火绒小问答——「企业版」暴破攻击防护如何使用

尊敬的用户，您好！

暴力破解攻击是勒索病毒、木马入侵内网的主要途径之一，不法分子常通过 SMB、RDP、SQL Server等协议的弱口令暴破获取主机权限，进而肆意传播恶意程序。为帮助您有效防范此类威胁，本文将详细介绍火绒终端安全管理系统中暴破攻击防护功能的使用场景、配置方法、问题排查及安全加固建议，助力您构建多层防御体系，守护终端与内网安全。

一、使用场景

火绒终端安全管理系统的暴破攻击防护功能用于阻止不法分子通过暴力破解登录密码等方式获取密码并远程登录用户电脑，防范勒索病毒等威胁的传播。

二、功能简介

不法分子常通过暴力破解登录密码（如SMB、RDP、SQL Server等协议）获取密码进行远程登录，成功后可在权限允许范围内肆意操作主机，这是勒索病毒入侵内网的主要途径之一。开启暴破攻击防护后，系统将检测并拦截此类暴力破解攻击行为。

三、使用前提

1.确保版本支持：该功能支持防护基于SMBv1、SMBv2、RPC、SQLServer、RDP协议的暴破攻击。从V2.0.18.0版本起，新增了对FTP协议暴破攻击的检测与防护支持。

2.策略已部署：需确保已登录管理控制中心，并为相应终端分组创建了防护策略。

四、开启与配置步骤

主要通过管理控制中心进行统一配置，以确保策略同步到终端。

1. 开启功能

登录管理控制中心。

进入【防护策略】->【策略管理】->【策略详情】。

选择对应终端（如Windows）的策略，在【网络防御】模块下，勾选【开启暴破攻击防护】。

2. 配置白名单（可选但重要）

开启后，可配置白名单以放行合法的登录请求，避免功能误拦截影响正常业务。

在暴破攻击防护设置区域，点击【暴力破解攻击白名单】旁的【添加规则】。

填写规则参数：

o 远程IP：填写信任的IP地址，该IP发起的暴力破解检测将被放行。

o 适用范围：可选择针对 全部类型 协议放行，或仅针对特定协议（如SMBv1暴破攻击、SMBv2暴破攻击、RPC暴破攻击、SQLServer暴破攻击、RDP暴破攻击、FTP暴破攻击）放行。

o 备注：可添加规则说明，方便管理（不可超过60个字符）。

完成后点击确定保存规则。

提示：在医疗等行业，部分第三方应用的正常登录可能被误判，在确保安全的前提下可以为这些应用的IP添加白名单，以免影响使用。

五、常见拦截问题的排查与处理

如果启用后出现误拦截，或需要分析拦截日志，可参考以下步骤：

SMBv2 拦截排查

可能原因：病毒或共享服务导致

处理步骤：

1.排查病毒：对日志中 “远程地址” 对应的终端进行全盘查杀。

2.排查共享：升级客户端至最新版；如本地终端存在共享服务或打印机，在不影响业务下临时关闭，若无新拦截，需在远程终端删除相关凭据或共享快捷方式。

3.抓包确认：若均无问题但仍有日志，在有拦截时抓包并联系火绒官方客服。

SMBv1 拦截排查

可能原因：通常为病毒行为

处理步骤：对日志中 “远程地址” 对应的终端进行全盘查杀 + 专杀工具扫描，查杀后重启电脑观察。

六、使用建议与注意事项

1.防御勒索病毒的关键环节：RDP口令暴破是勒索病毒最主要的传播方式之一，开启此功能能有效阻断黑客通过弱口令远程登录投递病毒。

2.结合其他防护使用：建议与【远程登录防护】及【终端动态口令安全认证】功能结合使用，形成多层防御：

o 远程登录防护：可默认阻止所有远程登录，仅白名单IP放行。

o 终端动态认证：为重要服务器增加登录时的动态口令二次验证。

3.密码安全加固：技术手段之外，还需加强账号密码管理：

o 设置高强度密码（字母数字混合+特殊字符，长度≥8位）。

o 重要服务器禁用默认Administrator账户或设置不同强口令。

o 在组策略中启用账户锁定策略（如错误5次后锁定账户）。

o 定期更换密码。

4.关注拦截日志：暴破攻击防护拦截日志意味着有攻击发生，虽然已被阻止，但仍需定期审查，分析攻击源是否为内部感染或持续外部探测，并及时处理。

尊敬的用户：

若您有其他产品使用问题，可通过以下方式联系我们~

微信公众号：主界面---常见问题---人工客服

火绒官方论坛：https://bbs.huorong.cn/

火绒官方服务热线：400-998-3555（法定工作日8:30-20:30，法定节假日9:30-18:30）