Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

启用自主勒索软件保护

贡献者
PDF

从ARP.10.1开始、您可以在现有卷上启用自动防兰软件保护(Autonomous Ransmor Protection、ONTAP 9)、也可以创建新卷并从头开始启用ARP.10.1。

如果要配置ONTAP集群"相关ARP过程",以便默认情况下启用所有新卷以实现自动防兰软件保护(ARP),请参见此。

关于此任务

  • 对于这些版本的ONTAP,对于ARP.10.1 9.15.1和带有FlexGroup卷的ARP,您应始终先在(或“演练”模式)下启用ONTAP 9"学习模式"。首次在学习模式下启用ARP时、系统会分析工作负载以确定正常行为的特征。在活动模式下开始可能会导致误报报告过多。

    建议您让ARP在学习模式下运行至少30天。从ARP.13.1.开始、ONTAP 9会自动确定最佳学习周期间隔并自动执行交换机操作、这可能会在30天之前发生。

  • *对于带有FlexVol卷的ARP.161及更高版本*启用ONTAP 9时,ARP/AI保护将立即在活动模式下开始。无需学习。

备注 在现有卷中、学习和活动模式仅适用于新写入的数据、而不适用于卷中已有的数据。不会扫描和分析现有数据、因为在为卷启用ARP后、系统会根据新数据假设先前正常数据流量的特征。
开始之前

  • 您必须为NFS或SMB (或这两者)启用Storage VM (SVM)。

  • 正确的许可证必须为您的ONTAP版本安装。

  • 您必须已配置NAS工作负载和客户端。

  • 要设置ARP的卷必须受到保护,并且具有活动的"接合路径"

  • 卷的容量必须小于100%。

  • 建议您将EMS系统配置为发送电子邮件通知、其中包括ARP活动通知。有关详细信息,请参见 "配置 EMS 事件以发送电子邮件通知"

  • 从ONTAP 9.13.1开始、建议您启用多管理员验证(MAV)、以便需要两个或更多经过身份验证的用户管理员才能进行自动防病毒(ARP)配置。有关详细信息,请参见 "启用多管理员验证"

在新卷或现有卷上启用ARP

您可以使用System Manager或ONTAP命令行界面启用ARP。

System Manager
步骤

  1. 选择*存储>卷*,然后选择要保护的卷。

  2. 在*Volumes*概述的*Security*选项卡中,选择*Status*从Disabled切换为Enabled。

    • 如果在FlexGroup卷上使用ARP和ONTAP 9.1.1或更早版本或ONTAP 9.16.1,请在*防勒索软件*框中选择*在学习模式下启用*。

      备注 从ONTAP 9.13.1开始、ARP会自动确定最佳学习周期间隔并自动执行交换机操作。如果您要手动控制学习模式到活动模式的过渡、则可以"在关联的Storage VM上禁用此设置"执行此操作。

    • 如果在运行ARP.16.1或更高版本的FlexVol卷上使用ONTAP 9、则ARP/AI功能不需要学习期、默认情况下会选择活动模式。

  3. 您可以在*Anti-勒索 软件*框中验证卷的ARP状态。

    要显示所有卷的ARP状态:在*卷*窗格中,选择*显示/隐藏*,然后确保选中*反勒索软件*状态。

命令行界面

如果要在现有卷上启用ARP、而要在新卷上启用ARP、则使用命令行界面启用ARP的过程会有所不同。

在现有卷上启用ARP

  1. 修改现有卷以启用勒索软件保护:

    • 对于ARP.151及更早版本以及带有FlexGroup卷的ONTAP 9、请将卷状态设置为 dry-run(学习模式):

      security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>

    • 对于ONTAP 9带有ARP/AI和FlexVol卷的ARP.161及更高版本、请将卷状态设置为 active(活动模式):

      security anti-ransomware volume active -volume <vol_name> -vserver <svm_name>

  2. 如果您升级到ONTAP 9.1或更高版本,并且ARP的默认状态为 dry-run,则会启用自适应学习,以便自动更改为活动状态。如果您不希望自动启用此行为、请在所有关联卷上的SVM级别更改此设置:

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. 验证卷的ARP状态。

    security anti-ransomware volume show

在新卷上启用ARP

  1. 在配置数据之前创建一个启用了ARP的新卷:

    • 对于ARP.151及更早版本以及带有FlexGroup卷的ONTAP 9、请将状态设置为 dry-run(学习模式):

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>

    • 对于ONTAP 9带有ARP/AI和FlexVol卷的ARP.161及更高版本、请将状态设置为 active(活动模式):

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state active -junction-path </path_name>

  2. 如果您升级到ONTAP 9.1或更高版本,并且ARP的默认状态为 dry-run,则会启用自适应学习,以便自动更改为活动状态。如果您不希望自动启用此行为、请在所有关联卷上的SVM级别更改此设置:

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. 验证卷的ARP状态。

    security anti-ransomware volume show

相关信息