文章总结： 本文详细介绍火绒终端安全管理系统暴破攻击防护功能的使用方法，该功能可检测并拦截基于SMB、RDP、SQLServer等协议的暴力破解攻击，有效防范勒索病毒入侵。文档提供了具体的开启步骤、白名单配置方案、常见误拦截排查方法，并建议结合远程登录防护、动态口令认证及密码策略强化形成多层防御体系。 综合评分： 82 文章分类： 终端安全,网络安全,安全运营,解决方案,威胁防护

火绒小问答——「企业版」暴破攻击防护如何使用

火绒安全

2026年5月29日 18:19 北京

在小说阅读器读本章

去阅读

尊敬的用户，您好！

暴力破解攻击是勒索病毒、木马入侵内网的主要途径之一，不法分子常通过 SMB、RDP、SQL Server等协议的弱口令暴破获取主机权限，进而肆意传播恶意程序。为帮助您有效防范此类威胁，本文将详细介绍火绒终端安全管理系统中暴破攻击防护功能的使用场景、配置方法、问题排查及安全加固建议，助力您构建多层防御体系，守护终端与内网安全。

一、使用场景

火绒终端安全管理系统的暴破攻击防护功能用于阻止不法分子通过暴力破解登录密码等方式获取密码并远程登录用户电脑，防范勒索病毒等威胁的传播。

二、功能简介

不法分子常通过暴力破解登录密码（如SMB、RDP、SQL Server等协议）获取密码进行远程登录，成功后可在权限允许范围内肆意操作主机，这是勒索病毒入侵内网的主要途径之一。开启暴破攻击防护后，系统将检测并拦截此类暴力破解攻击行为。

三、使用前提

1.确保版本支持：该功能支持防护基于SMBv1、SMBv2、RPC、SQLServer、RDP协议的暴破攻击。从V2.0.18.0版本起，新增了对FTP协议暴破攻击的检测与防护支持。

2.策略已部署：需确保已登录管理控制中心，并为相应终端分组创建了防护策略。

四、开启与配置步骤****

主要通过管理控制中心进行统一配置，以确保策略同步到终端。 1. 开启功能

• 登录管理控制中心。
• 进入【防护策略】->【策略管理】->【策略详情】。
• 选择对应终端（如Windows）的策略，在【网络防御】模块下，勾选【开启暴破攻击防护】。

2. 配置白名单（可选但重要） 开启后，可配置白名单以放行合法的登录请求，避免功能误拦截影响正常业务。

• 在暴破攻击防护设置区域，点击【暴力破解攻击白名单】旁的【添加规则】。
• 填写规则参数： o 远程IP：填写信任的IP地址，该IP发起的暴力破解检测将被放行。 o 适用范围：可选择针对 全部类型 协议放行，或仅针对特定协议（如SMBv1暴破攻击、SMBv2暴破攻击、RPC暴破攻击、SQLServer暴破攻击、RDP暴破攻击、FTP暴破攻击）放行。 o 备注：可添加规则说明，方便管理（不可超过60个字符）。
• 完成后点击确定保存规则。 提示：在医疗等行业，部分第三方应用的正常登录可能被误判，在确保安全的前提下可以为这些应用的IP添加白名单，以免影响使用。

五、常见拦截问题的排查与处理

如果启用后出现误拦截，或需要分析拦截日志，可参考以下步骤：

SMBv2 拦截排查

• 可能原因：病毒或共享服务导致
• 处理步骤：

1.排查病毒：对日志中 “远程地址” 对应的终端进行全盘查杀。

2.排查共享：升级客户端至最新版；如本地终端存在共享服务或打印机，在不影响业务下临时关闭，若无新拦截，需在远程终端删除相关凭据或共享快捷方式。

3.抓包确认：若均无问题但仍有日志，在有拦截时抓包并联系火绒官方客服。

SMBv1 拦截排查

• 可能原因：通常为病毒行为
• 处理步骤：对日志中 “远程地址” 对应的终端进行全盘查杀 + 专杀工具扫描，查杀后重启电脑观察。

六、使用建议与注意事项

1.防御勒索病毒的关键环节：RDP口令暴破是勒索病毒最主要的传播方式之一，开启此功能能有效阻断黑客通过弱口令远程登录投递病毒。

2.结合其他防护使用：建议与【远程登录防护】及【终端动态口令安全认证】功能结合使用，形成多层防御：

o 远程登录防护：可默认阻止所有远程登录，仅白名单IP放行。

o 终端动态认证：为重要服务器增加登录时的动态口令二次验证。

3.密码安全加固：技术手段之外，还需加强账号密码管理：

o 设置高强度密码（字母数字混合+特殊字符，长度≥8位）。

o 重要服务器禁用默认Administrator账户或设置不同强口令。

o 在组策略中启用账户锁定策略（如错误5次后锁定账户）。

o 定期更换密码。

4.关注拦截日志：暴破攻击防护拦截日志意味着有攻击发生，虽然已被阻止，但仍需定期审查，分析攻击源是否为内部感染或持续外部探测，并及时处理。

尊敬的用户：

若您有其他产品使用问题，可通过以下方式联系我们~

微信公众号：主界面—常见问题—人工客服

火绒官方论坛：https://bbs.huorong.cn/

火绒官方服务热线：400-998-3555（法定工作日8:30-20:30，法定节假日9:30-18:30）

HUORONG

火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。多年来，火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节，拓展了企业对于终端管理的范围和方式，提升了产品的兼容性、易用性，最终实现更直观的将威胁可视化、让管理轻便化，充分达到保护企业信息安全的目的。

求点赞

求分享

求喜欢

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：火绒安全 《火绒小问答——「企业版」暴破攻击防护如何使用》