态势感知基线检查功能自动检测您服务器和云产品上存在的风险配置项，并为您提供修复建议。该功能分为主机基线检查和云产品基线检查。

主机基线检查自动检测您服务器上系统、账号、数据库、弱密码、合规性配置中存在的风险点，并针对所发现的问题项为您提供修复建议。本文介绍了使用主机基线检查来检测并修复您服务器上不安全配置的操作方法。关于云产品基线检查，请参考云产品基线检查。

一、功能说明

主机基线检查功能在启用后，自动检测服务器上的系统、账号、数据库、弱密码、合格性配置中存在的风险点，并提供修复建议。具体检查内容，参见文末主机基线检查检测内容。

主机基线检查的默认策略为每一天进行一次全面自动检测，在凌晨0到6点间完成。您可以自行添加和维护检测策略模板，自定义需要检查的项目、生效的服务器、检查周期、和触发时间。

1. 登录云盾态势感知控制台。

2. 在左侧导航栏，单击 基线检查 。

3. 在 主机基线 分页下，查看您服务器上存在的配置风险项。您可以使用风险搜索和页签筛选功能，快速定位到具体风险。

如果您不希望收到特定风险的告警信息，您可以勾选该风险项，单击风险列表下方的 忽略 ，忽略该风险告警；如果您想彻底忽略特定风险，即不希望态势感知去检测该风险，您可以勾选该风险，单击风险列表下方的 加入白名单 ，系统不会去检测白名单中的风险。

4. 选择一个风险项，单击其名称，进入风险详情页面，查看该风险的详细信息和受影响的资产。

5. 参照 风险详情 > 更多 下的加固建议，在对应服务器上进行修复。

1）修复风险后，您可以单击 操作 列中的 验证 ，一键验证该风险是否已修复成功。如果您未进行手动验证，风险修复成功后 72 小时内态势感知会进行自动验证。

2）如果您不希望收到该风险项的告警，您可以单击 操作 列中的 忽略 ，忽略该风险，态势感知将不再上报并告警此服务器上的这个风险项。

3）如果您希望彻底忽略该风险项，不再对其进行检测，您可以单击页面右上角的 加入白名单 ，并添加备注信息。添加进白名单中的风险项可在主机基线检查设置中进行恢复。

三、主机基线检查设置

如果您需要自定义扫描策略和检测项目，您可以参照以下步骤，新建一个扫描策略模板：

1. 登录 云盾态势感知控制台。

2. 在左侧导航栏，单击 基线检查 。

3. 单击 添加策略模板 ，新建一个扫描策略模板，完成以下配置：

1）输入一个用于识别该模板的名称。

2）勾选需要检测的项目，在合规性检测、弱密码检测、系统、账号、数据库下勾选具体检测内容，详情参见文末 主机基线检查检测内容 。

3）选择检测周期（每1天/3天/7天/30天检测一次）和检测触发时间（0-6点、6-12点、12-18点、18-24点）。

4）勾选应用上述设置的分组资产。

5）单击 提交 ，完成创建。

4. 已添加策略模板自动生效，按照配置的周期和触发时间自动执行扫描任务。您也可以在 主机基线 分页下，单击策略模板下的 立即检测 ，立即执行该扫描任务。

5. 对于已添加的模板，您可以单击 基线检查 页面右上角的 基线检查设置 ；然后在 扫描策略 下，选择相应模板，单击 编辑 修改其内容，或单击 删除 移除该模板。

主机基线检查设置也支持以下设置：

1）选择 失效风险自动删除 周期：7天、30天、90天。

② 高危：高风险配置，如密码太弱等，极易被黑客利用。

③ 中危：中风险配置，如Web容器用root权限运行等，存在被恶意利用的风险。

④ 低危：低风险配置，如密码长度不足32位等，不太容易被黑客利用，但某些合规性检查中会规定该内容。

四、主机基线检查检测内容

系统自启动项检测（Windows） 检测 Windows 系统服务器中的注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit 中的键值是否包含可疑的可执行文件。 系统共享配置检测（Windows） 检测 Windows 系统服务器中的注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous 中的键值，查看该键值控制是否允许远程操作注册表。 组策略检测（Windows） 检测 Windows 系统服务器中以下账号相关的安全策略：

1）账号密码长度最小值

2）密码复杂度（数字、大小写字母、特殊字符组合）

3）密码更新时必须与原密码不同

4）登录框是否显示上次登录账号

5）登录事件记录是否开启

6）登录过程中事件记录是否开启

SSH 登录基线检测 检测 Linux 系统服务器中以下 SSH 登录安全策略配置：

1）登录端口是否为默认 22 端口

2）root 账号是否允许直接登录

3）是否使用不安全的 SSH V1 协议

4）是否使用不安全的 RSH 协议

5）是否运行基于主机身份验证的登录方式

弱密码检测 Linux 系统登录弱口令检测 检测 Linux 系统服务器的登录账号的密码是否为常见弱口令，及 SSH 登录的密码是否常见弱口令。 SQLServer 登录弱口令检测 检测服务器上 SQLServer 登录账号的密码是否为常见弱口令。 Windows 系统登录弱口令检测 检测 Windows 系统服务器中系统登录账号的密码是否为常见弱口令，及 RDP 登录的密码是否为常见弱口令。 FTP 匿名登录检测 检测服务器上的 FTP 服务是否开启匿名登录。 MySQL 弱口令检测 检测服务器上的 MySQL 服务的登录账号是否为常见弱口令。 PostgreSQL 登录弱口令检测 检测服务器中 PostgreSQL 登录账号的密码是否为常见弱口令。