本节介绍了无法导入密钥对,怎么办的相关内容。 当您的浏览器是IE9时，可能无法导入密钥对或无法使用文件注入功能，请参考如下步骤修改浏览器默认属性后重试。 1. 在浏览器主界面，单击。 2. 选择“Internet选项”。 3. 单击选择“安全”页签。 4. 单击“Internet”。 5. 如果安全级别显示为“自定义”，单击“默认级别”按钮，把设置还原为默认级别。 6. 滑动安全级别滑块，把安全级别调到“中”级别，单击“应用”按钮。 7. 选择“自定义级别”。 8. 将“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”设置为“提示”。 9. 单击“确定”。

本节介绍云等保专区产品的堡垒机。 堡垒机具备统一安全管理与审计能力，提供集身份认证（Authentication）、帐户管理（Account）、控制权限（Authorization）、日志审计（Audit）功能于一体。支持多种字符终端协议、文件传输协议、图形终端协议、远程应用协议的安全监控与历史查询，具备全方位运维风险控制能力，可满足各类法律法规（如等级保护、赛班斯法案SOX、PCI、企业内控管理、分级保护、ISO/IEC 27001等）对运维审计的要求。 功能介绍 功能 描述 认证&授权 双因子认证 内置手机APP认证（谷歌动态口令验证）、OTP动态令牌、USBkey双因素认证引擎。 提供短信认证、AD、LDAP、RADIUS认证接口。 支持多种认证方式组合。 认证&授权 权限管理 系统预置多种用户角色：超级管理员、部门管理员、运维管理员、审计管理员、运维员、审计员、系统管理员和密码管理员。 每种用户角色的权限均不同，且可自定义用户角色。 认证&授权 集中授权 梳理用户与主机之间关系，提供一对一、一对多、多对一、多对多的灵活授权模式。 认证&授权 单点登录 托管主机的帐户和密码，运维人员直接点击“登录”即可成功自动登录到目标主机中进行运维操作，无需输入主机的帐户和密码。 认证&授权 自动学习 运维人员通过堡垒机成功登录目标主机后即可自动录入主机信息，减轻管理员配置主机信息、用户与主机关系的工作量。 运维&审计 运维协议支持 支持管理Linux/Unix服务器、Windows服务器、网络设备（如思科/H3C/华为等）、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器等。 兼容Xshell、XFTP、SecureCRT、MSTSC、VNC Viewer、PuTTY、WinSCP、FlashFXP、SecureFX等多种客户端工具。 运维&审计 统一审计 对所有操作进行详细记录，提供综合查询；审计日志可在线或离线播放，自动备份归档。 审计内容包括图形、字符、文件、应用、SQL语句等会话及应用会话。 运维&审计 浏览器客户端运维 基于H5技术实现浏览器客户端运维，无需安装本地工具，直接通过浏览器打开运维界面。 支持通过SSH、Telnet、Rlogin、RDP、VNC协议的Web客户端运维。 运维&审计 文件传输审计 记录所有操作会话，包括在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容。 完整备份传输文件，为上传恶意文件、拖库、窃取数据等危险行为提供查询依据。 运维&审计 自动运维 实现自动化的运维任务并将执行结果通知相关人员。 运维&审计 资产管理 支持主机、主机组、混合云、帐号、帐号组、应用等多种资产类型。 运维&审计 命令控制 集中命令控制基于不同主机、不同用户设置不同的命令控制策略，包括命令阻断、命令黑名单、命令白名单、命令审核四种动作。 运维&审计 工单流程 运维人员向管理员申请需要访问的设备，选择条件包括设备IP、设备帐户、运维有效期、备注事由等，运维工单以邮件方式通知管理员。 其他 系统自审 对系统自身变化信息进行审计，形成系统分析报表。 其他 冗余架构 结合端口聚合技术、RAID技术和HA技术，实现三重冗余备份的高可用架构。 其他 API接口 提供用户、资产、授权的增删改查等API接口。 允许第三方平台调用API接口，实现用户、资产、权限自动同步。

准备工作 购买智算安全专区大模型安全卫士实例 准备好被代理的大模型服务 准备好基础大模型 操作流程 编号 操作 相关文档 1 （可选）根据用户需求检查并配置分类和规则 新增规则 分类管理 2 （建议）配置用于模型推理引擎的基础模型 基础模型设置 3 配置或新建策略，按需选择违规分类、检测引擎、及其他检测配置 内容安全策略管理 检测引擎配置说明 4 按需配置模型代理 网关代理

本节介绍如何配置要扫描的基线。 1. 登录容器安全卫士产品控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在该页面单击右上角的“设置”按钮，进入设置页面。 4. 在设置页面，可见系统默认支持Docker CIS基线、Kubernetes CIS基线（1.3版本和1.6版本）、OpenShift基线、Ubuntu CIS基线、Centos CIS基线这五种合规检查项，选择并开启要进行扫描检测的合规项，单击“保存”按钮即可添加成功。

用户可通过“账号中心安全设置”页面设置密码有效期。 设置密码有效期 操作步骤 1、登录天翼云官网，在首页点击“我的账号中心”，进入“安全设置”页面，点击“密码策略密码有效期策略”右侧的“立即设置”按键。 2、可开启密码有效期。有效期支持输入 30 ~ 365 天。距离密码到期15天时开始提示用户修改密码。 3、密码有效期内，用户通过修改密码，可重置密码过期时间。 4、密码过期后，用户通过原密码无法登录账号，用户可通过“忘记密码”设置新密码，使用新密码登录账号。 5、新设置密码有效期后，密码过期时间同步更新。 取消设置密码有效期 操作步骤 1、登录天翼云官网，在首页点击“我的账号中心”，进入“安全设置”页面，点击“密码有效期策略”右侧的“立即设置”按键。 2、关闭密码有效期，密码永久有效，无过期时间。

本节主要介绍Agent管理 操作场景 使用对象存储迁移前需在一台或多台服务器上安装Agent用于迁移其他云服务商对象存储数据到天翼云。 约束限制 安装Agent的服务器必须为Linux系统，操作系统为X64，最低规格为4U8G。且必须与安装RDA的服务器处于同一个VPC、同一个安全组。（保证安装Agent的服务器能够访问安装RDA的服务器的5679端口） 安装Agent的服务器必须处于支持的目的端Endpoint中。 安装Agent的服务器必须加载弹性IP地址（用于访问源端） 操作步骤 步骤 1 在浏览器中输入 步骤 2 单击左侧导航栏的“配置管理”，在“OMS配置管理”页签，单击“Agent管理 > 添加节点”。 步骤 3 在弹出的“添加节点”页面，按照界面提示，配置参数。配置完成后，单击“确认”。 参数 说明 : 名称 用户自定义。 用户名 准备安装Agent服务器的SSH登录用户名。说明若使用云专线，请使用root账号。 密码 准备安装Agent服务器的SSH登录用户的密码。 IP地址 准备安装Agent服务器的私有IP地址。 端口 22 步骤 4 配置完成后，单击“确认”。 添加成功后，系统自动进行程序安装。状态列显示当前安装状态，如下图所示： 初始化 SSH检查中 下载中 上传中 安装中 安装成功离线 安装成功在线 程序安装状态说明 状态 说明 : 初始化 系统初始化 SSH检查中 SSH校验 下载中 下载Agent安装包 上传中 上传Agent安装包 安装中 安装部署Agent服务 安装成功 Agent安装成功离线 Agent安装成功在线

本节介绍创建池化云电脑的操作说明。 操作场景 AI云电脑支持共享使用，对无专属数据要求的使用场景，如学校电教室、呼叫中心等用户，可使用池化桌面满足共享资源需求。 可以使用资源包中的资源开通池化桌面，您可以创建一定数量的AI云电脑，与桌面池关联的用户通过先到先得的排队方式使用桌面池中的电脑资源。 池化桌面数量和用户数量最高支持 1:3 配比，若池化桌面已使用完，用户需排队等待。 池化桌面需通过资源包方式开通，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.在池化桌面管理页面，点击“创建桌面池”； 4.填写池化桌面名称； 5.选择可用的资源包； 6.根据需求选择需要池化桌面的规格类型“普通AI云电脑”或GPUAI云电脑“； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 7.选择桌面开通数量； 注意：池化桌面与用户数量比例为1:3。 8.选择AI云电脑的“镜像类型”； 9.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 10.根据需求选择池化桌面的断连设置、关机还原策略； 11.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 12.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 13.确认相关的配置信息，点击“开通桌面”，即完成池化桌面开通。

本章节主要介绍翼MapReduce服务配置审计日志导出参数。 操作场景 MRS的审计日志长期保留在系统中，可能引起数据目录的磁盘空间不足问题，故通过设置导出参数及时将审计日志自动导出到OBS服务器的指定目录下，便于管理审计日志信息。 说明 审计日志导出到OBS服务器的内容包含两部分，服务审计日志和管理审计日志。 服务审计日志每天凌晨3点自动压缩存储到主管理节点“/var/log/Bigdata/audit/bk/”，保存的文件名格式为.tar.gz。默认情况下，保存的文件个数为7份（即7天的日志），超过7份文件时会自动删除7天前的文件。 管理审计日志每次导出到OBS的数据范围是从最近一次成功导出到OBS的日期至本次执行任务的日期。管理审计日志每达到10万条时，系统自动将前9万条审计日志转储保存到本地文件中，数据库中保留1万条。转储的日志文件保存路径为主管理节点“${BIGDATADATAHOME}/dbdataom/dumpData/iam/operatelog”，保存的文件名格式为“OperateLogstoreYYMMDDHHMMSS.csv”，保存的审计日志历史文件数最大为50个。 前提条件 用户已经获取帐号对应的Access Key ID（AK）和Secret Access Key（SK）。 用户已经在帐号的对象存储服务（OBS）中创建了并行文件系统。 操作步骤 在MRS Manager，单击“系统设置”。 1.在“维护”下单击“审计日志导出”。 审计日志导出参数 参数名 参数值 参数解释 开始时间 07/24/2017 09:00:00（举例） 必选参数，指定审计日志导出的开始时间。 周期 1天（举例） 必选参数，指定审计日志转导出的时间间隔，间隔周期范围为（1~5天）。 桶名 mrsbucket（举例） 必选参数，指定审计日志导出到OBS的文件系统名。 OBS路径 opt/omm/oms/auditLog（举例） 必选参数，指定审计日志导出到OBS的路径。 AK XXX（举例） 必选参数，用户的Access Key ID。 SK XXX（举例） 必选参数，用户的Secret Access Key。 说明 审计日志在OBS的存储路径细分为serviceauditlog和managerauditlog，分别用于存储服务审计日志和管理审计日志。

本章节主要介绍翼MapReduce的添加用户并绑定租户的角色操作。 操作场景 创建好的租户不能直接登录集群访问资源，管理员需要通过FusionInsight Manager为已有租户创建新用户，通过绑定租户的角色继承其操作权限，以满足业务使用。 前提条件 管理员已明确业务需求，并已创建了租户。 操作步骤 1. 登录FusionInsight Manager，选择“系统 > 权限 > 用户”。 2. 若在系统中添加新的用户，请单击“添加用户”，打开添加用户的配置页面。 若为系统中已有的用户绑定租户权限，请单击该用户所在行的“修改”，打开修改用户的配置页面。 参见下表为用户配置属性。 用户参数一览 参数名 描述 用户名 指定当前的用户名，长度为3~32个字符，可包含数字、字母、下划线（）、中划线（）或空格。 “用户名”不能与集群各节点所有操作系统用户名相同，否则此用户无法正常使用。 不支持创建两个名称相同但大小写不同的用户。例如已创建用户“User1”，无法创建用户“user1”。使用“User1”时请输入正确的用户名。 用户类型 可选值包括“人机”和“机机”。 “人机”用户：用于在FusionInsight Manager的操作运维场景，以及在组件客户端操作的场景。选择该值需同时填写“密码”和“确认密码”。 “机机”用户：用于应用开发的场景。选择该值用户密码随机生成，无需填写。 密码 选择“人机”用户需填写“密码”。密码必须包含8~64个字符，至少包含以下类型字符中的四种：大写字母、小写字母、数字、特殊字符和空格。不能与用户名或倒序的用户名相同。 确认密码 再次输入密码。 用户组 单击“添加”，选择对应用户组将用户添加进去。 如果用户组添加了角色，则用户可获得对应角色中的权限。 例如，为新用户分配Hive的权限，请将用户加入Hive组。 主组 选择一个组作为用户创建目录和文件时的主组。下拉列表包含“用户组”中勾选的全部组。 角色 单击“添加”为用户绑定租户的角色。 说明 若一个用户想要获取使用“tenant1”租户包含的资源，且能够为“tenant1”租户添加/删除子租户，则需要同时绑定“Managertenant”和“tenant1集群ID”两个角色。 描述 配置当前用户的描述信息。 3. 单击“确定”完成用户创建。

本章节主要介绍翼MapReduce的修改服务配置参数操作。 操作场景 为了满足实际业务的需求，管理员可以在FusionInsight Manager中快速查看及修改服务默认的配置。请务必参照配置描述中的建议进行参数配置。 说明 集群中只剩下一个DBService角色实例时，不支持修改DBService服务的参数。 对系统的影响 配置服务属性后，如果服务状态为“配置过期”，则需要重启此服务，重启期间该服务不可用。 修改服务配置参数并重启生效后，需要重新下载并安装客户端，或者下载配置文件刷新客户端。例如HBase、HDFS、Hive、Spark、Yarn、Mapreduce。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 服务”。 3. 单击服务视图中指定的服务名称。 4. 单击“配置”。 默认显示“基础配置”，如果需要修改更多参数，请选择“全部配置”，界面上将显示该服务的全部配置参数导航树，导航树从上到下的一级节点分别为服务名称和角色名称。展开一级节点后显示参数分类。 例如下图所示，第一个“LdapServer”表示服务名称，配置项针对整个服务；第二个“SlapdServer”表示角色名称，配置项针对角色的全部实例。 配置参数导航树 5. 在导航树选择指定的参数分类，并在右侧修改参数值。 说明 对于端口类参数值请从右侧描述中的取值范围中选取，请确保同一个服务中所有参数项配置的值均在取值范围内且唯一，否则会导致服务启动失败。 不确定参数的具体位置时，支持在右上角输入参数名，Manager将实时进行搜索并显示结果。 6. 单击“保存”，并在确认对话框中单击“确定”。 等待界面提示“操作成功”，单击“完成”，配置已修改。 说明 更新Yarn服务队列的配置且不重启服务时，选择“更多 > 刷新队列”更新队列使配置生效。 配置Flume参数“flume.config.file”时，支持“上传文件”和“下载文件”功能。上传配置文件后旧文件将被覆盖，再下载文件只能获取新文件。如果未保存配置并重启服务，那么新文件设置未生效，请及时保存配置。 修改服务配置参数后如需重启服务使配置生效，可在服务页面单击右上角“更多 > 重启服务”。

附：windows日志事件ID列表 事件ID 对应事件 35 更改时间源 36 时间同步失败 37 时间同步正常 41 表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时出现此事件ID。 134 当出现时间同步源DNS解析失败时会出现此事件ID。 512 Windows启动事件 513 Windows关机事件 515 受信任的登录过程已经在本地安全机构注册 516 审核失败事件 517 清除安全事件日志事件 518 安全帐户管理器已加载通知数据包 519 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 520 更改系统时间事件 521 无法记录事件 528 登录成功事件 529 登录失败事件用户名未知或密码错误 530 登录失败事件时间限制 531 登录失败事件帐户当前已禁用 532 登录失败事件指定用户帐户已过期 533 登录失败事件不允许用户由此计算机登录 534 登录失败事件不允许该登录类型 535 登录失败事件指定帐户的密码已过期 536 登录失败事件NetLogon组件未激活 537 登录失败由于其他原因登录尝试失败 538 用户注销事件 539 登录失败试图登录时该帐户已锁定 540 登录成功事件 553 检测到重放攻击事件 560 准许对现有对象的访问 560 拒绝对现有对象的访问事件 562 指向对象的句柄已关闭 563 试图打开一个对象并打算将其删除 564 受保护对象已删除 565 访问权限已授予现有的对象类型 566 发生了一般对象操作 567 与使用的句柄关联的权限 568 尝试创建已审核文件的硬链接事件 574 对象权限被修改 576 对新登录指派特殊特权 592 创建新进程事件 592 创建新流程事件 600 对进程指派了主令牌事件 601 用户尝试安装服务事件 602 创建计划的作业事件 608 指派了用户帐户特权 609 移除了用户帐户特权 610 创建删除或修改了与另一域的信任关系 611 创建删除或修改了与另一域的信任关系 612 更改审核策略事件 613 更改IPsec策略事件 614 更改IPsec策略事件 615 更改IPsec策略事件 620 创建删除或修改了与另一域的信任关系 621 对帐户授予了系统访问权 622 从系统移除了系统访问权 623 更改审核策略事件 624 创建用户帐户事件 625 按用户刷新审核策略 626 启用了用户帐户 627 更改密码尝试事件 628 用户帐户密码设置或重置事件 630 删除用户帐户事件 631 启用了安全性的全局组更改事件 632 启用了安全性的全局组更改事件 633 启用了安全性的全局组更改事件 634 启用了安全性的全局组更改事件 635 启用了安全性的全局组更改事件 636 启用了安全性的全局组更改事件 637 启用了安全性的全局组更改事件 638 启用了安全性的全局组更改事件 639 启用了安全性的组更改事件 641 启用了安全性的组更改事件 642 更改用户帐户事件 643 更改域安全策略事件 644 帐户锁定尝试事件 644 用户帐户自动锁定事件 645 帐号及安全组策略更改事件 659 启用了安全性的通用组更改事件 660 启用了安全性的通用组更改事件 661 启用了安全性的通用组更改事件 662 启用了安全性的通用组更改事件 666 帐号及安全组策略更改事件 668 启用了安全性的组更改事件 672 已成功颁发和验证身份验证服务(AS)票证 675 预验证失败事件 680 帐户登录事件 681 登录失败尝试进行域帐户登录事件 682 用户已重新连接至已断开的终端服务器会话 683 用户未注销就断开终端服务器会话 685 更改用户帐户名称事件 698 更改目录服务还原模式密码事件 1074 查看计算机的开机、关机、重启的时间以及原因和注释。 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1102 日志清除 1104 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4199 当发生TCP/IP地址冲突的时候出现此事件ID，用来排查用户IP网络的问题。 4608 Windows正在启动 4608 Windows启动事件 4609 Windows正在关闭 4609 Windows关机事件 4610 本地安全机构已加载身份验证包 4611 已向本地安全机构注册了受信任的登录进程 4611 受信任的登录过程已经在本地安全机构注册 4612 为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。 4612 审核失败事件 4613 清除安全事件日志事件 4614 安全帐户管理器已加载通知包。 4614 安全帐户管理器已加载通知数据包 4615 LPC端口使用无效 4615 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 4616 系统时间已更改。 4616 更改系统时间事件 4617 无法记录事件 4618 已发生受监视的安全事件模式 4621 管理员从CrashOnAuditFail恢复了系统 4622 本地安全机构已加载安全包。 4624 帐户已成功登录 4624 登录成功事件 4625 帐户无法登录 4625 登录失败事件用户名未知或密码错误 4626 用户/设备声明信息 4626 登录失败事件时间限制 4627 集团会员信息。 4628 登录失败事件指定用户帐户已过期 4629 登录失败事件不允许用户由此计算机登录 4630 登录失败事件不允许该登录类型 4631 登录失败事件指定帐户的密码已过期 4632 登录失败事件NetLogon组件未激活 4633 登录失败由于其他原因登录尝试失败 4634 帐户已注销 4634 用户注销事件 4635 登录失败试图登录时该帐户已锁定 4636 登录成功事件 4646 IKE DoS防护模式已启动 4647 用户启动了注销 4648 使用显式凭据尝试登录 4649 检测到重播 4649 检测到重放攻击事件 4650 建立了IPsec主模式安全关联 4651 建立了IPsec主模式安全关联 4652 IPsec主模式协商失败 4653 IPsec主模式协商失败 4654 IPsec快速模式协商失败 4655 IPsec主模式安全关联已结束 4656 请求了对象的句柄 4656 准许对现有对象的访问 4656 拒绝对现有对象的访问事件 4657 注册表值已修改 4658 对象的句柄已关闭 4658 指向对象的句柄已关闭 4659 请求删除对象的句柄 4659 试图打开一个对象并打算将其删除 4660 对象已删除 4660 受保护对象已删除 4661 请求了对象的句柄 4661 访问权限已授予现有的对象类型 4662 对对象执行了操作 4662 发生了一般对象操作 4663 尝试访问对象 4663 与使用的句柄关联的权限 4664 试图创建一个硬链接 4664 尝试创建已审核文件的硬链接事件 4665 尝试创建应用程序客户端上下文。 4666 应用程序尝试了一个操作 4667 应用程序客户端上下文已删除 4668 应用程序已初始化 4670 对象的权限已更改 4670 对象权限被修改 4671 应用程序试图通过TBS访问被阻止的序号 4672 分配给新登录的特权 4672 对新登录指派特殊特权 4673 特权服务被召唤 4674 尝试对特权对象执行操作 4675 SID被过滤掉了 4688 已经创建了一个新流程 4688 创建新进程事件 4688 创建新流程事件 4689 一个过程已经退出 4690 尝试复制对象的句柄 4691 请求间接访问对象 4692 尝试备份数据保护主密钥 4693 尝试恢复数据保护主密钥 4694 试图保护可审计的受保护数据 4695 尝试不受保护的可审计受保护数据 4696 主要令牌已分配给进程 4696 对进程指派了主令牌事件 4697 系统中安装了一项服务 4697 用户尝试安装服务事件 4698 已创建计划任务 4698 创建计划的作业事件 4699 计划任务已删除 4700 已启用计划任务 4701 计划任务已禁用 4702 计划任务已更新 4703 令牌权已经调整 4704 已分配用户权限 4704 指派了用户帐户特权 4705 用户权限已被删除 4705 移除了用户帐户特权 4706 为域创建了新的信任 4706 创建删除或修改了与另一域的信任关系 4707 已删除对域的信任 4707 创建删除或修改了与另一域的信任关系 4708 更改审核策略事件 4709 IPsec服务已启动 4709 更改IPsec策略事件 4710 IPsec服务已禁用 4710 更改IPsec策略事件 4711 PAStore引擎（1％） 4711 更改IPsec策略事件 4712 IPsec服务遇到了潜在的严重故障 4713 Kerberos策略已更改 4714 加密数据恢复策略已更改 4715 对象的审核策略（SACL）已更改 4716 可信域信息已被修改 4716 创建删除或修改了与另一域的信任关系 4717 系统安全访问权限已授予帐户 4717 对帐户授予了系统访问权 4718 系统安全访问已从帐户中删除 4718 从系统移除了系统访问权 4719 系统审核策略已更改 4719 更改审核策略事件 4720 已创建用户帐户 4720 创建用户帐户事件 4721 按用户刷新审核策略 4722 用户帐户已启用 4722 启用了用户帐户 4723 尝试更改帐户的密码 4723 更改密码尝试事件 4724 尝试重置帐户密码 4724 用户帐户密码设置或重置事件 4725 用户帐户已被禁用 4725 帐户当前已禁用 4726 用户帐户已删除 4726 删除用户帐户事件 4727 已创建启用安全性的全局组 4727 启用了安全性的全局组更改事件 4728 已将成员添加到启用安全性的全局组中 4728 启用了安全性的全局组更改事件 4729 成员已从启用安全性的全局组中删除 4729 启用了安全性的全局组更改事件 4730 已删除启用安全性的全局组 4730 启用了安全性的全局组更改事件 4731 已创建启用安全性的本地组 4731 启用了安全性的全局组更改事件 4732 已将成员添加到启用安全性的本地组 4732 启用了安全性的全局组更改事件 4733 成员已从启用安全性的本地组中删除 4733 启用了安全性的全局组更改事件 4734 已删除已启用安全性的本地组 4734 启用了安全性的全局组更改事件 4735 已启用安全性的本地组已更改 4735 启用了安全性的组更改事件 4737 启用安全性的全局组已更改 4737 启用了安全性的组更改事件 4738 用户帐户已更改 4738 更改用户帐户事件 4739 域策略已更改 4739 更改域安全策略事件 4740 用户帐户已被锁定 4740 帐户锁定尝试事件 4740 用户帐户自动锁定事件 4741 已创建计算机帐户 4741 帐号及安全组策略更改事件 4742 计算机帐户已更改 4743 计算机帐户已删除 4744 已创建禁用安全性的本地组 4745 已禁用安全性的本地组已更改 4746 已将成员添加到已禁用安全性的本地组 4747 已从安全性已禁用的本地组中删除成员 4748 已删除安全性已禁用的本地组 4749 已创建一个禁用安全性的全局组 4750 已禁用安全性的全局组已更改 4751 已将成员添加到已禁用安全性的全局组中 4752 成员已从禁用安全性的全局组中删除 4753 已删除安全性已禁用的全局组 4754 已创建启用安全性的通用组 4755 启用安全性的通用组已更改 4755 启用了安全性的通用组更改事件 4756 已将成员添加到启用安全性的通用组中 4756 启用了安全性的通用组更改事件 4757 成员已从启用安全性的通用组中删除 4757 启用了安全性的通用组更改事件 4758 已删除启用安全性的通用组 4758 启用了安全性的通用组更改事件 4759 创建了一个安全禁用的通用组 4760 安全性已禁用的通用组已更改 4761 已将成员添加到已禁用安全性的通用组中 4762 成员已从禁用安全性的通用组中删除 4762 帐号及安全组策略更改事件 4763 已删除安全性已禁用的通用组 4764 组类型已更改 4764 启用了安全性的组更改事件 4765 SID历史记录已添加到帐户中 4766 尝试将SID历史记录添加到帐户失败 4767 用户帐户已解锁 4768 请求了Kerberos身份验证票证（TGT） 4768 已成功颁发和验证身份验证服务(AS)票证 4769 请求了Kerberos服务票证 4770 更新了Kerberos服务票证 4771 Kerberos预身份验证失败 4771 预验证失败事件 4772 Kerberos身份验证票证请求失败 4773 Kerberos服务票证请求失败 4774 已映射帐户以进行登录 4775 无法映射帐户以进行登录 4776 域控制器尝试验证帐户的凭据 4776 帐户登录事件 4777 域控制器无法验证帐户的凭据 4777 登录失败尝试进行域帐户登录事件 4778 会话重新连接到Window Station 4778 用户已重新连接至已断开的终端服务器会话 4779 会话已与Window Station断开连接 4779 用户未注销就断开终端服务器会话 4780 ACL是在作为管理员组成员的帐户上设置的 4781 帐户名称已更改 4781 更改用户帐户名称事件 4782 密码哈希帐户被访问 4783 创建了一个基本应用程序组 4784 基本应用程序组已更改 4785 成员已添加到基本应用程序组 4786 成员已从基本应用程序组中删除 4787 非成员已添加到基本应用程序组 4788 从基本应用程序组中删除了非成员。 4789 基本应用程序组已删除 4790 已创建LDAP查询组 4791 基本应用程序组已更改 4792 LDAP查询组已删除 4793 密码策略检查API已被调用 4794 尝试设置目录服务还原模式管理员密码 4794 更改目录服务还原模式密码事件 4797 试图查询帐户是否存在空白密码 4798 枚举了用户的本地组成员身份。 4799 已枚举启用安全性的本地组成员身份 4800 工作站已锁定 4801 工作站已解锁 4802 屏幕保护程序被调用 4803 屏幕保护程序被解雇了 4816 RPC在解密传入消息时检测到完整性违规 4817 对象的审核设置已更改。 4818 建议的中央访问策略不授予与当前中央访问策略相同的访问权限 4819 计算机上的中央访问策略已更改 4820 Kerberos票证授予票证（TGT）被拒绝，因为该设备不符合访问控制限制 4821 Kerberos服务票证被拒绝，因为用户，设备或两者都不符合访问控制限制 4822 NTLM身份验证失败，因为该帐户是受保护用户组的成员 4823 NTLM身份验证失败，因为需要访问控制限制 4824 使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员 4825 用户被拒绝访问远程桌面。默认情况下，仅当用户是Remote Desktop Users组或Administrators组的成员时才允许用户进行连接 4826 加载引导配置数据 4830 SID历史记录已从帐户中删除 4864 检测到名称空间冲突 4865 添加了受信任的林信息条目 4866 已删除受信任的林信息条目 4867 已修改受信任的林信息条目 4868 证书管理器拒绝了挂起的证书请求 4869 证书服务收到重新提交的证书请求 4870 证书服务撤销了证书 4871 证书服务收到发布证书吊销列表（CRL）的请求 4872 证书服务发布证书吊销列表（CRL） 4873 证书申请延期已更改 4874 一个或多个证书请求属性已更改。 4875 证书服务收到关闭请求 4876 证书服务备份已启动 4877 证书服务备份已完成 4878 证书服务还原已开始 4879 证书服务恢复已完成 4880 证书服务已启动 4881 证书服务已停止 4882 证书服务的安全权限已更改 4883 证书服务检索到存档密钥 4884 证书服务将证书导入其数据库 4885 证书服务的审核筛选器已更改 4886 证书服务收到证书请求 4887 证书服务批准了证书请求并颁发了证书 4888 证书服务拒绝了证书请求 4889 证书服务将证书请求的状态设置为挂起 4890 证书服务的证书管理器设置已更改。 4891 证书服务中的配置条目已更改 4892 证书服务的属性已更改 4893 证书服务存档密钥 4894 证书服务导入并存档了一个密钥 4895 证书服务将CA证书发布到Active Directory域服务 4896 已从证书数据库中删除一行或多行 4897 启用角色分离 4898 证书服务加载了一个模板 4899 证书服务模板已更新 4900 证书服务模板安全性已更新 4902 已创建每用户审核策略表 4904 尝试注册安全事件源 4905 尝试取消注册安全事件源 4906 CrashOnAuditFail值已更改 4907 对象的审核设置已更改 4908 特殊组登录表已修改 4909 TBS的本地策略设置已更改 4910 TBS的组策略设置已更改 4911 对象的资源属性已更改 4912 每用户审核策略已更改 4913 对象的中央访问策略已更改 4928 建立了Active Directory副本源命名上下文 4929 已删除Active Directory副本源命名上下文 4930 已修改Active Directory副本源命名上下文 4931 已修改Active Directory副本目标命名上下文 4932 已开始同步Active Directory命名上下文的副本 4933 Active Directory命名上下文的副本的同步已结束 4934 已复制Active Directory对象的属性 4935 复制失败开始 4936 复制失败结束 4937 从副本中删除了一个延迟对象 4944 Windows防火墙启动时，以下策略处于活动状态 4945 Windows防火墙启动时列出了规则 4946 已对Windows防火墙例外列表进行了更改。增加了一条规则 4947 已对Windows防火墙例外列表进行了更改。规则被修改了 4948 已对Windows防火墙例外列表进行了更改。规则已删除 4949 Windows防火墙设置已恢复为默认值 4950 Windows防火墙设置已更改 4951 规则已被忽略，因为Windows防火墙无法识别其主要版本号 4952 已忽略规则的某些部分，因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则，因为它无法解析规则 4954 Windows防火墙组策略设置已更改。已应用新设置 4956 Windows防火墙已更改活动配置文件 4957 Windows防火墙未应用以下规则 4958 Windows防火墙未应用以下规则，因为该规则引用了此计算机上未配置的项目 4960 IPsec丢弃了未通过完整性检查的入站数据包 4961 IPsec丢弃了重放检查失败的入站数据包 4962 IPsec丢弃了重放检查失败的入站数据包 4963 IPsec丢弃了应该受到保护的入站明文数据包 4964 特殊组已分配给新登录 4965 IPsec从远程计算机收到一个包含不正确的安全参数索引（SPI）的数据包。 4976 在主模式协商期间，IPsec收到无效的协商数据包。 4977 在快速模式协商期间，IPsec收到无效的协商数据包。 4978 在扩展模式协商期间，IPsec收到无效的协商数据包。 4979 建立了IPsec主模式和扩展模式安全关联。 4980 建立了IPsec主模式和扩展模式安全关联 4981 建立了IPsec主模式和扩展模式安全关联 4982 建立了IPsec主模式和扩展模式安全关联 4983 IPsec扩展模式协商失败 4984 IPsec扩展模式协商失败 4985 交易状态已发生变化 5024 Windows防火墙服务已成功启动 5025 Windows防火墙服务已停止 5027 Windows防火墙服务无法从本地存储中检索安全策略 5028 Windows防火墙服务无法解析新的安全策略。 5029 Windows防火墙服务无法初始化驱动程序 5030 Windows防火墙服务无法启动 5031 Windows防火墙服务阻止应用程序接受网络上的传入连接。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows防火墙驱动程序无法启动 5037 Windows防火墙驱动程序检测到严重的运行时错 终止 5038 代码完整性确定文件的图像哈希无效 5039 注册表项已虚拟化。 5040 已对IPsec设置进行了更改。添加了身份验证集。 5041 已对IPsec设置进行了更改。身份验证集已修改 5042 已对IPsec设置进行了更改。身份验证集已删除 5043 已对IPsec设置进行了更改。添加了连接安全规则 5044 已对IPsec设置进行了更改。连接安全规则已修改 5045 已对IPsec设置进行了更改。连接安全规则已删除 5046 已对IPsec设置进行了更改。添加了加密集 5047 已对IPsec设置进行了更改。加密集已被修改 5048 已对IPsec设置进行了更改。加密集已删除 5049 IPsec安全关联已删除 5050 尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙（FALSE 5051 文件已虚拟化 5056 进行了密码自检 5057 加密原语操作失败 5058 密钥文件操作 5059 密钥迁移操作 5060 验证操作失败 5061 加密操作 5062 进行了内核模式加密自检 5063 尝试了加密提供程序操作 5064 尝试了加密上下文操作 5065 尝试了加密上下文修改 5066 尝试了加密功能操作 5067 尝试了加密功能修改 5068 尝试了加密函数提供程序操作 5069 尝试了加密函数属性操作 5070 尝试了加密函数属性操作 5071 Microsoft密钥分发服务拒绝密钥访问 5120 OCSP响应程序服务已启动 5121 OCSP响应程序服务已停止 5122 OCSP响应程序服务中的配置条目已更改 5123 OCSP响应程序服务中的配置条目已更改 5124 在OCSP Responder Service上更新了安全设置 5125 请求已提交给OCSP Responder Service 5126 签名证书由OCSP Responder Service自动更新 5127 OCSP吊销提供商成功更新了吊销信息 5136 目录服务对象已修改 5137 已创建目录服务对象 5138 目录服务对象已取消删除 5139 已移动目录服务对象 5140 访问了网络共享对象 5141 目录服务对象已删除 5142 添加了网络共享对象。 5143 网络共享对象已被修改

默认情况下云搜索服务安装了简繁体转换插件，用户无需自行安装。简繁体转换插件是一款可以使中文简体和中文繁体相互转换的插件。通过该插件的转换，用户可以使用中文繁体关键字搜索出包含对应中文简体的索引数据，也可以使用中文简体关键字搜索出包含对应中文繁体的索引数据。 简繁体转换插件通常可以当做analyzer、tokenizer、tokenfilter或charfilter来使用。 简繁体转换插件的转换类型包含如下两种： s2t：将中文简体转换为中文繁体。 t2s：将中文繁体转换为中文简体。 示例指导 1. 登录云搜索服务管理控制台。 2. 在左侧导航栏中，选择“集群管理”，进入集群列表页面。 3. 在集群列表中，单击需要使用的集群对应“操作”列的“Kibana”。 如果开启了安全模式，需要输入创建集群时设置的用户名和密码。 4. 在Kibana的左侧导航中选择“Dev Tools”，单击“Get to work”，进入Console界面。 5. 在Console界面，执行如下命令，创建索引“stconvert”，并指定自定义映射来定义数据类型。 7.x之前版本 PUT /stconvert { "settings": { "numberofshards": 1, "numberofreplicas": 0, "analysis": { "analyzer": { "tsik": { "tokenizer": "iksmart", "charfilter": [ "tsconvert", "stconvert" ] } }, "charfilter": { "tsconvert": { "type": "stconvert", "converttype": "t2s" }, "stconvert": { "type": "stconvert", "converttype": "s2t" } } } }, "mappings": { "type": { "properties": { "desc": { "type": "text", "analyzer": "tsik" } } } } } 7.x之后版本 PUT /stconvert { "settings": { "numberofshards": 1, "numberofreplicas": 0, "analysis": { "analyzer": { "tsik": { "tokenizer": "iksmart", "charfilter": [ "tsconvert", "stconvert" ] } }, "charfilter": { "tsconvert": { "type": "stconvert", "converttype": "t2s" }, "stconvert": { "type": "stconvert", "converttype": "s2t" } } } }, "mappings": { "properties": { "desc": { "type": "text", "analyzer": "tsik" } } } } 返回结果如下所示。 { "acknowledged" : true, "shardsacknowledged" : true, "index" : "stconvert" } 6. 在Console界面，执行如下命令，导入数据到“stconvert”索引中。 7.x之前版本 POST /stconvert/type/1 { "desc": "國際電視臺" } 7.x之后版本 POST /stconvert/doc/1 { "desc": "國際電視臺" } 当返回结果信息中“failed”字段的值为“0”时，表示数据导入成功。 7. 在Console界面，执行如下命令，搜索关键字“国际”，并查看搜索结果。 GET /stconvert/search { "query": { "match": { "desc": "国际" } } } 搜索结果如下所示。 { "took" : 15, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : 1, "maxscore" : 0.5753642, "hits" : [ { "index" : "stconvert", "type" : "type", "id" : "1", "score" : 0.5753642, "source" : { "desc" : "國際電視臺" } } ] } }

本节介绍了如何在控制台变更域名的服务区域。 使用场景 根据域名所提供服务的区域，用户可选择与之相匹配的边缘安全加速平台服务区域。例如：某站点的主要客户群体在中国内地，则域名接入边缘安全加速平台后，选择“中国内地”服务区域。客户端访问域名站点的流量，就会就近接入进入中国内地区域的边缘节点。 当服务区域为中国内地，站点请求会被调度到中国内的节点。 当服务区域为全球（不含中国内地），站点请求会被调度到全球（不含中国内地）的节点。 当服务区域为全球，站点请求会被调度到中国内地或全球（不含中国内地）的节点。 前提条件 订购边缘安全加速服务，加速区域为“全球”的套餐。加速区域为“中国内地”或者“全球（不含中国内地）”的套餐，不可变更域名的服务区域。 域名状态为“已启用”。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.在域名操作栏点击“区域变更”，选择服务区域后点击确定即可。 注意 1、不同服务区域对应不同资费标准，服务区域包含中国内地时，域名请先完成在中国大陆的ICP备案，同时完成公安网的备案。 2、修改服务区域，由于服务节点变更，短期内回源的流量会增加，命中率会下降，请您留意源站运行情况。 3、 修改服务区域可能会引起回源IP变更，如果您的源站有回源IP白名单限制，请通过 4.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“已启用”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

本文通过图文说明预取功能的操作方法及注意事项。 功能介绍 预取功能是指提交URL预取请求后，边缘安全加速平台—安全与加速将会主动将对应的资源缓存到节点上，当用户首次请求时，就能直接从边缘节点缓存中获取到最新的资源，边缘节点无需再回源站获取。常用于热门文件发布或是大型推广活动前做内容预取，可以降低热点文件发布后源站的回源压力，提升缓存命中率，优化首批访问用户的访问体验。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1.登录边缘安全加速控制台，进入【安全与加速工作台】【刷新预取】页面。 2.在【刷新预取】页面，选中【URL预取】单击【创建任务】。 3.按照URL预取下方的提示内容，填写待预取URL。 4.配置完成后，单击【确定】提交。 5.完成预取任务提交后，如要查看任务执行进度和结果，可以选择具体的时间、输入目标域名，或者选择一种特定的任务状态类型查看预取任务的执行情况。

本文简述缓存过期时间配置方法。 功能介绍 缓存过期时间指源站资源在边缘节点缓存的最大时长，超过该时长，资源将会被边缘节点标记为已过期。如果客户端请求的资源在边缘节点上已过期，边缘节点会回源获取最新资源缓存到边缘节点上，供其他请求使用。 边缘安全加速平台—安全与加速服务支持按后缀名、目录、首页、全部文件、全路径文件类型进行缓存。您可以根据业务需求，按指定路径或文件名后缀配置静态资源的缓存过期时间。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 注意事项 默认开启去问号参数缓存，若需要带问号后参数缓存，请选择关闭该功能。 权重支持自定义生效顺序，优先级数字大则优先生效。 操作步骤 1.登录边缘安全加速控制台，进入【安全与加速工作台】【CDN加速配置】，在域名列表中选中需要配置的域名。 2.单击【编辑配置】。 3单击【增加规则】，选择类型，如后缀名、目录、首页、全部文件、全路径文件，并配置相应的内容。 4.选择过期时间单位，如秒、分钟、小时、天，再填写对应的过期时间。 5.选择缓存规则，默认为强制缓存。 6.去问号缓存默认为开启，如需要带问号后参数缓存，请选择关闭该功能。 7.选择权重。权重支持自定义，优先级数字大则优先生效。

本章节为您介绍VPN服务管理的相关操作内容。 VPN服务管理提供以下功能： 提供配置VPN服务。 对内网控制新增和删除。 对静态路由表的新增、修改、删除等。 前提条件 为保障您的SSL VPN服务正常使用，需要在综合安全网关实例所属的安全组中放通18443端口。 新增VPN服务管理 说明 您在首次登录VPN服务页面，界面会提示“该SSL VPN服务尚未配置”。 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“VPN服务 > VPN服务管理”，进入“VPN服务管理”页面。 3. 开始配置“VPN服务”，完成配置后单击“配置”按钮即可完成修改。 参数 参数说明 Vpn服务uid 系统自动生成，无需填写。 服务名称 自定义VPN服务的名称。 证书 选择VPN服务的证书，证书的添加请参加VPN服务证书。 SSL协议 选择VPN服务对应的SSL协议，第一次配置后无法修改。 SSL算法 选择VPN服务对应的SSL算法，第一次配置后无法修改。 服务端口 填写VPN服务对应的端口，第一次配置后无法修改。 新增内网控制 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“VPN服务 > VPN服务管理”，进入“VPN服务管理”页面。 3. 选择“内网控制”页签，单击“创建内网”按钮。 4. 在弹出的对话框中填写“IP地址”或“IP网段”。 5. 填写完成后单击“确定”即可新增内网控制。

本节介绍如何创建并管理容器防篡改策略。 添加文件防篡改策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 文件防篡改”，进入文件防篡改页面。 3. 单击“添加策略”，进入添加策略页面。 4. 在新建策略页面输入策略名称（必填）和描述信息（非必填），选择或输入目标对象（支持通配符），设置监控路径。 5. 单击“保存”按钮，系统提示保存成功，安全策略设置完毕。 管理文件防篡改策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 文件防篡改”，进入文件防篡改页面。 3. 查找策略：搜索框支持按策略名称、启用状态查找目的策略。 4. 策略管理：在策略列表内，支持对已添加策略进行查看、编辑、删除、开启、关闭。

此小节介绍企业主机安全创建策略组。 您可根据自己服务器不同使用情况创建对应的策略组，创建后可对目标服务器进行更有力的扫描检测。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 前提条件 已购买旗舰版。 注意 目前仅支持对旗舰版的策略组进行自定义创建，若没有开启旗舰版防护的主机，创建后不会生效。 创建策略组 以下以旗舰版的Linux策略为例。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、选择tenantlinuxpremiumdefaultpolicygroup或tenantwindowspremiumdefaultpolicygroup策略组，单击该策略组“操作”列的“复制”。以下以Linux策略组为例。 复制策略组 6、在弹出的对话框中，输入“策略组名称”和“描述”。 策略组的名称不能重复，如果尝试通过复制来创建一个同名的策略组，将会失败。 “策略组名称”和“描述”只能包含中文、字母、数字、下划线、中划线、空格，并且首尾不能为空格。 创建策略组 7、单击“确认”，将会创建一个新的策略组。 8、单击已创建的策略组名称，进入策略组的策略页面。 Linux策略组详情 9、单击策略名称，修改具体的策略内容，详细信息请参见8.1.3 编辑策略内容。 10、策略内容修改完成后，单击策略所在行的“开启”或者“关闭”，开启或者关闭对应的策略。

本文向您介绍使用IE9导入时如何启动ActiveX插件。 问题描述 使用的是IE9浏览器，为了支持预定义标签导入功能，需要启动ActiveX插件。 解决方案 1. 在浏览器主界面，选择“Internet选项”。 2. 单击选择“安全”页签。 3. 单击“Internet”。 4. （可选）单击“默认级别”。 如果安全级别显示为“自定义”，请将设置还原为默认级别。 5. 滑动安全级别滑块，将安全级别调到“中”级别。 6. 单击“应用”。 7. 单击“自定义级别”。 8. 将“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”设置为“提示”。 9. 单击“确定”。

本章节介绍云原生网关的插件配置 概述 云原生网关中提供了丰富的插件功能，可以满足用户特定的流量管理、可观测性、安全性能、请求/响应转换等需求，从而提高了网关的可扩展性，使得用户能够根据具体的应用场景进行灵活配置，实现高度个性化的云原生网关服务。 插件配置 目前云原生网关支持全局和路由级别两种粒度的插件配置： 1. 全局插件 ：应用于整个网关实例，对所有的路由都生效。一种插件类型只能有一个全局插件配置，应用于全体路由上。 2. 路由级插件 ：可灵活绑定在某一条路由上，只对特定的路由生效，允许根据具体的路由定制化功能。一种插件类型可以有多个不同的路由级插件配置，每个路由级插件配置可灵活应用于多条路由上。 3. 路由策略 ：也是由插件配置实现的，支持限流、重写等策略，应用在具体路由上。 当在路由上同时配置了某一种插件类型的全局插件、路由级插件和路由策略时，插件生效的优先级为：全局插件> 路由策略 路由级插件，即以全局插件中的配置为准。若在路由上只同时配置同一插件类型的路由级插件和路由策略，则以最新的插件配置为准。

违法信息 指涉及电信诈骗、胡乱发布新闻、淫秽色情、未经授权的仇恨性言论等违反法律法规、伦理道德和公序良俗的信息，会对个人和社会造成负面影响。 垃圾信息 指无用的、欺诈性的、骚扰性的或与特定上下文无关的信息。这些信息可能通过短信、电话、电子邮件、社交媒体等方式传播，给人们的生活带来不必要的麻烦和困扰。 国家敏感信息 指涉及国家机密、秘密，或对国家利益、公共利益有重大影响的信息，包括但不限于军事、国防、外交、经济等方面的信息。这些信息的泄露或未经授权的访问可能会对国家的安全和利益造成严重威胁。 稳定信息 指与社会和谐、国家政治稳定等相关的内容。稳定信息关乎社会的稳定和国家的政治安全，需要进行严格的审核和监管。 安全信息 指与网络安全、个人信息安全相关的内容，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露。 法律信息 指与法律相关的内容，包括各种法律法规、判例、法律解释、法律理论、法律实践等方面的信息。 社会事件 指在社会生活中发生的、对社会发展产生重大影响的、具有新闻价值和历史意义的重要事件。社会事件可能涉及政治、经济、文化、科技、体育等多个领域，并具有广泛的关注度和影响，如灾害、事故、社会安全等。

本文介绍如何隔离容器。 支持将存在异常的Pod进行隔离，被隔离的Pod将不允许与其他资源进行通信。 注意事项 特权容器、节点启动容器、安全容器、pause应用类型容器暂不支持隔离。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表右侧操作列中的“隔离Pod”。 4. 在弹出的对话框中，输入说明信息。 5. 单击“确认”，隔离容器。

本节介绍如何对上传的文件进行IaC扫描。 前提条件 已上传需要检测的K8S manifests、dockerfile、Configmap文件。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > IaC检查”，进入IaC检查页面。 3. 选择检查的文件类型。 4. 单击检查列表操作列的“扫描”按钮或者列表右上角的“开始扫描”，可对已上传的文件进行检测。 5. 扫描后，到“任务中心 > 扫描任务队列 > IaC安全扫描队列”中查看扫描状态及生成扫描结果。

本文介绍如何对集群节点进行扫描。 扫描节点 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“节点安全”，进入节点安全页面。 3. 单击节点列表右上方的“开始扫描”，可选择扫描全部节点或者仅扫描列表中勾选的节点。 4. 单击“确定”，立即开始扫描，扫描状态变为“扫描中”。 重新扫描 扫描完成后，可以单击操作列的“重新扫描”，重新对节点进行扫描。

本节介绍OpenSSL漏洞修复最佳实践。 OpenSSL简介 OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上，因此需要注重OpenSSL安全漏洞的修复。 OpenSSL用途 加密和解密数据：OPENSSL支持对称和非对称加密算法，可以用于安全的数据加密和解密操作。 数字签名：OPENSSL可以对数据进行数字签名，提高数据的可信度和合法性。还可以验证数字签名和证书的有效性。 SSL/TLS协议实现：OPENSSL支持SSL、TLS等协议，可以用于建立安全的网络连接，对数据进行加密传输，提高网络的安全性。 生成和管理数字证书：OPENSSL可以生成和管理各种类型的数字证书，包括服务器证书、客户端证书等。数字证书是实现安全通信的重要工具之一。 伪随机数生成器：OPENSSL可以生成高质量的伪随机数，用于各种密码算法中的随机数种子。 其他的密码学工作：除了上述主要用途外，OPENSSL还包括了各种密码学工具和库，可以实现密码算法的实现和分析。 依赖OpenSSL的软件或协议 MongoDB 4.4 Nginx KeepAlived Https OpenSSH SSH VPN 电子邮件 OpenSSL漏洞扫描 您可以参考漏洞扫描最佳实践进行漏洞扫描。 OpenSSL常见漏洞 CVE20160705 OpenSSL DSA代码双重释放漏洞 漏洞危害 OpenSSL 1.0.2及更早版本、1.0.1及更早版本解析畸形DSA密钥中存在双重释放漏洞，可导致受影响应用拒绝服务或内存破坏。 影响版本 OpenSSL 1.0.2及更早版本 OpenSSL 1.0.1及更早版本 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20160799 OpenSSL‘BIOprintf’函数安全漏洞 漏洞危害 OpenSSL 1.0.2及更早版本、1.0.1及更早版本在BIOprintf函数的实现上存在内存破坏漏洞，可导致内存泄露等。 影响版本 OpenSSL 1.0.2及更早版本 OpenSSL 1.0.1及更早版本 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20162842 OpenSSL doaproutch函数拒绝服务漏洞 漏洞危害 OpenSSL 1.0.1 < 1.0.1s、1.0.2 < 1.0.2g版本，crypto/bio/bprint.c/doaproutch函数未验证某些内存分配结果，这可使远程攻击者造成拒绝服务。 影响版本 OpenSSL 1.0.1 < 1.0.1s OpenSSL 1.0.2 < 1.0.2g 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20162108 OpenSSL ASN.1编码器内存破坏漏洞 漏洞危害 OpenSSL中的ASN.1解析器在对数据解析时没有正确处理特定标签，当遇到VASN1NEGINTEGER和VASN1NEGENUMERATED标签时，ASN.1解析器也会将其视作ASN1ANY类型，从而解析其中的数据。当数据再次编码序列化时，可能造成数据越界写入，引起内存损坏。 影响版本 OpenSSL Project OpenSSL 1.0.2 OpenSSL Project OpenSSL 1.0.1 不受影响版本 OpenSSL Project OpenSSL 1.0.2c OpenSSL Project OpenSSL 1.0.1o 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：<

本节介绍了云数据库TaurusDB的产品优势及价值。 TaurusDB为计算存储分离、云化架构的企业级云数据库，具有以下优势： 超高性能 相比开源MySQL，性能提升7倍，可达到百万级QPS。 高扩展性 横向扩展：支持分钟级添加只读节点，最大支持15只读，解决性能扩展问题。 纵向扩展：支持规格升级，应对不确定的业务增长。 存储扩展：根据数据容量自动弹性伸缩，无须提前规划容量，最大支持128TB，解决海量数据问题。 高可靠性 支持跨AZ部署、异地容灾，金融级别可靠性。 跨AZ部署，数据三副本，安全性有保障。 高兼容性 100%兼容MySQL，应用上云无须改造。 非中间件式架构。 业务性能正常情况下，无需搭载分布式数据库中间件分库分表。

本节为您介绍数据安全中心产品优势。 云上全场景覆盖 通过整合云上各类数据源，提供一站式数据保护和防御机制。不仅支持结构化类型数据，还支持非结构化类型数据，支持云原生和ECS自建场景。 全生命周期可视化 将数据安全全生命周期各阶段的状态整合起来，并通过可视化方式展示云上数据安全态势。 高效识别数据源 通过专家知识库和NLP的双重加权，提升识别能力，精确高效地锁定敏感数据源。 全方位敏感数据防护 根据敏感数据发现策略，精准识别数据库中的敏感数据，并结合多种预置脱敏算法和用户自定义脱敏算法，实现全方位的敏感数据防护。

参数 是否必填 参数类型 说明 示例 下级对象 billMode 是 String 订购类型（仅创建单独付费计算增强型云电脑有效）。取值范围： Cycle：包周期。 osType 是 String 操作系统类型（Windows;Linux），XC型规格暂只支持Linux cycleType 否 String 周期类型（仅创建单独付费云电脑有效）。取值范围： Month：按月。（仅订购类型为包周期类型有效） cycleCnt 否 Integer 周期数（仅创建单独付费云电脑有效）。取值范围： 136。（仅订购类型为包周期类型有效） autoPay 否 Boolean 是否自动支付（仅创建单独付费云电脑有效），默认false。取值范围： true:是。（仅订购类型为包周期类型有效，需账号有足够金额） false:否。（仅订购类型为包周期类型有效） templateOid 是 String 规格模板ID processorType 否 String 处理器类型。创建XC型规格时必填。取值范围： kp：鲲鹏。 hg：海光。 imageOid 是 String 镜像ID subnetOid 是 String VPC子网ID securityGroupOid 是 String 安全组ID sysDiskType 是 String 系统盘类型（uhio超高IO） sysDiskSize 是 Integer 系统盘大小（单位：GB） 镜像系统盘大小（创建单独付费云电脑，不支持自定义大小） （创建资源包云电脑，支持自定义大小） instanceNum 是 Integer 实例数量

前置工作 已通过天翼云生态专区订购 OpenClaw 应用 。 说明 若 OpenClaw 版本过低，将导致无法在公有云生态专区页面中进行技能配置。 操作步骤 OpenClaw 的 技能（Skills ）是让智能体具备执行能力的核心模块，通过标准化封装工具，OpenClaw 可以完成网页浏览、信息检索、邮件管理等任务。 1.从ClawHub 获取技能 登录天翼云官网，进入生态专区控制台。在应用管理我的应用中，选中对应的OpenClaw实例，点击进入应用详情页面。 点击“应用配置”页签，进入OpenClaw应用配置页面。在“技能（Skills）”模块中，天翼云支持从ClawHub选择并安装所需的技能到当前OpenClaw应用中。 2.安装技能 配置技能所需的参数说明如下表所示。填写完成后，点击“安装技能”按钮将自动下载并安装。 参数 填写说明 示例 技能来源 可选ClawHub、ClawHub中国镜像站 CLI Token 仅技能来源为ClawHub时需填写，输入从ClawHub获取的CLI Token。 说明 您可从ClawHub中获取CLI Token，Token获取参考以下步骤。 1）点击右上角用户图像的settings 2）下拉页面，点击Create token并复制token值 配置方式 可选：场景化配置、自定义配置 场景化配置可根据不同场景进行多个技能的一键安装；自定义配置可输入技能名称进行安装 Skill套餐 仅场景化配置可选择，可选：内容创作、搜索研究、知识记忆 技能名称 仅自定义配置可输入，需要安装的技能名称。 说明 1）您可从ClawHub中获取技能名称，名称获取参考下图。 2）您可从ClawHub中国镜像站中获取技能名称，名称获取参考下图。 findskills 注意 技能（Skills）由第三方ClawHub社区收录，部分技能(Skills)可能存在安全风险，天翼云无法确认其安全性，安装前请前往ClawHub社区仔细检查。

本文通过图文介绍进入客户控制台的步骤。 操作步骤说明 1、打开天翼云官网，注册并登录。 2、右上角单击【控制中心】。 3、在【CDN与视频】下拉选择【边缘安全加速平台】，单击进入边缘安全加速控制台。

本文主要介绍可信数据空间的产品定义。 可信数据空间是融合数据沙箱、隐私计算、区块链、高速传输网等前沿技术打造的数据流通利用基础设施。在可信数据空间中，各参与方通过连接器接入，空间提供各类开发能力以及可信管控能力，实现对各种数据流通场景的支持。其中，数据沙箱提供了安全隔离环境和集中式的开发能力，隐私计算实现原始数据可用不可见的端到端交付，区块链实现数据全生命周期的存证溯源，高速传输网实现即时组网、弹性带宽和安全加密，保障数据在空间中安全、合规、高速、高效地流通和利用。

MCP Client 中看不到工具列表怎么办？ 请检查： 本地是否能执行 npx v。 MCP Server 包名是否正确。 MCP 配置是否保存并刷新。 环境变量是否传入 APIKEY、APISECRET 和 DESKTOPCODE。 MCP Client 是否支持本地 stdio MCP Server。 MCP 配置中的 Secret 是否安全？ Secret 属于敏感信息。建议使用 MCP Client 支持的环境变量、密钥引用或本地安全配置方式，避免将 Secret 提交到代码仓库或公开配置中。 Computer Use 鼠标点击位置不准确怎么办？ 请先截图确认当前分辨率、窗口位置和界面状态。对于窗口位置不固定的应用，建议在任务开始时最大化窗口或执行固定布局操作。 输入文本后没有反应怎么办？ 请检查输入焦点是否位于目标输入框。建议先点击目标输入框，再输入文本，并在输入后截图确认。 页面加载慢时如何处理？ 建议在点击或打开页面后加入等待，并通过截图或文件状态判断加载是否完成。不要只依赖固定等待时间。 写入文件时如何避免误覆盖？ 写入前请明确 mode。如不希望覆盖已有文件，可使用 createnew 模式。具体模式支持范围以正式接口为准。 文件搜索结果不完整怎么办？ 搜索结果可能因响应长度限制被截断。请缩小搜索目录、使用更精确的 pattern。 错误码 92006 桌面不在线如何处理？ 请在控制台确认云电脑状态。如云电脑未启动或不可用，请先恢复桌面状态后再重试。