安全配置用于统一管理和配置各防护模块的规则、白名单等。
修改防护状态
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“设置中心 > 安全配置”,进入安全配置页面。
找到目标防护模块,单击防护开关,开启/关闭防护。
:表示已开启防护。
:表示已关闭防护。
配置防护规则
说明
WebShell企业版、旗舰版支持配置。
端口蜜罐、勒索诱饵防护、文件完整性保护仅旗舰版支持配置。
暴力破解基础版不支持自定义配置。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“设置中心 > 安全配置”,进入安全配置页面。
找到目标防护模块,单击配置按钮,进入相应规则配置页面。
根据具体防护模块对规则进行配置,具体参数说明参考如下。
防护模块 配置防护规则 暴力破解
WebShell 配置Webshell检测规则 端口蜜罐 配置蜜罐防护规则 勒索诱饵防护 配置勒索诱饵防护 文件完整性保护 配置文件完整性保护检测规则
暴力破解规则
说明
服务器安全卫士基础版不支持自定义配置暴力破解规则。
暴力破解模块直观展示近一段时间内同一服务器的最大登录失败次数。
单击“配置规则”,即可配置暴力破解规则。
| 参数 | 参数说明 |
|---|---|
| 检查阈值 | 时间范围选择:1-1440分钟,连续登录失败次数范围:1-100次。 |
| 封禁时长 | 可选择封禁时间:最低支持5分钟,最高支持永久封禁。 |
| 防护场景 | 默认选择“RDP暴力破解”、“SSH暴力破解”且不可取消。 支持选择:“FTP暴力破解”、“MySQL暴力破解”、“SQL_Server暴力破解”。 |
WebSehll检测规则
说明
服务器安全卫士企业版、旗舰版支持配置WebShell检测规则。
在安全配置页面,单击“规则配置”按钮,开始WebShell检测设置。
配置WebShell检测参数。
参数说明如下:
参数 说明 启动检测 可开启或关闭Webshell检测。 操作系统 支持Linux、Windows系统。 指定检测目录 根据您的特定检测场景,自定义添加需要检测的Web目录。
单击“添加”,在弹出的对话框中输入文件或目录路径。
设置生效范围 可选择“全部服务器”和“自选服务器”。 当所有字段都设置完成后,单击“确认”。
配置蜜罐防护规则
说明
仅服务器安全卫士旗舰版支持配置端口蜜罐规则。
在安全配置页面,单击“配置蜜罐规则”按钮,开始蜜罐防护设置。
单击告警列表右上角的设置按钮,进入防护设置页面。
参数说明:
参数 说明 启用蜜罐防护 可开启或关闭蜜罐防护功能。 设置蜜罐端口 输入需要开启的蜜罐端口,多个以英文逗号隔开, 最多支持10个端口。
注意
设置的端口请确保未被占用,若端口被占用会导致蜜罐防护功能开启失败。
设置生效范围 可选择全部服务器或自选部分服务器。 当所有字段都选择完成后,单击“确认”,完成配置。
勒索诱饵防护
说明
仅服务器安全卫士旗舰版支持配置勒索诱饵防护规则。
单击“配置规则”,开始配置勒索诱饵防护。
在页面右侧弹出的防护设置页面,配置相关参数。
| 参数 | 说明 |
|---|---|
| 启用诱饵防护 | 自动在系统关键位置投放诱饵文件,实时捕捉勒索行为并进行阻断。 |
| 病毒处置方式 | 配置发现勒索病毒文件后的处理方式。支持手动处理和自动隔离。
|
| 指定防护目录 | 根据用户的特定防护场景,可自定义创建勒索诱饵文件。 |
| 设置生效范围 | 自定义选择需要开启诱饵防护的服务器。 |
配置完成后,单击“确认”。
配置文件完整性保护
说明
仅服务器安全卫士旗舰版支持配置文件完整性保护规则。
单击“配置规则”,开始配置文件完整性保护。
配置相关参数。
参数 说明 启用文件变更检测 开启或关闭文件变更检测功能。 关键文件监控 - 系统内置:对系统关键文件、文件路径、文件目录进行实时监控,发现文件变更篡改行为进行告警。
- 自定义:根据用户特定的防护场景,自定义添加监控路径,发现文件变更篡改行为进行告警。
监控排除设置 对用户添加的信任文件路径不再进行监控,方便用户更加灵活创建检测策略。 设置生效范围 自定义选择需要执行文件变更篡改行为监控的服务器。 配置完成后,单击“确认提交”。
检测规则管理
规则管理模块包含系统检测规则和自定义检测规则两个模块。
系统检测规则
系统检测规则为服务器安全卫士内置的默认规则,生效范围为全部服务器,不可更改。
自定义检测规则
自定义检测规则支持您手动创建,自定义检测规则优先级高于系统检测规则。具体操作步骤如下:
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“设置中心 > 安全配置”,选择“检测规则管理 > 自定义检测规则”页签,进入自定义检测规则页面。
单击页面左上角的“新增规则”,弹出如下对话框。
参数说明:
参数 说明
规则名称 自定义检测规则名称
规则类型 支持选择:“进程hash”或“命令行”。
进程hash:选择进程hash需要配置一个或多个进程 MD5。
命令行:选择命令行后需要填写系统类型、进程路径、命令行、(可选)父进程路径。
设置生效范围 可选择“全部服务器”或“自选服务器”。 备注 白名单的描述信息。 当所有字段都选择完成后,单击“确认”,会生成自定义规则。
相关操作:
编辑规则
若您需要对已有的规则进行编辑,点击该操作列中的“编辑”,可以修改规则的所有信息,修改完成后点击“确认”即可完成规则的编辑。删除规则
若您需要移除规则,点击该操作列中的“删除”,在提示框中点击“确认”,该规则将被删除。
常用登录管理
说明
常用登陆账号、常用登陆地区、常用登录时间仅企业版、旗舰版支持配置。
常用登录管理模块支持配置:常用登录IP、常用登录账号、常用登录地区、常用登录时间。
常用登录IP:支持配置IPv4、IPv6地址,且支持配置多个IP地址。
常用登录账号:支持配置多个登录账号。
常用登录地址:支持在全球范围内选择。
常用登录时间:选择支持登录的时间范围,最小时间间隔为一小时且仅支持选择整点。
设置自动同步资产周期
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“设置中心 > 安全配置”,选择“系统设置”页签,进入同步资产设置页面。
选择自动同步资产周期。
12小时:每天01:00、13:00自动同步服务器资产信息。
24小时:每天01:00自动同步服务器资产信息。
