Elastic Compute Service：提升執行個體防勒索能力的指南

整體思路

操作指引

1. 開通防勒索服務併購買防勒索容量

   要使用Security Center提供的防勒索功能，您需要開通防勒索服務併購買防勒索容量，相關操作，請參見開通併購買防勒索服務。

   說明

   您可以根據自身的實際情況及業務需求選擇購買防勒索相關服務。

2. 建立防護策略

   開通服務後，您需建立防護策略。請參考以下操作步驟，以完成防護策略的建立。

   建立防護策略

   建立策略前，請確保您伺服器的作業系統版本在支援範圍內，不在支援範圍內的伺服器將無法進行資料備份。伺服器防勒索功能支援的作業系統詳情，請參見防勒索服務概述。

   1. 登入Security Center控制台。

   2. 在左側導覽列，選擇防護配置 > 主機防護 > 防勒索。在控制台左上方，選擇需防護資產所在的地區：中國內地或非中國內地。

   3. 在防勒索頁面的服务器防勒索頁簽下，單擊创建防护策略。

   4. 在创建防护策略面板，輸入策略名稱稱，選擇伺服器類型和資產。

      配置項	說明
      策略名稱	設定防護策略的名稱。
      伺服器類型	選擇防護策略生效的伺服器類型。
      備份路線	僅伺服器類型選擇非阿里雲伺服器時，需要配置備份資料使用的通訊方式。可選項： 公網：選擇公網進行資料備份傳輸，可能會產生一定的公網頻寬費用。 私網：選擇私網進行資料備份傳輸時，您需要使用阿里雲Virtual Private Cloud、物理專線、雲企業網CEN等方式，連通非阿里雲伺服器與所選地區下的防勒索網路存取點之間的通訊。
      地區	僅伺服器類型選擇非阿里雲伺服器時，需要選擇伺服器所在的地區或和防勒索網路存取點網路暢通的地區。這裡選擇的地區用來指定接入防勒索服務的網路存取點。為了成功備份資料，您需要確保伺服器和所選擇地區下的防勒索網路存取點網路互連。更多資訊，請參見網路存取點。
      选择资产：	支援選中單台資產、跨組選中多台資產或者選中資產分組。執行以下操作選擇需要防護的資產： 在资产分组地區選取項目某一資產分組，系統將自動選擇該分組下的所有資產。您可在右側资产模組下，取消選中不需要的防護的資產。 在資產模組下輸入資產名稱（支援模糊查詢），單擊搜尋方塊的搜尋按鈕後會為您展示相關資產，您可選中需要防護的資產。 說明 選擇資產時，阿里雲伺服器支援單個策略內配置多個地區的伺服器，非阿里雲伺服器僅支援單個策略中配置同一地區的伺服器。 為保證您的防護容量得到合理和有效利用，每台伺服器只支援添加到一條防護策略中。

   5. 在创建防护策略面板，設定資料備份的具體策略，並單擊確定。

      支援選擇推薦策略或自訂策略。

      • 推薦策略：推薦策略為Security Center內建的防護策略，不支援修改，配置簡單。具體規則如下：

        • 防护目录：全部目錄（排除系統目錄）

        • 排除指定目录：顯示排除目錄的列表

        • 非本地掛載路徑：排除非本地掛載路徑（即排除OSS、NAS等非本地掛載路徑）

        • 防护文件类型：全部檔案類型

        • 首次備份開始時間：00:00~03:00的任意時刻

        • 周期備份執行間隔：1天

        • 备份数据保留时间：7天

        • 备份网络带宽限制：

          • 阿里雲伺服器：0 MB/s

            說明

            0 MB/s代表不限制備份網路頻寬。

          • 非阿里雲伺服器：5 MB/s

      • 自訂策略：使用者自行定義策略的具體規則，靈活性較高。支援指定防護目錄、排除指定目錄、防護檔案類型、資料備份開始時間、備份策略執行間隔、備份資料保留時間和備份網路頻寬節流設定（MB/s）。以下是參數配置說明。

        配置項	說明
        防护目录：	選擇需要進行備份的目錄，支援選擇以下類型： 指定目录：即備份已選中資產的指定目錄。您需要在防護目錄位址中新增需要備份的目錄位址。配置樣本： Windows：C:\Program Files (x86)\ Linux：/usr/bin/ 最多可添加20條防護目錄位址。Security Center會串列執行各個防護目錄位址的備份任務。如果一個防護目錄位址下的檔案較多，可能會消耗較多的伺服器資源（CPU和記憶體）。您可以將一個目錄拆分為多個防護目錄位址，通過串列執行備份任務，有效地降低備份佔用的伺服器資源。 全部目录：即備份已選中資產的全部目錄。
        排除指定目录：	指定不需要備份的目錄。Security Center提供了預設的不需要備份的目錄，您可以在此基礎上修改這些目錄。
        非本地掛載路徑	選擇是否排除非本地掛載路徑。非本地掛載路徑是指OSS、NAS等掛載路徑。
        防护文件类型：	選擇需要進行防護的檔案類型，支援選擇以下類型： 全部文件类型：即針對所有類型的檔案進行備份防護。 指定文件类型：即針對指定檔案進行備份防護。支援選擇文檔類、圖片類等。 重要 支援同時選中多個檔案類型。Security Center僅備份您資產中此處選中的檔案類型。
        首次備份開始時間：	設定資料備份開始時間。 重要 防護策略建立後，初次進行資料備份時由於要全量備份防護目錄下的資料，會消耗一定量的CPU和記憶體資源。為避免對您的業務造成影響，建議您選擇業務量較小的時段進行資料備份。
        周期備份執行間隔：	設定備份策略執行間隔，預設為1天。
        备份数据保留时间：	設定備份資料保留時間，預設為7天。 重要 超過備份資料保留時間後，備份資料會被自動清理，建議您根據業務需求合理設定備份資料保留時間。 支援選擇以下儲存方式： 永久：備份資料將一直保留，直到Security Center服務到期或您刪除防護策略或防護策略下的伺服器。 自訂：自訂儲存天數，最小可設定1天，最大支援設定65535天。
        备份网络带宽限制：	設定備份資料可佔用的網路頻寬閾值。取值範圍：0 MB/s~不限流量。 阿里雲伺服器備份資料時僅佔用私網頻寬，不影響公網頻寬。非阿里雲伺服器在備份資料時需要佔用公網或私網頻寬。您可以在此處設定備份可佔用的網路頻寬閾值，避免備份佔用過多頻寬對您業務產生影響。 阿里雲伺服器預設為0 MB/s。 說明 0 MB/s代表不限制備份網路頻寬。 非阿里雲伺服器預設為5 MB/s。

   6. 建立防護策略後，策略狀態預設為開啟狀態。Security Center將自動在您的伺服器上安裝防勒索用戶端，並根據防護策略中設定的備份條件對生效伺服器的防護目錄進行資料備份。

      警告

      您需重點關注防勒索用戶端的狀態，及時處理防勒索用戶端的異常狀態，以確保防勒索備份與恢複任務正常執行。更多資訊，請參見查看防勒索用戶端狀態。

3. （條件可選）通過Security Center的有效備份恢複資料。

   1. 為遭遇勒索病毒的執行個體系統硬碟及資料盤建立快照。關於建立快照的具體操作，請參見手動建立單個快照。

   2. 如果您遭遇了勒索病毒攻擊，那麼您可以使用Security Center的備份快速恢複業務，請參考如下操作步驟，以完成資料恢複。

      建立恢複任務

      1. 登入Security Center控制台。

      2. 在左側導覽列，選擇防護配置 > 主機防護 > 防勒索。在控制台左上方，選擇需防護資產所在的地區：中國內地或非中國內地。

      3. 在服务器防勒索頁簽下的防護策略列表中，找到要建立恢複任務的伺服器。

         說明

         可使用原則列表上方提供的搜尋功能，通過策略名稱稱或伺服器名稱快速尋找到目標伺服器。

      4. 單擊表徵圖展開下拉式清單，找到目標伺服器，單擊操作列的復原。

      5. 在创建恢复任务面板，配置以下恢複參數後，單擊確定。

         參數	說明
         備份版本	選擇要恢複的資料版本。選中版本下的所有可恢複檔案將展示在恢複檔案清單中，可按需勾選。
         恢複檔案	勾選要恢複的檔案。
         恢複目錄	輸入目標伺服器上的復原路徑。恢複目錄必須存在且具備寫入許可權，否則恢複任務將失敗。
         目標伺服器	選擇要恢複到的伺服器。可選擇同一帳號下任意受保護的伺服器，不限於被入侵的原始伺服器。

      6. 會收到恢复任务创建成功提示，請登入目標伺服器，進入恢複目錄路徑，確認備份檔案已恢複且可正常訪問。

整體思路

操作指引

通過快照為執行個體建立備份，是為了在遭遇勒索病毒之後，儘可能地恢複資料。需注意此方案僅提供事後恢複能力，不能替代主動防護措施。

1. 為執行個體建立快照策略，相關操作，請參見建立自動快照策略。

2. （條件可選）通過遭遇勒索前的有效快照恢複資料。

   1. 為遭遇勒索病毒的執行個體系統硬碟及資料盤建立快照。關於建立快照的具體操作，請參見手動建立單個快照。

      重要

      復原雲端硬碟是無法復原操作，從快照建立時間點到復原雲端硬碟這段時間內的資料會丟失。為避免誤操作，建議您在復原前為雲端硬碟建立快照備份資料。

   2. 關於初始化執行個體系統硬碟的相關操作，請參見重新初始化系統硬碟（重設作業系統）。

   3. 關於使用指定快照恢複執行個體系統硬碟或資料盤資料的相關操作，請參見使用快照復原雲端硬碟。

整體思路

操作指引

通過安全性群組、防火牆等安全性原則可以在一定程度上提升執行個體的勒索病毒防護能力，但是需要您具備網路安全等相關的技術能力。

1. 有關安全性群組、防火牆策略相關的實踐，請參見ECS安全性群組實踐（入方向規則），Windows系統防火牆策略配置指南。

2. （條件可選）通過第三方公司進行勒索資料的解密與恢複。

   1. 為遭遇勒索病毒的執行個體系統硬碟及資料盤建立快照。關於建立快照的具體操作，請參見手動建立單個快照。

   2. 關於初始化執行個體系統硬碟的相關操作，請參見重新初始化系統硬碟（重設作業系統）。

   3. 在完成遭遇勒索的執行個體的系統硬碟初始化之後，如果您未事先對重要資料進行備份或建立快照，您可以選擇聯絡第三方公司以進行勒索資料的解密與恢複。

      警告

      第三方公司所提供的遭遇勒索病毒後的資料解密能力，與阿里雲無關。阿里雲對於資料恢複的程度及可能發生的資料損毀不承擔任何責任。