查看勒索病毒防护

前提条件

已开启企业主机安全版本为旗舰版、网页防篡改版或容器安全版。

约束限制

• 开启勒索病毒防护后需要及时处置勒索病毒告警、修复系统及中间件漏洞。

勒索病毒防护概览

1. 登录管理控制台。
2. 在页面左上角单击，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。
3. 在导航树选择“主动防御 > 勒索病毒防护”，查看勒索防护详情。

   表1 勒索病毒概览参数

   参数名称		参数说明	取值样例
   时间范围		选择目标时间周期查看勒索病毒防护的检测情况和统计数据。 取值范围 ：“最近24小时”、“最近3天”、“最近7天”、“最近30天”。	“最近30天”
   防护统计	已防护服务器	已开启勒索病毒防护的服务器总数。	-
   	防护事件	所选时间范围内勒索病毒防护检测发现的事件总数。	-
   备份统计	已备份服务器	已备份数据的服务器数量。	-
   	备份恢复任务	服务器数据恢复的任务数量，单击数量值可查看所有任务进度详情。	-
   防护服务器	服务器名称/ID	服务器的名称和ID，单击服务器名称可查看服务的详情。	-
   	IP地址	防护服务器的弹性公网IP和私有IP。	-
   	操作系统	服务器所属的操作系统。	Linux
   	服务器状态	服务器当前状态。 运行中 关机	-
   	勒索防护状态	目标服务器的勒索防护状态。 开启中：目标服务器正在开启勒索防护。 已开启：目标服务器已开启勒索防护。 关闭中：目标服务器勒索防护正在关闭。 未开启：目标服务器未开启勒索防护，单击“立即开启”可开启勒索防护。	已开启
   	防护策略	该服务器使用的防护策略名称。	-
   	防护事件	所选时间范围内已检测防护到的事件数量。	-
   	备份功能	显示开启或关闭防护中的服务器数据备份状态。 已开启：已开启目标服务器全量数据自动备份。 未开启：未开启目标服务器全量数据自动备份，单击“立即开启”可开启备份。	已开启
   	备份策略状态	目标服务器绑定的备份策略的状态。	已启用
   	存储库状态	目标服务器绑定备份的存储库当前使用状态。	可用
   	绑定存储库	目标服务器绑定存储库的名称。	-
   	已绑定服务器（个）	当前备份存储库绑定的服务器数量。	3
   	已存储/总存储库容量（GB）	目标服务器绑定的存储库已使用容量和总容量说明。	30/400
   	已有备份数	存储库已经产生备份数量。	18
   防护策略	防护策略名称	防护策略的名称。	-
   	防护动作	策略的防护机制。 告警：发现病毒，仅产生告警事件。 告警并自动隔离：发现病毒，产生告警事件的同时系统自动隔离发现的病毒。	告警并自动隔离
   	诱饵防护	在服务器中存放无效数据的文件和目录，作为预防被攻击后访问的目录和文件。 在开启服务器的勒索病毒防护时，诱饵防护会默认开启。 开启诱饵防护后，系统会在防护目录和关键目录（不包括排除目录）中部署诱饵文件。诱饵文件会占用小部分服务器资源，不会影响您服务器的正常运行。	开启
   	运行时检测	目标策略运行时检测的状态。 开启 未开启	未开启
   	操作系统	目标策略绑定服务器的操作系统。	Windows
   	关联服务器数	目标防护策略被关联的服务器数量。	-

查看备份恢复任务

企业主机安全勒索防护的备份依附于云备份服务，执行备份相关操作须已申请云备份服务。

1. 登录管理控制台，进入企业主机安全界面。
2. 在导航树选择“主动防御 > 勒索病毒防护”，单击“备份恢复任务”的数量值。
3. 弹出备份恢复任务弹窗，查看所有备份恢复详情，可通过服务器名称和恢复状态来筛选或检索目标服务器，参数说明如表2所示。

   表2 备份恢复任务参数说明

   参数名称	参数说明	取值样例
   服务器名称/ID	执行备份恢复任务的服务器名称/ID。	-
   备份名称	备份的数据源文件名称。	-
   恢复状态	目标服务器备份恢复的状态。 成功 跳过 失败 正在进行 超时 等待 若出现跳过、失败、超时状态，重新恢复目标备份数据源即可。	成功
   开始/结束时间	备份恢复的时间段（包含开始时间和结束时间）。	-

恢复服务器数据

企业主机安全勒索防护的备份依附于云备份服务，执行备份相关操作须已申请云备份服务。

1. 登录管理控制台，进入企业主机安全界面。
2. 在导航树选择“主动防御 > 勒索病毒防护”，选择“防护服务器”，在目标服务器的“操作”列选择“更多”单击“恢复数据”。
3. 在弹窗中查看目标服务器的信息，通过筛选备份状态和搜索备份名称检索需要恢复的备份数据源，参数说明如表3所示。

   表3 备份数据源参数说明

   参数名称	参数说明	取值样例l
   备份名称	备份的数据存储文件名称。	-
   备份状态	服务器数据备份的状态。 可用 正在创建 正在删除 正在恢复 错误 当为“可用”状态时，备份数据源可进行恢复。	可用
   备份标识	服务器数据备份的原因。 定时周期：根据备份策略配置的备份周期执行的数据备份。 勒索加密：服务器遭到勒索攻击时立即执行的数据备份。	定时周期
   创建时间	目标备份数据源的备份时间。	-

4. 在目标备份数据源的“操作”列单击“恢复数据”。
   

   仅可对“备份状态”为“可用”的备份数据进行恢复。

5. 在弹出的对话框中确认服务器、是否重启等信息，确认无误，单击“确认”，执行自动恢复。

扩充备份容量

企业主机安全勒索防护的备份依附于云备份服务，执行备份相关操作须已申请云备份服务。

1. 登录管理控制台，进入企业主机安全界面。
2. 在导航树选择“主动防御 > 勒索病毒防护”，进入防护服务器列表，单击目标服务器“操作”列的“扩容”。
3. 在弹出窗口中输入“新增容量（GB）”。
4. 确认无误，单击“确认”，页面跳转至支付页面，支付完成后可返回“防护服务器”页面查看目标服务器存储容量。
   • 若未完成支付，目标服务器的“存储状态”会显示“被锁定”，支付后，状态恢复正常。

修改备份策略

企业主机安全勒索防护的备份依附于云备份服务，执行备份相关操作须已申请云备份服务。

1. 登录管理控制台，进入企业主机安全界面。
2. 在导航树选择“主动防御 > 勒索病毒防护”，进入防护服务器列表，单击目标服务器“备份策略状态”列的策略名称。
3. 在弹出对话框中配置策略，参数详情如表4所示。

   表4 策略参数说明

   参数名称	参数说明	取值样例
   备份周期	选择按周或按天自动执行备份。 按周：至少选择一周中的某一天。 按天：最少每隔1天、最大每隔30天执行自动备份。	按周
   备份时间	选择固定的时间点进行自动备份。 说明： 配置策略案例说明 策略1：备份周期选择按周（周三、周六），备份时间选择00：00、13：00。释义：在每周三和每周六的00：00、13：00两个时间点实行自动备份。 策略2：备份周期选择按天（每隔2天），备份时间选择02：00、14：00。释义：即日起，每隔两天之后的02：00、14：00执行自动备份。	00：00、07：00
   时区	选择备份时间所属的时区。	UTC+08：00

4. 确认无误，单击“下一步”，配置备份数据保留规则，选择不同的保留类型会配置不同的参数。
   • “保留类型”：“按数量”

     配置备份规则参数说明如表5所示。

     表5 按数量配置保留规则参数说明

     参数名称	参数说明	取值样例
     配置详情	配置保留最新备份的数量。 须知： 此处配置的备份保留数量为系统最终保留的份数，不受高级选项的规则影响。 例：“配置详情”填写保留备份数量为“30”，“高级选项”填写“月备份规则”值为“3”（即3个月，约90天），最终系统保留的备份数量为最新的30份 。	30
     高级选项（可选）	以日、周、月、年为单位周期，配置保留周期内每天最新的一个备份。 日备份规则：以天为单位，保留自定义天以内每天最新的一个备份。 周备份规则：以周为单位，保留自定义周以内每天最新的一个备份。 月备份规则：以月为单位，保留自定义月以内每天最新的一个备份。 年备份规则：以年为单位，保留自定义年以内每天最新的一个备份。 说明： 若同时填写多个规则，保留备份按照时间最长的规则执行。	月备份规则：3

   • “保留类型”：“按时间”

     配置备份规则参数说明如表6所示。

     表6 按时间配置保留规则参数说明

     参数名称	参数说明	取值样例
     配置详情	选择自定义或固定保留备份数据的周期，选择后自动开启备份保留，满足周期备份数据后系统将自动删除更早的数据。 自定义：输入以天为单位的数值，备份数据满足自定义天数的保存周期后，系统自动删除最早产生的备份数据。 1个月：备份数据满足1个月的保存周期后，系统自动删除最早产生的备份数据。 3个月：备份数据满足3个月的保存周期后，系统自动删除最早产生的备份数据。 6个月：备份数据满足6个月的保存周期后，系统自动删除最早产生的备份数据。 1年：备份数据满足1年的保存周期后，系统自动删除最早产生的备份数据。	3个月

   • “保留类型”：“永久保留”
     备份数据永久保留。

     

     如果该策略曾经产生过备份副本，并且过去是“按时间”管理，历史备份仍然按照保留时间规则进行删除。

5. 配置完成，单击“确认”，完成备份策略修改。