安裝云安全中心客戶端后,為了防止客戶端被惡意卸載,您可以為服務器開啟客戶端自保護。如需限制客戶端占用服務器的內存或CPU資源,您可以開啟本地文件檢測或配置客戶端資源管理。本文介紹客戶端能力配置支持的功能及如何配置相應功能。
客戶端自保護
客戶端自保護為云安全中心客戶端提供防護,可以主動攔截惡意卸載云安全中心客戶端或關閉相關進程的行為,保障云安全中心防御機制穩定運行;該功能不提供服務器安全防護能力。
功能說明
開啟客戶端自保護后,未通過云安全中心控制臺卸載客戶端的行為將被云安全中心主動攔截,與此同時云安全中心會對您服務器客戶端目錄下的進程文件提供默認保護,防止攻擊者入侵服務器后卸載云安全中心客戶端或您服務器中的其他進程誤關閉客戶端,避免發生云安全中心對您服務器防護失效的情況。建議您為所有服務器開啟客戶端自保護。
為服務器開啟客戶端自保護功能后,您只能通過以下兩種方式卸載云安全中心客戶端。
關閉服務器的客戶端自保護狀態后,在服務器上卸載客戶端。
在云安全中心控制臺上卸載客戶端。具體操作,請參見卸載客戶端。
如果服務器操作系統和內核版本不在客戶端自保護支持的操作系統和內核版本范圍內,服務器開啟了客戶端自保護功能后,會提示“防護失效內核版本不適配”,無法使用客戶端自保護功能。
操作系統 | 支持的操作系統版本 | 支持的內核(Kernel)版本 |
Windows(64位) |
| 所有版本 |
CentOS(64位) |
|
|
Ubuntu(64位) |
|
|
Alibaba Cloud Linux (Alinux)(64位) | Alinux 2.1903 |
|
Anolis(64位) | 所有版本 |
|
RHEL | RHEL 6、7、8 |
|
版本限制
云安全中心所有版本用戶都可使用該功能。各版本支持的功能詳情,請參見功能特性。
開啟服務器的客戶端自保護
客戶端自保護防御模式開啟后,已安裝客戶端并屬于客戶端自保護功能保護范圍內的服務器會自動開啟客戶端自保護。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
選擇頁簽,在客戶端自保護區域打開防御模式開關。
在保護范圍右側,單擊管理。
在客戶端自保護面板,選擇需要開啟客戶端自保護的服務器,然后單擊確定。
說明服務器開啟客戶端自保護后,自保護機制會立即生效。服務器關閉客戶端自保護5分鐘后,自保護機制才會關閉。
查看客戶端自保護狀態
您可以通過以下方式,查看服務器的客戶端自保護是否開啟。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
在主機資產列表中找到目標服務器,單擊服務器名稱或者在操作列單擊查看。
在服務器詳情頁面,選擇頁簽,在防御狀態區域,查看客戶端自保護狀態。
本地文件檢測
本地文件檢測引擎為阿里云云安全中心自主研發的本地文件威脅檢測引擎。該引擎可以減少數據上傳、云查殺數據交互等性能損耗,具備較高的檢測效率。
當服務器開啟了本地文件檢測功能后,服務器上的文件將啟用本地+云端雙引擎的檢測模式。優先使用本地文件檢測引擎進行檢測,檢測無安全威脅之后才會將文件上傳到云端進行二次檢測。
版本限制
僅云安全中心的企業版和旗艦版支持該功能,其他版本不支持。購買和升級云安全中心服務的具體操作,請參見購買云安全中心和升級與降配。
開啟本地文件檢測
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
選擇頁簽,在本地文件檢測引擎區域打開文件檢測開關。
在安裝范圍右側,單擊管理。
在本地文件檢測引擎面板,選擇需要開啟本地文件檢測的服務器,然后單擊確定。
客戶端資源管理
云安全中心客戶端是云安全中心提供的本地插件,您必須在服務器操作系統上安裝云安全中心客戶端才能使用云安全中心提供的安全防護服務。云安全中心提供多種客戶端運行模式,可以滿足您不同應用場景下的安全需求。關于客戶端插件的更多信息,請參見客戶端支持的操作系統。
支持的運行模式
客戶端在服務器上運行時,會占用少量服務器資源,您可以調整客戶端的運行模式,限制其資源占用量。為服務器選擇適合的防護模式,可以獲得更好的安全防護效果。
選擇任一運行模式時,當客戶端占用資源超過設定的最高內存或CPU占用時,客戶端將會暫停工作,直至CPU使用率或內存占用下降到合理范圍內,客戶端會自動重啟。
防護模式 | 最高內存或CPU占用 | 支持的版本 | 應用場景 |
低消耗模式 |
| 所有版本 | 低消耗模式適用于對低安全要求的業務場景。 該模式下,客戶端會自動降配資源消耗較大的功能項,可能出現威脅檢測不及時的情況,建議您啟用流暢模式。 說明 新接入的主機資產默認開啟低消耗模式。 |
流暢模式 |
| 防病毒版、高級版、企業版、旗艦版 | 高級防護模式適用于關鍵業務的安全防護場景。 該模式下,客戶端會占用更多資源以采集數據,保障風險檢測更及時。 |
自定義模式 |
| 企業版、旗艦版 | 自定義模式適用于重大活動的安全保障。 該模式下,您可以靈活控制內存和CPU占用,并且支持設置文件采集頻率。 重要 如果客戶端資源限制過低,可能會導致部分檢測能力失效,請謹慎配置。 |
設置防護模式
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
選擇頁簽,在客戶端資源管理區域單擊流暢模式或自定義模式右側的管理。
在流暢模式或自定義模式面板,選中需要配置調整客戶端運行模式的服務器,單擊確定。
每臺服務器客戶端的運行模式只能選擇流暢模式或自定義模式中的一種。例如某服務器當前是流暢模式,如果您將該服務器設置為自定義模式,該服務器的防護模式會變為自定義模式。
說明自定義模式下告警檢測類型多并且檢測引擎的敏感度更高,會檢測出更多的告警,可能會導致誤報率增加。建議您及時關注并處理告警。
(可選)如果您設置了自定義運行模式的客戶端,您可以修改內存占用閾值和CPU占用閾值。
內存占用和CPU占用的閾值越高,防護更精準,建議您合理設置閾值。