索目标服务器,参数说明如表所示。
备份恢复任务详情
备份恢复任务参数说明
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 服务器名称/ID | 执行备份恢复任务的服务器名称/ID。 | - |
| 备份名称 | 备份的数据源文件名称。 | - |
| 恢复状态 | 目标服务器备份恢复的状态。 l 成功 l 跳过 l 失败 l 正在进行 l 超时 l 等待 若出现跳过、失败、超时状态,重新恢复目标备份数据源即可。 | 成功 |
| 开始/结束时间 | 备份恢复的时间段(包含开始时间和结束时间)。 | - |
恢复服务器数据
说明
主机安全勒索防护的备份依附于云备份服务,执行备份相关操作须已购买云备份服务。
1 登录管理控制台。
2 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 在导航树选择“主动防御 > 勒索病毒防护”,选择“防护服务器”,在目标服务器的“操作”列选择“更多”单击“恢复数据”。
5 在弹窗中查看目标服务器的信息,通过筛选备份状态和搜索备份名称检索需要恢复的备份数据源,参数说明如表所示。
筛选备份数据源
备份数据源参数说明
| 参数名称 | 参数说明 | 取值样例l |
|---|---|---|
| 备份名称 | 备份的数据存储文件名称。 | - |
| 备份状态 | 服务器数据备份的状态。 l 可用 l 正在创建 l 正在删除 l 正在恢复 l 错误 当为“可用”状态时,备份数据源可进行恢复。 | - |
| 创建时间 | 目标备份数据源的备份时间。 | - |
6 在目标备份数据源的“操作”列单击“恢复数据”。
说明
仅可对“备份状态”为“可用”的备份数据进行恢复。
7 在弹出的对话框中确认服务器、是否重启等信息,确认无误,单击“确认”,执行自动恢复。
恢复服务器
扩充备份容量
说明
主机安全勒索防护的备份依附于云备份服务,执行备份相关操作须已购买云备份服务。
1 登录管理控制台。
2 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 在导航树选择“主动防御 > 勒索病毒防护”,进入防护服务器列表,单击目标服务器“操作”列的“扩容”。
5 在弹出窗口中输入“新增容量(GB)”。
输入新增容量值
6 确认无误,单击“确认”,页面跳转至支付页面,支付完成后可返回“防护服务器”页面查看目标服务器存储容量。
- 若未完成支付,目标服务器的“存储状态”会显示“被锁定”,支付后,状态恢复正常。
修改备份策略
说明
主机安全勒索防护的备份依附于云备份服务,只有购买了云备份服务备份策略才会生效。
1 登录管理控制台。
2 在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 在导航树选择“主动防御 > 勒索病毒防护”,进入防护服务器列表,单击目标服务器“备份策略状态”列的策略名称。
5 在弹出对话框中配置策略,参数详情如表所示。
配置策略
策略参数说明
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 备份周期 | 选择按周或按天自动执行备份。 l 按周:至少选择一周中的某一天。 l 按天:最少每隔1天、最大每隔30天执行自动备份。 | 按周 |
| 备份时间 | 选择固定的时间点进行自动备份。 说明 配置策略案例说明 策略1:备份周期选择按周(周三、周六),备份时间选择00:00、13:00。释义:在每周三和每周六的00:00、13:00两个时间点实行自动备份。 策略2:备份周期选择按天(每隔2天),备份时间选择02:00、14:00。释义:即日起,每隔两天之后的02:00、14:00执行自动备份。 | 00:00、07:00 |
| 时区 | 选择备份时间所属的时区。 | UTC+08:00 |
6 确认无误,单击“下一步”,配置备份数据保留规则,选择不同的保留类型会配置不同的参数。
- “保留类型”:“按数量”
配置备份规则参数说明如表所示。
按数量配置保留规则参数说明
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 配置详情 | 配置保留最新备份的数量。 须知 此处配置的备份保留数量为系统最终保留的份数,不受高级选项的规则影响。 例:“配置详情”填写保留备份数量为“30”,“高级选项”填写“月备份规则”值为“3”(即3个月,约90天),最终系统保留的备份数量为最新的30份 。 | 30 |
| 高级选项(可选) | 以日、周、月、年为单位周期,配置保留周期内每天最新的一个备份。 l 日备份规则:以天为单位,保留自定义天以内每天最新的一个备份。 l 周备份规则:以周为单位,保留自定义周以内每天最新的一个备份。 l 月备份规则:以月为单位,保留自定义月以内每天最新的一个备份。 l 年备份规则:以年为单位,保留自定义年以内每天最新的一个备份。 说明 若同时填写多个规则,保留备份按照时间最长的规则执行。 | 月备份规则:3 |
- “保留类型”:“按时间”
配置备份规则参数说明如表所示。
按时间配置保留规则参数说明
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 配置详情 | 选择自定义或固定保留备份数据的周期,选择后自动开启备份保留,满足周期备份数据后系统将自动删除更早的数据。 l 自定义:输入以天为单位的数值,备份数据满足自定义天数的保存周期后,系统自动删除最早产生的备份数据。 l 1个月:备份数据满足1个月的保存周期后,系统自动删除最早产生的备份数据。 l 3个月:备份数据满足3个月的保存周期后,系统自动删除最早产生的备份数据。 l 6个月:备份数据满足6个月的保存周期后,系统自动删除最早产生的备份数据。 l 1年:备份数据满足1年的保存周期后,系统自动删除最早产生的备份数据。 | 3个月 |
- “保留类型”:“永久保留”
备份数据永久保留。
说明
如果该策略曾经产生过备份副本,并且过去是“按时间”管理,历史备份仍然按照保留时间规则进行删除。
7 配置完成,单击“确认”,完成备份策略修改。
开启勒索病毒防护
勒索防护说明
勒索防护不支持主动拦截查杀,只支持检测,若需检测结果进行隔离查杀,操作详情请参见开启恶意程序隔离查杀。
前提条件
已购买主机安全版本为旗舰版或网页防篡改版。
约束限制
- 开启勒索病毒防护时,需要同时配置服务器备份并及时处置勒索病毒告警、修复系统及中间件漏洞。如果不开启服务器备份,遭受攻击后较大概率无法恢复业务。
- 未开启旗舰版、网页防篡改版、容器版防护不支持勒索相关操作。
- 按需计费模式下,不支持勒索病毒防护。
操作步骤
1 登录管理控制台。
2 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 选择“主动防御 > 勒索病毒防护 > 防护服务器”,单击“为服务器开启防护”。
5 在弹出的对话框选择目标系统,开启勒索防护,选择或新建策略,选择后单击“下一步”,参数说明如表6-11所示,以下以Linux为例。
勒索防护配置参数说明
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 服务器操作系统 | 选择需要防护的服务器系统。 | Linux |
| 勒索防护 |
开启: 关闭:
|
|
| 防护策略 | 您可选择已有策略或新建防护策略。 l 选择已有策略:在“选择防护策略”项选择已有的目标策略即可。 l 新建防护策略:详情请参见新建防护策略。 | 选择已有策略 |
| 选择防护策略 | 选择已有的防护策略。 | - |
6 配置完成,单击“下一步”,配置服务器备份的备份规则。
说明
服务器备份必须开启。
开启服务器备份,单击“保留规则”项的“修改备份策略”,可对备份规则进行修改。
7 配置完成,单击“下一步”,进入服务器选择页面,通过分组筛选或服务器名称搜索目标服务器,勾选目标服务器。
8 确认无误,单击“确认”,开启服务器勒索防护。
9 左侧导航树选择“主动防御 > 勒索病毒防护”,选择“防护服务器”页签,查看已开启勒索防护的服务器。
防护策略管理
说明
目前勒索病毒防护策略的新建必须通过开启防护的流程才能创建。
约束限制
- 开启勒索病毒防护时,需要同时配置服务器备份并及时处置勒索病毒告警、修复系统及中间件漏洞。如果不开启服务器备份,遭受攻击后较大概率无法恢复业务。
- 未开启旗舰版、网页防篡改版、容器版防护不支持勒索相关操作。
- 按需计费模式下,不支持勒索病毒防护。
新建防护策略
1 登录管理控制台。
2 在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 选择“主动防御 > 勒索病毒防护 > 防护服务器”,单击“为服务器开启防护”。
5 在弹出的对话框选择Linux或Windows系统,开启勒索防护,“防护策略”选择“新建防护策略”,参数说明如表所示。
以下以linux为示例。
防护策略参数说明
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 服务器操作系统 | 选择需要防护的服务器系统。 | Linux |
| 勒索防护 |
根据需求开启户关闭勒索防护,建议开启。 开启:关闭:
|
|
| 防护策略 | 您可选择已有策略或新建防护策略。 l 选择已有策略:在“选择防护策略”项选择已有的目标策略即可。 l 新建防护策略。 | 新建防护策略 |
| 防护策略名称 | 自定义防护策略名称。 | - |
| 防护动作 | 发现告警事件后的处理方式。 l 告警并自动隔离 l 仅告警 | 告警并自动隔离 |
| 诱饵防护 | 开启诱饵防护后,系统会在防护目录和关键目录(不包括排除目录)中部署诱饵文件。诱饵文件会占用小部分服务器资源,不会影响您的服务器正常运行。 在开启服务器的勒索病毒防护时,诱饵防护状态为默认开启。 说明 当前仅Linux系统支持动态生成和部署诱饵文件,Windows系统仅支持静态部署诱饵文件。 | 开启 |
| 诱饵防护目录 | 被防护的目录(不包括子目录)。 多个目录请用英文分号隔开,最多支持填写20个防护目录。 操作系统为Linux时必填项。 | Linux:/etc/lesuo Windows:C:\Test |
| 排除目录(选填) | 不进行部署诱饵文件的目录。 多个目录请用英文分号隔开,最多支持填写20个排除目录。 | Linux:/test Windows:C:\ProData |
| 防护文件类型 | 被防护的服务器文件类型或格式,自定义勾选即可。 涵盖数据库、容器、代码、证书密匙、备份等9大文件类型,共70+种文件格式。 仅Linux支持,且为必选项。 | 全选 |
| 进程白名单 | 添加自动忽略检测的进程文件路径,可在告警中获取。 仅Windows支持。 | - |
6 配置完成,单击“下一步”,配置服务器备份的备份规则。
说明
服务器备份必须开启。
开启服务器备份,单击“保留规则”项的“修改备份策略”,可对备份规则进行修改。
7 配置完成,单击“下一步”,进入服务器选择页面,通过分组筛选或服务器名称搜索目标服务器,勾选目标服务器。
8 确认无误,单击“确认”,开启服务器勒索防护,同时防护策略创建成功。
9 左侧导航树选择“主动防御 > 勒索病毒防护 ”,选择“防护策略”页签,查看已创建的防护策略。
修改防护策略
1 登录管理控制台。
2 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
步骤 4 选择“主动防御 > 勒索病毒防护 > 防护策略”。
步骤 5 单击目标防护策略操作列的“编辑”,弹出防护策略编辑页面,对策略信息和关联服务器进行编辑,参数说明如表所示。
以下以Linux为例。
防护策略参数说明
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 服务器操作系统 | 选择需要防护的服务器系统。 | Linux |
| 勒索防护 |
根据需求开启户关闭勒索防护,建议开启。 开启: 关闭:
|
|
| 防护策略 | 您可选择已有策略或新建防护策略。 l 选择已有策略:在“选择防护策略”项选择已有的目标策略即可。 l 新建防护策略。 | 新建防护策略 |
| 防护策略名称 | 自定义防护策略名称。 | - |
| 防护动作 | 发现告警事件后的处理方式。 l 告警并自动隔离 l 仅告警 | 告警并自动隔离 |
| 诱饵防护 | 开启诱饵防护后,系统会在防护目录和关键目录(不包括排除目录)中部署诱饵文件。诱饵文件会占用小部分服务器资源,不会影响您的服务器正常运行。 在开启服务器的勒索病毒防护时,诱饵防护状态为默认开启。 说明 当前仅Linux系统支持动态生成和部署诱饵文件,Windows系统仅支持静态部署诱饵文件。 | 开启 |
| 诱饵防护目录 | 被防护的目录(不包括子目录)。 多个目录请用英文分号隔开,最多支持填写20个防护目录。 操作系统为Linux时必填项。 | Linux:/etc/lesuo Windows:C:\Test |
| 排除目录(选填) | 不进行部署诱饵文件的目录。 多个目录请用英文分号隔开,最多支持填写20个排除目录。 | Linux:/test Windows:C:\ProData |
| 防护文件类型 | 被防护的服务器文件类型或格式,自定义勾选即可。 涵盖数据库、容器、代码、证书密匙、备份等9大文件类型,共70+种文件格式。 仅Linux支持,且为必选项。 | 全选 |
| 进程白名单 | 添加自动忽略检测的进程文件路径,可在告警中获取。 仅Windows支持。 | - |
6 确认信息无误,单击“确认”,完成防护策略修改。
删除防护策略
1 登录管理控制台。
2 在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 选择“主动防御 > 勒索病毒防护 > 防护策略”。
5 单击目标策略“操作”列的“删除”。
说明
删除策略后,关联的服务器将不再被防护,风险系数将会升高,建议删除策略前将目标策略关联的服务器绑定其他策略开启防护。
6 在弹窗确认正在删除的策略信息,确认无误,单击“确认”,完成删除。
关闭勒索防护
前提条件
已购买主机安全版本为旗舰版或网页防篡改版。
防护服务器列表至少有一台服务器处理防护中状态。
约束限制
- 开启勒索病毒防护时,需要同时配置服务器备份并及时处置勒索病毒告警、修复系统及中间件漏洞。如果不开启服务器备份,遭受攻击后较大概率无法恢复业务。
- 未开启旗舰版、网页防篡改版、容器版防护不支持勒索相关操作。
- 按需计费模式下,不支持勒索病毒防护。
关闭服务器防护
1 登录管理控制台。
2 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4 选择“主动防御 > 勒索病毒防护 > 防护策略”。
5 单击目标服务器“操作”列的“关闭防护”,在弹窗中选择需要关闭的防护功能。
- 关闭所有防护
关闭后目标服务器的勒索防护和备份功能都将关闭。
- 仅关闭勒索防护
仅关闭目标服务器的勒索病毒防护。
- 仅关闭备份功能
仅关闭目标服务器的数据备份功能。
6 确认关闭信息无误,单击“确认”,完成关闭。
