主机安全FAQ

滴滴云技术支持发表于:2018年04月17日 16:25:02更新于:2018年12月06日 12:04:04

Q: 为什么需要使用主机安全产品

A: 滴滴云主机安全防护产品是基于滴滴多年的终端安全防护经验及实战场景而推出的一款安全产品,它不仅能实时的检测主机层面的攻击事件(暴力破解、异地登录、主机异常),而且还能发现主机上存在弱点(网站后门、系统和Web漏洞、基线违规等),降低主机被恶意入侵的风险;而且在使用上采用一键部署安装,完全由用户来操作,不对系统做任何侵入式捆绑。

Q:为什么需要在主机上安装客户端(Agent)

A: 某些类型的攻击(例如恶意进程),只能在主机上才能检测到;某些主机弱点发现(例如基线违规),采用本地检测方式不需要传输任何数据,会使得主机数据更加安全。

Q: 主机安全客户端会占用主机的资源吗

A:会占用较少的主机资源,正常情况下,占用CPU小于1%、内存80M以内,并且设计了自我降级机制,避免对主机的正常业务造成负面影响。

Q: 如何卸载主机安全客户端

A: 日常使用中,不建议卸载客户端;如果一定要卸载的话,请进入主机安全主页,通过Web控制台进行卸载。

Q: 如果我不想使用主机安全防护,如何关闭

A: 主机安全产品可保护主机免受入侵、发现主机弱点,建议所有的主机均开启主机安全防护功能,但如果用户需要关闭主机安全防护功能,可进入主机安全主页,在资产管理里关闭一台或多台的主机的专业防护功能。

Q: 安装完主机客户端后,默认会开启专业防护功能吗

A:不一定,和用户购买产品时选择的计费方式有关系;如果用户选择按量方式购买,则默认会启用专业防护版(当前支持的方式),如果用户选择包年包月(即将支持),则会根据购买的规格来决定是否开启能够开启专业防护功能。

Q: 支持Windows操作系统的主机安全防护吗

A: 目前支持2012DC、2018RC2、2016版本。

Q: 为什么Windows2012登录失败的攻击源显示为0.0.0.0、登录用户名无法显示

A:因为Windows2012远程桌面默认启用了SSL加密,安全日志无法记录登录失败的源IP和用户名,所以主机安全无法获取到暴力破解的登录用户名和源IP信息,如果需要查看登录源IP和用户名,需要进入到Windows的控制面板,打开系统和安全 > 管理工具 > 事件查看器 > Windows日志 > 安全,在右侧窗口内查找关键词“审核失败”、任务类别为“登录”的日志信息。