常见问题

可以策略通知设置将“自动升级-完成时”开关关闭，关闭后将不再弹窗提示。

常规模式是没有开启免打扰模式，基础配置中未勾选开启免打扰模式的弹窗提示情况，可以根据需求开启或者关闭弹窗提示，开启为橙色，即有弹窗提示，灰色为关闭即不提示；

免打扰模式是基础配置中勾选了开启免打扰模式时的弹窗提示情况，也是可以根据需求开启或者关闭弹窗提示，开启为橙色，即有弹窗提示，灰色为关闭即不提示。

将火绒的信任区清空后进行全盘查杀，全盘查杀后重启电脑观察是否还有问题。

根据日志中显示的对应项目在策略防护系统加固-自动处理规则中选择对应的功能添加日志中显示的操作进程，如果操作进程为系统进程比如：cmd.exe；reg.exe；net.exe； net1.exe；explorer.exe；dllhost.exe；svchost.exe 不可以添加，可以添加日志中的父进程勾选包含子程序。

系统免疫拦截不支持添加白名单自动处理。需要提取信息联系官方客服确认： 

1. 火绒终端日志；

2. 拦截的文件；

3. 终端电脑火绒的三个 log 文件（路径：C:\ProgramData\Huorong\ESEndpoint 下的 log.db、log.db-shm 和 log.db-wal；）

策略中找到软件安装拦截点击添加规则将要安装的软件选中添加白名单就不会再拦截了。

目前暂不支持手动添加软件阻止安装，可以在程序执行控制添加程序阻止运行。

smbv2 暴破一般是病毒或共享导致的，日志里的远程地址是发起攻击的机器，可以通过以下三个步骤进行排查：

1.排除病毒因素：对远程地址对应的终端进行全盘查杀+专杀工具扫描；
2.排除共享因素：将火绒升级至最新版本，如本地地址机器存在共享服务或共享打印机，可在不影响业务的情况下临时关闭， 如未出现新的拦截日志，需在远程地址机器上查看是否存在本地地址凭据或该共享的快捷方式，若存在，将凭据删除后重新添加或删除此共享的快捷方式，再观察解决情况；
3.若上面两点都确认没有问题，但仍然有暴破攻击日志出现，需要在有日志出现的时候进行抓包联系官方客服确认。

对远程地址对应的终端进行全盘查杀+专杀工具扫描，查杀后重启电脑观察。

远程登录防护开启后将阻止所有的RDP远程（系统的远程桌面）连接，不影响向日葵这类远程工具使用。

IP协议控制可以设置IP地址和端口，来实现功能；先设置一个放行的策略，远程IP填写输入可以访问的IP端，优先级设置为1；再设置一个阻止的策略优先级为2，即可实现。

开启功能后可以选择是允许联网还是阻止联网，如果允许联网的话可以添加阻止联网的规则。

目前火绒只能拦截http协议的网址，https协议暂时不支持拦截的。

程序执行控制如果要放过的话需要在对应规则名称中找到拦截项目将开关关闭，自定义规则是添加程序进行拦截，信任文件不能放过程序执行控制的。

在策略的设备控制中开启功能，然后将U盘设备改为禁用即可禁止U盘使用。禁止后如有需要使用的U盘有三种方式可以实现：

1）注册U盘；

2）将需要使用的U盘添加到设备控制白名单；

3）需要使用的U盘在终端进行申请，然后中心审批通过即可使用。

查看设备控制的日志看下是否为其他项目拦截了打印机，火绒的设备是通过系统的设备管理器获取，如果打印机在设备管理器中被识别为其他类型火绒也会按照这个类型禁用。

目前此功能不支持 win10 及以上系统和 winserver2016 及以上系统。

自定义黑白名单，对终端用户已安装的软件进行检测，并且对违规用户处置 (只会提示终端电脑，不会对软件禁用；如果选择隔离违规终端，终端隔离后无法通过终端概况给终端恢复，只能通过卸载软件)。

检测终端是否有链接外部网络的能力或者是否使用公司指定的网络环境链接外网，并对违规终端进行处置。