勒索病毒已经成为网络安全最大的威胁,云安全中心针对勒索病毒提供防御、告警和数据备份的能力,可预防勒索病毒入侵您的服务器。您可以为您的服务器创建勒索病毒防护策略,备份您服务器上的数据。本文介绍如何创建防护策略。

前提条件

已购买防勒索容量并完成授权。更多信息,请参见开通服务

背景信息

无论您的服务器是阿里云服务器或非阿里云服务器、服务器使用的是专有网络或者经典网络,您都可以使用云安全中心的服务器防勒索功能为您的服务器创建防护策略。为您的服务器创建防护策略后,云安全中心会自动备份您服务器防护目录下的数据。如果您的服务器数据被勒索病毒感染,您可以随时恢复已备份的数据,避免勒索病毒对您的业务产生影响。

防勒索数据备份通过在您的服务器上安装的防勒索客户端进行,防勒索客户端为正常状态才能进行数据备份。创建防护策略后,建议您重点关注防勒索客户端的状态,及时处理防勒索客户端的异常状态。更多信息,请参见查看防勒索客户端状态

支持的地域

华东1(杭州)、华东2(上海)、华东2金融云(上海)、北京政务云、深圳金融云、华北1(青岛)、华北2阿里政务云、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、西南1(成都)、华南1(深圳)、中国香港、新加坡、印度尼西亚(雅加达)、澳大利亚(悉尼)、美国(硅谷)、美国(弗吉尼亚)、德国(法兰克福)、日本(东京)和印度(孟买)、阿联酋(迪拜)。

限制条件

服务器防勒索功能使用时有以下限制:
  • 仅支持防病毒版高级版企业版旗舰版仅采购增值服务并购买了勒索防护容量的用户创建勒索防护策略,免费版用户需要升级到防病毒版高级版企业版旗舰版仅采购增值服务并购买勒索防护容量,才能创建勒索防护策略。
  • 您服务器的操作系统版本在支持范围内,不在支持范围内的服务器将无法进行数据备份。服务器防勒索功能支持的操作系统详情,请参见防勒索支持的操作系统

客户端版本说明

云安全中心防勒索客户端已升级为V2.0及以上版本。目前在客户端版本为V1.X.X时,创建的1.0版本的勒索防护策略已不支持编辑。当前服务器防勒索功能仅支持基于客户端V2.X.X版本,创建2.0版本的勒索防护策略。

勒索防护策略1.0版本与2.0版本的差异如下:
差异项 1.0版本 2.0版本
自定义排除目录 不支持 支持
VSS
经典网络
兼容混合云备份HBR使用
备份方式 多个备份任务同时进行备份(易导致CPU高) 多个备份任务依次进行备份

防护策略一键升级

1.0版本的勒索防护策略支持一键升级至2.0版本的勒索防护策略,您可在防护策略列表中单击操作列的升级进行一键升级。勒索防护策略升级的同时,该策略生效的服务器上的防勒索客户端也会同步被替换为客户端V2.X.X版本。升级客户端
说明
  • 客户端版本升级是对客户端进行更换,不影响已备份数据,更换后备份任务正常进行。如果客户端升级失败会自动回滚为客户端V1.X.X版本,不影响数据备份。
  • 可能存在部分服务器上的客户端无法一键升级的情况。如果客户端无法升级,建议将客户端升级失败的服务器从策略中删除,然后再次单击防护策略操作列的升级,将防护策略升级至2.0版本。防护策略升级成功后,再将删除的服务器重新添加回该策略,服务器上会自动安装客户端V2.X.X版本。

数据备份说明

  • 防勒索数据备份采用增量备份的方式。防护策略创建后,初次进行数据备份时由于要全量备份防护目录下的数据,会消耗一定量的CPU和内存资源。为避免对您的业务造成影响,建议您选择业务量较小的时段进行数据备份。后续再次进行备份时,云安全中心只备份有变化(修改、增加或删除)的文件,在为您降低服务器资源消耗的同时,避免了消耗过多的防勒索容量。
  • 根据您防护策略的版本及备份目录的不同,云安全中心会自动启动不同数量的备份任务。以下是相关说明:
    备份目录 1.0版本的策略 2.0版本的策略
    备份全部目录
    • Linux系统:整个服务器生成一个数据备份任务。
    • Windows系统:每一个数据盘会生成一个数据备份任务。例如您的Windows服务器上有两个数据盘,云安全中心将生成两个数据备份任务,这两个任务会同时启动,消耗的CPU和内存资源会高于Linux服务器。
      注意 建议您根据Windows服务器的CPU和内存资源使用情况,合理安排数据备份的时间。
    整个服务器生成一个数据备份任务。多个数据备份任务依次进行,占用的CPU和内存资源较少,不会对您的业务产生影响。
    备份指定目录 对防护策略中每个目录地址,云安全中心会启动相应的数据备份任务。多个数据备份任务会同时进行,可能会占用较多的CPU和内存资源。建议您根据实际情况,设置合理数量的备份目录。

创建防护策略

创建防护策略时您可以选择推荐策略快速创建防护策略,也可以根据实际情况选择自定义策略。以下是在防勒索客户端V2.X.X版本上创建防护策略的操作步骤。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择主动防御 > 防勒索
  3. 通用防勒索解决方案页面,单击服务器防勒索页签。
  4. 服务器防勒索页签下,单击创建防护策略
  5. 创建防护策略面板,配置防护策略相关参数。
    您可以参考以下表格中的参数说明配置防护策略。
    配置项 说明
    策略名称 设置防护策略的名称。
    是否为阿里云服务器 选择防护策略生效的服务器是否为阿里云服务器。
    选择资产 支持选中单台资产、跨组选中多台资产或者选中资产分组。 执行以下操作选择需要防护的资产:
    • 资产分组区域选择某一资产分组,系统将自动选择该分组下的所有资产。您可在右侧资产模块下,取消选中不需要的防护的资产。
    • 资产模块下输入资产名称(支持模糊查询),单击搜索框的搜索按钮后会为您展示相关资产,您可选中需要防护的资产。
    说明
    • 选择资产时,阿里云服务器支持单个策略内配置多个地域的服务器,非阿里云服务器仅支持单个策略中配置同一地域的服务器。
    • 为保证您的防护容量得到合理和有效地利用,每台服务器只支持添加到一条防护策略中。每个防护策略中,最多只能添加100台服务器。
    防护策略 支持选择以下策略:
    • 推荐策略
      选择推荐策略后,默认选择以下配置:
      • 防护目录:全部目录(排除系统目录)
      • 是否排除系统目录:排除
      • 排除指定目录:显示排除目录的列表
      • 防护文件类型:全部文件类型
      • 数据备份开始时间:00:00~03:00的任一时刻
      • 备份策略执行间隔:一天
      • 备份数据保留时间:7天
      • 备份网络带宽限制(MBit/s):0 MBit/s
        说明 0 MBit/s代表不限制备份网络带宽。
      • VSS(Windows):是
        说明 该功能仅为Windows系统开启,开启后会有效降低因进程占用导致的个别文件备份失败的问题,建议开启。启用 VSS 后,将不支持exFAT和FAT32磁盘格式的文件备份。
    • 自定义策略

      选择自定义策略后,您需要自定义防护策略的防护目录、防护文件类型、数据备份开始时间、备份策略执行间隔、备份数据保留时间、备份网络带宽限制(MBit/s)等参数。

    防护目录 选择需要进行备份的目录,支持选择以下类型:
    • 指定目录:即备份已选中资产的指定目录。您需要在目录地址文本框中输入需要备份的目录地址。
    • 全部目录:即备份已选中资产的全部目录。 您需要在是否排除系统目录处选择不排除系统目录。
      说明 为防止出现系统冲突,选择全部目录后,建议您在设置是否排除系统目录时选择不排除
    是否排除系统目录 选择备份或不备份的系统目录。当您排除下方的排除指定目录时,右侧文本框中会显示云安全中心默认支持不备份的所有系统目录,您可根据自己的业务需求进行删减。
    说明 Windows系统和Linux系统默认支持不备份的系统目录在持续更新中,具体以控制台排除指定目录右侧文本框中显示的系统目录为准。
    防护文件类型 选择需要进行防护的文件类型,支持选择以下类型:
    • 指定类型:即针对指定文件进行备份防护。您需要在选择文件类型中选择需要防护的具体文件类型。
    • 全部文件类型:即针对所有类型的文件进行备份防护。
    选择文件类型 支持选择以下文件类型:
    • 全部文件类型
    • 指定文件类型
      • 文档类
      • 压缩包类
      • 数据库类
      • 音频视频类
      • 脚本代码类
    注意
    • 仅在防护文件类型选择指定文件类型时需要配置该参数。
    • 支持同时选中多个文件类型。云安全中心仅防护您资产中此处选中类型的文件。
    数据备份开始时间 设置数据备份开始时间。
    注意 防护策略创建后,初次进行数据备份时由于要全量备份防护目录下的数据,会消耗一定量的CPU和内存资源。为避免对您的业务造成影响,建议您选择业务量较小的时段进行数据备份。
    备份策略执行间隔 设置备份策略执行间隔,默认为一天。支持选择以下时间:
    • 半天
    • 一天
    • 三天
    • 七天
    备份数据保留时间 设置备份数据保留时间,默认为7天。支持选择以下时间:
    • 7天
    • 30天
    • 半年
    • 一年
    • 永久
    注意 超过备份数据保留时间后,备份数据会自动清理,建议您根据业务需求合理设置备份数据保留时间。
    备份网络带宽限制(MB/s) 受防勒索保护的备份数据占用的带宽流量阈值。可以设置的范围:1 MB/s~不限流量。
    注意 ECS服务器仅占用内网带宽,不影响外网带宽。建议您根据服务器的带宽,设置合理的流量阈值,避免备份占用过多带宽对您业务产生影响。
  6. 单击确定
    创建防护策略后,策略状态默认为开启状态。云安全中心将自动在您的服务器上安装防勒索客户端,并根据防护策略中设置的备份条件对生效服务器的防护目录进行数据备份。

相关操作

  • 查看防勒索客户端状态

    防护策略创建后,您需要在服务器防勒索页签下的策略列表中,单击策略左侧的展开,展开策略生效的服务器列表,查看该策略下每个服务器上的防勒索客户端的状态,确保防勒索客户端状态为客户端在线。只有防勒索客户端的状态为客户端在线,云安全中心才能正常备份服务器上的数据。

    如果备份客户端状态为未安装安装失败服务异常,则防护策略无法进行正常备份。您需要排查异常状态原因并处理防勒索客户端的异常。
    说明 服务异常可能是备份异常或恢复异常,恢复异常的情况下可以正常备份,请根据页面提示处理异常。
    您可以通过以下方式排查防勒索客户端的异常:
    • 根据界面提示自行排查并解决防勒索客户端状态异常问题,详细操作步骤,请参见防勒索客户端异常状态排查
    • 提交工单联系阿里云安全工程师协助您处理。
    查看客户端状态
  • 手动安装防勒索客户端
    创建防护策略后,云安全中心将自动在您的服务器上安装防勒索客户端。如果您的服务器未启动或配置了特定的防火墙策略可能会导致系统自动安装失败。防勒索客户端安装失败后,您需要先排查并处理安装失败原因,然后为该服务器手动安装防勒索客户端。手动安装防勒索客户端的操作步骤,请参见管理防护策略中的服务器安装混合云备份客户端
  • 卸载防勒索客户端
    如果策略中服务器上的客户端状态为服务异常安装失败,您可以单击该服务器操作列的卸载,将防勒索客户端卸载后,再重新安装。
    说明 防勒索客户端卸载后,云安全中心在该服务器防勒索策略的备份数据保留时间内,不会删除该客户端已备份的服务器数据。如果超过备份数据保留时间,已备份的服务器数据则会被删除。
    卸载混合云备份客户端
  • 删除防勒索客户端
    如果某一个服务器不再需要防勒索策略的防护,您可以删除该服务器上的防勒索客户端。删除防勒索客户端的同时会将该服务器从策略生效的服务器列表中移除,服务器的备份数据也会被删除。服务器备份数据的删除会为您释放相应的勒索防护容量,勒索防护容量释放有24~72小时的延时,建议您保持充足的存储容量,请勿耗尽容量。如果因存储容量耗尽,备份停止后又进行全量备份,会导致服务器性能消耗过高。
    注意 删除客户端会导致备份数据删除,备份数据删除后将无法恢复,请您谨慎操作。
    删除客户端