企业主机安全 HSS
企业主机安全 HSS
- 最新动态
- 功能总览
- 服务公告
- 技术画册
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
-
常见问题
- 产品咨询
-
Agent相关
- 购买HSS会自动安装Agent吗?
- Agent是否和其他安全软件有冲突?
- 如何卸载Agent?
- Agent安装失败应如何处理?
- Agent状态异常应如何处理?
- Agent的默认安装路径是什么?
- Agent检测时占用多少CPU和内存资源?
- 购买不同版本HSS,可以共用同一Agent吗?
- 如何查看未安装Agent的主机?
- Agent如何升级?
- 企业主机安全升级失败怎么处理?
- 服务器安装Agent后会访问哪些资源?
- 如何使用镜像批量安装Agent?
- 无法访问Windows或Linux版本Agent下载链接?
- 升级Agent失败,提示“替换文件失败”
- 批量安装Agent失败,提示“网络不通”
- 如何验证主机与HSS服务端的网络是否打通成功?
- 防护相关
- 漏洞管理
- 检测与响应
- 异常登录
- 账户暴力破解
- 基线检查
- 网页防篡改
- 容器安全
- 勒索防护
- 区域和可用区
- 安全配置
- 防护配额
- 计费、续费与退订
- 其他
- 视频帮助
-
更多文档
- 用户指南(安卡拉区域)
- 用户指南(阿布扎比区域)
- 用户指南(巴黎区域)
- 通用参考
链接复制成功!
主机被挖矿攻击,怎么办?
黑客入侵主机后植入挖矿程序,挖矿程序会占用CPU进行超高运算,导致CPU严重损耗,并且影响主机上其他应用的运行。当您的主机被挖矿程序入侵,挖矿程序可能进行内网渗透,并在被入侵的主机上持久化驻留,从而获取最大收益。
当主机提示有挖矿行为时,请确定并清除挖矿程序,并及时对主机进行安全加固。
排查操作步骤
- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 排查进程异常行为,如果出现主机挖矿行为,会触发HSS发送“进程异常行为”告警。
选择“检测与响应 > 安全告警事件 > 主机安全告警 ”,选择“系统异常行为 > 进程异常行为”,查看并处理发生的异常进程行为告警。您可以单击“处理”,对挖矿程序进行隔离查杀。图1 处理进程异常行为
- 排查其他自启动项,有的挖矿进程为了实现长期驻留,会向系统中添加自启动项来确保系统重启后仍然能重新启动,因此,需要及时清除可疑的自启动项。
选择“资产管理 > 主机指纹”,单击“自启动项”,选择“历史变动记录”,查看历史变动情况。
主机安全加固
挖矿程序清除后,为了保障主机安全,请及时对主机进行安全加固。
Linux加固建议
- 使用HSS每日凌晨自动进行一次全面的检测,帮助您深度防御主机和应用方面潜在的安全风险。
- 修改系统所有账号口令(包括系统账户和应用账户)为符合规范的强口令,或将主机登录方式改为密钥登录彻底规避风险。
- 设置安全口令,详细操作请参见如何设置安全的口令?。
- 使用密钥登录主机,详细操作请参见使用私钥登录Linux主机。
- 严格控制系统管理员账户的使用范围,为应用和中间件配置各自的权限和并严格控制使用范围。
- 使用安全组定义访问规则,根据业务需求对外开放端口,对于特殊业务端口,建议设置固定的来源IP(如:远程登录)或使用VPN、堡垒机建立自己的运维通道,详细操作请参见安全组规则。
Windows加固建议
使用HSS全面体检并深度防御主机和应用方面潜在的安全风险,同时您还可以对您的Windows系统进行账户安全加固、口令安全加固和授权安全加固。
- 账户安全加固
账户
说明
操作步骤
默认账户安全
- 禁用Guest用户
- 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除)
- 打开控制面板。
- 选择“管理工具 > 计算机管理”。
- 选择“系统工具 > 本地用户和组 > 用户”。
- 双击Guest用户,在弹出的Guest属性窗口中,勾选“账户已禁用”。
- 单击“确定”,完成Guest用户禁用。
按照用户分配账户
根据业务要求,设定不同的用户和用户组。
例如,管理员用户,数据库用户,审计用户等。
- 打开控制面板。
- 选择“管理工具 > 计算机管理”。
- 选择“系统工具 > 本地用户和组”,根据业务要求,设定不同的用户和用户组,包括管理员用户,数据库用户,审计用户等。
定期检查并删除无关账户
定期删除或锁定与设备运行、维护等与工作无关的账户。
- 打开控制面板。
- 选择“管理工具 > 计算机管理”。
- 选择“系统工具 > 本地用户和组”。
- 单击“用户”或者“用户组”,在用户或者用户组页面,删除或锁定与设备运行、维护等与工作无关的账户。
不显示最后的用户名
配置登录登出后,不显示用户名称。
- 打开控制面板。
- 选择“管理工具 > 本地安全策略”。
- 在“本地安全策略”窗口中,选择“本地策略 > 安全选项”。
- 双击“交互式登录:不显示最后的用户名”。
- 在弹出的“交互式登录:不显示最后的用户名”属性窗口中,选择“启用”,并单击确定。
- 口令安全加固
口令
说明
操作步骤
复杂度
必须满足如何设置安全的口令的要求。
- 打开控制面板。
- 选择“管理工具 > 本地安全策略”。
- 在“本地安全策略”窗口中,选择“账户策略 > 密码策略”。
- 确认“密码必须符合复杂性要求”已启用。
密码最长留存期
对于采用静态口令认证技术的设备,账户口令的留存期不应长于90天。
- 打开控制面板。
- 选择“管理工具 > 本地安全策略”。
- 在“本地安全策略”窗口中,选择“账户策略 > 密码策略”。
- 配置“密码最长使用期限”不大于90天。
账户锁定策略
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次后,锁定该用户使用的账户。
- 打开控制面板。
- 选择“管理工具 > 本地安全策略”。
- 在“本地安全策略”窗口中,选择“账户策略 > 账户锁定策略”。
- 配置“账户锁定阈值”不大于10次。
- 授权安全加固
授权
说明
操作步骤
远程关机
在本地安全设置中,从远端系统强制关机权限只分配给Administrators组。
- 打开控制面板。
- 选择“管理工具 > 本地安全策略”。
- 在“本地安全策略”窗口中,选择“本地策略 > 用户权限分配”。
- 配置“从远端系统强制关机”,权限只分配给Administrators组。
本地关机
在本地安全设置中关闭系统权限只分配给Administrators组。
- 打开控制面板。
- 选择“管理工具 > 本地安全策略”。
- 在“本地安全策略”窗口中,选择“本地策略 > 用户权限分配”。
- 配置“关闭系统”,权限只分配给Administrators组。
用户权限指派
在本地安全设置中,取得文件或其它对象的所有权的权限只分配给Administrators组。
- 打开控制面板。
- 选择“管理工具 > 本地安全策略”。
- 在“本地安全策略”窗口中,选择“本地策略 > 用户权限分配”。
- 配置“取得文件或其他对象的所有权”,权限只分配给Administrators组。
授权账户登录
在本地安全设置中,配置指定授权用户允许本地登录此计算机。
- 打开控制面板。
- 选择“管理工具 > 本地安全策略”。
- 在“本地安全策略”窗口中,选择“本地策略 > 用户权限分配”。
- 配置“允许本地登录”,权限给指定授权用户。
授权账户从网络访问
在本地安全设置中,只允许授权账号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
- 打开控制面板。
- 选择“管理工具 > 本地安全策略”。
- 在“本地安全策略”窗口中,选择“本地策略 > 用户权限分配”。
- 配置“从网络访问此计算机”,权限给指定授权用户。
父主题: 检测与响应