首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

统一端点安全管理系统aES

深信服统一端点安全管理系统 aES,围绕端点资产安全生命周期,通过预防、防御、检测、响应赋予端点更为有效的安全能力。在应对APT高级威胁、变种勒索的同时,通过多层级检测响应机制、云网端协同联动、威胁情报共享,帮助用户快速发现并精准处置端点安全问题,构建有效的终端安全防护体系。
点击可切换产品版本
知道了
不再提醒
3.7.12R3
统一端点安全管理系统aES 文档 产品手册 策略中心 勒索防护
{{sendMatomoQuery("统一端点安全管理系统aES","勒索防护")}}

勒索防护

更新时间:2023-07-25

勒索防护策略可以设置勒索诱饵防护策略、远程桌面二次认证和服务器可信进程防护。

3.3.4.1.勒索病毒防护

通过勒索病毒防护,可在终端操作系统关键目录下投放诱饵文件,当终端感染勒索病毒时,会先加密诱饵文件,EDR客户端及时进行报警拦截,从而更早更及时地发现和清除未知勒索病毒,避免终端业务文件或业务文件被加密,配置页面如下图所示。

其中:

开启勒索诱饵防护:需要同时开启文件实时防护策略,防护功能才可生效。

发现勒索行为:设置发现勒索病毒后的处置动作,建议设置[告警并人工处置],当终端发现勒索病毒时,电脑右下解会弹出如下图告警提示。

3.3.4.2.远程桌面二次认证

RDP远程暴破登录是目前黑客攻击的常用手段之一,黑客可利用远程登陆控制服务器,进而进行勒索攻击等。为了保障您的业务安全,建议您开启此功能。

  说明:

此功能仅支持windows Server主机。

认证方式

1.远程桌面登录二次认证

防止黑客成功通过远程桌面登录服务器、轻松拿到服务器权限,可以设置认证方式为远程桌面登录二次认证。

设置认证方式为远程桌面登录二次认证后,当黑客成功通过远程桌面登录服务器时,EDR对服务器进行锁屏保护,如下图,需要通过EDR二次认证才能拿到服务器权限,从而保护服务器安全,建议认证方式选择此项。

2.远程桌面文件信任二次认证

防止黑客将病毒文件加入EDR信任名单、并植入勒索病毒进行勒索,可以设置认证方式为远程桌面文件信任二次认证。

黑客成功登录服务器并尝试植入勒索病毒,由于服务器安装了EDR进行保护,勒索病毒默认无法运行。如果黑客将勒索病毒加入信任名单,则可以成功植入勒索病毒并进行勒索。当认证方式设置为远程桌面文件信任二次认证后,黑客对文件加信任时,需要通过EDR二次认证才可以加信任,避免了病毒文件植入,如下图。

认证密钥

  1. 验证码验证

验证码为管理员手机号码后6位,如15258227998,设置验证码为227998。打开[终端管理/策略中心/基本策略],配置终端管理员联系方式,如下图。

  说明:

建议认证密钥设置为验证码验证、且正确配置管理员手机号,服务器运维管理员可以通过公司通讯录或EDR托盘获取管理员手机号,从而获得远程桌面二次认证验证码。

  1. 自定义密码验证

设置自定义密码验证后,服务器管理员是不知道该密码的,避免敏感时间段无法远程访问服务器,需尽快将自定义的密码通知到服务器管理员。

策略生效时间段

策略生效时间段设置远程桌面二次认证生效时间,默认是所有时间段生效。

免二次认证白名单

白名单内的IP在敏感时间段通过远程桌面登录服务器不需要远程桌面二次认证。访问服务器可信的电脑可以加入白名单。

3.3.4.3.服务器可信进程防护

服务器可信进程防护对服务器系统或服务器特定目录进行安全防护,只允许可信进程运行、读写操作,同时支持开启远程登录保护功能。

  说明:

此功能只适用Windows Server,不适用Windows PCLinux系统。

场景一:服务器系统防护

适用场景:

适用于保护运行稳定的服务器系统,阻止不可信进程(如未知勒索病毒等恶意病毒)在服务器运行,从而达到保护服务器安全的目的。

配置步骤:

步骤1.服务器病毒查杀

先对服务器进行病毒查杀,确认服务器当前环境安全。

步骤2.进程学习

启用[可信进程防护],防护对象选择[服务器系统],设置进程学习,学习时间范围从1天到30天可配,点击<保存>,如下图所示。

当学习完后可在页面查看已学习到的进程,并可查看进程鉴定情况,例如是否为可疑进程、该进程是否无签名等,为下一步可信进程确认提供参考。

步骤3.可信进程确认

进程学习结束,需要进行可信进程确认,可通过对进程学习结果进行分析,删除不可信的进程,对没有学习到的可信进程进行添加,配置界面如下图所示。

其中:

进程鉴定EDR对进程鉴定为可疑进程或者系统进程;

首次上报进程路径:即进程文件首次上报的路径;

添加方式:显示进程添加方式,有学习添加、手动添加和模板添加三种方式;

状态:进程当前状态,[未确认]指当前未进行可信进行确认;

操作:可以对进程进行删除、查看进程详情或进行进程分析操作。

其他说明:

1.如果发现需要添加的可信进程不在学习结果中,可点击<添加进程>进行添加,添加配置界面,如下图。

其中:

添加方式:进程人工添加方式有按模板导入、上传进程文件及手动输入进程文件信息3种添加方式。

按模板导入:适用于客户需要加固的服务器是模板中提供的web服务器或数据库服务器;

上传进程文件:上传服务器中可信的进程文件实现添加;

手动输入进程文件信息:收集可信进程的进程名、原始文件名、版权信息手动录入。

可信进程核对完成后,点击<确认进程>并完成可信进程确认。

步骤4.可信进程生效

点击<保存>后,可在页面查看到服务器防护生效中。

场景二:服务器特定目录防护

适用场景:

适用于针对服务器的重要目录防护,避免重要目录及其文件被勒索病毒等进行非法篡改/获取。

配置步骤:

步骤1.服务器病毒查杀

先对服务器进行病毒查杀,确认服务器当前环境安全。

步骤2.添加服务器防护目录

启用[可信进程防护],防护对象选择[服务器特定目录],手动添加需要防护的服务器重要目录,目录添加格式支持*号通配符路径或系统环境变量。

步骤3.可信进程学习与确认

进程学习和可信进程确认与服务器系统防护场景一致,请参考“场景一:服务器系统防护”进行配置即可。

当发现不可信进程时,可按如下方式进行处理。

其中:

禁止不可信进程对防护目录的操作:不可信进程无法对防护目录进行增删改,可以设置是否允许访问防护目录;

发现不可信进程对防护目录的操作:发现不可信进程操作防护目录时,可以设置阻止操作或阻止操作并结束进程运行。