配置入侵检测

接入防护后，系统默认开启入侵检测防护，部分检测项需用户根据业务实际需求配置自定义检测规则。

配置异常登录白名单

通过配置异常登录白名单，将常用登录地、常用登录IP等添加至白名单中，非白名单中的登录操作，将被视为异常登录。

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“入侵检测 > 异常登录”，进入异常登录页面。

3. 单击页面右上角的“白名单管理”，进入白名单管理页面。

4. 单击“新增白名单”，配置白名单参数。当所有字段都选择完成后，单击“确定”，会生成白名单规则，显示在白名单列表中。

   参数
   说明
   是否必选
   登录IP
   支持单个IP、IP范围和IP段。多个IP之间用英文逗号（,）隔开。
   示例：
   单个IP：1.1.1.1
   IP范围：1.1.1.1-1.1.1.10
   IP段：172.168.34.1/20
   登录IP、登录用户名、登录时间、登录地区，这几个参数至少需要填写一项，可填写多项。
   登录用户名
   支持输入多个用户名，用英文逗号（,）隔开。
   登录地区
   可选择多个登录地。
   登录时间
   可选择开始时间和结束时间。
   服务器分类
   可选择全部服务器或部分服务器。
   必选
   描述
   白名单的描述信息。
   可选
   

配置可疑操作规则

系统提供默认检测规则，用户也可以自定义检测规则。

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“入侵检测 > 可疑操作”，进入可疑操作页面。

3. 单击页面右上角的“自定义规则配置”，进入自定义规则配置页面。
   同时自定义规则配置列表可根据规则启用状态、威胁等级、规则名称等进行搜索。

4. 单击“新增规则”，配置规则参数。当所有字段都选择完成后，单击“确定”，完成配置。

   参数
   说明
   规则名称
   自定义规则的名称。
   正则表达式
   通过正则表达式匹配满足要求的操作。
   威胁等级
   配置规则的威胁等级，包括高危、中危、低危。
   服务器分类
   可选择全部服务器和部分服务器。
   描述
   规则的描述信息。
   

关于更多入侵检测功能的介绍及风险处理，请参见入侵检测。

开启定时漏洞扫描

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“漏洞扫描”，进入漏洞扫描页面。

3. 单击定时扫描右侧的“设置”，页面右侧弹出定时扫描设置窗口，可进行定时扫描设置。

4. 设置选项包括漏洞类别、漏洞等级、定期检测周期、超时设置、设置生效范围，详细参数说明如下。

   参数
   说明
   定时扫描
   开启或关闭定时扫描。
   漏洞类别
   支持扫描“Linux漏洞”、“Windows漏洞”和“应用漏洞”。
   漏洞等级
   选择扫描的漏洞等级，系统将只扫描并展示您选择等级的漏洞。支持“高危”、“中危”和“低危”。
   定期检测周期
   设置后会在周期选定的时间点开始定期检测。
   扫描周期：选择每天、3天或7天。
   扫描时间：默认为02:00，可以手动选择一天中的任一整点时间。
   超时设置
   若单次时长超过设置时长，即为扫描失败。
   需大于30分钟，小于3小时。
   设置生效范围
   选择扫描哪些服务器。可以选择“全部服务器”或“自选服务器”。
   选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要扫描的服务器。
   说明
   以下服务器不能被选中执行漏洞扫描：
   非“运行中”状态的服务器。
   Agent状态为“离线”的服务器。
   

5. 单击“确定”，设置完成。

配置基线检测策略

基线检测设置分为一键检测和定时检测。当您需要进行基线检测时，先设置您需要的基线策略。

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“基线管理 > 基线检测”，进入基线检测页面。

3. 单击“策略管理”，进入策略管理页面。

   该页面展示了已经设置好的基线策略，包括策略名称、检测周期、检测服务器数、创建日期、策略开关和操作。可以新建、编辑和删除基线策略。

4. 单击“新建策略”，页面右侧弹出新建基线策略窗口。

5. 设置策略名称、检查时间、选择基线名称和服务器。

6. 设置完成后，单击“确认”即可完成新建基线策略。

开启弱口令定时检测

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“基线管理 > 弱口令检测”，进入弱口令检测页面。

3. 单击定时扫描右侧的“设置”，页面右侧弹出定时检测设置窗口，可进行定时检测设置。

4. 设置选项包括检测周期、弱口令分类、设置生效范围，详细参数说明如下。

   参数
   说明
   定时扫描
   开启或关闭定时扫描。
   检测周期
   设置后会在周期选定的时间点开始定期检测。
   扫描周期：选择每天、3天或7天。
   扫描时间：默认为02:00，可以手动选择一天中的任一整点时间。
   弱口令分类
   支持“应用弱口令”和“系统弱口令”。
   设置生效范围
   选择检测哪些服务器。可以选择“全部服务器”或“自选服务器”。
   选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要检测的服务器。
   说明
   以下服务器不能被选中执行弱口令检测：
   使用“基础版”的服务器。
   非“运行中”状态的服务器。
   Agent状态为“离线”的服务器。
   

开启定时扫描病毒

定时查杀是用来配置服务器定时启动病毒查杀的功能，按照用户设置的检测周期执行扫描任务。

1. 登录服务器安全卫士（原生版）控制台。
2. 在左侧导航栏，选择“病毒查杀”，进入病毒查杀页面。
3. 单击定时扫描右侧的“设置”，页面右侧弹出定时扫描设置窗口，可进行定时扫描设置。
4. 根据界面提示，配置相关参数，详情参数说明如下。

   参数
   说明
   检测模式
   可选择快速检测、全盘检测、自定义检测。
   检查周期
   可选择每天、每3天或每7天检查周期。
   超时时间
   设置扫描任务时长，超过设置时长即为扫描失败。
   生效范围
   自定义选择需要执行病毒扫描任务的服务器。
   

5. 单击“确认”，设置完成。

设置文件完整性保护检测规则

1. 登录服务器安全卫士（原生版）控制台。
2. 在左侧导航栏，选择“文件完整性保护”，进入文件完整性保护页面。
3. 单击列表右上方的“检测设置”，进入检测设置页面。
4. 配置相关参数。

   参数
   说明
   启用文件变更检测
   开启或关闭文件变更检测功能。
   关键文件监控
   系统内置：对系统关键文件、文件路径、文件目录进行实时监控，发现文件变更篡改行为进行告警。
   自定义：根据用户特定的防护场景，自定义添加监控路径，发现文件变更篡改行为进行告警。
   监控排除设置
   对用户添加的信任文件路径不再进行监控，方便用户更加灵活创建检测策略。
   设置生效范围
   自定义选择需要执行文件变更篡改行为监控的服务器。
   

5. 配置完成后，单击“确认提交”。

配置网页防篡改

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“网页防篡改（原生版） > 防护管理”，进入防护管理页面。

3. 在列表中选择要开启网页防篡改防护的服务器，单击操作列的“防护设置”，进入防护设置页面。

4. 选择需要绑定的配额后，单击“配置防护策略”。

5. 为服务器配置防护策略，包括配置防护目录和设置特权进程。

   1. 配置防护目录：可对服务器的防护目录进行管理，包括添加、编辑、删除操作。
      分为添加白名单或添加黑名单两种模式，可根据实际使用场景进行配置。一台服务器不能同时使用白名单模式和黑名单模式，建议您使用白名单模式。

      • 白名单模式：会对添加的防护目录和文件类型进行保护。配置完成后，即开始对配置的文件进行防护，防护目录下的防护文件被修改时，系统会进行拦截或告警。
      • 黑名单模式：会防护目录下所有未排除的子目录、文件类型和指定件。配置完成后，即开始对防护目录下所有未排除的子目录、文件类型和指定文件进行防护，防护目录下已排除的子目录、文件类型、指定文件被修改时，不会告警或拦截。

   2. 设置特权进程：特权进程为您信任的进程文件，拥有对防护目录进行操作的权限，请确保特权进程安全可靠。

      单击“添加”，弹出新增特权进程窗口，配置特权进程路径后，单击“确定”，完成特权进程配置。

6. 配置完成后，单击“完成防护配置”，回到防护管理页面。

7. 单击防护状态图标，为服务器开启网页防篡改防护。

   

配置文件防勒索

启用诱饵防护

1. 登录服务器安全卫士（原生版）控制台。
2. 在左侧导航栏，选择“文件防勒索”，进入文件防勒索页面。
3. 单击诱饵防护模块的“设置”按钮。
4. 在页面右侧弹出的防护设置页面，配置防护参数。

   参数
   说明
   启用诱饵防护
   自动在在系统关键位置投放诱饵文件，实时捕捉勒索行为并进行阻断。
   病毒处置方式
   支持手动处理和自动处理。
   手动处理：人工手动对勒索病毒文件进行处理。
   自动处理：检测出勒索病毒文件自动隔离。
   说明
   自动隔离后，若出现误报，可在告警列表中对文件进行恢复。
   指定防护目录
   根据用户的特定防护场景，可自定义创建勒索诱饵文件。
   生效范围
   自定义选择需要开启诱饵防护的服务器。
   

5. 配置完成后，单击“确认”。

开启勒索备份

为了避免被勒索后数据丢失，请为服务器开启勒索备份，定期备份数据。

说明
数据备份/恢复属于增值服务，如果您未购买存储库，请先购买备份存储库后再开启勒索备份。

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“文件防勒索”，进入文件防勒索页面。

3. 安装备份Agent。
   在“备份与恢复”页面，选择需要进行数据备份的服务器，单击操作列的“安装备份Agent”，Agent状态为“已激活”则安装成功。

4. 创建备份计划。

   在“备份与恢复”页面，选择需要进行数据备份的服务器，单击操作列的“备份计划”，按照设置的策略进行周期性数据备份。

   • 备份目录：可指定全部目录或自定义目录进行数据备份。
   • 备份周期：可选择每小时、每天、每周或月设置备份周期。
   • 保留规则：可设置备份计划生效时间，支持永久保留和自定义设置时间。
   • 绑定存储库：选择一个可用状态的存储库，备份数据大小应小于存储库剩余容量。

开启告警通知

开启告警通知后，当检测到资产存在风险时，会根据您配置的告警策略，向您发送告警通知，帮助您及时了解资产的安全情况。

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏选择“设置中心 > 告警通知”，进入告警通知页面。

3. 根据您的使用场景进行告警通知配置。

   配置项
   说明
   告警开关
   自定义开启需要通知的事件类型。
   告警时间
   事件发生时实时发送告警通知。
   通知方式
   通过邮件方式发送告警通知。
   告警项
   根据威胁等级自定义发送通知。
   

4. 配置完成后单击“保存配置”，界面弹出“保存告警设置成功”提示信息，则说明告警通知配置成功。

订阅报表

服务器安全卫士（原生版）支持生成日报、周报、月报，并支持订阅报表，订阅后系统会在报表生成后将报表发送至您的邮箱。

说明
基础版只支持订阅周报，若需要订阅日报、月报，您需购买并使用企业版、旗舰版。

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏选择“设置中心 > 报表管理”，进入报表管理页面。

3. 在“报表管理”页面右上角，单击“报表配置”，进入报表配置页面。

   报表配置参数说明如下：

   参数名称
   说明
   报表生成
   支持生成日报、周报、月报。根据需要进行开启，可多选。
   报表订阅
   该页面自动列出当前账号及其全部子账号。
   勾选需要订阅报表的账号，报表生成后，系统会自动发送报表至订阅账号的邮箱。
   

4. 单击“确认”，完成报表配置。