关于Windows安全性

提醒下，用windows最好安装杀毒防护软件

如果对主机安全或第三方杀毒防护软件报出来的风险文件存疑，可以试试第三方工具

https://www.virustotal.com/gui/home/upload
https://s.threatbook.com/
https://habo.qq.com/
https://ata.360.net/

曾经有个朋友，几百台windows虽然都是内网，但他跳板机有公网，黑客先攻陷了跳板机然后几百台内网机器全被搞

所以不论内外网，只要是windows尤其是过时不安全的系统都要强化安全设置和安全意识，不可大意

360会引起很多问题，但360杀毒防护效果确实不错，权衡使用

https://cloud.tencent.com/developer/article/2240250

升级系统、更新补丁、使用第三方防护软件可能有风险，建议先做POC测试，没问题再搞，Windows系统本身的问题跟云平台无关

实际生产中，大公司往往就是先验证，验证没问题再上生产，如果客户是直接开搞，开搞之前一定要先做完整备份，以备不时之需，比如开搞后发现不兼容或报错等其他情况，到时候还可以通过备份回滚到开搞前的状态，没有备份就尴尬了

再者，低版本系统健壮性差，相同当量的攻击，低版本系统(≤2012R2)不如高版本(≥server2019)扛揍，被攻击时卡顿情况比高版本明显甚至被打挂，当然，攻击到一定烈度时，高版本系统也可能被打挂

另外，高版本系统在稳定性或者健壮性、整体性能尤其是网络性能好的优势情况下，确实在资源开销方面比低版本系统会多一些，为了业务考虑，建议客户综合评估来选择适合自己的系统

整体上来说，Windows系统由于便利性、受众广泛性，是网络攻击和黑客入侵的重灾区，养成良好的使用习惯尤其备份数据的习惯是非常重要的，最好是能安装杀毒防护软件，并配合加强安全组设置，比如只放行需要外网访问的端口，像数据库端口一般只需服务器本机能访问就行，不需要外网放行安全组入站（视业务具体情况而定），对远程端口，建议修改默认远程端口号，在安全组放行新端口号时只放行客户端IP或IP段，范围不要放得太大。

安全防护软件较多，比如微软自己的电脑管家（适用≥server2019，我个人试用了，感觉不咋地呀，毕竟微软出品，也许未来会好用），第三方的安全软件我更推荐360和火绒。

https://pcmanager.microsoft.com/

https://www.huorong.cn/person5.html

360是不错，但需要注意的是360可能存在内存泄漏问题

https://cloud.tencent.com/developer/article/1948812

关于安全防护软件，首先需阐明，主机安全（云镜）跟杀毒防护软件有区别，主要是识别和告警，并不像杀毒防护软件那样具有实时对抗性。主机安全（云镜）专业版是收费的，可报告的安全风险条目多，不像免费版同一个账号只报5条告警就不再报了（是账号级别累计5条，不是单台机器维度）。

温馨提示，安全软件会有明显的资源开销，如果是最低配的机器，安装杀毒防护软件可能会导致系统卡顿，但如果不安装，安全中招的风险还是挺大的，建议客户综合考虑选择适合自己的系统和软硬件配置。

有网络就有安全风险，不区分是否有外网（比如虽然机器本身没有公网，但跳板机/堡垒机有公网，如果它们被入侵，那通过跳板机/堡垒机访问的机器就有风险），建议windows机器安装杀毒防护软件；不同杀毒软件的防护能力、查杀效率和查杀彻底度不尽相同，建议多种杀毒软件对比下，独一种可能不太可靠；杀毒软件及其病毒库没更新的话，不管啥杀软都不靠谱，建议更新到最新使用。

一般来说，更新到最新对比个人版的几款免费杀毒防护软件

全盘杀毒速度：360安全卫士＞360杀毒＞火绒

杀毒彻底度：360杀毒＞360安全卫士＞火绒

如果中毒，一般来说需要至少安装2种杀毒防护软件全盘交叉查杀（即用A查杀一遍，再用B查杀一遍），如果不对系统盘+数据盘全盘杀毒，光用公共镜像重装系统盘是没用的，病毒木马在数据盘的话，始终还会爆发的。

国外的杀毒防护软件，很少有对Server系统免费的，我用过的就赛门铁克，感觉还行，参考https://cloud.tencent.com/developer/article/1838316

世界上杀毒防护软件巨头是GEN，实现了诺顿、Avast、Avira 等知名产品归集到一家公司

https://cloud.tencent.com/developer/article/2190346