本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 修復 EC2 執行個體的暴露
AWS Security Hub 可以產生 Amazon Elastic Compute Cloud (EC2) 執行個體的公開調查結果。
在 Security Hub 主控台上,涉及公開調查結果的 EC2 執行個體及其識別資訊會列在調查結果詳細資訊**的資源**區段中。您可以使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)的操作,以程式設計方式擷取資源詳細資訊。
識別暴露調查結果中涉及的資源之後,如果不需要,您可以刪除資源。刪除非必要資源可以降低您的暴露描述檔和 AWS 成本。如果資源是必要的,請遵循這些建議的修補步驟,以協助降低風險。修復主題會根據特徵類型分割。
單一公開調查結果包含多個修復主題中識別的問題。相反地,您可以透過僅解決一個修補主題來解決暴露問題並降低其嚴重性等級。您的風險修補方法取決於您的組織需求和工作負載。
**注意**
本主題提供的修補指引可能需要對其他 AWS 資源進行額外諮詢。
**Contents**
+ [EC2 執行個體的錯誤組態特性](#misconfiguration)
+ [EC2 執行個體允許使用第 1 版存取 IMDS](#metadata-misconfiguration)
+ [與 Amazon EC2 執行個體相關聯的 IAM 角色具有管理存取政策](#administrative-access-policy)
+ [與 Amazon EC2 執行個體相關聯的 IAM 角色具有服務管理員政策](#service-admin-policy)
+ [Amazon EC2 執行個體具有允許 SSH 或 RDP 存取的安全群組或網路 ACL](#remote-access-allowed)
+ [Amazon EC2 執行個體具有開啟的安全群組](#open-security-group)
+ [EC2 執行個體的連線能力特性](#reachability)
+ [EC2 執行個體可透過網際網路連線](#internet-reachable)
+ [EC2 執行個體的漏洞特性](#vulnerability)
+ [EC2 執行個體具有網路可攻擊的軟體漏洞,具有高利用率的可能性](#high-priority-vulnerability)
+ [Amazon EC2 執行個體具有軟體漏洞](#low-priority-vulnerability)
+ [EC2 執行個體具有End-Of-Life作業系統](#end-of-life-operating-system-detected)
+ [EC2 執行個體具有惡意軟體套件](#malicious-package)
+ [EC2 執行個體具有惡意檔案](#malicious-file)
## EC2 執行個體的錯誤組態特性
以下是 EC2 執行個體的錯誤組態特性和建議的修復步驟。
### EC2 執行個體允許使用第 1 版存取 IMDS
執行個體中繼資料是 Amazon EC2 執行個體的資料,應用程式可用來設定或管理執行中的執行個體。執行個體中繼資料服務 (IMDS) 是一種執行個體上的元件,可供執行個體上的程式碼用來安全地存取執行個體中繼資料。如果 IMDS 未正確保護,它可能會成為潛在的攻擊媒介,因為它可以存取臨時登入資料和其他敏感組態資料。IMDSv2 透過工作階段導向身分驗證,為中繼資料請求提供更強大的入侵保護,並限制工作階段持續時間。遵循標準安全原則, AWS 建議您將 Amazon EC2 執行個體設定為使用 IMDSv2 並停用 IMDSv1。
**測試應用程式相容性**
在實作 IMDSv2 之前,請先測試您的執行個體,以確保其與 IMDSv2 的相容性。有些應用程式或指令碼可能需要核心功能的 IMDSv1,並且需要額外的組態。如需測試應用程式相容性之工具和建議路徑的詳細資訊,請參閱《*Amazon Elastic Compute Cloud 使用者指南*》中的[轉換為使用執行個體中繼資料服務第 2 版](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html)。
**更新執行個體以使用 IMDSv2**
修改現有執行個體以使用 IMDSv2。如需詳細資訊,請參閱《*Amazon Elastic Compute Cloud 使用者指南*》中的[修改現有執行個體的執行個體中繼資料選項](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-existing-instances.html)。
**將更新套用至 Auto Scaling 群組中的執行個體**
如果您的執行個體是 Auto Scaling 群組的一部分,請使用新組態更新您的啟動範本或啟動組態,並執行執行個體重新整理。
### 與 Amazon EC2 執行個體相關聯的 IAM 角色具有管理存取政策
管理存取政策為 Amazon EC2 執行個體提供 AWS 服務 和 資源的廣泛許可。這些政策通常包含執行個體功能不需要的許可。如果 Amazon EC2 執行個體遭到入侵,在 Amazon EC2 執行個體上提供具有管理存取政策的 IAM 身分 (而非連接至執行個體描述檔所需的最低許可集) 可能會增加攻擊範圍。 Amazon EC2 如果執行個體遭到入侵,攻擊者可能會利用這些過多的許可,在您的環境中橫向移動、存取資料或操作資源。遵循標準安全原則,我們建議您授予最低權限,這表示您只授予執行任務所需的許可。
**檢閱和識別管理政策**
在 IAM 儀表板中,尋找具有角色名稱的角色。檢閱連接至 IAM 角色的許可政策。如果政策是 AWS 受管政策,請尋找 `AdministratorAccess`或 `IAMFullAccess`。否則,請在政策文件中,尋找具有 `"Effect": "Allow", "Action": "*"`、 和 的陳述式`"Resource": "*"`。
**實作最低權限存取**
將管理政策取代為僅授予執行個體運作所需的特定許可的政策。如需 IAM 角色安全最佳實務的詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的在安全最佳實務中[套用最低權限許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。若要識別不必要的許可,您可以使用 IAM Access Analyzer 來了解如何根據存取歷史記錄修改政策。如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[外部和未使用存取的調查結果](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html)。或者,您可以建立新的 IAM 角色,以避免使用現有角色影響其他應用程式。在此案例中,建立新的 IAM 角色,然後將新的 IAM 角色與執行個體建立關聯。如需取代執行個體 IAM 角色的說明,請參閱《*Amazon Elastic Compute Cloud 使用者指南*》中的[將 IAM 角色連接至執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/attach-iam-role.html)。
**安全組態考量**
如果執行個體需要服務層級管理許可,請考慮實作這些額外的安全控制來降低風險:
+ **安全組態考量**
+ **多重要素驗證 (MFA)** – MFA 需要其他形式的身分驗證來新增額外的安全層。即使登入資料遭到入侵,這也有助於防止未經授權的存取。如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[需要多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users)。
+ **IAM 條件** – 設定條件元素可讓您根據來源 IP 或 MFA 存留期等因素,限制何時及如何使用管理許可。如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*[》中的使用 IAM 政策中的條件來進一步限制存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions)。
+ **許可界限** – 許可界限會建立角色可擁有的最大許可,為具有管理存取權的角色提供護欄。如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[使用許可界限來委派帳戶中的許可管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries)。
**將更新套用至自動擴展群組中的執行個體**
對於 AWS 自動擴展群組中的 Amazon EC2 執行個體,請使用新的執行個體描述檔更新啟動範本或啟動組態,並執行執行個體重新整理。如需有關更新啟動範本的資訊,請參閱《*Amazon Elastic Compute Cloud 使用者指南*》中的[修改啟動範本 (管理啟動範本版本)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html)。如需詳細資訊,請參閱[使用執行個體重新整理來更新 Auto Scaling 群組中的執行個體](https://docs.aws.amazon.com/autoscaling/ec2/userguide/asg-instance-refresh.html)。如需搭配 Auto Scaling 群組使用 IAM 角色的詳細資訊,請參閱《[Amazon EC2 Auto Scaling 使用者指南》中的在 Amazon EC2 執行個體上執行之應用程式的 IAM 角色](https://docs.aws.amazon.com/autoscaling/ec2/userguide/us-iam-role.html)。 * Amazon EC2 Auto Scaling *
### 與 Amazon EC2 執行個體相關聯的 IAM 角色具有服務管理員政策
服務存取政策為 Amazon EC2 執行個體提供對 AWS 服務和資源的廣泛許可。這些政策通常包含執行個體功能不需要的許可。在 Amazon EC2 執行個體上提供具有管理存取政策的 IAM 身分,而非連接至執行個體描述檔所需的最低許可集,可能會在執行個體遭到入侵時增加攻擊範圍。遵循標準安全原則,我們建議您授予最低權限,這表示您僅授予執行任務所需的許可。
**檢閱和識別管理政策**
在 IAM 儀表板中,尋找具有角色名稱的角色。檢閱連接至 IAM 角色的許可政策。如果政策是 AWS 受管政策,請尋找 `AdministratorAccess`或 `IAMFullAccess`。否則,請在政策文件中,尋找具有 `"Effect": "Allow", "Action": "*"`、 和 的陳述式`"Resource": "*"`。
**實作最低權限存取**
將服務管理員政策取代為僅授予執行個體運作所需特定許可的政策。如需 IAM 角色安全最佳實務的詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的在安全最佳實務中[套用最低權限許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。若要識別不必要的許可,您可以使用 IAM Access Analyzer 來了解如何根據存取歷史記錄修改政策。如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[外部和未使用存取的調查結果](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html)。或者,您可以建立新的 IAM 角色,以避免影響使用現有角色的其他應用程式。在此案例中,建立新的 IAM 角色,然後將新的 IAM 角色與執行個體建立關聯。如需取代執行個體 IAM 角色的詳細資訊,請參閱《*Amazon Elastic Compute Cloud 使用者指南*》中的[將 IAM 角色連接至執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/attach-iam-role.html)
**安全組態考量**
如果執行個體需要服務層級管理許可,請考慮實作這些額外的安全控制來降低風險:
**安全組態考量**
如果執行個體需要服務層級管理許可,請考慮實作這些額外的安全控制來降低風險:
+ **多重要素驗證 (MFA)** – MFA 需要其他形式的身分驗證來新增額外的安全層。即使登入資料遭到入侵,這也有助於防止未經授權的存取。如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[需要多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users)。
+ **IAM 條件** – 設定條件元素可讓您根據來源 IP 或 MFA 存留期等因素,限制何時及如何使用管理許可。如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*[》中的使用 IAM 政策中的條件來進一步限制存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions)。
+ **許可界限** – 許可界限會建立角色可擁有的最大許可,為具有管理存取權的角色提供護欄。如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[使用許可界限來委派帳戶中的許可管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries)。
**將更新套用至 Auto Scaling 群組中的執行個體**
對於 AWS 自動擴展群組中的 Amazon EC2 執行個體,請使用新的執行個體描述檔更新啟動範本或啟動組態,並執行執行個體重新整理。如需有關更新啟動範本的資訊,請參閱《*Amazon Elastic Compute Cloud 使用者指南*》中的[修改啟動範本 (管理啟動範本版本)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html)。如需詳細資訊,請參閱[使用執行個體重新整理來更新 Auto Scaling 群組中的執行個體](https://docs.aws.amazon.com/autoscaling/ec2/userguide/asg-instance-refresh.html)。如需搭配 Auto Scaling 群組使用 IAM 角色的詳細資訊,請參閱《[Amazon EC2 Auto Scaling 使用者指南》中的在 Amazon EC2 執行個體上執行之應用程式的 IAM 角色](https://docs.aws.amazon.com/autoscaling/ec2/userguide/us-iam-role.html)。 * Amazon EC2 Auto Scaling *
### Amazon EC2 執行個體具有允許 SSH 或 RDP 存取的安全群組或網路 ACL
SSH 和 RDP 等遠端存取通訊協定可讓使用者從外部位置連線至和管理 Amazon EC2 執行個體。當安全群組允許從網際網路無限制存取這些通訊協定時,它們會允許網際網路存取您的執行個體,以增加 Amazon EC2 執行個體的攻擊面。遵循標準安全原則, AWS 建議您限制遠端存取特定、信任的 IP 地址或範圍。
1. **修改安全群組規則**
將對 Amazon EC2 執行個體的存取限制為特定的信任 IP 地址。限制 SSH 和 RDP 對特定信任 IP 地址的存取,或使用 CIDR 表示法指定 IP 範圍 (例如 198.168.1.0/24)。若要修改安全群組規則,請參閱《*Amazon Elastic Compute Cloud 使用者指南*》中的[設定安全群組規則](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html#add-remove-security-group-rules)。
### Amazon EC2 執行個體具有開啟的安全群組
安全群組可做為 Amazon EC2 執行個體的虛擬防火牆,以控制傳入和傳出流量。允許從任何 IP 地址不受限制存取的開放安全群組,可能會讓您的執行個體遭受未經授權的存取。遵循標準安全原則, AWS 建議限制安全群組對特定 IP 地址和連接埠的存取。
**檢閱安全群組規則並評估目前的組態**
評估哪些連接埠可從廣泛的 IP 範圍開啟和存取,例如 `(0.0.0.0/0 or ::/0)`。如需檢視安全群組詳細資訊的說明,請參閱 *.NET API 參考的移植助理*中的 [DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html)。
**修改安全群組規則**
修改您的安全群組規則,以限制對特定信任 IP 地址或範圍的存取。更新安全群組規則時,請考慮透過為每個必要的來源 IP 範圍建立規則或限制對特定連接埠的存取,來區隔不同網路區段的存取需求。若要修改安全群組規則,請參閱《*Amazon EC2 使用者指南*》中的[設定安全群組規則](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html#add-remove-security-group-rules)。
## EC2 執行個體的連線能力特性
以下是 EC2 執行個體的可達性特性和建議的修補步驟。
### EC2 執行個體可透過網際網路連線
Amazon EC2 執行個體具有可透過網際網路閘道 (包括 Application Load Balancer 或 Classic Load Balancer 後方的執行個體)、VPC 互連連線或 VPN 虛擬閘道從網際網路連線的連接埠,可能會將您的執行個體公開至網際網路。遵循標準安全原則,我們建議透過將傳入流量限制為僅必要的來源和連接埠,來實作最低權限的網路存取控制。
**修改或移除安全群組規則**
在**資源**索引標籤中,開啟 Amazon EC2 安全群組的資源。檢閱執行個體是否需要網際網路存取才能運作。修改或移除允許無限制存取的傳入安全群組規則 (`0.0.0.0/0` 或 `::/0`)。根據特定 IP 範圍或安全群組實作更嚴格的規則。如果需要有限的公開存取,請限制存取執行個體函數所需的特定連接埠和通訊協定。如需管理安全群組規則的指示,請參閱《*Amazon EC2 使用者指南*》中的[設定安全群組規則](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html#add-remove-security-group-rules)。
**更新網路 ACLs**
檢閱和修改與執行個體子網路相關聯的網路存取控制清單 (ACLs)。確認 ACL 設定符合安全群組變更,且不要意外允許公開存取。如需修改網路 ACLs 的說明,請參閱《*Amazon VPC 使用者指南*[》中的使用網路 ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/nacl-tasks.html)。
**替代存取方法**
請考慮下列替代存取方法的選項:
+ **使用 NAT Gateway 進行傳出網際網路連線** – 對於私有子網路中需要存取網際網路的執行個體 (例如,下載更新),請考慮使用 NAT Gateway,而不是指派公有 IP 地址。NAT Gateway 允許私有子網路中的執行個體啟動網際網路的傳出連線,同時防止網際網路的傳入連線。
+ **使用 Systems Manager Session Manager** – Session Manager 提供對 Amazon EC2 執行個體的安全殼層存取,而不需要傳入連接埠、管理 SSH 金鑰或維護堡壘主機。
+ **使用 WAF 和 Elastic Load Balancing 或 Application Load Balancer** – 對於執行 Web 應用程式的執行個體,請考慮使用 LB 結合 AWS Web Application Firewall (WAF)。LBs可設定為允許執行個體在私有子網路中執行,而 LB 在公有子網路中執行並處理網際網路流量。將 WAF 新增至負載平衡器可提供額外的 Web 入侵和機器人防護。
## EC2 執行個體的漏洞特性
以下是 EC2 執行個體的漏洞特徵和建議的修復步驟。
### EC2 執行個體具有網路可攻擊的軟體漏洞,具有高利用率的可能性
安裝在 EC2 執行個體上的軟體套件可能會公開到常見漏洞與暴露 (CVEs)。關鍵 CVEs對您的 AWS 環境構成重大的安全風險。未經授權的主體可以利用這些未修補的漏洞來損害資料的機密性、完整性或可用性,或存取其他系統。具有高入侵可能性的關鍵漏洞代表立即的安全威脅,因為攻擊者或自動化掃描工具可能已經公開提供並主動使用入侵程式碼。建議您修補這些漏洞,以保護執行個體。
**更新受影響的執行個體**
檢閱特徵漏洞****索引標籤中的**參考**區段。廠商文件可能包含特定的修補指引。使用以下一般準則,遵循適當的補救措施:
使用 Systems Manager Patch Manager 將修補程式套用至作業系統和應用程式。修補程式管理員可協助您在大型執行個體群組上自動選取和部署作業系統和軟體修補程式。如果您沒有設定修補程式管理員,請手動更新每個受影響執行個體上的作業系統。
依照廠商建議的程序,將受影響的應用程式更新為最新的安全版本。若要跨多個執行個體管理應用程式更新,請考慮使用 Systems Manager State Manager 讓您的軟體保持一致狀態。如果更新不可用,請考慮移除或停用易受攻擊的應用程式,直到修補程式發佈或其他緩解措施,例如限制應用程式的網路存取或停用易受攻擊的功能。
遵循 Amazon Inspector 調查結果中提供的特定修復建議。這可能包括變更安全群組規則、修改執行個體組態或調整應用程式設定。
檢查執行個體是否屬於 Auto Scaling 群組。AMI 取代修補會在不可變的基礎設施上完成,方法是更新設定為在 Auto Scaling 群組中部署新 Amazon EC2 執行個體的 AMI ID。如果您使用的是自訂/黃金 AMI,請使用新的 AMI 建立執行個體,然後自訂執行個體並建立新的黃金 AMI 如需詳細資訊,請參閱 [AMI 更新修補 (使用 Auto Scaling 群組的修補 AMIs)](https://docs.aws.amazon.com/managedservices/latest/userguide/patching-method-immutable.html)。
**未來考量事項**
為了防止未來發生,請考慮實作漏洞管理計畫。Amazon Inspector 可設定為自動掃描執行個體上的 CVEs。Amazon Inspector 也可以與 Security Hub 整合,以進行自動修復。請考慮使用 Systems Manager 維護 Windows 實作定期修補排程,將對執行個體的干擾降至最低。
### Amazon EC2 執行個體具有軟體漏洞
安裝在 Amazon EC2 執行個體上的軟體套件可能會暴露於常見漏洞與暴露 (CVEs)。非關鍵 CVEs代表與關鍵 CVEs 相比,嚴重性或可攻擊性較低的安全弱點。雖然這些漏洞帶來的風險較低,但攻擊者仍然可以利用這些未修補的漏洞來損害資料的機密性、完整性或可用性,或存取其他系統。遵循安全最佳實務, AWS 建議修補這些漏洞,以保護執行個體免受攻擊。
**更新受影響的執行個體**
使用 AWS Systems Manager Patch Manager 將修補程式套用至作業系統。修補程式管理員可協助您在大型執行個體群組上自動選取和部署作業系統和軟體修補程式。如果您沒有設定修補程式管理員,請手動更新每個受影響執行個體上的作業系統。
依照廠商建議的程序,將受影響的應用程式更新為最新的安全版本。若要跨多個執行個體管理應用程式更新,請考慮使用 AWS Systems Manager State Manager 讓您的軟體保持一致狀態。如果更新不可用,請考慮移除或停用易受攻擊的應用程式,直到修補程式發佈或其他緩解措施,例如限制應用程式的網路存取或停用易受攻擊的功能。
遵循 Amazon Inspector 調查結果中提供的特定修復建議。這可能包括變更安全群組規則、修改執行個體組態或調整應用程式設定。
檢查執行個體是否屬於 Auto Scaling 群組。AMI 取代修補會在不可變的基礎設施上完成,方法是更新設定為在 Auto Scaling 群組中部署新 Amazon EC2 執行個體的 AMI ID。如果您使用的是自訂/黃金 AMI,請使用新的 AMI 建立執行個體,然後自訂執行個體並建立新的黃金 AMI 如需詳細資訊,請參閱 [AMI 更新修補 (使用 Auto Scaling 群組的修補 AMIs)](https://docs.aws.amazon.com/managedservices/latest/userguide/patching-method-immutable.html)。
**未來考量事項**
為了防止未來發生,請考慮實作漏洞管理計畫。Amazon Inspector 可設定為自動掃描執行個體上的 CVEs。Amazon Inspector 也可以與 Security Hub 整合,以進行自動修復。請考慮使用 Systems Manager 維護 Windows 實作定期修補排程,將對執行個體的干擾降至最低。
### EC2 執行個體具有End-Of-Life作業系統
EC2 執行個體會執行原始開發人員不再支援或維護的end-of-life作業系統。這會使執行個體暴露在安全漏洞和潛在攻擊中。當作業系統達到end-of-life,廠商通常會停止發佈新的安全建議。現有的安全建議也可能從廠商摘要中移除。因此,Amazon Inspector 可能會停止為已知 CVEs 產生問題清單,進而造成安全涵蓋範圍的進一步差距。
請參閱《*Amazon Inspector 使用者指南*》中的[已停止作業系統](https://docs.aws.amazon.com/inspector/latest/user/supported.html#formerly-supported-os),以取得 Amazon Inspector 可偵測到之生命週期結束的相關資訊。
**更新至支援的作業系統版本**
我們建議您更新至支援的作業系統版本。在公開調查結果中,開啟 資源以存取受影響的資源。更新執行個體上的作業系統版本之前,請在 *Amazon Inspector 使用者指南*中的[支援的作業系統](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os)中檢閱可用的版本,以取得目前支援的作業系統版本清單。
### EC2 執行個體具有惡意軟體套件
惡意套件是包含有害程式碼的軟體元件,旨在損害系統和資料的機密性、完整性和可用性。惡意套件會對執行個體構成主動且重要的威脅,因為攻擊者可以在不利用漏洞的情況下自動執行惡意程式碼。遵循安全最佳實務, AWS 建議移除惡意套件,以保護執行個體免受潛在攻擊。
**移除惡意套件**
檢閱特徵**漏洞**索引標籤**參考**區段中的惡意套件詳細資訊,以了解威脅。使用適當的套件管理員移除已識別的惡意套件。如需範例,請參閱《*Amazon Linux 2023 使用者指南*》中的[套件管理工具](https://docs.aws.amazon.com/linux/al2023/ug/package-management.html)。移除惡意套件之後,請考慮執行掃描,以確保已移除可能由惡意程式碼安裝的所有套件。如需詳細資訊,請參閱《》[中的在 GuardDuty 中啟動隨需惡意軟體掃描](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-getting-started-on-demand-scan.html)**。
### EC2 執行個體具有惡意檔案
惡意檔案包含有害程式碼,旨在損害系統和資料的機密性、完整性和可用性。惡意檔案會對執行個體構成主動且重要的威脅,因為攻擊者可以在不利用漏洞的情況下自動執行惡意程式碼。遵循安全最佳實務, AWS 建議移除惡意檔案,以保護執行個體免受潛在攻擊。
**移除惡意檔案**
若要識別具有惡意檔案的特定 Amazon Elastic Block Store (Amazon EBS) 磁碟區,請檢閱特徵調查結果詳細資訊**的資源**區段。使用惡意檔案識別磁碟區後,請移除已識別的惡意檔案。移除惡意檔案後,請考慮執行掃描,以確保所有可能由惡意檔案安裝的檔案都已移除。如需詳細資訊,請參閱《》[中的在 GuardDuty 中啟動隨需惡意軟體掃描](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-getting-started-on-demand-scan.html)**。