當您創建策略組后，需要修改策略內容時，可按照本文檔的指導完成策略內容的修改。

• 策略內容的修改，只在當前所修改的策略組生效。
• 默認策略組有默認配置，不建議修改。
• Windows的HIPS策略目前不支持修改。

約束限制

需開啟高級版、企業版、旗艦版、網頁防篡改版、容器版中任一版本。

進入策略管理

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、在左側導航欄，選擇“安全運營 > 策略管理”，進入“策略管理”界面，查看顯示的策略組，字段說明如下所示：

說明
tenant_linux_container_default_policy_group：容器版linux系統預置策略，僅可被查看，不可復制和刪除。
tenant_linux_enterprise_default_policy_group：企業版linux系統預置策略，僅可被查看，不可被復制和刪除。
tenant_windows_enterprise_default_policy_group：企業版windows系統預置策略，僅可被查看，不可被復制和刪除。
tenant_linux_premium_default_policy_group：旗艦版linux系統預置策略，可通過復制該策略組來創建新的策略組。
tenant_windows_premium_default_policy_group：旗艦版windows系統預置策略，可通過復制該策略組來創建新的策略組。
可在列表右上角單擊 ，手動刷新當前列表。
可單擊關聯服務器數的數量，查看策略組關聯的服務器。

策略組列表字段說明

字段	說明
策略組名稱	策略組的名稱。
ID	策略組的ID號，對策略組的唯一標識。
描述	對策略組的描述。
支持的版本	策略組支持的主機安全的版本。

5、單擊目標策略組名稱，進入策略詳情列表，單擊策略名稱對不同策略進行修改。

Linux策略組詳情

資產發現

1、單擊“資產發現”，彈出“資產發現”策略詳情界面。

2、在彈出的資產管理界面中，修改“策略內容”，參數說明如表8-4所示。

修改資產發現策略

資產管理策略內容參數說明

參數名稱	參數說明
自啟動信息檢測的時間間隔（秒）	自啟動信息檢測的時間間隔，可配置范圍為“3600秒~86400秒”。
需要獲取信息的軟件名稱	軟件名稱中不能包含空格且內容長度不得超過5000字符，多個軟件名稱用逗號分隔。 如果不配置，則獲取所有已安裝軟件信息。
軟件搜索路徑	軟件搜索的路徑，Windows主機不需要添加。
指定待掃描web目錄	需要掃描的web目錄。
web目錄掃描深度	指定web目錄掃描的層級深度。

3、確認無誤，單擊“確認”，完成修改。

弱口令檢測

弱口令/密碼不歸屬于某一類漏洞，但其帶來的安全隱患卻不亞于任何一類漏洞。數據、程序都儲存在系統中，若密碼被破解，系統中的數據和程序將毫無安全可言。

主機安全服務會對使用經典弱口令的用戶帳號告警，主動檢測出主機中使用經典弱口令的帳號。您也可以將疑似被泄露的口令添加在自定義弱口令列表中，防止主機中的帳戶使用該弱口令，給主機帶來危險。

1、單擊“弱口令檢測”，彈出“弱口令檢測”策略詳情界面。

2、在彈出的“策略內容”界面中，修改“策略內容”，參數說明如表所示。

修改弱口令檢測

弱口令檢測策略內容參數說明

參數	說明
檢測時間	配置弱口令檢測的時間，可具體到每一天的每一分鐘。
隨機偏移時間（秒）	檢測配置的弱口令時間的隨機偏移時間，在“檢測時間”的基礎上偏移，可配置范圍為“0~7200秒”。
檢測日	弱口令檢測日期。勾選周一到周日檢測弱口令的時間。
檢測休息時間(ms)	檢測配置的單個帳號的時間間隔，可配置范圍為“0ms~2000ms”。 例如：配置為“50”，檢測“/bin/ls”后，等待“50”毫秒再檢測“/bin/ls”。
自定義弱口令	您可以將疑似被泄露的口令添加在自定義弱口令文本框中，防止主機中的帳戶使用該弱口令，給主機帶來危險。 填寫多個弱口令時，每個弱口令之間需換行填寫，最多可添加300條。

3、確認無誤，單擊“確認”，完成修改。

配置檢測

1、單擊“配置檢測”，彈出“配置檢測”策略詳情界面。

2、在“配置檢測”界面，修改“策略內容”，參數說明如表所示。

修改配置檢測

系統配置檢測策略內容參數說明

參數	說明
檢測時間	配置系統檢測的時間，可具體到每一天的每一分鐘。
隨機偏移時間（秒）	配置系統檢測的隨機偏移時間，可配置范圍為“0~7200秒”。
檢測日	系統配置檢測日期，勾選周一到周日的檢測系統配置的時間。

3、勾選需要檢測的基線或自定義基線。

說明
若有等保合規的需求，可按需勾選“標準類型”為“等保合規”的基線項。

4、確認無誤，單擊“確認”，完成修改。

Webshell檢測

Webshell檢測功能只有設置了“用戶指定掃描路徑”之后才會生效。

1、單擊“Webshell檢測”，彈出“Webshell檢測”策略詳情界面。

2、在彈出的“Webshell檢測”界面中，修改“策略內容”，參數說明如表所示。

修改Webshell檢測策略

Webshell檢測策略內容參數說明

參數	說明
檢測時間	配置Webshell檢測的時間，可具體到每一天的每一分鐘。
隨機偏移時間（秒）	配置隨機偏移時間，可配置范圍為“0~7200秒”。
檢測日	Webshell檢測日期，勾選周一到周日的檢測Webshell的時間。
用戶指定掃描路徑	手動添加需要檢測的Web目錄。 文件路徑以“/”開頭，不能以“/”結尾。 多個路徑通過回車換行分隔且名稱中不能包含空格。
檢查文件后綴	檢查文件的后綴，可以檢測“jsp”、“jspx”、“jspf”、“php”、“php5”和“php4”。

3、確認無誤，單擊“確認”，完成修改。

文件保護

1、單擊“文件保護”，彈出“文件保護”策略詳情界面。

2、在彈出的文件保護界面中，修改“策略內容”，參數說明如表所示。

修改文件保護策略

文件保護策略內容參數說明

參數	說明
文件提權檢測	啟用：是否開啟文件提權檢測。 忽略的文件路徑：填寫需要忽略的文件路徑。文件路徑以“/”開頭，不能以“/”結尾，多個路徑通過回車換行分隔且名稱中不能包含空格。
關鍵文件完整性檢測	啟用：是否開啟關鍵文件完整性檢測。 監控文件：配置監控文件。
關鍵文件目錄變更檢測	啟用：是否開啟關鍵文件目錄變更檢測。 開啟Audit：是否開啟Audit檢測功能，開啟后，請注意系統的inotify使用限制，超過限制，部分文件目錄變更將檢測不到。 會話IP白名單：如果操作文件的進程屬于以上IP的會話，則不予審計。 忽略監控文件類型后綴：忽略監控的文件類型的后綴。 忽略監控的文件路徑：配置忽略監控文件的路徑。 監控登錄密鑰：是否開啟監控登錄密鑰。

3、確認無誤，單擊“確認”，完成修改。

登錄安全檢測

1、單擊“登錄安全檢測”，彈出“登錄安全檢測”策略詳情界面。

2、在彈出的“登錄安全檢測”策略內容中，修改“策略內容”，參數說明如表所示。

修改安全檢測策略

登錄安全檢測策略內容參數說明

參數	說明
阻斷攻擊IP	開啟阻斷攻擊IP后，HSS將阻斷爆破行為的IP登錄。 Agent會修改系統配置，阻斷帳戶爆破IP。
封禁時間（分鐘）	可設置存在爆破行為IP的封禁時間，封禁時間內不可登錄，封禁時間結束后自動解封，可配置范圍為“1~43200”。
破解行為判斷閾值（秒）	與“破解行為判斷閾值（登錄失敗次數）”一起配置使用。可配置范圍為“5~3600”。 例如：破解行為判斷閾值“30”，破解行為判斷閾值（登錄失敗次數）“5”，表示“30秒內同一IP發生5次登錄失敗會被判定為帳戶爆破行為。”
破解行為判斷閾值（登錄失敗次數）	與破解行為判斷閾值一起配置使用，可配置范圍為“1~36000”。
慢破解行為判斷閾值（秒）	與慢破解行為判斷閾值（登錄失敗次數）一起配置使用。可配置范圍為“600~86400”。 例如：慢破解行為判斷閾值“3600”，慢破解行為判斷閾值（登錄失敗次數）“15”，表示“3600秒內同一IP發生15次登錄失敗會被判定為帳戶爆破行為。”
慢爆破行為判斷閾值（登錄失敗次數）	與慢破解行為判斷閾值一起配置使用。可配置范圍為“6~100”。
破解行為判定解除時間（秒）	清理破解行為出現登錄失敗記錄的時間間隔，可配置范圍為“60~86400”。 解除的暴破IP為已出現暴力破解告警的IP。
是否審計登錄成功	開啟此功能后，HSS將上報登錄成功的日志。

3、確認無誤，單擊“確認”，完成修改。

惡意文件檢測

1、單擊“惡意文件檢測”，彈出“惡意文件檢測”策略詳情界面。

2、在彈出的惡意文件檢測界面中，修改“策略內容”，參數說明如表所示。

修改惡意文件檢測策略

惡意文件檢測策略內容參數說明

參數	說明
反彈shell忽略的進程文件路徑	反彈shell忽略的進程文件的路徑。 文件路徑以“/”開頭，不能以“/”結尾。多個路徑通過回車換行分隔且名稱中不能包含空格。
反彈shell掃描周期（秒）	反彈shell掃描的周期，可配置范圍為“30-86400”。
Audit檢測增強	選擇是否開啟Audit檢測增強，建議開啟。
進程打開文件上限	進程打開文件的上限數，可配置范圍為“10-300000”。
反彈shell檢測	選擇是否開啟反彈shell檢測，建議開啟。
異常shell檢測	選擇是否開啟異常shell檢測，建議開啟。

3、確認無誤，單擊“確認”，完成修改。

進程異常行為

1、單擊“進程異常行為”，彈出“進程異常行為”策略詳情界面。

2、在彈出的進程異常行為管理界面中，修改“策略內容”，參數說明如表所示。

修改進程異常行為檢測策略

進程異常行為策略內容參數說明

參數	說明	取值樣例
檢測掃描周期（秒）	檢測主機運行程序的時間周期，可配置范圍為“30-1800”。	1800
上報分值閾值	上報分值閾值。可配置范圍為“1-100”。	3

3、確認無誤，單擊“確認”，完成修改。

root提權

1 、單擊“root提權”，彈出“root提權”策略詳情界面。

2 、在彈出的root提權界面中，修改“策略內容”，參數說明如表所示。

修改root提權策略

root提權策略內容參數說明

參數	說明
忽略的進程文件路徑	忽略的進程文件的路徑。文件路徑以“/”開頭，不能以“/”結尾。多個路徑通過回車換行分隔且名稱中不能包含空格。
檢測時間間隔（秒）	進程文件檢測時間間隔，可配置范圍為“5~3600”。

3、確認無誤，單擊“確認”，完成修改。

實時進程

1、單擊“實時進程”，彈出“實時進程”策略詳情界面。

2、在彈出的實時進程界面中，修改“策略內容”，參數說明如表所示。

修改實時進程策略

實時進程策略內容參數說明

參數	說明
全量進程上報時間間隔（秒）	所有進程上報間隔的時間周期，可配置范圍為“3600~86400”。
高危命令	檢測時包含關鍵詞的高危命令。
白名單（不記錄/不上報）	添加檢測時放行、忽略的路徑或程序名。

3、確認無誤，單擊“確認”，完成修改。