Security Center：建立防護策略及用戶端

前提條件

• 請確保您已購買防勒索容量並完成授權。具體操作，請參見開通併購買服務。

• 請確保已為伺服器安裝Security Center用戶端。具體操作，請參見安裝用戶端。

資料備份說明

• Security Center會將防護策略中設定的備份路徑下的資料上傳至雲備份服務端備份。防勒索資料備份採用增量備份的方式。防護策略建立後，初次進行資料備份時由於要全量備份防護目錄下的資料，會消耗一定量的CPU和記憶體資源。為避免對您的業務造成影響，建議您選擇業務量較小的時段進行資料備份。後續再次進行備份時，Security Center只備份有變化（修改、增加或刪除）的檔案，在為您降低伺服器資源消耗的同時，避免消耗過多的防勒索容量。

• 根據您防護策略的版本及備份目錄的不同，Security Center會自動啟動不同數量的備份任務。關於1.0版本的策略和2.0版本的策略的區分，請參見用戶端版本說明。

  備份目錄	1.0版本的策略	2.0版本的策略
  備份全部目錄	Linux系統：整個伺服器產生一個資料備份任務。 Windows系統：每一個資料盤會產生一個資料備份任務。例如您的Windows伺服器上有兩個資料盤，Security Center將產生兩個資料備份任務，這兩個任務會同時啟動，消耗的CPU和記憶體資源會高於Linux伺服器。 重要 建議您根據Windows伺服器的CPU和記憶體資源使用方式，合理安排資料備份的時間。	整個伺服器產生一個資料備份任務。多個資料備份任務依次進行，佔用的CPU和記憶體資源較少，不會對您的業務產生影響。
  備份指定目錄	對防護策略中每個目錄位址，Security Center會啟動相應的資料備份任務。多個資料備份任務會同時進行，可能會佔用較多的CPU和記憶體資源。 重要 建議您根據實際情況，設定合理數量的備份目錄。

建立防護策略

建立策略前，請確保您伺服器的作業系統版本在支援範圍內，不在支援範圍內的伺服器將無法進行資料備份。伺服器防勒索功能支援的作業系統詳情，請參見伺服器防勒索支援的作業系統版本。

1. 登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。

2. 在左側導覽列，選擇防護配置 > 主機防護 > 防勒索。

3. 在防勒索頁面的服务器防勒索頁簽下，單擊创建防护策略。

4. 在创建防护策略面板，輸入策略名稱稱，選擇伺服器類型和資產。

   配置項	說明
   策略名稱稱	設定防護策略的名稱。
   伺服器類型	選擇防護策略生效的伺服器類型。
   備份路線	僅伺服器類型選擇非阿里雲伺服器時，需要配置備份資料使用的通訊方式。可選項： 公網：選擇公網進行資料備份傳輸，可能會產生一定的公網頻寬費用。 私網：選擇私網進行資料備份傳輸時，您需要使用阿里雲Virtual Private Cloud、物理專線、雲企業網CEN等方式，連通非阿里雲伺服器與所選地區下的防勒索網路存取點之間的通訊。
   地區	僅伺服器類型選擇非阿里雲伺服器時，需要選擇伺服器所在的地區或和防勒索網路存取點網路暢通的地區。這裡選擇的地區用來指定接入防勒索服務的網路存取點。為了成功備份資料，您需要確保伺服器和所選擇地區下的防勒索網路存取點網路互連。更多資訊，請參見防勒索網路存取點。
   选择资产：	支援選中單台資產、跨組選中多台資產或者選中資產分組。執行以下操作選擇需要防護的資產： 在資產分組地區選取項目某一資產分組，系統將自動選擇該分組下的所有資產。您可在右側資產模組下，取消選中不需要的防護的資產。 在資產模組下輸入資產名稱（支援模糊查詢），單擊搜尋方塊的搜尋按鈕後會為您展示相關資產，您可選中需要防護的資產。 說明 選擇資產時，阿里雲伺服器支援單個策略內配置多個地區的伺服器，非阿里雲伺服器僅支援單個策略中配置同一地區的伺服器。 為保證您的防護容量得到合理和有效利用，每台伺服器只支援添加到一條防護策略中。

5. 在创建防护策略面板，設定資料備份的具體策略，並單擊確定。

   支援選擇推薦策略或自訂策略。

   • 推薦策略：推薦策略為Security Center內建的防護策略，不支援修改，配置簡單。具體規則如下：

     • 防护目录：全部目錄（排除系統目錄）

     • 排除指定目录：顯示排除目錄的列表

     • 非本地掛載路徑：排除非本地掛載路徑（即排除OSS、NAS等非本地掛載路徑）

     • 防护文件类型：全部檔案類型

     • 首次備份開始時間：00:00~03:00的任意時刻

     • 周期備份執行間隔：1天

     • 备份数据保留时间：7天

     • 备份网络带宽限制：

       • 阿里雲伺服器：0 MB/s

         說明

         0 MB/s代表不限制備份網路頻寬。

       • 非阿里雲伺服器：5 MB/s

   • 自訂策略：使用者自行定義策略的具體規則，靈活性較高。支援指定防護目錄、排除指定目錄、防護檔案類型、資料備份開始時間、備份策略執行間隔、備份資料保留時間和備份網路頻寬節流設定（MB/s）。以下是參數配置說明。

     配置項	說明
     防护目录：	選擇需要進行備份的目錄，支援選擇以下類型： 指定目录：即備份已選中資產的指定目錄。您需要在防護目錄位址中新增需要備份的目錄位址。配置樣本： Windows：C:\Program Files (x86)\ Linux：/usr/bin/ 最多可添加20條防護目錄位址。Security Center會串列執行各個防護目錄位址的備份任務。如果一個防護目錄位址下的檔案較多，可能會消耗較多的伺服器資源（CPU和記憶體）。您可以將一個目錄拆分為多個防護目錄位址，通過串列執行備份任務，有效地降低備份佔用的伺服器資源。 全部目录：即備份已選中資產的全部目錄。
     排除指定目录：	指定不需要備份的目錄。Security Center提供了預設的不需要備份的目錄，您可以在此基礎上修改這些目錄。
     非本地掛載路徑	選擇是否排除非本地掛載路徑。非本地掛載路徑是指OSS、NAS等掛載路徑。
     防护文件类型：	選擇需要進行防護的檔案類型，支援選擇以下類型： 全部文件类型：即針對所有類型的檔案進行備份防護。 指定文件类型：即針對指定檔案進行備份防護。支援選擇文檔類、圖片類等。 重要 支援同時選中多個檔案類型。Security Center僅備份您資產中此處選中的檔案類型。
     首次備份開始時間：	設定資料備份開始時間。 重要 防護策略建立後，初次進行資料備份時由於要全量備份防護目錄下的資料，會消耗一定量的CPU和記憶體資源。為避免對您的業務造成影響，建議您選擇業務量較小的時段進行資料備份。
     周期備份執行間隔：	設定備份策略執行間隔，預設為1天。
     备份数据保留时间：	設定備份資料保留時間，預設為7天。 重要 超過備份資料保留時間後，備份資料會被自動清理，建議您根據業務需求合理設定備份資料保留時間。 支援選擇以下儲存方式： 永久：備份資料將一直保留，直到Security Center服務到期或您刪除防護策略或防護策略下的伺服器。 自訂：自訂儲存天數，最小可設定1天，最大支援設定65535天。
     备份网络带宽限制：	設定備份資料可佔用的網路頻寬閾值。取值範圍：0 MB/s~不限流量。 阿里雲伺服器備份資料時僅佔用私網頻寬，不影響公網頻寬。非阿里雲伺服器在備份資料時需要佔用公網或私網頻寬。您可以在此處設定備份可佔用的網路頻寬閾值，避免備份佔用過多頻寬對您業務產生影響。 阿里雲伺服器預設為0 MB/s。 說明 0 MB/s代表不限制備份網路頻寬。 非阿里雲伺服器預設為5 MB/s。

6. 建立防護策略後，策略狀態預設為開啟狀態。Security Center將自動在您的伺服器上安裝防勒索用戶端，並根據防護策略中設定的備份條件對生效伺服器的防護目錄進行資料備份。

   警告

   您需重點關注防勒索用戶端的狀態，及時處理防勒索用戶端的異常狀態，以確保防勒索備份與恢複任務正常執行。更多資訊，請參見查看防勒索用戶端狀態。

伺服器更換作業系統防護策略處置方法

伺服器更換作業系統後，該伺服器生效的防護目錄還是未更換前的防護目錄，伺服器可能會因為備份全部目錄導致資源佔用高、備份失敗等問題。

因此，如果伺服器更換了作業系統，您需要確認現有防護策略是否滿足更換後伺服器的防護需求：

• 如果已建立的防護策略滿足更換後的作業系統的防護要求，您可以將該伺服器從防護策略中刪除，然後重新添加到防護策略中；

• 如果已建立的防護策略無法滿足更換後的作業系統的防護要求，您需要先修改防護策略，或將該伺服器從當前防護策略中刪除後，重新建立防護策略。

管理防勒索用戶端