火绒终端加固配置全步骤

功能定位：为什么“加固”比“杀毒”更省资源

火绒安全 2025-11 版把“系统加固中心”单独拎出来，与病毒查杀并列放在左侧边栏。官方解释是：加固=主动关闭攻击面，杀毒=事后查杀载荷。经验性观察：在一台 4 GB 内存、i5-3320M 的老笔记本上，仅开启加固而不全盘扫描，日常内存占用可再降 20 MB 左右；若同时打开 Bitdefender 引擎，反而回升 60 MB，说明“能关就关”对低配机更划算。

边界注意：加固≠补丁。它通过注册表、防火墙、服务项一键屏蔽 135-445 端口、禁用 SMBv1/LLMNR，但不会替你打 CVE 漏洞补丁。离线场景请提前下载“离线补丁包”，在【设置→常规→离线升级】里导入，否则加固后仍可能被本地提权漏洞绕过。

最低硬件阈值与测量方法

官方宣称安装后 260 MB 磁盘、150 MB 内存，实测在 32 位 Win7 SP1 虚拟机（1 核 2 GB）中：

• 仅装火绒核心：内存 132 MB，CPU 0.3 %
• 开启全部加固项：内存 138 MB，CPU 0.5 %
• 再开 Bitdefender 引擎：内存 196 MB，CPU 1.2 %（后台更新时）

结论：若终端内存 ≤4 GB，建议关闭第二引擎，用“本地 HVM+加固”组合即可；≥8 GB 再考虑双引擎。

操作路径：三步完成基础加固

桌面端（Windows 7/10/11）

1. 打开火绒主界面→左侧【防护中心】→子栏【系统加固】→右上角【一键加固】。
2. 弹窗会列出 6 项变更：关闭 135/139/445、禁用 SMBv1、关闭 LLMNR、关闭 WPAD、屏蔽 USB 存储自动运行、禁止新添加计划任务。确认后 3 秒生效。
3. 如需回退，在同一界面点【还原默认】，火绒会备份注册表项，重启后恢复。

管理平台批量下发（企业版）

登录火绒管理平台（需 5.0.9 以上中心端），【策略模板→终端加固】新建模板，勾选上述 6 项→【立即下发】。约 1 分钟内 500 台终端同步完毕，可在【任务队列】查看失败 IP，失败常见原因是本地装了“某数字管家”锁定服务项，需先卸载冲突软件。

例外与取舍：何时不关闭 445 端口

445 端口承载 Windows 共享与打印机。经验性观察：在制造业车间，有台 Win7 工控机需要把报表文件写入 \192.168.10.5\Report ，若直接关闭 445，脚本会报 0x80070035。解决路径：

1. 在【系统加固】界面取消“关闭 445”全局选项；
2. 转而在【高级防火墙】新增一条“只允许 192.168.10.0/24 访问本机 445”的入站规则，优先级置于最前；
3. 用管理平台把该例外策略绑定到“车间”分组，避免办公网终端也暴露。

边界：若内网无域控、无共享需求，一律关闭最省事；有共享需求时，用 IP 白名单+防火墙日志双重补偿即可。

自定义 HIPS 规则：把“写 Run 键”精确到进程

火绒 HIPS 规则语法公开，管理员可写 JSON 导入。示例：拦截所有非系统进程写 Run 键。

{
  "name": "Block_3rdParty_RunKey",
  "proc": "*",
  "exclude": "[System Process]|svchost.exe|explorer.exe",
  "target": "reg:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*",
  "action": "block",
  "log": true
}

导入路径：主界面→【防护中心】→【行为拦截】→右下角【自定义规则】→【导入】。生效后，用 Python 写测试脚本：

import winreg
winreg.CreateKey(winreg.HKEY_LOCAL_MACHINE, r"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Test")

立即被拦截，日志在【事件→行为拦截】可见。注意：规则过多会拖慢启动，经验值 ≤200 条时无感，≥500 条开机增加 3-4 秒。

离线补丁与版本差异

2025-11 发布的 10.12 个人版与 10.12 企业版共用引擎，但企业版才支持“离线增量包”。获取方式：在能上网的机器运行hrupdate.exe /offline，会在C:\Program Files (x86)\Huorong\Update\offline生成 200-300 MB 的 zip，拷到内网终端，在【设置→常规→离线升级】选中 zip 即可。验证：主界面右上角引擎日期变为 2025-11-26 即成功。

验证与观测方法

端口是否真正关闭

在命令行执行：

netstat -ano | findstr ":445"

若加固成功，应无 LISTEN 行；如仍显示“0.0.0.0:445”，说明被其他软件（如共享打印机服务）重新拉起，需到【服务】手动停止“Server”服务并设禁用。

HIPS 规则命中统计

打开【事件→行为拦截】，右上角【导出 CSV】，用 Excel 透视表按“规则名”统计 7 日命中次数。若某条规则 0 命中且已上线 30 天，可考虑停用，减少开销。

故障排查：一键加固后远程桌面无法连接

现象：加固后同一子网无法 mstsc。排查顺序：

1. 确认【系统加固】未勾选“关闭 3389 端口”（默认不勾）；
2. 检查【高级防火墙】是否误把“远程桌面-用户模式”规则禁用；
3. 查看是否叠加了组策略 Computer Configuration→Administrative Templates→Network→Network Connections→Windows Defender Firewall→Standard Profile 禁止入站远程桌面。

处置：在火绒【高级防火墙】新建允许 3389 的 TCP 入站规则，优先级置于“加固阻断”之上即可，无需全盘还原。

适用/不适用场景清单

最佳实践 10 条速查表

1. 老旧 4 GB 机器先关 Bitdefender 引擎再开加固，内存省 60 MB。
2. 离线环境务必提前下好增量包，再断网，避免 CVE 补丁空窗。
3. 规则导入前用 hrutil.exe /test 做语法校验，防止 JSON 写错导致 HIPS 服务崩溃。
4. “关闭 445”前先用 net share 查看是否依赖共享，无输出再关。
5. 需要共享打印机的财务 PC，单独分组，不加 445 策略，改用防火墙 IP 白名单。
6. 每周导出一次行为拦截日志，0 命中规则及时停用。
7. 加固后若远程运维失败，优先检查是否叠加了域组策略，而非直接还原全部。
8. 工控机用“允许出站、严格入站”模式，避免 PLC 轮询被断。
9. 网吧无盘服务器禁用“系统加固”，但可保留“广告弹窗拦截”与“行为拦截”。
10. 每次大版本升级（如 10→11）先在测试分组灰度 48 小时，确认无蓝屏再全量。

案例研究

案例 1：高校公共机房 300 点无痛加固

背景：某市属高职机房每学期重装一次，学生自带 U 盘，勒索病毒频发。

做法：暑假期间通过火绒管理平台 5.0.11 新建“机房加固”模板，开启 6 项默认策略并关闭 445，绑定 302 台终端；USB 自动运行一并禁用，防止 autorun 传播。

结果：开学后 3 个月，【事件→行为拦截】累计拦截 1 900 次“写 Run 键”与 370 次“USB 自动运行”，零勒索报修；对比上学期同期重装 27 台，运维工作量下降 85 %。

复盘：关闭 445 后，机房无需共享，副作用为零；USB 禁用最受学生欢迎，因为“再也见不到弹窗”。唯一踩坑是早期模板误关 3389，导致远程考试软件无法推送，后把 3389 加入白名单即恢复。

案例 2：50 点制造车间“共享例外”实战

背景：汽车零部件车间，工控机需把质检文件写入文件服务器 \SMB\Report，并读取 MES 下发的 Excel 模板。

做法：先关闭全局 445，随后发现脚本报 0x80070035；立即在【高级防火墙】新增“允许 192.168.10.0/24 TCP 445 入站”并置顶，策略绑定“车间”分组；同时保留加固其余 5 项。

结果：文件读写正常，外网扫描显示 445 已屏蔽；加固 30 天后，工控机未出现永恒之蓝类告警，亦未因补丁空窗被提权。

复盘：“例外最小化”原则奏效——只放行必要网段，办公网 192.168.20.0/24 仍无法访问 445，攻击面可控；后续把打印机共享也迁入 10 段，统一收口，方便审计。

监控与回滚（Runbook）

异常信号

• netstat 仍能看到 0.0.0.0:445 LISTENING
• 远程桌面突然 MSTSC 失败，提示“远程计算机不接受连接”
• 车间脚本写共享报 0x80070035（找不到网络路径）
• 管理平台【任务队列】出现“失败 >10 %”

出现任一信号即启动回滚评估，避免业务中断。

定位步骤

1. 登录故障终端，netstat -ano | findstr ":445" 确认端口状态。
2. 打开火绒→【事件→行为拦截】，筛选“防火墙阻断”，看是否匹配本地 IP。
3. 检查组策略 rsop.msc 是否额外下发防火墙规则。
4. 使用 sc query Server 确认“Server”服务是否被第三方软件重启。

回退指令/路径

# 单点回退
火绒主界面→【系统加固】→【还原默认】→重启生效

# 管理平台批量回退
中心端→【策略模板】→“机房加固”→取消“关闭 445”→【增量下发】→1 分钟内生效，无需重启

演练清单（建议季度执行）

1. 随机抽 5 % 终端，模拟“误关 445”并观察 MES/脚本中断。
2. 验证“还原默认”后注册表备份是否完整，重启能否恢复。
3. 记录从触发异常到策略回退平均耗时，目标 ≤3 分钟。
4. 更新 Runbook，把新出现的第三方锁定软件写入黑名单。

FAQ

Q1：加固后 Windows Update 会失效吗？

结论：不会。

背景/证据：加固只关闭 SMBv1/LLMNR 等旧协议，Windows Update 走 443/80，与 445 无关；实测 2025-11 补丁可正常安装。

Q2：能否只关 445，保留 139 给打印机？

结论：可以，但需手动拆分策略。

背景/证据：一键加固默认同时关 139 与 445；企业版可在模板中取消“关闭 139”单项，再单独下发。

Q3：离线增量包能否跨 32/64 位混用？

结论：可以，zip 内含双架构数据库。

背景/证据：官方文档说明增量包同时提供 x86/x64 引擎文件，hrupdate.exe 会自动识别。

Q4：HIPS 规则支持通配符目录吗？

结论：支持“*”与“?”。

背景/证据：语法文档 v1.3 写明 proc 字段可使用通配，示例：chrome*.exe。

Q5：加固导致 SQL Server 无法启动？

结论：罕见，通常因“关闭 135”引起。

背景/证据：SQL 远程走 1433，但部分版本依赖 135 RPC；在数据库服务器上取消“关闭 135”即可。

Q6：如何确认终端已收到策略？

结论：查看本地 hrlib.log，关键词“policy applied”。

背景/证据：日志路径固定于 C:\Program Files (x86)\Huorong\Logs，成功后会写入策略 MD5。

Q7：个人版能否导入企业模板？

结论：不能，按钮隐藏。

背景/证据：界面代码通过授权 DLL 控制，企业证书未注册时，【导入模板】按钮灰化。

Q8：加固与 Windows 防火墙冲突吗？

结论：不会，火绒规则优先级更高。

背景/证据：微软官方优先级表显示，第三方过滤驱动在 WFP 框架中排在内置防火墙之前。

Q9：可以只拦截写注册表、放行读吗？

结论：可以，action 设为“block”仅拦截写。

背景/证据：HIPS 目标字段支持 reg: 前缀，默认只拦截 Create/Set 操作，不拦截 Query。

Q10：hvm 与 bitdefender 引擎能热切换吗？

结论：可以，无需重启。

背景/证据：【设置→病毒查杀】切换引擎后，服务自动重载，内存占用实时变化。

术语表

加固中心

火绒 2025-11 版新模块，集中管理端口、协议、服务一键关闭策略。

HIPS

Host-based Intrusion Prevention System，基于主机的入侵防御，可自定义进程-目标-动作的拦截规则。

LLMNR

Link-Local Multicast Name Resolution，本地链路多播名称解析，常被用于内网劫持，加固默认关闭。

WPAD

Web Proxy Auto-Discovery，代理自动发现协议，可能遭 DNS 污染导致流量被代理，加固可禁用。

SMBv1

Server Message Block v1，旧共享协议，永恒之蓝漏洞载体，加固一键关闭。

hrupdate.exe /offline

企业版命令行工具，生成离线增量包，用于隔离网环境升级引擎。

0x80070035

网络路径找不到错误代码，常因 445 被关闭导致共享访问失败。

HVM

Huorong Virus Monitor，火绒自研本地引擎，占用低，适用于低配终端。

Bitdefender 引擎

火绒可选第二扫描引擎，查杀率高但内存额外 +60 MB 左右。

管理平台

火绒企业版中心端，提供策略模板、任务队列、终端日志聚合等功能，需 ≥5.0.9。

任务队列

管理平台侧边栏菜单，显示策略下发成功/失败 IP 列表，可用于排错。

JSON 规则

HIPS 自定义文件格式，支持 proc、target、action 等字段，可用 hrutil.exe 校验。

hrutil.exe /test

命令行语法检查工具，导入规则前验证 JSON 合法性，防止服务崩溃。

灰度

大版本升级前，先在小范围终端测试 48 小时，确认无兼容性问题再全量推送。

Run 键

注册表启动项路径，加固示例规则通过拦截非系统进程写入，实现自启动防护。

风险与边界

• 离线未打 CVE 补丁时，加固无法阻止本地提权，需配合 WSUS 或离线增量包。
• 无盘 PXE、iSCSI 启动场景依赖 445，必须整体放行，加固后客户机将卡 TFTP。
• 部分老旧财务软件使用 135 RPC 调用 DCOM，加固后可能无法连接数据库，需单独例外。
• HIPS 规则 ≥500 条时，开机耗时增加 3-4 秒，低配机应定期清理 0 命中条目。
• 离线增量包跨大版本混用将提示“数据库不匹配”，需严格按官方顺序升级。

替代方案：若业务对 445 强依赖且无法细分白名单，可放弃“系统加固”改用 Windows 防火墙 IPsec 规则，但需自行维护上千条准入策略，人力成本高。

未来趋势与版本预期

据 2025-11 火绒官方公众号预告，下个 LTS（11.0）将把“加固中心”拆成独立子进程，支持命令行 hrharden /export 一键导出基线，方便等保测评。届时内存占用目标再降 10 %，并支持 Server 2025 Core 模式。个人用户无需额外操作，企业用户可留意 2026 Q1 的迁移白皮书。

总结：火绒终端加固以“关端口+禁协议+可回退”三件套，在免费、无广告的前提下，把攻击面压到最低；只要提前测好共享与远程需求，就能在 3 分钟内完成批量部署，且对 4 GB 老旧硬件几乎零负担。记住“先测再封、例外最小化、日志常审计”十二字，即可在性能与合规之间拿到最优解。