文档首页/ 企业主机安全 HSS/ 用户指南/ 风险预防/ 基线检查/ 配置基线检查策略
更新时间:2025-09-08 GMT+08:00
查看PDF
分享

配置基线检查策略

操作场景

企业主机安全预置了名称为“高阶策略”“基础策略”的两种定时检查策略。开启企业主机安全防护的服务器,默认会绑定其中一种策略,并在每天凌晨04:00至05:00自动执行一次基线检查。

  • 高阶策略

    开启企业主机安全企业版、旗舰版、容器版和网页防篡改版防护的服务器默认绑定高阶策略,高阶策略区分Windows和Linux两个版本,不同版本高阶策略覆盖的检查类型包含:

    • Linux版:“基线配置检查”“口令复杂度策略检测”以及“经典弱口令检测”
    • Windows版:“基线配置检查”“经典弱口令检测”

    如需修改高阶策略的检查内容、检测时间以及应用的服务器请参见修改高阶策略

  • 基础策略

    开启企业主机安全基础版、专业版防护的服务器默认绑定基础策略,基础策略区分Windows和Linux两个版本,不同版本基础策略覆盖的检查类型包括:

    • Linux版:“经典弱口令检测”“口令复杂度策略检测”
    • Windows版:“经典弱口令检测”

    如需修改基础策略的检查内容、检测时间以及应用的服务器请参见修改基础策略

此外,开启企业主机安全企业版、旗舰版、容器版和网页防篡改版防护的服务器支持自定义检查策略,自定义策略提供定时检查和单次手动检查两种检查模式,如果您不希望服务器统一绑定“高阶策略”,而是想划分不同的策略实现精细化管理,可按实际需求灵活创建自定义检查策略。具体操作请参见创建自定义检查策略

当您配置完默认策略或自定义策略后,如需自定义口令复杂度策略检测规则、自定义弱口令,请参见自定义口令复杂度策略检测规则自定义弱口令

约束与限制

  • 每台服务器只能绑定一条定时检查策略(包含默认策略),当绑定新的定时策略时,将自动与旧策略解绑。
  • 每台服务器可以绑定多条单次手动检查策略。

修改高阶策略

  1. 登录企业主机安全控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 在左侧导航树中,选择风险预防 > 基线检查,进入基线检查界面。

    图1 基线检查

  4. (可选)如果您已开通企业项目,可在页面上方“企业项目”下拉框中选择企业项目,查看目标企业项目下的相关信息和数据。
  5. 在页面右上角,单击“策略管理”,系统弹出“策略管理”页面。
  6. 在目标高阶策略所在行的“操作”列单击“编辑”,进入编辑策略页面。
  7. 根据您的实际业务需求配置基线检测策略。相关参数说明请参见表1

    图2 编辑高阶策略
    表1 编辑高阶策略参数说明

    参数名称

    参数说明

    推荐取值

    策略名称

    高阶策略默认名称如下,不支持更改:

    • Linux:default_linux_security_check_policy
    • Windows:default_windows_security_check_policy

    -

    检测周期

    默认为“定时检查”,不支持更改。

    -

    检测时间

    单击并在下拉框中选择具体的检测时间。

    04:00

    随机偏移时间

    输入检测任务可推迟执行的时间(单位:秒),输入值必须为正整数。

    例如,检测时间是04:00,随机偏移时间是3600秒,则检测任务将在04:00到05:00之间执行。

    3600

    检测日

    勾选检测日。

    可选周一、周二、周三、周四、周五、周六或周日。

    周一、周二、周三、周四、周五、周六、周日

    选择基线
    • 操作系统

      默认不支持选择。

    • 基线

      可按照“检查类型分类”“基线名称分类”选择基线检查项,两种分类仅分类维度不同,包含检查项是相同的。

      • 一级分类可选择“等保合规”“云安全实践”“通用安全标准”“弱口令及口令复杂度检测”
      • 单击一级分类名称前的可展开二级分类。
      • 单击二级分类名称前的可展开三级分类
      • 单击二、三级分类名称,可在右侧列表中查看该分类所包含的检查项。
      • 经典弱口令和口令复杂度检测(仅适用Linux)这两项检测项,单击名称后,可在右侧列表中单击“自定义”,自定义弱口令或口令复杂度检测规则。此外,您也可以在基线检查界面进行配置,具体请参见自定义口令复杂度策略检测规则自定义弱口令

      基线检查类型的详细说明请参见基线检查内容
    • 操作系统:-
    • 基线:全选

  8. 策略配置完成后,单击“下一步”
  9. 勾选策略需要应用的服务器,并单击“确定”,修改策略完成。

修改基础策略

  1. 登录企业主机安全控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 在左侧导航树中,选择风险预防 > 基线检查,进入基线检查页面。

    图3 基线检查

  4. (可选)如果您已开通企业项目,可在页面上方“企业项目”下拉框中选择企业项目,查看目标企业项目下的相关信息和数据。
  5. 在页面右上角,单击“策略管理”,系统弹出“策略管理”页面。
  6. 在目标基础策略所在行的“操作”列单击“编辑”,进入编辑策略页面。
  7. 根据您的实际业务需求配置基线检查策略。相关参数说明请参见表2

    图4 编辑基础策略
    表2 编辑基础策略参数说明

    参数名称

    参数说明

    推荐取值

    策略名称

    基础策略默认名称如下,不支持更改:

    • Linux:default_linux_weakpwd_check_policy
    • Windows:default_windows_weakpwd_check_policy

    -

    检测周期

    默认为“定时检查”,不支持更改。

    -

    检测时间

    单击并在下拉框中选择具体的检测时间。

    04:00

    随机偏移时间

    输入检测任务可推迟执行的时间(单位:秒),输入值必须为正整数。

    例如,检测时间是04:00,随机偏移时间是3600秒,则检测任务将在04:00到05:00之间执行。

    3600

    检测日

    勾选检测日。

    可选周一、周二、周三、周四、周五、周六或周日。

    周一、周二、周三、周四、周五、周六、周日

    选择基线
    • 操作系统

      默认不支持选择。

    • 基线

      选择基线检测项。Linux可选择“经典弱口令”“口令复杂度策略检测”,Windows仅支持选择“经典弱口令”

      单击检测项名称,可在右侧列表中单击“自定义”,自定义弱口令或口令复杂度检测规则。此外,您也可以在基线检查界面进行配置,具体请参见自定义口令复杂度策略检测规则自定义弱口令

      基线检查类型的详细说明请参见基线检查内容
    • 操作系统:-
    • 基线:全选

  8. 策略配置完成后,单击“下一步”
  9. 勾选策略需要应用的服务器,并单击“确定”,修改策略完成。

创建自定义检查策略

  1. 登录企业主机安全控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 在左侧导航树中,选择风险预防 > 基线检查,进入基线检查页面。

    图5 基线检查

  4. (可选)如果您已开通企业项目,可在页面上方“企业项目”下拉框中选择企业项目,查看目标企业项目下的相关信息和数据。
  5. 在页面右上角,单击“策略管理”,系统弹出“策略管理”页面。
  6. 单击“新建策略”,系统弹出“新建策略”页面,请根据页面提示配置基线检测策略。相关参数说明请参见表3

    图6 新建策略
    表3 新建策略参数说明

    参数名称

    参数说明

    推荐取值

    策略名称

    输入策略名称。要求如下:

    • 长度范围为1~64位。
    • 名称由中文字符、英文字母、数字及"_"、"-"组成。

    -

    检测周期

    选择策略执行的检测周期。

    • 定时检查:周期性自动执行检查。
    • 单次手动:仅单次手动执行基线检查时使用。

    定时检查

    检测时间

    单击并在下拉框中选择具体的检测时间。

    04:00

    随机偏移时间(秒)

    输入检测任务可推迟执行的时间(单位:秒),输入值必须为正整数。

    例如,检测时间是04:00,随机偏移时间是3600秒,则检测任务将在04:00到05:00之间执行。

    3600

    检测日

    勾选检测日。

    可选周一、周二、周三、周四、周五、周六或周日。

    周一、周二、周三、周四、周五、周六、周日

    选择基线
    • 操作系统

      选择服务器操作系统类型,Linux或Windows。

    • 基线

      可按照“检查类型分类”“基线名称分类”选择基线检查项,两种分类仅分类维度不同,包含检查项是相同的。

      • 一级分类可选择“等保合规”“云安全实践”“通用安全标准”“弱口令及口令复杂度检测”
      • 单击一级分类名称前的可展开二级分类。
      • 单击二级分类名称前的可展开三级分类
      • 单击二、三级分类名称,可在右侧列表中查看该分类所包含的检查项。
      • 经典弱口令和口令复杂度检测(仅适用Linux)这两项检测项,单击名称后,可在右侧列表中单击“自定义”,自定义弱口令或口令复杂度检测规则。此外,您也可以在基线检查界面进行配置,具体请参见自定义口令复杂度策略检测规则自定义弱口令

      基线检查类型的详细说明请参见基线检查内容
    • 操作系统:-
    • 基线:全选

  7. 策略配置完成后,单击“下一步”
  8. 勾选策略需要应用的服务器,并单击“确定”

    在策略列表中查看到新建的目标策略,表示新建策略成功。

自定义口令复杂度策略检测规则

在配置基线检查策略时,您可以选择是否检测服务器设置的口令复杂度策略。如需修改口令复杂度策略检测规则,请参考本节内容。

口令复杂度策略检测规则修改后将应用于当前所选企业项目的所有基线检查策略,即该企业项目下每条基线检查策略执行检测时都将按照您修改后的规则执行检测。

  1. 登录企业主机安全控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 在左侧导航树中,选择风险预防 > 基线检查,进入基线检查页面。
  4. (可选)如果您已开通企业项目,可在页面上方“企业项目”下拉框中选择企业项目,查看目标企业项目下的相关信息和数据。
  5. “口令复杂度策略风险”页签,单击“自定义口令复杂度策略”

    图7 自定义口令复杂度策略检测规则

  6. 在弹出的对话框中,设置各个口令复杂度策略项,设置完成后,单击“确定”

    系统按照您设置的口令复杂度策略进行检测。

自定义弱口令

在配置基线检查策略时,您可以选择是否检测服务器上存在的经典弱口令。如需自定义弱口令,请参考本节内容。

您自定义的弱口令将应用于当前所选企业项目的所有基线检查策略,即该企业项目下每条基线检查策略执行检测时都会检测相应的弱口令。

  1. 登录企业主机安全控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 在左侧导航树中,选择风险预防 > 基线检查,进入基线检查页面。
  4. (可选)如果您已开通企业项目,可在页面上方“企业项目”下拉框中选择企业项目,查看目标企业项目下的相关信息和数据。
  5. “经典弱口令风险”页签,单击“自定义弱口令”

    图8 自定义弱口令

  6. 在弹出的对话框中,输入您定义的弱口令,输入完成后,单击“确定”

    企业主机安全除了检测经典弱口令外,还会检测您自定义的弱口令。

父主题: 基线检查