客户端能力配置指进行Agent客户端运行和检测的相关设置,支持配置客户端自保护、本地文件检测引擎功能。本文介绍客户端能力配置支持的功能及如何配置相应功能。

客户端自保护

客户端自保护功能可以主动拦截恶意卸载云安全中心Agent的行为,保障云安全中心防御机制稳定运行。

功能说明

开启客户端自保护后,未通过云安全中心控制台卸载Agent的行为将被云安全中心主动拦截,与此同时云安全中心会对您服务器Agent目录下的进程文件提供默认保护,防止攻击者入侵服务器后卸载云安全中心Agent或您服务器中的其他进程误关闭Agent,避免发生云安全中心对您服务器防护失效的情况。建议您为所有服务器开启客户端自保护。

说明 为服务器开启客户端自保护功能后,您只能通过以下两种方式卸载云安全中心Agent。
  • 关闭服务器的客户端自保护状态后,在服务器上卸载Agent。
  • 在云安全中心控制台上卸载Agent。具体操作,请参见卸载Agent

如果服务器操作系统和内核版本不在客户端自保护支持的操作系统和内核版本范围内,该服务器将无法使用客户端自保护功能。

客户端自保护支持的操作系统和内核版本(点我查看)
操作系统支持的操作系统版本支持的内核(Kernel)版本
Windows(64位)
  • Windows Server 2008 R2
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
所有版本
CentOS(64位)
  • CentOS 6.3~6.10
  • CentOS 7.0~7.9
  • CentOS 8.0~8.4
  • 4.18.0系列
    • 4.18.0-240.22.1.el8_3.x86_64
    • 4.18.0-240.15.1.el8_3.x86_64
    • 4.18.0-193.28.1.el8_2.x86_64
    • 4.18.0-193.14.2.el8_2.x86_64
    • 4.18.0-147.8.1.el8_1.x86_64
    • 4.18.0-147.5.1.el8_1.x86_64
  • 3.10.0系列
    • 3.10.0-1160.36.2.el7.x86_64
    • 3.10.0-1160.31.1.el7.x86_64
    • 3.10.0-1160.25.1.el7.x86_64
    • 3.10.0-1160.24.1.el7.x86_64
    • 3.10.0-1160.21.1.el7.x86_64
    • 3.10.0-1160.15.2.el7.x86_64
    • 3.10.0-1160.11.1.el7.x86_64
    • 3.10.0-1160.6.1.el7.x86_64
    • 3.10.0-1160.2.2.el7.x86_64
    • 3.10.0-1127.19.1.el7.x86_64
    • 3.10.0-1127.18.2.el7.x86_64
    • 3.10.0-1127.13.1.el7.x86_64
    • 3.10.0-1127.10.1.el7.x86_64
    • 3.10.0-1127.8.2.el7.x86_64
    • 3.10.0-1127.el7.x86_64
    • 3.10.0-1062.18.1.el7.x86_64
    • 3.10.0-1062.12.1.el7.x86_64
    • 3.10.0-1062.9.1.el7.x86_64
    • 3.10.0-1062.4.3.el7.x86_64
    • 3.10.0-1062.4.2.el7.x86_64
    • 3.10.0-1062.4.1.el7.x86_64
    • 3.10.0-1062.1.2.el7.x86_64
    • 3.10.0-1062.1.1.el7.x86_64
    • 3.10.0-1062.el7.x86_64
    • 3.10.0-957.27.2.el7.x86_64
    • 3.10.0-957.21.3.el7.x86_64
    • 3.10.0-957.12.2.el7.x86_64
    • 3.10.0-957.10.1.el7.x86_64
    • 3.10.0-957.5.1.el7.x86_64
    • 3.10.0-957.1.3.el7.x86_64
    • 3.10.0-957.el7.x86_64
    • 3.10.0-862.14.4.el7.x86_64
    • 3.10.0-862.9.1.el7.x86_64
    • 3.10.0-693.21.1.el7.x86_64
    • 3.10.0-693.11.1.el7.x86_64
    • 3.10.0-693.5.2.el7.x86_64
    • 3.10.0-693.2.2.el7.x86_64
    • 3.10.0-693.el7.x86_64
    • 3.10.0-514.26.2.el7.x86_64
    • 3.10.0-514.21.1.el7.x86_64
    • 3.10.0-514.10.2.el7.x86_64
    • 3.10.0-514.6.2.el7.x86_64
  • 2.6.32系列
    • 2.6.32-754.35.1.el6.x86_64
    • 2.6.32-754.33.1.el6.x86_64
    • 2.6.32-754.31.1.el6.x86_64
    • 2.6.32-754.30.2.el6.x86_64
    • 2.6.32-754.29.2.el6.x86_64
    • 2.6.32-754.28.1.el6.x86_64
    • 2.6.32-754.27.1.el6.x86_64
    • 2.6.32-754.23.1.el6.x86_64
    • 2.6.32-754.17.1.el6.x86_64
    • 2.6.32-696.16.1.el6.x86_64
    • 2.6.32-696.10.1.el6.x86_64
    • 2.6.32-696.6.3.el6.x86_64
    • 2.6.32-696.3.2.el6.x86_64
    • 2.6.32-642.13.1.el6.x86_64
    • 2.6.32-642.6.2.el6.x86_64
    • 2.6.32-573.22.1.el6.x86_64
    • 2.6.32-431.23.3.el6.x86_64
    • 2.6.32-431.el6.x86_64
Ubuntu(64位)
  • Ubuntu 14.04
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • 5.4.0系列
    • 5.4.0-77-generic
    • 5.4.0-74-generic
    • 5.4.0-73-generic
    • 5.4.0-54-generic
  • 4.15.0系列
    • 4.15.0-147-generic
    • 4.15.0-144-generic
    • 4.15.0-143-generic
    • 4.15.0-128-generic
    • 4.15.0-124-generic
    • 4.15.0-91-generic
    • 4.15.0-52-generic
    • 4.15.0-45-generic
    • 4.15.0-42-generic
  • 4.4.0系列
    • 4.4.0-210-generic
    • 4.4.0-154-generic
    • 4.4.0-151-generic
    • 4.4.0-146-generic
    • 4.4.0-142-generic
    • 4.4.0-117-generic
    • 4.4.0-105-generic
    • 4.4.0-96-generic
    • 4.4.0-93-generic
    • 4.4.0-63-generic
    • 4.4.0-62-generic
AliyunLinux(64位)AliyunLinux 2.1903
  • 4.19.91-23.al7.x86_64
  • 4.19.91-22.2.al7.x86_64
  • 4.19.91-21.al7.x86_64
  • 4.19.91-19.1.al7.x86_64
  • 4.19.81-17.2.al7.x86_64

版本限制

云安全中心所有版本用户都可使用该功能。各版本支持的功能详情,请参见功能特性

为服务器开启客户端自保护

  1. 登录云安全中心控制台在左侧导航栏,选择系统配置 > 功能设置
  2. 设置页签的客户端能力配置子页签,打开客户端自保护区域防御模式开关。
    客户端自保护防御模式开启后,您已安装了Agent并属于客户端自保护功能保护范围内的服务器会自动开启客户端自保护。
  3. 单击保护范围右侧的管理
  4. 客户端自保护面板,选中需要开启客户端自保护的服务器,并单击确定
    选中的服务器将开启客户端自保护功能,取消选中的服务器将关闭客户端自保护功能。
    说明 服务器开启客户端自保护后,自保护机制会立即生效。服务器关闭客户端自保护5分钟后,自保护机制才会关闭。

如何判断客户端自保护是否已关闭

为服务器关闭客户端自保护后,您可以通过服务器中是否存在AliSecGuard进程,来判断客户端自保护的关闭状态。如果AliSecGuard进程不存在,则表示客户端自保护功能已关闭。在服务器中查看是否存在AliSecGuard进程的方法如下:
  • Winndows:在服务器的任务管理器的详细信息页签,查看是否存在AliSecGuard.exe
  • Linux:在服务器中执行ps -ef | grep AliSecGuard命令,根据返回信息判断是否存在AliSecGuard进程。

本地文件检测

本地文件检测引擎为阿里云云安全中心自主研发的本地文件威胁检测引擎。该引擎可以减少数据上传、云查杀数据交互等性能损耗,具备较高的检测效率。

当服务器开启了本地文件检测功能后,服务器上的文件将启用本地+云端双引擎的检测模式。优先使用本地文件检测引擎进行检测,检测无安全威胁之后才会将文件上传到云端进行二次检测。

版本限制

仅云安全中心的企业版和旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

开启本地文件检测

  1. 登录云安全中心控制台在左侧导航栏,选择系统配置 > 功能设置
  2. 开启文件检测
    1. 设置页签的客户端能力配置子页签,打开本地文件检测引擎区域的文件检测开关。
    2. 单击安装范围右侧的管理
    3. 本地文件检测引擎面板,选择需开启本地文件检测的服务器,并单击确定