配置入侵检测

接入防护后，系统默认开启入侵检测防护，部分检测项需用户根据业务实际需求配置自定义检测规则。

配置异常登录白名单

通过配置异常登录白名单，将常用登录地、常用登录IP等添加至白名单中，非白名单中的登录操作，将被视为异常登录。

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“设置中心 > 安全配置”，选择“常用登陆管理”页签，进入常用登录登录页面。

   

3. 根据您自身业务需求配置常用登录IP、账号、地区或时间。

开启定时漏洞扫描

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。

3. 单击定时扫描右侧的“设置”，页面右侧弹出定时扫描设置窗口，可进行定时扫描设置。

4. 设置选项包括漏洞类别、定期检测周期、设置生效范围，详细参数说明如下。

   参数	说明
   定时扫描	开启或关闭定时扫描。
   漏洞类别	支持扫描“Linux软件漏洞”、“Windows系统漏洞”、“Web-CMS漏洞”和“应用漏洞”。
   定期检测周期	设置后会在周期选定的时间点开始定期检测。 扫描周期：选择每天、3天或7天。 扫描时间：默认为02:00，可以手动选择一天中的任一整点时间。
   设置生效范围	选择扫描哪些服务器。可以选择“全部服务器”或“自选服务器”。 选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要扫描的服务器。 说明 以下服务器不能被选中执行漏洞扫描： 非“运行中”状态的服务器。 Agent状态为“离线”的服务器。

5. 单击“确定”，设置完成。

配置基线检测策略

基线检测设置分为一键检测和定时检测。当您需要进行基线检测时，先设置您需要的基线策略。

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。

3. 单击“策略管理”，进入策略管理页面。

   该页面展示了已经设置好的基线策略，包括策略名称、检测周期、检测服务器数、创建日期、策略开关和操作。可以新建、编辑和删除基线策略。

4. 单击“新建策略”，页面右侧弹出新建基线策略窗口。

5. 设置策略名称、检查时间、选择基线名称和服务器。

6. 设置完成后，单击“确认”即可完成新建基线策略。

开启弱口令定时检测

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“风险管理 > 弱口令检测”，进入弱口令检测页面。

3. 单击定时扫描右侧的“设置”，页面右侧弹出定时检测设置窗口，可进行定时检测设置。

4. 设置选项包括检测周期、弱口令分类、设置生效范围，详细参数说明如下。

   参数	说明
   定时扫描	开启或关闭定时扫描。
   检测周期	设置后会在周期选定的时间点开始定期检测。 扫描周期：选择每天、3天或7天。 扫描时间：默认为02:00，可以手动选择一天中的任一整点时间。
   弱口令分类	支持“应用弱口令”和“系统弱口令”。
   设置生效范围	选择检测哪些服务器。可以选择“全部服务器”或“自选服务器”。 选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要检测的服务器。 说明 以下服务器不能被选中执行弱口令检测： 使用“基础版”的服务器。 非“运行中”状态的服务器。 Agent状态为“离线”的服务器。

开启定时扫描病毒

定时查杀是用来配置服务器定时启动病毒查杀的功能，按照用户设置的检测周期执行扫描任务。

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“文件安全 > 病毒查杀”，进入病毒查杀页面。

3. 单击定时扫描右侧的“设置”，页面右侧弹出病毒查杀设置窗口。

4. 打开定时扫描设置开关，根据界面提示，配置相关参数，详细参数说明如下。

   参数	说明
   检测模式	可选择快速检测、全盘检测、自定义检测。
   检查周期	可选择每天、每3天或每7天检查周期。
   设置生效范围	自定义选择需要执行病毒扫描任务的服务器。

5. 单击“确认”，设置完成。

设置文件完整性保护检测规则

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“文件安全 > 文件完整性保护”，进入文件完整性保护页面。

3. 单击列表右上方的“检测设置”，进入检测设置页面。

4. 配置相关参数。

   参数	说明
   启用文件变更检测	开启或关闭文件变更检测功能。
   关键文件监控	系统内置：对系统关键文件、文件路径、文件目录进行实时监控，发现文件变更篡改行为并进行告警。 自定义：根据用户特定的防护场景，自定义添加监控路径，发现文件变更篡改行为并进行告警。
   监控排除设置	对用户添加的信任文件路径不再进行监控，方便用户更加灵活创建检测策略。
   设置生效范围	自定义选择需要执行文件变更篡改行为监控的服务器。

5. 配置完成后，单击“确认提交”。

配置网页防篡改

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“网页防篡改（原生版） > 防护管理”，进入防护管理页面。

3. 在列表中选择要开启网页防篡改防护的服务器，单击操作列的“防护设置”，进入篡改防护设置页面。

4. 为服务器配置防护策略，包括配置防护目录、设置特权进程、设置远端备份。

   1. 配置防护目录：可对服务器的防护目录进行管理，包括添加、编辑、删除操作。
      分为添加白名单和添加黑名单两种模式，可根据实际使用场景进行配置。一台服务器不能同时使用白名单模式和黑名单模式，建议您使用白名单模式。

      • 白名单模式：会对添加的防护目录和文件类型进行保护。配置完成后，即开始对配置的文件进行防护，防护目录下的防护文件被修改时，系统会进行拦截或告警。

      • 黑名单模式：会防护目录下所有未排除的子目录、文件类型和指定文件。配置完成后，即开始对防护目录下所有未排除的子目录、文件类型和指定文件进行防护，防护目录下已排除的子目录、文件类型、指定文件被修改时，不会告警或拦截。

   2. 设置特权进程：特权进程为您信任的进程文件，拥有对防护目录进行操作的权限，请确保特权进程安全可靠。

      单击“添加”，弹出新增特权进程窗口，配置特权进程路径后，单击“确定”，完成特权进程配置。

   3. 设置远端备份：启用远端服务器备份功能后，可有效避免备份在本地的文件被攻击者破坏后无法恢复。

      单击“添加”，在弹出的窗口中选择远端备份服务器、配置备份目录，单击“确认”，完成远端备份配置。

5. 配置完成后，单击“完成防护配置”，回到防护管理页面。

6. 单击防护状态图标，为服务器开启网页防篡改防护。

   

配置暴力破解规则

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。

3. 在暴力破解模块，单击“规则配置”按钮，开始暴力破解规则设置。

   

4. 配置暴力破解规则参数。

   

   参数说明如下：

   参数	说明
   检查阈值	配置服务器在一段时间内连续登录失败超过的次数。 时间配置限制：1-1440分钟。 登录失败次数限制：1-100次。
   封禁时长	选择封禁时长，支持选择：不封禁、5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时。
   防护场景	选择需要配置的防护场景，默认选择RDP暴力破解、SSH暴力破解，支持选择FTP暴力破解、MySQL暴力破解、SQL_Server暴力破解。

5. 当所有字段都设置完成后，单击“确认”。

配置勒索诱饵防护

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。

3. 在勒索诱饵防护模块，单击“配置规则”，开始配置勒索诱饵防护。

   

4. 在页面右侧弹出的防护设置页面，配置防护参数。

   参数	说明
   启用诱饵防护	自动在系统关键位置投放诱饵文件，实时捕捉勒索行为并进行阻断。
   病毒处置方式	支持手动处理和自动隔离。 手动处理：人工手动对勒索病毒文件进行处理。 自动隔离：检测出勒索病毒文件自动隔离。 说明 自动隔离后，若出现误报，可在告警列表中对文件进行恢复。
   指定防护目录	根据用户的特定防护场景，可自定义创建勒索诱饵文件。
   设置生效范围	自定义选择需要开启诱饵防护的服务器。

5. 配置完成后，单击“确认”。

• 绑定存储库：选择一个可用状态的存储库，备份数据大小应小于存储库剩余容量。

配置主动防御

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。

3. 在主动防御模块，单击“配置规则”，开始配置主动防御规则。

   

4. 选择相关参数。

   参数	说明
   启用自动响应	开启或关闭主动防御功能。
   防御模式	精准防御：通过智能分析，精准识别挖矿、勒索病毒及恶意登录等高风险威胁，自动隔离病毒文件、封禁恶意 IP，误报风险较低。 自定义：通过深度检测，对识别到的全量后门、木马、蠕虫等可疑恶意文件，提供无差别自动隔离能力，误报的风险较高。
   设置生效范围	自定义选择需要开启主动防御的服务器。

5. 配置完成后，单击“确认提交”。

6. 配置完成后可在“告警中心 > 威胁处置”模块查看拦截的IP或隔离的文件，可单击“操作”列的“手动解封”为误报IP和文件解封。

开启告警通知

开启告警通知后，当检测到资产存在风险时，会根据您配置的告警策略，向您发送告警通知，帮助您及时了解资产的安全情况。

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏选择“设置中心 > 告警通知”，进入告警通知页面。

3. 根据您的使用场景进行告警通知配置。

   配置项	说明
   告警状态	告警通知的开关，可以开启/关闭需要通知的事件类型。
   告警时间	事件发生时实时发送告警通知。 说明 可根据您业务自身需求选择以下两种发送时间： 8:00-20:00 全天
   通知方式	支持通过“邮件”和“短信”的方式发送告警通知。
   告警项	根据威胁等级自定义发送通知。

4. 配置完成后单击“保存配置”，界面弹出“保存告警设置成功”提示信息，则说明告警通知配置成功。

订阅报表

服务器安全卫士（原生版）支持生成日报、周报、月报，并支持订阅报表，订阅后系统会在报表生成后将报表发送至您的邮箱。

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏选择“设置中心 > 报表管理”，进入报表管理页面。

3. 在“报表管理”页面右上角，单击“报表配置”，进入报表配置页面。

   报表配置参数说明如下：

   参数名称	说明
   报表生成	支持生成日报、周报、月报。根据需要进行选择，可多选。
   报表订阅	该页面自动列出当前账号及其全部子账号。 勾选需要订阅报表的账号，报表生成后，系统会自动发送报表至订阅账号的邮箱。

4. 单击“确认”，完成报表配置。