2020.1.14 End Of Life后,我如何把Server2008R2安全地用了4年
原创
2020.1.14 End Of Life后,我如何把Server2008R2安全地用了4年
原创
2020.1.14 End Of Life后,我如何把Server2008R2安全地用了4年?
以下仅作为使用经验交流,不作为建议或指导说明
1、补丁打到最全
①必须先安装KB3020369(微软要求),再安装KB3125574,否则安装不上KB3125574。
补丁库没有的话去公网找,这2个补丁必须的
②用内网更新库和微软公网更新库分别发力
换腾讯云的更新源、微软的公网更新源,用微软的更新脚本
切源涉及写操作,先做快照,最好关机做快照。
可以先切换到腾讯云内网update源或者机器能访问公网的话优先切到公网源(先切内网源冲掉之前的配置再切公网源,切源用wusin.bat和wusout.bat这2个脚本),然后用微软官网的.vbs脚本更新。
腾讯云内网源wusin.bat 下载地址为:http://mirrors.tencentyun.com/install/windows/wusin.bat
腾讯云外网源wuout.bat 下载地址为:http://mirrors.tencentyun.com/install/windows/wusout.bat
微软官网的.vbs更新脚本:
https://learn.microsoft.com/zh-cn/windows/win32/wua_sdk/searching--downloading--and-installing-updates
脚本执行指令如下:cscript WUA_SearchDownloadInstall.vbs /RebootToComplete
注意脚本的Y/N交互,如果默认值是你想要的则直接按回车,过程中可能涉及多次交互,多操作几遍就熟悉了
2、powershell2.0搞到5.1
https://cloud.tencent.com/developer/article/2425133
3、不要用IE浏览器,安装特定版本Firefox
32位:
https://cdn.stubdownloader.services.mozilla.com/builds/firefox-esr-latest-ssl/en-US/win/b272b3845c22ee57f13201a419543c929650cea061b691e05a51f60b509f8090/Firefox%20Setup%20115.11.0esr.exe
64位:
https://cdn.stubdownloader.services.mozilla.com/builds/firefox-esr-latest-ssl/en-US/win64/5125e4561105e2b80c07d2579a34679d878c822f3159c7f3498875dd1347dc53/Firefox%20Setup%20115.11.0esr.exe
4、安装TAT,用TAT在线重置密码规避安全软件的影响
https://cloud.tencent.com/developer/article/2228199
5、安装360杀毒和赛门铁克SEP 14.3 RU4
①360的杀毒防护效果和效率,大多数情况下是优于火绒和电脑管家的
②用赛门铁克Symantec Endpoint Protection 14.3 RU3和RU4是这层考虑:RU3和RU4这2个版本是支持2008R2的最后2个版本,并且可以在2008R2-2022上安装
https://cloud.tencent.com/developer/article/1838316
6、更改默认远程端口,安全组入站规则只放行需要外网访问的端口和IP
更保守的做法,可参考https://cloud.tencent.com/developer/article/2290589
7、使用复杂密码,最好自己记不住的那种复杂随机密码
avast随机密码生成器:
https://www.avast.com/zh-cn/random-password-generator#pc
8、不用已经end of life的sqlserver产品,尽可能把sqlserver的补丁打到最新
sqlserver官方生命周期和补丁list:
https://learn.microsoft.com/zh-CN/troubleshoot/sql/releases/download-and-install-latest-updates
9、上传下载到服务器的东西在使用之前优先使用360和赛门铁克杀毒
10、安全组入站规则禁止445、53端口
示例:
11、安装腾讯云3大平台组件并在360和赛门铁克中信任,确保内网域名能正常解析
https://cloud.tencent.com/developer/article/2294795
https://cloud.tencent.com/developer/article/2272229
12、安装云平台最新的虚拟化驱动
virtio_64_1.0.9.exe
https://cloud.tencent.com/developer/article/2207789
下载后右键属性解锁再用,否则可能双击没反应
13、设置计划任务每天0点(23:59)重启服务器并确保时间服务开机时正常拉起
https://cloud.tencent.com/developer/article/2423772
@rem 以下代码另存为.bat即可设置可靠的腾讯云校时和每天0点自动重启机器
sc.exe config w32time start= auto
net stop w32time
net start w32time
w32tm /config /manualpeerlist:"time.windows.com,0x8 ntp.tencent.com,0xa ntpupdate.tencentyun.com,0xa time1.tencentyun.com,0xa time2.tencentyun.com,0xa time3.tencentyun.com,0xa time4.tencentyun.com,0xa time5.tencentyun.com,0xa" /syncfromflags:manual /reliable:yes /update
w32tm /query /configuration
w32tm /query /source
w32tm /query /peers
w32tm /resync /rediscover /nowait
w32tm /resync /rediscover /nowait
w32tm /resync /rediscover /nowait
schtasks.exe /CREATE /ru system /rl highest /SC DAILY /MO 1 /TN restart_computer /TR "shutdown -r -t 0" /ST 23:59 /RI 1439 /DU 24:00 /f
schtasks.exe /create /tn "\start_w32time" /ru SYSTEM /rl highest /sc ONSTART /tr "c:\windows\system32\sc.exe start w32time" /f
schtasks /change /tn "\start_w32time" /ru SYSTEM /st 00:00 /sd 1900/01/01
schtasks /change /tn "\start_w32time" /enable
reg query "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation" /v RealTimeIsUniversal
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation" /v RealTimeIsUniversal /d 1 /t REG_DWORD /f
reg query "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation" /v RealTimeIsUniversal
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\Config" /v MaxNegPhaseCorrection /t reg_dword /d 4294967295 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\Config" /v MaxPosPhaseCorrection /t reg_dword /d 4294967295 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time\Config" /v MaxNegPhaseCorrection /t reg_dword /d 4294967295 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time\Config" /v MaxPosPhaseCorrection /t reg_dword /d 4294967295 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\W32Time\Config" /v MaxNegPhaseCorrection /t reg_dword /d 4294967295 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\W32Time\Config" /v MaxPosPhaseCorrection /t reg_dword /d 4294967295 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v UtilizeSslTimeData /t REG_DWORD /d 0 /f
14、不测试乱七八糟的软件,尤其ERP(很多中招都是通过ERP中招或开源软件,含开源网站源码)
15、不作为重要的业务服务器使用,仅作测试用,既然测试用,配置1核2g或者2核2g足够了,这样不容易被黑客盯上,盯上了估计也下不去手,肉太少了,不值当(曾经2c2g故意设置弱密码让黑客成功进来过,黑客一看傻眼了,一没啥数据可加密勒索,二没多少算力可压榨用于挖矿,算逑了,找别的),为啥不是1核1g?因为1G内存确实不够用。
tips:其实我就是作为业务服务器使用的,只不过业务不太重要,最坏的情况已经评估过了,大不了啥都不要了,我能承受,或者我本地有备份,这就足够了,一点也不担心,但为啥又要费事做这些操作?不想来回折腾系统,一劳永逸省时间。
以上仅作为使用经验交流,不作为建议或指导说明。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
腾讯云开发者
