火绒企业版V2.0常见问题

Q：中心支持安装在哪些系统？

Q：系统适配情况是怎么样的？

2.0中心：

2.0终端：

1.0中心：

1.0终端：

以上IP均开放443以及80端口，如果是网闸需要填写IP可以您ping一下域名然后获取IP填写。

Q：火绒使用的端口有哪些？

管理端口：通过该端口访问控制中心后台可对终端进行管控

部署端口：通过该端口访问终端部署页面可下载客户端，且中心与终端通讯也是此端口

中心远程端口：中心使用远程桌面时中心将获取到的数据回传至控制端的端口

终端远程端口：中心使用远程桌面时中心获取被控端数据的端口

本地数据库端口：管理中心与本地mysql数据交互的端口

Q：端口冲突如何处理？

Q：授权如何激活使用？

控制中心电脑无法连接外网：需要使用离线升级工具激活授权，下载工具后同步数据，之后将conf文件夹和离线升级工具拷贝到可以连接外网的机器运行离线升级工具输入序列号密码激活授权，激活完成后将数据和工具拷贝回控制中心电脑更新即可。

Q：序列号和密码如何获取？

Q：授权点数如何计算，不再使用的终端机器是否占用授权？

Q：重复授权/授权到期有什么影响？

授权到期未超过30天版本、病毒无法升级其他功能正常使用，过期授权超过30天版本、病毒无法升级、终端重启后会从中心离线无法上线，保留中心最后一次配置的防护策略。

Q：控制中心如何下载安装？

Q：中心已经安装完成，终端如何安装部署？

1）网页访问部署：客户机浏览器地址栏访问控制中心IPv4/IPv6地址，点击下载客户端，双击安装即可。

2）共享安装：将下载的客户端安装包拷贝到共享目录，复制到各个用户机器，双击安装即可。

3）域部署：可以通过域部署工具生成部署脚本可携带静默参数，通过导入到AD域开机组策略中进行批量部署。

4）三方桌管推送：如有第三方桌面管理软件，可推送火绒客户端安装包，推送时携带静默安装参数/S

5）如是linux系统安装，可以访问终端部署页面命令，将其复制/输入到linux的dos命令行下进行安装。

Q：是否可以将安装火绒终端的电脑做镜像，然后批量安装？

A：有两个方法实现：

1）在中心修改：打开C:Program Files (x86)HuorongESCentersysconf中的center将”clientid.random”:false,改为”clientid.random”:true,如果没有false这个值就直接手动添加下”clientid.random”:true,

2）在终端将火绒终端注册表的clientID里面数据删掉，然后再做镜像（终端上线后会自己自动再生成）。

Q：终端安装报错如何处理？

A：

1）终端安装报错，网络错误：35   HTTP响应：0

部署端口填写错误，需要修改为正确的端口。

2）终端安装报错，网络错误：60   HTTP响应：0

https安装时间问题，需要同步下终端和中心机器的系统时间，或者使用http安装。

3）终端安装报错，网络错误：0   HTTP响应：404

中心文件缺失, 可以手动升级中心或使用离线升级工具进行升级操作。

4）终端安装报错，网络错误：7  HTTP响应：0

主机或代理连接失败，可以重新访问部署链接下载终端安装包，确认下网络是否正常。

5）终端安装报错，网络错误：28  HTTP响应：0

终端与中心网络不互通导致，现象表现为终端无法通过部署链接访问到部署页面。需要排查网络或端口是否有限制。

A：前面数字为终端在线状态，后面数字为终端安装的数量。比如6/26是一共安装了26台终端，现在有6台在线。

Q：异常终端是什么？

A：异常终端可能是终端退出或者终端服务异常，可以到异常终端电脑确认看下，如果是服务异常了可以重启一下电脑看能否恢复。

Q：今日防御事件显示有33次，但是点击后跳转到事件日志没有日志。

A：今日防御事件是病毒查杀、病毒防御、系统防御、网络防御中日志的总和，跳转后需要手动点击这几个项目进行查看。

Q：服务器性能是服务器这台电脑性能么？

A：服务器性能是安装火绒控制中心电脑的性能显示，其中的网络流量也是这台电脑的上传和下载情况。

A：目前只能选择7天或者30天进行展示，如果需要展示其他时间段可以通过安全分析报告设置时间导出进行查看。

A：目前只能同步域环境的组织架构。

A：同步只是将分组信息同步到中心，终端需要手动安装。给分组设置规则后再安装终端会根据规则去到相应的分组。

A：不会自动调整，分组规则是针对未分组的终端，若是终端已经在某个分组，即使发生变化也不会再匹配其他规则。

A：看规则的排序，规则是从上往下进行匹配。

A：点击分组管理后鼠标放在右边列表分组名称前面会出现拖动改变顺序的提示，点击鼠标左键拖动即可调整分组顺序。

A：点击添加可以选中终端加入列表实现释放授权，也可以勾选列表中的终端删除取消黑名单让终端连接中心接受管控。

防护策略

A：在防护策略-策略部署位置可以给不同终端分组应用不同的策略，在部署防护策略这列点击后选择即可应用成功。

Q：终端分组已经应用了策略，但是终端为什么没有生效？

漏洞修复

Q：下发漏洞修复任务后怎么查看任务执行情况和补丁安装情况？

Q：补丁文件管理是所有的补丁么？

资产管理

A：支持的，在登记设置中勾选该项即可。（勾选后，仅在安装时会显示该登记项，重新登记的内容不包括分组登记）。

中心管理

A：独立授权：下级控制中心连入后默认均为独立授权，独立授权时下级控制中心使用自己的授权，与上级控制中心的授权互无关联。 

动态分配：下级控制中心根据自己需要向上级控制中心索取授权，使用上级控制中心的授权。但不可超过上级控制中心授权的总终端台数。注：动态分配时，下级控制中心获得授权点数后将会持续占用，即使有终端下线，授权点数并不会因此减少。当上线的终端数超过授权点数后下级控制中心会继续向上级控制中心索取授权。因此 动态分配是一个只能增加但不会减少的授权获取方式。 

自定义分配：选择此项后，下方自定义分配输入框启用。手动输入需要分配给下级控制中心的授权台数。

A：会有影响。当出现通信故障时，下级中心的授权状态会变更为未授权，终端无法上线。

A：如上下级中心的加密方式不同（即一个中心使用了SSL加密，另一中心未启动该选项）则会弹出该提示。可手动输入下级中心的地址和账号密码登录或统一加密设置。

02

中心迁移

Q：中心迁移需要满足什么条件？

A：终端与新中心、旧中心三者的网络两两连通，否则可能会导致终端无法迁移成功。

03

中心设置

Q：是否可以禁止终端用户修改设置、退出和卸载火绒？如何设置？

A：火绒企业版支持设置密码保护，第一个密码可限制终端修改设置和退出火绒终端；第二个密码可限制终端用户随意卸载火绒。

Q：我想将长时间没有上线的终端删除，如何操作？

A：可开启离线终端管理，开启后可以自动删除长时间没有上限的终端。天数可以在7-180之间自定义。

Q：屏蔽搜索引擎引用的作用是什么？

A：开启后，控制中心地址不会通过搜索引擎搜索到。

Q：远程桌面是否可以设置不经终端同意直接远程？

A：可以，响应时间调整为0，超时选择允许即可，如图。

Q：中心地址管理的作用是什么？

A：在这里添加的地址，如终端离线后，会尝试连接这里的中心，连接成功后可接受其他控制中心的管理。如终端机器经常去其他区域的公司出差，可以考虑使用该功能，在出差期间可正常接受管控。

Q：邮件告警中的发件邮箱配置，如何填写？

A：常见邮箱（如QQ、网易163、126等）可依据官方指引进行设置，密码一般为独立授权码。企业单独部署的邮件服务请依据邮件服务说明进行设置。

Q：时间同步功能是以什么时间为标准呢？

A：以安装控制中心的系统时间为标准，终端会同步控制中心的系统时间。

Q：火绒是否有提供API接口？支持哪些功能？有示例吗？

A：有API接口，详情可点击管理中心下图位置查看。

Q：火绒是否可以将中心日志导出至其他平台？是否可以提供字段说明？

A：支持。火绒的syslog导出功能可以将日志导出至其他的syslog服务器。详细字段请联系火绒客服获取。

事件日志

Q：为什么中心日志的时间和终端日志的时间不一致呢？

Q：事件日志中的数据导出管理，作用是什么？

Q：安全分析报告是否支持导出word版本？

Q：是否可以定时将安全分析报告发送到指定邮箱？

Q：我的中心是Linux版本，导出下载的安全分析报告是 .zip 格式，是什么原因？

管理工具

其他

01

特殊问题

Q：中心登录黑屏。

A：排查方法：

1.端口是否冲突

2.监测工具是否提示异常，截图（可以看到中心版本）

3.提取日志：

火绒控制中心的监测工具日志；

C:ProgramFiles(x86)HuorongESCenterlog文件夹以及daemoncenter.exe.log；

C:Program Files(x86)HuorongESCenternginx目录下的logs文件夹

Q：漏洞修复安装失败。

A：排查方法：

1. win10系统——执行脚本dism_sfc.bat后安装如果还是失败执行脚本GetPatchKbAndEvents提取patch文件给产品技术支持分析；

2. win7，server2008R2x64——执行脚本repair如果还是安装失败下载运行万能补丁，还是失败同上提取patch文件

3. 其他系统——执行脚本GetPatchKbAndEvents提取patch文件给产品技术支持分析；

（脚本目录：\192.168.1.200om小工具漏洞修复）

Q：漏洞修复下载失败。

A：排查方法：

1. 内网——中心是否使用离线升级工具下载同步了补丁，是否勾选了从中心下载补丁，终端是否正常在线；

2. 中心外网终端内网——是否勾选了从中心下载补丁，终端是否正常在线，是否可以ping通微软域名；

3. 外网——终端是否可以ping通微软域名

download.windowsupdate.com

download.microsoft.com

Q：sha2签名补丁下载失败。

A：给用户发送带有补丁包的工具进行安装。

（\192.168.1.200user_uploadodditysha22.0）

Q：sha2签名补丁安装失败。

A：同安装失败进行处理。

Q：从中心下载组件失败。

A：排查方法：

1. 重新下载再次安装

2. 确认中心版本和病毒库时间（大概率中心病毒库时间是1970-01-01）

a）手动尝试升级；

b）使用离线升级工具进行升级；

c）卸载中心那台机器上的终端，然后重启—右键中心图标—属性—打开文件所在位置，找到upgrade这个文件夹，打开删除里面的数据，然后再打开中心手动升级，升级完成后重新下载终端安装包进行部署。

Q：远程桌面黑屏。

A：1）端口是否有限制；

2）是否开启防火墙或其他安全软件拦截；

3）重启中心服务尝试能否恢复。

Q：手机微信小程序口令没有了，终端如何清除掉终端动态口令。

A：电脑重启后进入系统安全模式，将以下位置删除

文件：HuorongESEndpointbinHrCredProv*.dll

注册表：计算机HKEY_LOCAL_MACHINESOFTWAREHuorongESEndpointapptotp

02

信息提取路径

控制中心

Windows可自定义安装路径，默认C:Program Files (x86)HuorongESCenter

Linux中心不可修改，安装路径为/opt/apps/huorong/escenter

终端

Windows终端安装路径：C:Program Files (x86)HuorongESEndpoint

终端库所在路径：C:ProgramDataHuorongESEndpoint

XP系统安装路径：C:Program FilesHuorongESEndpoint

终端库所在路径：C:Documents and SettingsAll UsersApplication DataHuorongESEndpoint

Linux服务器版终端：/usr/local/huorong

Linux桌面版终端：/opt/apps/cn.huorong.esm/

MacOS版终端：/Library/Application Support/Huorong/EsEndpoint

提取系统日志，如无特殊说明，提取以下文件即可：

C:WindowsSystem32winevtLogsSystem

C:WindowsSystem32winevtLogsApplication

C:WindowsSystem32winevtLogsSecurity 

C:WindowsSystem32winevtLogsSetup这四个evtx文件。

HUORONG

火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。多年来，火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节，拓展了企业对于终端管理的范围和方式，提升了产品的兼容性、易用性，最终实现更直观的将威胁可视化、让管理轻便化，充分达到保护企业信息安全的目的。