客户端能力配置指进行Agent客户端运行和检测的相关设置,支持配置客户端自保护、本地文件检测引擎功能。本文介绍客户端能力配置支持的功能及如何配置相应功能。

客户端自保护

客户端自保护功能可以主动拦截恶意卸载云安全中心Agent的行为,保障云安全中心防御机制稳定运行。

功能说明

开启客户端自保护后,未通过云安全中心控制台卸载Agent的行为将被云安全中心主动拦截,与此同时云安全中心会对您服务器Agent目录下的进程文件提供默认保护,防止攻击者入侵服务器后卸载云安全中心Agent或您服务器中的其他进程误杀Agent,避免发生云安全中心对您服务器防护失效的情况。建议您为所有服务器开启客户端自保护。

说明 为服务器开启客户端自保护功能后,您只能通过以下两种方式卸载云安全中心Agent。
  • 关闭服务器的客户端自保护状态后,在服务器上卸载Agent。
  • 在云安全中心控制台上卸载Agent。具体操作,请参见卸载Agent

客户端自保护支持的操作系统和内核版本有限,如果服务器操作系统和内核版本不在支持范围内,该服务器将无法使用客户端自保护功能

客户端自保护支持的操作系统和内核版本(点我查看)
操作系统 支持的操作系统版本 支持的内核(Kernel)版本
Windows(64位)
  • Windows Server 2008 R2
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
所有版本
CentOS(64位)
  • CentOS 6.3
  • CentOS 6.4
  • CentOS 6.5
  • CentOS 6.6
  • CentOS 6.7
  • CentOS 6.8
  • CentOS 6.9
  • CentOS 6.10
  • CentOS 7.0
  • CentOS 7.1
  • CentOS 7.2
  • CentOS 7.3
  • CentOS 7.4
  • CentOS 7.5
  • CentOS 7.6
  • CentOS 7.7
  • CentOS 7.8
  • CentOS 7.9
  • CentOS 8.0
  • CentOS 8.1
  • CentOS 8.2
  • CentOS 8.3
  • CentOS 8.4
  • 4.18.0-240.22.1.el8_3.x86_64
  • 4.18.0-240.15.1.el8_3.x86_64
  • 4.18.0-193.28.1.el8_2.x86_64
  • 4.18.0-193.14.2.el8_2.x86_64
  • 4.18.0-147.8.1.el8_1.x86_64
  • 4.18.0-147.5.1.el8_1.x86_64
  • 3.10.0-1160.36.2.el7.x86_64
  • 3.10.0-1160.31.1.el7.x86_64
  • 3.10.0-1160.25.1.el7.x86_64
  • 3.10.0-1160.24.1.el7.x86_64
  • 3.10.0-1160.21.1.el7.x86_64
  • 3.10.0-1160.15.2.el7.x86_64
  • 3.10.0-1160.11.1.el7.x86_64
  • 3.10.0-1160.6.1.el7.x86_64
  • 3.10.0-1160.2.2.el7.x86_64
  • 3.10.0-1127.19.1.el7.x86_64
  • 3.10.0-1127.18.2.el7.x86_64
  • 3.10.0-1127.13.1.el7.x86_64
  • 3.10.0-1127.10.1.el7.x86_64
  • 3.10.0-1127.8.2.el7.x86_64
  • 3.10.0-1127.el7.x86_64
  • 3.10.0-1062.18.1.el7.x86_64
  • 3.10.0-1062.12.1.el7.x86_64
  • 3.10.0-1062.9.1.el7.x86_64
  • 3.10.0-1062.4.3.el7.x86_64
  • 3.10.0-1062.4.2.el7.x86_64
  • 3.10.0-1062.4.1.el7.x86_64
  • 3.10.0-1062.1.2.el7.x86_64
  • 3.10.0-1062.1.1.el7.x86_64
  • 3.10.0-1062.el7.x86_64
  • 3.10.0-957.27.2.el7.x86_64
  • 3.10.0-957.21.3.el7.x86_64
  • 3.10.0-957.12.2.el7.x86_64
  • 3.10.0-957.10.1.el7.x86_64
  • 3.10.0-957.5.1.el7.x86_64
  • 3.10.0-957.1.3.el7.x86_64
  • 3.10.0-957.el7.x86_64
  • 3.10.0-862.14.4.el7.x86_64
  • 3.10.0-862.9.1.el7.x86_64
  • 3.10.0-693.21.1.el7.x86_64
  • 3.10.0-693.11.1.el7.x86_64
  • 3.10.0-693.5.2.el7.x86_64
  • 3.10.0-693.2.2.el7.x86_64
  • 3.10.0-693.el7.x86_64
  • 3.10.0-514.26.2.el7.x86_64
  • 3.10.0-514.21.1.el7.x86_64
  • 3.10.0-514.10.2.el7.x86_64
  • 3.10.0-514.6.2.el7.x86_64
  • 2.6.32-754.35.1.el6.x86_64
  • 2.6.32-754.33.1.el6.x86_64
  • 2.6.32-754.31.1.el6.x86_64
  • 2.6.32-754.30.2.el6.x86_64
  • 2.6.32-754.29.2.el6.x86_64
  • 2.6.32-754.28.1.el6.x86_64
  • 2.6.32-754.27.1.el6.x86_64
  • 2.6.32-754.23.1.el6.x86_64
  • 2.6.32-754.17.1.el6.x86_64
  • 2.6.32-696.16.1.el6.x86_64
  • 2.6.32-696.10.1.el6.x86_64
  • 2.6.32-696.6.3.el6.x86_64
  • 2.6.32-696.3.2.el6.x86_64
  • 2.6.32-642.13.1.el6.x86_64
  • 2.6.32-642.6.2.el6.x86_64
  • 2.6.32-573.22.1.el6.x86_64
  • 2.6.32-431.23.3.el6.x86_64
  • 2.6.32-431.el6.x86_64
Ubuntu(64位)
  • Ubuntu 14.04
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • 5.4.0-77-generic
  • 5.4.0-74-generic
  • 5.4.0-73-generic
  • 5.4.0-54-generic
  • 4.15.0-147-generic
  • 4.15.0-144-generic
  • 4.15.0-143-generic
  • 4.15.0-128-generic
  • 4.15.0-124-generic
  • 4.15.0-91-generic
  • 4.15.0-52-generic
  • 4.15.0-45-generic
  • 4.15.0-42-generic
  • 4.4.0-210-generic
  • 4.4.0-154-generic
  • 4.4.0-151-generic
  • 4.4.0-146-generic
  • 4.4.0-142-generic
  • 4.4.0-117-generic
  • 4.4.0-105-generic
  • 4.4.0-96-generic
  • 4.4.0-93-generic
  • 4.4.0-63-generic
  • 4.4.0-62-generic
AliyunLinux(64位) AliyunLinux 2.1903
  • 4.19.91-23.al7.x86_64
  • 4.19.91-22.2.al7.x86_64
  • 4.19.91-21.al7.x86_64
  • 4.19.91-19.1.al7.x86_64
  • 4.19.81-17.2.al7.x86_64

版本限制

云安全中心所有版本用户都可使用该功能。各版本支持的功能详情,请参见功能特性

为服务器开启客户端自保护

  1. 登录云安全中心控制台在左侧导航栏,选择系统配置 > 功能设置
  2. 设置页签的客户端能力配置子页签,打开客户端自保护区域防御模式开关。
    客户端自保护防御模式开启后,您已安装了Agent并属于客户端自保护保护范围内的服务器会自动开启客户端自保护。
  3. 单击保护范围右侧的管理
  4. 客户端自保护面板,选中需要开启客户端自保护的服务器,并单击确定
    选中的服务器将开启客户端自保护功能,取消选中的服务器将关闭客户端自保护功能。
    说明 服务器开启客户端自保护后,自保护机制会立即生效。服务器关闭客户端自保护5分钟后,自保护机制才会关闭。

本地文件检测

本地文件检测引擎为阿里云云安全中心自主研发的本地文件威胁检测引擎。该引擎可以减少数据上传、云查杀数据交互等性能损耗,具备较高的检测效率和较低的费用开销。

支持检测的模式

本地文件检测引擎会对服务器上新创建的脚本文件、二进制文件进行安全性检测,检测出安全威胁时上报告警。本地文件检测支持以下模式:
  • 文件检测:该开关为本地文件检测引擎功能的总开关。当服务器开启了文件检测功能后,服务器上的文件将启用本地+云端双引擎的检测模式。优先使用本地文件检测引擎进行检测,检测无安全威胁之后才会将文件上传到云端进行二次检测。
  • 仅在本地检测:开启该模式前,您需要先开启文件检测。当服务器开启了仅在本地检测功能后,服务器上的文件将不会被上传到云端进行检测,仅通过本地文件检测引擎加载本地的检测规则对文件进行安全检测。

版本限制

仅云安全中心的企业版和旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

开启本地文件检测

  1. 登录云安全中心控制台在左侧导航栏,选择系统配置 > 功能设置
  2. 开启文件检测
    1. 设置页签的客户端能力配置子页签,打开本地文件检测引擎区域的文件检测开关。
    2. 单击安装范围右侧的管理
    3. 本地文件检测引擎面板,选择需开启本地文件检测的服务器,并单击确定
  3. 如果无需开启云端威胁检测,您可以为服务器开启仅在本地检测
    1. 设置页签的客户端能力配置子页签,打开本地文件检测引擎区域的仅在本地检测开关。
    2. 单击检测范围右侧的管理
    3. 本地引擎检测面板,选择需开启仅在本地检测文件的服务器,并单击确定