勒索病毒已经成为网络安全最大的威胁,云安全中心针对勒索病毒提供防御、告警和数据备份的能力,可预防勒索病毒入侵您的核心服务器。您可以为您的核心服务器创建勒索病毒防护策略。本文介绍如何创建防护策略。

背景信息

  • 病毒防御为基础杀毒版、高级版和企业版增值服务,为您提供病毒查杀和防勒索数据备份服务。基础版用户需要先升级到基础杀毒版、高级版或企业版,才可使用病毒查杀功能。基础杀毒版、高级版或企业版用户购买防勒索容量后才可使用防勒索数据备份功能。
  • 病毒防御仅支持备份阿里云ECS服务器数据,不支持备份非阿里云服务器数据。您只能为您的阿里云ECS服务器创建防护策略。
  • 防勒索数据备份通过在您的ECS服务器上安装的混合云备份客户端进行,混合云备份客户端为正常状态才能进行数据备份。创建防护策略后,建议您重点关注混合云备份客户端的状态,及时处理混合云备份客户端的异常状态。
  • 为保证您的防护容量得到合理和有效地利用,每台服务器只支持添加到一个防护策略中。
说明 病毒防御功能支持的操作系统版本有限,不在支持范围内的服务器将无法进行数据备份。支持的操作系统请参见病毒防御支持的操作系统

创建防护策略

创建防护策略时您可以选择推荐策略快速创建防护策略,也可以根据实际情况选择自定义策略。参考以下步骤创建防护策略:

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击主动防御 > 病毒防御
  3. 病毒防御页面单击添加防勒索策略
  4. 通用防勒索解决方案页面单击创建防护策略
    您也可以单击未防护的服务器下的数字进入创建防护策略页面。未保护服务器入口
  5. 创建防护策略页面,配置防护策略相关参数。
    创建防护策略您可以参考以下表格中的参数说明配置防护策略。
    参数 说明
    策略名称 输入防护策略的名称。
    选择资产 支持选中单台资产、跨组选中多台资产或者选中资产分组。 执行以下操作选择需要防护的资产:
    • 资产分组区域选择某一资产分组,系统将自动选择该分组下的所有资产。您可在右侧资产模块下,取消选中不需要的防护的资产。
    • 资产模块下输入资产名称(支持模糊查询),单击搜索框的搜索按钮后会为您展示相关资产,您可选中需要防护的资产。
    说明
    • 为保证您的防护容量得到合理和有效地利用,每台服务器只支持添加到一个防护策略中。
    • 病毒防御仅支持备份阿里云ECS服务器数据,不支持备份非阿里云服务器数据。您只能为您的阿里云ECS服务器创建防护策略。
    • 防勒索现已支持新加坡、印尼、澳大利亚、美国、德国、香港、上海、杭州、北京、深圳、张家口、呼和浩特地域。其他地域暂不支持。目前您只能选择防勒索支持的地域下的ECS服务器。
    防护策略 支持选择以下策略:
    • 推荐策略
      选择推荐策略后,默认选择以下配置:
      • 防护目录:全部目录(排除系统目录)
      • 防护文件类型:全部文件类型
      • 数据备份开始时间:00:00~03:00的任一时刻
      • 备份策略执行间隔:一天
      • 备份数据保留时间:七天
      • 最大数据控制(MByte/s):5 MByte/s
    • 自定义策略

      选择自定义策略后,您需要自定义防护策略的防护目录、防护文件类型、数据备份开始时间、备份策略执行间隔、备份数据保留时间、最大数据控制(MByte/s)等参数。

    防护目录 选择需要进行防护的目录,支持选择以下类型:
    • 指定目录:防护已选中资产的指定目录。您需要在目录地址文本框中输入需要防护的目录地址。
    • 全部目录:防护已选中资产的全部目录。 您需要在是否排除系统目录处选择是否排除系统目录。
      说明 为防止出现系统冲突,选择全部目录后,建议您在设置是否排除系统目录时选择排除
    是否排除系统目录 选择排除不排除系统目录。以下是选择排除后Windows和Linux系统的排除目录:
    • Windows
      • Windows\
      • python27\
      • Program Files (x86)\
      • Program Files\
      • ProgramData\
      • Boot\
      • $RECYCLE.BIN\
      • System Volume Information\
      • Users\Administrator\NTUSER.DAT
      • pagefile.sys
    • Linux
      • /bin/
      • /usr/bin/
      • /sbin/
      • /boot/
      • /proc/
      • /sys/
      • /srv/
      • /lib/
      • /selinux/
      • /usr/sbin/
      • /run/
      • /lib32/
      • /lib64/
      • /lost+found/
    目录地址 输入需要防护的目录地址。如果有多个目录需要防护,您可以单击新增目录增加目录地址。如果不需要防护某条目录,您可以单击删除来删除该目录地址。
    说明 仅在防护目录选择指定目录时需要配置该参数。
    防护文件类型 选择需要进行防护的文件类型,支持选择以下类型:
    • 指定类型:防护指定类型的文件。您需要在选择文件类型中选择需要防护的具体文件类型。
    • 全部文件类型:防护所有类型的文件。
    选择文件类型 支持选择以下文件类型:
    • 文档类
    • 图片类
    • 压缩包类
    • 数据库类
    • 音视频类
    • 脚本代码类
    说明
    • 仅在防护文件类型选择指定文件类型时需要配置该参数。
    • 支持同时选中多个文件类型。云安全中心仅防护您资产中此处选中类型的文件。
    数据备份开始时间 设置数据备份开始时间。数据备份可能会占用少量CPU和内存,建议您将数据备份开始时间设置为业务量较小的时段,例如00:00。
    备份策略执行间隔 设置备份策略执行间隔,默认为一天。支持选择以下时间:
    • 半天
    • 一天
    • 三天
    • 七天
    备份数据保留时间 设置备份数据保留时间,默认为7天。支持选择以下时间:
    • 7天
    • 30天
    • 半年
    • 一年
    • 永久
    最大数据控制(MB) 受防勒索保护的备份数据占用的带宽流量阈值。可以设置的范围:1 MByte/s~不限流量。
    说明 建议您根据服务器的带宽,设置合理的流量阈值,避免备份占用过多带宽对您业务产生影响。
  6. 单击确定
    创建并启用防护策略后,云安全中心将自动在您的ECS服务器上安装混合云备份客户端,并根据防护策略中设置的备份条件对相关服务器进行数据备份。

后续步骤

创建策略后还需要在防护策略列表中开启该策略,云安全中心才会备份该策略中设置的文件目录。更多信息请参见启用或停用防护策略开启防护策略

相关操作

  • 查看混合云备份客户端状态
    创建防护策略完成后,您需要在通用防勒索解决方案页面查看混合云备份客户端的状态。只有备份客户端的状态为客户端在线(正常状态),才能正常备份服务器数据。如果备份客户端状态为未安装安装失败服务器异常,则防护策略无法进行正常备份。您需要排查异常状态原因并处理混合云备份客户端的异常。您可以提交工单联系阿里云安全工程师协助您处理。混合云备份客户端正常状态
  • 安装混合云备份客户端
    创建防护策略后,云安全中心将自动在您的ECS服务器上安装混合云备份客户端。您的ECS服务器未启动云助手或配置了特定的防火墙策略可能会导致系统自动安装失败。混合云备份客户端安装失败后,您需要先排查并处理安装失败原因,然后在通用防勒索解决方案页面手动安装混合云备份客户端。安装混合云备份客户端
  • 卸载混合云备份客户端
    如果混合云备份客户端出现故障需要重新安装时,您可以在通用防勒索解决方案卸载混合云备份客户端后,再重新安装。卸载混合云备份客户端