创建防护策略

数据备份说明

• 云安全中心会将防护策略中设置的备份路径下的数据上传至云备份服务端备份。防勒索数据备份采用增量备份的方式。防护策略创建后，初次进行数据备份时由于要全量备份防护目录下的数据，会消耗一定量的CPU和内存资源。为避免对您的业务造成影响，建议您选择业务量较小的时段进行数据备份。后续再次进行备份时，云安全中心只备份有变化（修改、增加或删除）的文件，在为您降低服务器资源消耗的同时，避免消耗过多的防勒索容量。

• 根据您防护策略的版本及备份目录的不同，云安全中心会自动启动不同数量的备份任务。关于1.0版本的策略和2.0版本的策略的区分，请参见客户端版本说明。

  备份目录	1.0版本的策略	2.0版本的策略
  备份全部目录	Linux系统：整个服务器生成一个数据备份任务。 Windows系统：每一个数据盘会生成一个数据备份任务。例如您的Windows服务器上有两个数据盘，云安全中心将生成两个数据备份任务，这两个任务会同时启动，消耗的CPU和内存资源会高于Linux服务器。 重要 建议您根据Windows服务器的CPU和内存资源使用情况，合理安排数据备份的时间。	整个服务器生成一个数据备份任务。多个数据备份任务依次进行，占用的CPU和内存资源较少，不会对您的业务产生影响。
  备份指定目录	对防护策略中每个目录地址，云安全中心会启动相应的数据备份任务。多个数据备份任务会同时进行，可能会占用较多的CPU和内存资源。 重要 建议您根据实际情况，设置合理数量的备份目录。

创建防护策略

创建策略前，请确保您服务器的操作系统版本在支持范围内，不在支持范围内的服务器将无法进行数据备份。服务器防勒索功能支持的操作系统详情，请参见服务器防勒索支持的操作系统版本。

1. 购买防勒索容量并完成授权。具体操作，请参见开通并购买服务。

2. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

3. 在左侧导航栏，选择防护配置 > 主机防护 > 防勒索。

4. 在防勒索页面的服务器防勒索页签下，单击创建防护策略。

5. 在创建防护策略面板，输入策略名称，选择服务器类型和资产。

   配置项	说明
   策略名称	设置防护策略的名称。
   服务器类型	选择防护策略生效的服务器类型。
   备份路线	仅服务器类型选择非阿里云服务器时，需要配置备份数据使用的通信方式。可选项： 公网：选择公网进行数据备份传输，可能会产生一定的公网带宽费用。 私网：选择私网进行数据备份传输时，您需要使用阿里云专有网络VPC、物理专线、云企业网CEN等方式，连通非阿里云服务器与所选地域下的防勒索网络接入点之间的通信。
   地域	仅服务器类型选择非阿里云服务器时，需要选择服务器所在的地域或和防勒索网络接入点网络畅通的地域。这里选择的地域用来指定接入防勒索服务的网络接入点。为了成功备份数据，您需要确保服务器和所选择地域下的防勒索网络接入点网络互通。更多信息，请参见防勒索网络接入点。
   选择资产：	支持选中单台资产、跨组选中多台资产或者选中资产分组。执行以下操作选择需要防护的资产： 在资产分组区域选择某一资产分组，系统将自动选择该分组下的所有资产。您可在右侧资产模块下，取消选中不需要的防护的资产。 在资产模块下输入资产名称（支持模糊查询），单击搜索框的搜索按钮后会为您展示相关资产，您可选中需要防护的资产。 说明 选择资产时，阿里云服务器支持单个策略内配置多个地域的服务器，非阿里云服务器仅支持单个策略中配置同一地域的服务器。 为保证您的防护容量得到合理和有效地利用，每台服务器只支持添加到一条防护策略中。

6. 在创建防护策略面板，设置数据备份的具体策略，并单击确定。

   支持选择推荐策略或自定义策略。

   • 推荐策略：推荐策略为云安全中心内置的防护策略，不支持修改，配置简单。具体规则如下：

     • 防护目录：全部目录（排除系统目录）

     • 排除指定目录：显示排除目录的列表

     • 非本地挂载路径：排除非本地挂载路径（即排除OSS、NAS等非本地挂载路径）

     • 防护文件类型：全部文件类型

     • 数据备份开始时间：00:00~03:00的任意时刻

     • 备份策略执行间隔：1天

     • 备份数据保留时间：7天

     • 备份网络带宽限制：

       • 阿里云服务器：0 MByte/s

         说明

         0 MByte/s代表不限制备份网络带宽。

       • 非阿里云服务器：5 MByte/s

   • 自定义策略：用户自行定义策略的具体规则，灵活性较高。支持指定防护目录、排除指定目录、防护文件类型、数据备份开始时间、备份策略执行间隔、备份数据保留时间和备份网络带宽限制（MByte/s）。以下是参数配置说明。

     配置项	说明
     防护目录：	选择需要进行备份的目录，支持选择以下类型： 指定目录：即备份已选中资产的指定目录。您需要在防护目录地址中新增需要备份的目录地址。配置示例： Windows：C:\Program Files (x86)\ Linux：/usr/bin/ 最多可添加20条防护目录地址。云安全中心会串行执行各个防护目录地址的备份任务。如果一个防护目录地址下的文件较多，可能会消耗较多的服务器资源（CPU和内存）。您可以将一个目录拆分为多个防护目录地址，通过串行执行备份任务，有效地降低备份占用的服务器资源。 全部目录：即备份已选中资产的全部目录。
     排除指定目录：	指定不需要备份的目录。云安全中心提供了默认的不需要备份的目录，您可以在此基础上修改这些目录。
     非本地挂载路径	选择是否排除非本地挂载路径。非本地挂载路径是指OSS、NAS等挂载路径。
     防护文件类型：	选择需要进行防护的文件类型，支持选择以下类型： 全部文件类型：即针对所有类型的文件进行备份防护。 指定文件类型：即针对指定文件进行备份防护。支持选择文档类、图片类等。 重要 支持同时选中多个文件类型。云安全中心仅备份您资产中此处选中的文件类型。
     数据备份开始时间：	设置数据备份开始时间。 重要 防护策略创建后，初次进行数据备份时由于要全量备份防护目录下的数据，会消耗一定量的CPU和内存资源。为避免对您的业务造成影响，建议您选择业务量较小的时段进行数据备份。
     备份策略执行间隔：	设置备份策略执行间隔，默认为1天。
     备份数据保留时间：	设置备份数据保留时间，默认为7天。 重要 超过备份数据保留时间后，备份数据会被自动清理，建议您根据业务需求合理设置备份数据保留时间。 支持选择以下保存方式： 永久：备份数据将一直保留，直到云安全中心服务到期或您删除防护策略或防护策略下的服务器。 自定义：自定义保存天数，最小可设置1天，最大支持设置65535天。
     备份网络带宽限制：	设置备份数据可占用的网络带宽阈值。取值范围：0 MByte/s~不限流量。 阿里云服务器备份数据时仅占用私网带宽，不影响公网带宽。非阿里云服务器在备份数据时需要占用公网或私网带宽。您可以在此处设置备份可占用的网络带宽阈值，避免备份占用过多带宽对您业务产生影响。 阿里云服务器默认为0 MByte/s。 说明 0 MByte/s代表不限制备份网络带宽。 非阿里云服务器默认为5 MByte/s。

创建防护策略后，策略状态默认为开启状态。云安全中心将自动在您的服务器上安装防勒索客户端，并根据防护策略中设置的备份条件对生效服务器的防护目录进行数据备份。建议您重点关注防勒索客户端的状态，及时处理防勒索客户端的异常状态，以确保防勒索备份与恢复任务正常执行。更多信息，请参见查看防勒索客户端状态。

服务器更换操作系统防护策略处置方法

服务器更换操作系统后，该服务器生效的防护目录还是未更换前的防护目录，服务器可能会因为备份全部目录导致资源占用高、备份失败等问题。

因此，如果服务器更换了操作系统，您需要确认现有防护策略是否满足更换后服务器的防护需求：

• 如果已创建的防护策略满足更换后的操作系统的防护要求，您可以将该服务器从防护策略中删除，然后重新添加到防护策略中；

• 如果已创建的防护策略无法满足更换后的操作系统的防护要求，您需要先修改防护策略，或将该服务器从当前防护策略中删除后，重新创建防护策略。

管理防勒索客户端

查看防勒索客户端状态

防护策略创建后，您需要在服务器防勒索页签下的策略列表中，单击策略左侧的图标，展开策略生效的服务器列表，查看该策略下每个服务器上的防勒索客户端的状态，确保防勒索客户端状态为在线。只有防勒索客户端的状态为在线时，云安全中心才能正常备份服务器上的数据。您可以单击可恢复版本数下的数字，在可恢复数据版本页面，通过版本名称（即备份时间）确定服务器的数据是否备份成功。

手动安装防勒索客户端

卸载防勒索客户端

删除防勒索客户端