启用自主勒索软件保护
-
本文档站点的 PDF
- NAS 存储管理
单独 PDF 文档的收集
Creating your file...
从ONTAP 9.10.1开始、可以在新卷或现有卷上启用自动勒索软件保护(ARP)。您首先可以在学习模式下启用ARP、在此模式下、系统会分析工作负载以确定正常行为的特征。您可以在现有卷上启用ARP、也可以从头创建新卷并启用ARP。
您应始终在初始学习(或演练)模式下启用ARP。在活动模式下开始可能会导致误报报告过多。
建议您让ARP在学习模式下运行至少30天。从ONTAP 9.13.1开始、ARP会自动确定最佳学习周期间隔并自动执行交换机操作、这可能会在30天之前发生。有关详细信息,请参见 "学习和主动模式"。
在现有卷中、学习和活动模式仅适用于新写入的数据、而不适用于卷中已有的数据。不会扫描和分析现有数据、因为在为卷启用ARP后、系统会根据新数据假设先前正常数据流量的特征。 |
-
您必须为Storage VM启用NFS或SMB (或同时启用这两者)。
-
。 正确的许可证 必须为您的ONTAP 版本安装。
-
您必须已配置NAS工作负载和客户端。
-
要设置ARP的卷需要受到保护、必须具有活动的 "接合路径"。
-
卷的容量必须小于100%。
-
建议您将EMS系统配置为发送电子邮件通知、其中包括ARP活动通知。有关详细信息,请参见 "配置 EMS 事件以发送电子邮件通知"。
-
从ONTAP 9.13.1开始、建议您启用多管理员验证(MAV)、以便需要两个或更多经过身份验证的用户管理员才能进行自动防病毒(ARP)配置。有关详细信息,请参见 "启用多管理员验证"。
-
选择*存储>卷*,然后选择要保护的卷。
-
在*Volumes*概述的*Security*选项卡中,在*Anti-勒索 软件*框中选择*Status*,在学习模式下从Disabled切换为Enabled。
-
学习期结束后、将ARP切换到活动模式。
从ONTAP 9.13.1开始、ARP会自动确定最佳学习周期间隔并自动执行交换机操作。您可以 "在关联的Storage VM上禁用此设置" 如果您要手动将学习模式控制为激活模式开关。 -
选择*存储>卷*,然后选择已准备好进入活动模式的卷。
-
在*卷*概述的*安全性*选项卡中,在防勒索软件框中选择*切换到活动模式。
-
-
您可以在*Anti-勒索 软件*框中验证卷的ARP状态。
要显示所有卷的ARP状态:在*卷*窗格中,选择*显示/隐藏*,然后确保选中*反勒索软件*状态。
-
修改现有卷以在学习模式下启用勒索软件保护:
security anti-ransomware volume dry-run -volume vol_name -vserver svm_name
您还可以使用启用勒索软件保护
volume modify
命令:volume modify -volume vol_name -vserver svm_name -anti-ransomware-state dry-run
如果您升级到ONTAP 9.13.1或更高版本、则会启用自适应学习、以便自动更改为活动状态。如果您不希望自动启用此行为、请在所有关联卷上的SVM级别更改此设置:
vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false
-
学习期结束后、如果尚未自动修改受保护卷以切换到活动模式、请将其修改为:
security anti-ransomware volume enable -volume vol_name -vserver svm_name
您也可以使用 modify volume 命令切换到活动模式:
volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active
-
验证卷的ARP状态。
security anti-ransomware volume show
-
在配置数据之前、创建一个启用了反勒索软件保护的新卷。
volume create -volume vol_name -vserver svm_name -aggregate aggr_name -size nn -anti-ransomware-state dry-run -junction-path /path_name
如果您升级到ONTAP 9.13.1或更高版本、则会启用自适应学习、以便自动更改为活动状态。如果您不希望自动启用此行为、请在所有关联卷上的SVM级别更改此设置:
vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false
-
学习期结束后、如果尚未自动修改受保护卷以切换到活动模式、请将其修改为:
security anti-ransomware volume enable -volume vol_name -vserver svm_name
您也可以使用 modify volume 命令切换到活动模式:
volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active
-
验证卷的ARP状态。
security anti-ransomware volume show