开启防护

1. 登录管理控制台。
2. 在页面左上角选择“区域”，单击，选择“安全合规 > 企业主机安全”，进入企业主机安全界面。
3. 在左侧导航栏中，选择“资产管理 > 主机管理”，进入“云服务器”界面。
   

   云服务器列表仅显示以下主机的防护状态：

   • 在所选区域购买的华为云主机
   • 已接入所选区域的非华为云主机

4. 找到主机Agent状态为“在线”的目标主机。
5. 在目标主机所在行的“操作”列，单击“开启防护”，弹出开启防护对话框。
6. 确认服务器信息并选择开启方式。
   您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，开启主机防护。

   • 包年/包月
     • 计费模式：选择“包年/包月”。
     • 版本选择：选择所需的防护版本。
     • 选择配额：选择配额分配方式。
       • 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。
       • 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。
   • 按需计费
     • 计费模式：选择“按需计费”。
     • 版本选择：选择所需的防护版本。
     • 标签：如果您需要使用同一标签识别多种云资源，可配置标签。

   

   如果Linux主机安装的Agent版本为3.2.10及以上版本或Windows主机安装的Agent版本为4.0.22及以上版本，开启旗舰版防护时，系统会自动为主机开启勒索病毒防护，在主机上部署诱饵文件，并对可疑加密进程执行自动隔离（极小概率存在误隔离）；此外，建议您同时开启勒索备份，提升勒索防护的事后恢复能力，最小化降低业务受损程度。详细操作请参见开启勒索备份。

7. 阅读并勾选《主机安全免责声明》。
8. 单击“确定”，开启防护。目标主机的“防护状态”为“防护中”，则表示基础版/专业版/企业版/旗舰版防护已开启。
   

   • 您也可以通过在“主机管理 > 防护配额”页面的“操作”列中，单击“绑定主机”，为主机绑定防护配额，HSS自动为主机开启防护。
   • 一个配额只能绑定一个主机，且只能绑定Agent在线的主机。
   • 开启主机防护后，HSS将根据您开启的服务版本，自动对您的主机执行服务版本对应的安全检测。

     各版本之间的差异请参见产品功能。

网页防篡改支持单台或批量开启防护，在批量开启防护时，防护目录等配置无法对应到服务器进行设置，因此如果这些服务器的防护目录等内容一致，则您可以顺利开启防护；如果这些服务器的防护目录等内容存在差异，可在开启防护操作完成后，单独对防护目录等防护配置进行修改，操作详情请参考修改网页防篡改配置。

1. 登录管理控制台。
2. 在页面左上角选择“区域”，单击，选择“安全合规 > 企业主机安全”，进入企业主机安全界面。
3. 在左侧导航树中，选择“主机防御 > 网页防篡改”，进入“网页防篡改”界面。
   图1 网页防篡改
   

4. 在“防护配置”页签，单击“添加防护服务器”，系统弹出“添加防护服务器”页面。
5. 在“添加防护服务器”页面，选择防护服务器，并单击“下一步”。相关参数说明请参见表1。
   图2 选择防护服务器
   

   表1 选择防护服务器参数说明

   参数名称	参数说明	取值样例
   操作系统	选择要开启网页防篡改防护的服务器操作系统类型。 Linux Windows	Linux
   选择服务器	勾选目标服务器。 可通过软件类型和其他属性筛选出目标服务器。	-
   选择配额	企业主机安全网页防篡改版支持“包年/包月”和“按需计费”两种计费模式，以满足不同场景下的用户需求。 包年/包月：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。 按需计费：一种后付费模式，即先使用再付费，按照企业主机安全实际使用时长计费，秒级计费，按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。 选择包年/包月计费模式时，可以选择需要使用的目标配额，也可以保持默认“随机选择配额”。	包年/包月
   协议许可	在开启网页防篡改防护前，请确保您已充分阅读《主机安全免责声明》。 在阅读完成后，请勾选我已阅读并同意《主机安全免责声明》。	勾选

6. 在“添加防护服务器”页面，配置策略。相关参数说明请参见表2。
   图3 配置策略
   

   表2 配置策略参数说明

   参数名称	参数说明	取值样例
   防护目录	网页防篡改支持静态、动态网页防护，其中静态网页防护是对指定的目录进行防护，通过驱动级锁定Web文件目录下的文件，禁止攻击者修改。因此，在开启网页防篡改时，需要设置防护的指定目录。 将目录添加为防护目录后，目录内的文件和文件夹将被设置为只读模式，禁止任何修改操作。 防护目录添加规则如下： Linux系统： 目录名不能包含;字符，不能以空格开头，不能以/结尾，防护目录长度不得超过256个字符。 每台服务器最多可添加50个防护目录。 每个防护目录下的文件夹层级不超过100。 所有防护目录下的文件夹个数不超过900000。 Windows系统： 目录名不能包含;/*?"<>|，不能以空格开头，不能以\结尾，防护目录长度不得超过256个字符。 每台服务器最多可添加50个防护目录。 请勿将网络目录添加为防护目录，主要原因如下： 网络目录通常包含大量文件，总容量可能达到上百TB，这将显著降低检测效率。 访问网络目录时需要占用网络带宽，可能导致带宽被完全占满，进而影响到您正常业务的运行。	Linux：/etc/lesuo Windows：d:\web
   排除子目录（可选）	如果防护目录内存在无需防护的子目录，可排除该子目录。 子目录添加规则如下： 子目录名必须是防护目录的有效相对路径。 子目录名不能以/开头或结尾，最大长度不能超过256个字符。 最多可添加10个子目录，多个子目录用;隔开。	Linux：lesuo/test Windows：web\test
   排除文件路径列表（可选）	仅Linux服务器可设置此项。 如果防护目录内存在无需防护的文件，可排除该文件。 排除文件路径添加规则如下： 文件路径必须是防护目录的有效相对路径。 文件路径不能以/开头或结尾，最大长度不能超过256个字符； 最多可添加50个文件路径，多个文件路径用;隔开。	lesuo/data;lesuo/ma.txt
   本地备份路径	仅Linux服务器可设置此项。 设置防护目录的本地备份路径，开启网页防篡改防护后，防护目录内的文件会自动备份到本地备份路径下，一旦检测到防护目录内的文件被篡改，系统会立即使用本地备份自动恢复被非法篡改的文件。 本地备份路径添加规则如下： 本地备份路径不能包含;字符，不能以空格开头，不能以/结尾，本地备份路径长度不得超过256个字符。 由于系统关键目录更容易成为恶意攻击的目标，因此不允许将系统关键目录作为备份路径，包括但不限于“/etc/”、“/bin/”、 “/usr/bin/”、“/var/spool/”、“/usr/sbin/”、“/sbin/”、“/usr/lib/”、“/lib/”、“/lib64/”、“/usr/lib64/”及其子目录。 本地备份规则说明： 本地备份路径须为合法路径，且本地备份路径不能与防护目录路径重叠。 被排除的子目录和文件类型不会进行备份。 防护目录内的文件大小不同，则备份时间不同，一般约10分钟完成备份。	/etc/backup
   排除文件类型	如果防护目录内存在无需防护的文件类型，可排除该文件类型（无文件类型限制），例如log类型的文件。 为了实时记录主机中的运行情况，必须排除防护目录内的log类型文件，您可以为日志文件添加等级较高的读写权限，防止攻击者恶意查看或篡改日志文件。	log
   防护模式	监控到文件被篡改时的防护方式。 告警模式：仅发送告警通知。 拦截模式：发送告警通知，同时将文件还原至被篡改前的状态。	拦截
   定时开关设置（可选）	定时开关用于定时关闭静态网页防篡改，适用于用户定时修改/更新/发布网页内容的场景。 单击开启定时开关，同时需要设置以下参数： 关闭时间段 一天内，关闭静态网页防篡改的时间段，例如10:05-15:35。 时间段设置要求如下： 每个时间段最短不能少于5分钟。 多个时间段之间不允许重叠，且两段时间间隔必须大于5分钟（时间00:00和23:59特例除外）。 所有时段以主机系统时间为准。 自动关闭防护周期 一周内，固定周几自动关闭静态网页防篡改，例如周三、周四。	，10:05-15:35，周三
   动态网页防篡改（可选）	动态网页防篡改主要用于保护Linux系统上的Tomcat应用，它能够在应用运行期间实时检测并阻止针对数据库等动态数据的篡改行为。 动态网页防篡改当前支持JDK 8、JDK 11和JDK 17的Tomcat应用。 单击开启动态网页防篡改，开启动态网页防篡改时，需要填写完整的Tomcat bin目录路径，例如“/usr/workspace/apache-tomcat-8.5.15/bin”，系统会将setenv.sh脚本预置在bin目录中，用于设置防篡改程序的启动参数。	，/usr/workspace/apache-tomcat-8.5.15/bin
   特权进程设置（可选）	特权进程是指被授权可以修改防护目录的进程。 开启网页防篡改后，防护目录内的所有文件将被设置为只读模式，禁止任何修改操作；即使尝试更改内容，系统也会自动将相应的文件或网站恢复到修改前的状态，修改不会生效。 如果您需要修改防护目录内的文件或更新网站，可添加特权进程进行修改。特权进程被授权访问防护目录，需确保特权进程安全可靠。 此功能兼容Linux和Windows操作系统，但Linux仅支持内核版本不低于5.10的系统。 单击开启特权进程，同时需要设置以下参数： 特权进程文件路径 特权进程文件路径即进程完整路径。多个特权进程文件路径以换行符分隔，最多可添加10个特权进程。 子进程可信 开启“子进程可信”，企业主机安全将对添加的所有特权进程文件路径下5个层级内的子进程可信。允许子进程修改防护目录。	Linux：/Path/Software.type Windows：C:\Path\Software.type

7. 配置策略完成后，单击“确定”，开启网页防篡改版防护。
8. 在防护设置页签中，查看目标服务器的静态防篡改状态、动态防篡改状态。

   静态防篡改状态、动态防篡改状态为“防护中”，表示静态、动态网页防篡改开启成功。动态网页防篡改开启后，需要重启Tomcat才能生效。

1. 登录管理控制台。
2. 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全控制台。
3. 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。
4. 在目标服务器所在行的“操作”列，单击“开启防护”，弹出“您确认要对以下容器节点开启防护吗？”对话框。
   列表默认仅展示所有安装了Agent的Linux服务器（即可开启容器版防护的服务器），如果您的服务器尚未安装Agent请参考为主机安装Agent、为集群安装Agent。

   图4 开启容器防护
   

5. 确认节点信息并选择开启方式。

   您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，开启节点防护。

   • 包年/包月
     • 计费模式：选择“包年/包月”
     • 选择配额：选择配额分配方式。
       • 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。
       • 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。
   • 按需计费
     • 计费模式：选择“按需计费”。
     • 标签：如果您需要使用同一标签标识多种云资源，可以配置标签。
   

   • 一个容器安全配额防护一个集群节点。
   • 如果Linux主机安装的Agent版本为3.2.10及以上版本或Windows主机安装的Agent版本为4.0.22及以上版本，开启容器版防护时，系统会自动为主机开启勒索病毒防护，在主机上部署诱饵文件，并对可疑加密进程执行自动隔离（极小概率存在误隔离）；此外，建议您同时开启勒索备份，提升勒索防护的事后恢复能力，最小化降低业务受损程度。详细操作请参见开启勒索备份。

6. 阅读并勾选《容器安全服务免责声明》。
7. 单击“确定”，开启节点防护，目标节点的“容器防护状态”变更为“防护中”，说明该节点已开启防护。